Sysmon安装与使用

描述

---

编写“Threat Hunt系列”的指导文章主要原因是，安全研究人员在编写渗透测试文章后并没有提供检测技术。渗透测试人员虽然完成了很多出色的工作、描述了对手所使用的工具和技术，但是只有少数人愿意共享出用于检测他们所使用的工具或者编写的代码。

系统监视器（Sysmon）是Windows系统服务和设备驱动程序。应用打开或任何进程创建行为发生时，Sysmon 会使用 sha1（默认），MD5，SHA256 或 IMPHASH 记录进程镜像文件的 hash 值，包含进程创建过程中的进程 GUID，每个事件中包含 session 的 GUID。除此之外记录磁盘和卷的读取请求 / 网络连接（包括每个连接的源进程，IP 地址，端口号，主机名和端口名），重要的是还可在生成初期进程事件能记录在复杂的内核模式运行的恶意软件。

---

安装

下载sysmon;

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

在sysmon目录下新启cmd并执行；

sysmon64.exe -i 

​ 打开sysmon事件查看：「事件查看器」——「应用程序和服务日志」——「Microsoft」——「Windows」——「Sysmon」文件夹，其中记录了 Sysmon 写入到 Event Log 中的所有事件

卸载

sysmon -u

过滤器标签

ProcessCreate            进程创建
FileCreateTime           文件创建时间更改
NetworkConnect           检测到网络连接
ProcessTerminate         进程终止
DriverLoad               驱动程序已加载
ImageLoad                镜像加载
CreateRemoteThread       已检测到创建远程线程
RawAccessRead            检测到原始访问读取
ProcessAccess            已访问的进程
FileCreate               文件创建
RegistryEvent            添加或删除注册表对象
RegistryEvent            注册表值设置
RegistryEvent            注册表对象已重命名
FileCreateStreamHash     已创建文件流
PipeEvent                管道创建
PipeEvent                管道已连接
WmiEvent                 检测到WmiEventFilter活动 -- WmiEventFilter activity detected
WmiEvent                 检测到WmiEventConsumer活动 -- WmiEventConsumer activity detected
WmiEvent                 检测到WmiEventConsumerToFilter活动 -- WmiEventConsumerToFilter activity 
DnsQuery                 DNS查询

事件ID