Można to robić za pomocą natywnego narzędzia Windows Event, ale jest to niewygodne i czasochłonne. Kolejnym problemem jest przeglądanie logów. Trzeba jednak pamiętać, że oprogramowanie nie posiada żadnych cech antywirusa, potrafi wyłącznie zapisywać logi. Sysmon to dobra i darmowa alternatywa rozwiązań typu EDR. Ukrywanie Sysmon przed złośliwym oprogramowaniem jest możliwe, ale wymaga dodatkowej konfiguracji. Z tego powodu bardziej zaawansowana konfiguracja przewiduje utwardzenie ustawień, zmianę nazw instalowanych usług i sterownika Sysmona, które to malware z łatwością mogłoby wykryć lub zatrzymać (jak to zrobić wyjaśnił autor tego artykułu). Sysmon to narzędzie dobrze znane autorom szkodliwego oprogramowania, którzy wiedzą jak wykryć działające w tle usługi Sysmon. Sysinternals - Loading configuration file with schema version 4.22 Wszystkie zmiany w systemie Windows będą zapisywane w Windows Event w drzewie Aplikacje i Usługi -> Microsoft -> Windows -> Sysmon.ĭo obsłużenia nowego Event ID 24 potrzebna jest następująca reguła w pliku konfiguracyjnym: Īby zdarzenia były zapisywane w dzienniku, należy „powiedzieć” narzędziu Sysmon, aby zaczęło używać nowych reguł: Sysmon64.exe -c sysmonconfig-export.xml Po zainstalowaniu Sysmon, aby uzupełnić konfigurację o reguły z pliku XML, należy wydać polecenie: Sysmon64.exe -c sysmonconfig-export.xml Od teraz narzędzie Sysmon będzie zapisywało wszystkie obsługiwane zdarzenia na plikach, rejestrze, komendach w wierszu poleceń, i od wersji 12, skopiowanych/wklejonych znakach do/z schowka systemowego.ĭo analizy złośliwego oprogramowania warto używać prekonfigurowanych reguł ( sysmonconfig-export.xml) przygotowanych przez Marka Russinovicha i Thomasa Garniera, którzy są współtwórcami oprogramowania i zarazem ekspertami jeśli chodzi o znajomość środowiska Windows. System Monitor v12.0 - System activity monitorĬopyright (C) 2014-2020 Mark Russinovich and Thomas Garnier Instalacja Sysmon sprowadza się do wydania w CMD jednego polecenia: Sysmon64.exe -i pełna lista obsługiwanych zdarzeń systemowych jest dostępna na tej stronie (niestety oficjalny opis nie wzmianki o dodanym „Event ID 24”.najnowsza wersja Sysmon 12 potrafi zapisywać skopiowane znaki do schowka systemowego w obrębie maszyny (obsługuje drag&drop pomiędzy maszynami wirtualnymi a hostem, obsługuje protokół RDP nie obsługuje skopiowanych plików),.a nawet zmiana statusu działania usługi Sysmon (np. spowodowana awarią lub złośliwym oprogramowaniem),.W sieci dostępnych jest mnóstwo samouczków oraz gotowych konfiguracji zawierających zestawy reguł, dzięki którym można zapisywać takie informacje jak: Z instalacją i wdrożeniem Sysmon-u nie powinno być problemów, jeżeli się wie do czego służy ten program. Sysmon 12 (System Monitor) wchodzi w skład SysInternals od firmy Microsoft i jest powszechnie używanym, darmowym narzędziem podczas pracy z próbkami złośliwego oprogramowania, a także jako bezpłatny EDR na serwerach i stacjach roboczych. Microsoft udostępnił kolejną wersję narzędzia do monitorowania logów systemowych i aplikacji.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. ArchivesCategories |