系统监视器 (Sysmon) 是一项 Windows 系统服务,也是一个设备驱动程序,一旦安装在系统上,就会在系统重新启动后一直驻留,以监视系统活动并将其记录到 Windows 事件日志中。
Sysmon - Sysinternals | Microsoft Learn
System Monitor v15.15 - 系统活动监控工具
由 Mark Russinovich 和 Thomas Garnier 编写
版权所有 (C) 2014-2024 微软公司
使用了 libxml2 库。libxml2 版权归 Daniel Veillard 所有,版权所有 (C) 1998-2012。保留所有权利。
Sysinternals - www.sysinternals.com
__________________________________________________________________________________________________________
使用方法:
安装:
Sysmon64.exe -i [<配置文件>]
更新配置:
Sysmon64.exe -c [<配置文件>]
安装事件清单:
Sysmon64.exe -m
打印架构:
Sysmon64.exe -s
卸载:
Sysmon64.exe -u [强制]
__________________________________________________________________________________________________________
参数说明:
-c 更新已安装的 Sysmon 驱动程序的配置,或者如果没有提供其他参数,则输出当前的配置。可以选择提供一个配置文件。
-i 安装服务和驱动程序。可以选择提供一个配置文件。
-m 安装事件清单(安装服务时也会执行)。
-s 打印指定版本的配置架构定义。使用 'all' 可以输出所有架构版本(默认是最新版本)。
-u 卸载服务和驱动程序。加上 '强制' 参数会在某些组件未安装的情况下强制卸载。
__________________________________________________________________________________________________________
说明:
服务会立即记录事件,驱动程序作为启动时驱动程序安装,用于捕获从启动早期的活动,这些活动会在服务启动时写入事件日志。
在 Vista 及更高版本的系统中,事件被存储在 "Applications and Services Logs/Microsoft/Windows/Sysmon/Operational"。
在旧版本的系统中,事件会被写入系统事件日志。
使用 -? config 命令查看配置文件的文档。更多示例可以在 Sysinternals 网站上找到。
如果希望在安装时自动接受 EULA 协议,可以指定 -accepteula 参数,否则将会弹出交互式提示要求用户接受。
无论是安装还是卸载都不需要重启。|
libxml2 库是一个开源的 XML 解析器库,用于解析、创建和操作 XML 数据。它支持 XML 文档的解析、验证和操作,广泛应用于各种程序和系统中。以下是 libxml2 的一些主要特点和功能: 1. XML 解析功能
2. 支持多种输出格式
3. 文档树和节点操作
4. 验证和模式支持
5. 跨平台支持
6. 性能与效率
7. 开源与社区支持
常见用途:
libxml2 是一个功能强大、性能优越的 XML 库,被广泛应用于各种涉及 XML 数据处理的场景中。 libxml2 是一个开源的 XML 解析库,最初由 Daniel Veillard 开发。它被广泛用于解析、操作和验证 XML 数据。 1. 官方网站在官方网站上,你可以找到 libxml2 的文档、最新的发行版本、以及各种与库相关的资源和支持。 2. 源代码与 GitHub
你可以在 GitHub 上访问 libxml2 的源代码,提交问题报告,查看贡献者,并获取最新的开发进展。GitHub 上的 libxml2 仓库包括了所有的源代码、文档以及版本控制信息,便于开发者下载和参与开发。 3. 版权和许可证
通过官方网站和 GitHub 仓库,你可以下载最新版本的 libxml2,查看详细的使用文档,甚至参与到该项目的开发中。如果你在使用过程中遇到任何问题,也可以在 GitHub 上提交问题(Issue)并获得社区的支持。 |
Sysmon v15.15
通过 Mark Russinovich 和 Thomas Garnier
发布时间:2024 年 7 月 23 日
下载 Sysmon(4.6 MB)
简介
系统监视器 (Sysmon) 是一项 Windows 系统服务,也是一个设备驱动程序,一旦安装在系统上,就会在系统重新启动后一直驻留,以监视系统活动并将其记录到 Windows 事件日志中。 它提供有关进程创建、网络连接和文件创建时间更改的详细信息。 通过使用 Windows 事件收集或 SIEM 代理收集生成的事件,然后对事件进行分析,你可识别恶意或异常活动,并了解入侵者和恶意软件如何在网络上运行。 该服务作为受保护的进程运行,从而禁止广泛的用户模式交互。
请注意,“Sysmon”不会提供对其生成的事件的分析,也不会尝试隐藏自己以免受攻击者的攻击。
Sysmon 功能概述
Sysmon 包括以下功能:
- 记录当前进程和父进程中使用完整命令行创建的进程。
- 记录使用 SHA1(默认)、MD5、SHA256 或 IMPHASH 的进程映像文件的哈希。
- 可以同时使用多个哈希。
- 在进程内创建事件之中包含一个进程 GUID,当 Windows 重新使用进程 ID 时,允许事件的相关性。
- 在每个事件中包含会话 GUID,允许同一登录会话上事件的相关性。
- 记录驱动程序或 DLL 的加载及其签名与哈希。
- 记录磁盘和卷的原始读取访问打开次数。
- (可选)记录网络连接,包括每个连接的源进程、IP 地址、端口数量、主机名和端口名称。
- 检测文件创建时间的更改,以了解文件真正创建的时间。 修改文件创建时间戳是恶意软件惯用的伎俩来掩盖其轨道。
- 如果注册表中发生更改,则自动化重新加载配置。
- 进行规则筛选以动态包含或不包含某些事件。
- 在启动进程之初生成事件,以捕获相当复杂的内核模式恶意软件进行的活动。
屏幕截图
使用情况
使用简单命令行选项来安装和卸载 Sysmon,以及检查和修改其配置的常见用法:
安装:sysmon64 -i [<configfile>]
更新配置:sysmon64 -c [<configfile>]
安装事件清单:sysmon64 -m
打印架构:sysmon64 -s
卸载:sysmon64 -u [force]
| 参数 | 说明 |
|---|---|
| -i | 安装服务和驱动程序。 (可选)采用配置文件。 |
| -c | 如果未提供其他参数,则更新已安装的 Sysmon 驱动程序的配置或转储当前配置。 (可选)采用配置文件。 |
| -m | 安装事件清单(以及在服务安装时隐式完成)。 |
| -s | 打印配置架构定义。 |
| -u | 卸载服务和驱动程序。 使用“-u force”会导致卸载继续进行,即使未安装一些组件。 |
服务会立即记录事件,驱动程序会安装为引导启动驱动程序,从引导早期开始就捕获活动,服务会将启动时间写入活动日志。
在 Vista 以及更新的系统上,事件存储在 Applications and Services Logs/Microsoft/Windows/Sysmon/Operational 中。 在较旧的系统中,事件写入到“System”事件日志。
如果需要与配置文件有关的更多信息,请使用“-? config”命令。
指定 -accepteula 在安装时自动接受 EULA,否则系统会以交互方式提示你接受。
安装或卸载都不需要重启。
示例
使用默认设置进行安装(进程映像已经过 SHA1 哈希处理,且没有网络监视)
sysmon -accepteula -i使用配置文件安装 Sysmon(如下所述)
sysmon -accepteula -i c:\windows\config.xml卸载
sysmon -u转储当前配置
sysmon -c使用配置文件重新配置活动的 Sysmon(如下所述)
sysmon -c c:\windows\config.xml将配置更改为默认设置
sysmon -c --显示配置架构
sysmon -s事件
在 Vista 以及更新的系统上,事件存储在 Applications and Services Logs/Microsoft/Windows/Sysmon/Operational 中;在较旧的系统上,事件写入“System”事件日志。 事件时间戳采用 UTC 标准时间。
下面是 Sysmon 生成的每种事件类型的示例。
事件 ID 1:进程创建
进程创建事件提供有关新创建的进程的扩展信息。 完整命令行提供进程执行的相关上下文。 “ProcessGUID”字段是此进程在整个域中的唯一值,能够简化事件关联。 哈希是文件的完整哈希,其中包含“HashType”字段中的算法。
事件 ID 2:进程更改了文件创建时间
当进程明确修改了文件创建时间时,将注册更改文件创建时间事件。 此事件可帮助跟踪文件的实际创建时间。 攻击者可能会更改后门的文件创建时间,使其看起来像是随操作系统一起安装的。 请注意,许多进程会合法地更改文件的创建时间,这种行为不一定表示恶意活动。
事件 ID 3:网络连接
网络连接事件记录计算机上的 TCP/UDP 连接。 此项默认禁用。 每个连接都通过 ProcessId 和 ProcessGuid 字段链接到一个进程。 该事件还包含源和目标主机名 IP 地址、端口号和 IPv6 状态。
事件 ID 4:Sysmon 服务状态已更改
服务状态更改事件报告 Sysmon 服务的状态(已启动或已停止)。
事件 ID 5:进程已终止
进程终止事件报告进程的终止时间。 它提供进程的 UtcTime、ProcessGuid 和 ProcessId。
事件 ID 6:驱动程序已加载
驱动程序已加载事件提供系统上正在加载的驱动程序的相关信息。 会提供已配置的哈希以及签名信息。 出于性能,签名以异步方式创建,指示加载后文件是否被删除。
事件 ID 7:映像已加载
映像已加载事件记录特定进程中加载某个模块的时间。 此事件默认处于禁用状态,需要使用“–l”选项进行配置。 它指示模块在哪个进程中加载、哈希,以及签名信息。 出于性能,签名以异步方式创建,指示加载后文件是否被删除。 应小心配置此事件,因为监视所有映像加载事件会产生大量日志记录。
事件 ID 8:CreateRemoteThread
“CreateRemoteThread”事件检测一个进程在另一个进程中创建线程的时间。 恶意软件使用这种方法注入代码并隐藏在另一个进程中。 此事件指示源进程和目标进程。 它提供将会在新线程中运行的代码的相关信息:StartAddress、StartModule 和 StartFunction。 请注意,StartModule 和 StartFunction 字段是推断出来的。如果起始地址在加载的模块或已知导出的函数之外,则这两个字段可能为空。
事件 ID 9:RawAccessRead
“RawAccessRead”事件检测进程使用“\\.\”本意从驱动器进行读取操作的时间。 恶意软件通常使用这种方法让已锁定不许读取的文件发生数据泄露,以及避开文件访问审计工具。 此事件指示源进程和目标设备。
事件 ID 10:ProcessAccess
已访问进程事件报告一个进程打开另一个进程的时间,一项操作通常后跟信息查询,或读取写入目标进程的地址空间。 这样就可以检测在哈希传递攻击中为了窃取要使用的凭据,读取本地安全机构 (Lsass.exe) 等进程的内存内容的黑客工具。 如果有诊断实用工具反复打开进程来查询其状态,则启用此事件会产生大量日志记录。因此,一般而言应该仅使用移除预计的访问的筛选器来完成此操作。
事件 ID 11:FileCreate
当创建或覆盖文件时,记录文件创建操作。 此事件可用于监视自动启动位置,例如启动文件夹,以及临时和下载目录,这些是初始感染期间恶意软件会前往的常见位置。
Event ID 12:RegistryEvent(对象创建和删除)
注册表项和值创建和删除操作映射到此事件类型,此事件可用于监视对注册表自动启动位置的更改,或特定恶意软件注册表修改。
Sysmon 使用以下映射的注册表根键名称的缩写版本:
| 项名 | 缩写 |
|---|---|
HKEY_LOCAL_MACHINE |
HKLM |
HKEY_USERS |
HKU |
HKEY_LOCAL_MACHINE\System\ControlSet00x |
HKLM\System\CurrentControlSet |
HKEY_LOCAL_MACHINE\Classes |
HKCR |
事件 ID 13:RegistryEvent(值设置)
此注册表事件类型识别注册表值修改。 此事件记录为类型 DWORD 和 QWORD 的注册表值写入的值。
事件 ID 14:RegistryEvent(项和值重命名)
注册表项和值重命名操作映射到此事件类型,记录重命名后的项或值的新名称。
事件 ID 15:FileCreateStreamHash
此事件记录创建已命名文件流的时间,并且会生成事件来记录将流(未命名的流)分配到的文件中的内容的哈希,以及已命名的流的内容。 有的恶意软件变体通过浏览器下载来放置其可执行文件或配置设置,此事件旨在根据浏览器附加 Zone.Identifier“Web 标记”流来捕获此类情况。
事件 ID 16:ServiceConfigurationChange
此事件记录 Sysmon 配置中的更改,例如,更新筛选规则的时间。
事件 ID 17:PipeEvent(管道已创建)
当创建已命名的管道时生成此事件。 恶意软件通常使用已命名管道进行进程间通信。
事件 ID 18:PipeEvent(管道已连接)
此事件记录客户端和服务器之间建立已命名管道连接的时间。
事件 ID 19:WmiEvent(检测到 WmiEventFilter 事件)
注册 WMI 事件筛选器时,恶意软件使用此方法来执行攻击,此事件记录 WMI 命名空间、筛选器名称和筛选器表达式。
事件 ID 20:WmiEvent(检测到 WmiEventConsumer 活动)
此事件记录 WMI 使用者的注册,具体会记录使用者姓名、日志和目的地。
事件 ID 21:WmiEvent(检测到 WmiEventConsumerToFilter 活动)
当使用者绑定到某个筛选器时,此事件记录下该使用者的姓名和筛选器路径。
事件 ID 22:DNSEvent(DNS 查询)
无论结果是成功还是失败、是否会缓存,当进程执行 DNS 查询时都会生成此事件。 已为 Windows 8.1 添加了此事件的遥测,因此它在 Windows 7 及更早版本上不可用。
事件 ID 23:FileDelete(文件删除已存档)
文件已删除。 除了记录此事件,被删除的文件还保存在 ArchiveDirectory 中(C:\Sysmon 是默认)。 正常运行的情况下,此目录可能会增长到不合理的大小,请参阅事件 ID 26:FileDeleteDetected,其行为虽然类似,但是不保存被删除的文件。
事件 ID 24:ClipboardChange(剪贴板中的新内容)
系统剪贴板内容发生变化时会生成此事件。
事件 ID 25:ProcessTampering(进程映像更改)
当检测到“空心”或“herpaderp”等进程隐藏手段时会生成此事件。
事件 ID 26:FileDeleteDetected(文件删除已记录)
文件已删除。
事件 ID 27:FileBlockExecutable
当 Sysmon 检测并阻止创建可执行文件(PE 格式)时生成此事件。
事件 ID 28:FileBlockShredding
当 Sysmon 检测并阻止 SDelete 等工具粉碎文件时生成此事件。
事件 ID 29:FileExecutableDetected
当 Sysmon 检测到新建可执行文件(PE 格式)时生成此事件。
事件 ID 255:错误
当 Sysmon 中发生错误时生成此事件。 如果系统负载过重且无法执行某些任务或 Sysmon 服务中存在 bug,或者即使不满足某些安全和完整性条件,也可能发生这些错误。 可以在 Sysinternals 论坛上或通过 Twitter (@markrussinovich) 报告任何 bug。
配置文件
可以在 -i(安装)或 -c(安装)配置开关之后指定配置文件。 这些开关让部署预设置配置和筛选捕获的事件变得更容易。
简单的配置 xml 文件如下所示:
<Sysmon schemaversion="4.82">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<!-- Do not log process termination -->
<ProcessTerminate onmatch="include" />
<!-- Log network connection if the destination port equal 443 -->
<!-- or 80, and process isn't InternetExplorer -->
<NetworkConnect onmatch="include">
<DestinationPort>443</DestinationPort>
<DestinationPort>80</DestinationPort>
</NetworkConnect>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplore.exe</Image>
</NetworkConnect>
</EventFiltering>
</Sysmon>配置文件中包含 Sysmon 标记上的架构版本属性。 此版本独立于 Sysmon 二进制版本,允许解析较旧的配置文件。 可以使用“-? config”命令行来获取当前的架构版本。 配置条目直接在“Sysmon”标记下,筛选器在“EventFiltering”标记下。
配置条目
配置条目类似于命令行开关,包括以下内容
配置条目包括以下内容:
| 条目 | 值 | 说明 |
|---|---|---|
| ArchiveDirectory | 字符串 | 卷根上的目录的名称,删除时复制文件将移动到其中。 目录受系统 ACL 保护(可使用 Sysinternals 提供的 PsExec 来访问使用“psexec -sid cmd”的目录)。 默认:Sysmon |
| CheckRevocation | 布尔 | 控制签名吊销检查。 默认:True |
| CopyOnDeletePE | 布尔 | 保留已删除的可执行映像文件。 默认:False |
| CopyOnDeleteSIDs | 字符串 | 将为其保留文件删除的帐户 SID 的逗号分隔列表。 |
| CopyOnDeleteExtensions | 字符串 | 删除时保留的文件的扩展名。 |
| CopyOnDeleteProcesses | 字符串 | 将为其保留文件删除的进程名称。 |
| DnsLookup | 布尔 | 控制反向 DNS 查找。 默认:True |
| DriverName | 字符串 | 使用驱动程序和服务映像的指定名称。 |
| HashAlgorithms | 字符串 | 要应用于执行哈希加密的哈希算法。 支持的算法包括 MD5、SHA1、SHA256、IMPHASH 和 *(全部)。 默认:None |
命令行开关拥有其在 Sysmon 使用输出中所述的配置条目。 参数是基于标记的可选参数。 如果命令行开关还启用事件,则需要通过其筛选器标记对其进行配置。 可以指定 -s 开关,让 Sysmon 打印完整的配置架构,包括事件标记以及每个事件的字段名称和类型。 例如,以下是“RawAccessRead”事件类型的架构:
<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">
<data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>
<data name="ProcessGuid" inType="win:GUID"/>
<data name="ProcessId" inType="win:UInt32" outType="win:PID"/>
<data name="Image" inType="win:UnicodeString" outType="xs:string"/>
<data name="Device" inType="win:UnicodeString" outType="xs:string"/>
</event> 事件筛选条目
事件筛选允许筛选生成的事件。 许多情况下,事件中的噪声太大,无法收集到所有信息。 例如,你可能只对某一个进程而非所有进程的网络连接感兴趣。 这种情况下,可以筛选主机上的输出,减少要收集的数据。
每个事件在配置文件中的 EventFiltering 节点下都有自己的筛选器标记:
| ID | 标记 | 事件 |
|---|---|---|
| 1 | ProcessCreate | 进程创建 |
| 2 | FileCreateTime | 文件创建时间 |
| 3 | NetworkConnect | 检测到网络连接 |
| 4 | 不适用 | Sysmon 服务状态更改(无法筛选) |
| 5 | ProcessTerminate | 进程已终止 |
| 6 | DriverLoad | 驱动程序已加载 |
| 7 | ImageLoad | 映像已加载 |
| 8 | CreateRemoteThread | 检测到 CreateRemoteThread |
| 9 | RawAccessRead | 检测到 RawAccessRead |
| 10 | ProcessAccess | 进程被访问 |
| 11 | FileCreate | 文件已创建 |
| 12 | RegistryEvent | 已添加或删除注册表对象 |
| 13 | RegistryEvent | 注册表值已设置 |
| 14 | RegistryEvent | 注册表对象已重命名 |
| 15 | FileCreateStreamHash | 文件流已创建 |
| 16 | 不适用 | Sysmon 配置更改(无法筛选) |
| 17 | PipeEvent | 已命名管道已创建 |
| 18 | PipeEvent | 已命名管道已连接 |
| 19 | WmiEvent | WMI 筛选器 |
| 20 | WmiEvent | WMI 使用者 |
| 21 | WmiEvent | WMI 使用者筛选器 |
| 22 | DNSQuery | DNS 查询 |
| 23 | FileDelete | 文件删除已存档 |
| 24 | ClipboardChange | 剪贴板中的新内容 |
| 25 | ProcessTampering | 进程映像更改 |
| 26 | FileDeleteDetected | 文件删除已记录 |
| 27 | FileBlockExecutable | 文件阻止可执行 |
| 28 | FileBlockShredding | 文件阻止粉碎 |
| 29 | FileExecutableDetected | 可执行文件已删除 |
还可以在任务名称上的事件查看器中找到这些标记。
如果有事件匹配,则应用“onmatch”筛选器。 可以使用筛选器标记的“onmatch”属性对其进行更改。 如果值为“"include"”,则表示仅包含匹配的事件。 如果设置为“"exclude"”,则将包含事件,但规则匹配时除外。 可以为每个事件 ID 同时指定一个包含筛选器集和一个不包含筛选器集,其中不包含匹配项优先。
每个筛选器可包含零个或多个规则。 筛选器标记下的每个标记都是事件的字段名称。 将相同字段名称行为的条件指定为 OR 条件的规则,以及将不同字段名称行为指定为 AND 条件。 字段规则还可以使用条件来匹配值。 条件如下所示(所有条件均不区分大小写):
| 条件 | 说明 |
|---|---|
| is | 所有值默认都相等 |
| 是任意 | 字段是 ; 分隔的其中一个值 |
| 不是 | 值不同 |
| contains | 字段包含此值 |
| 包含任意 | 字段包含 ; 分隔的任意值 |
| 包含全部 | 字段包含 ; 分隔的全部值 |
| 不包含 | 字段不包含此值 |
| 不包含任意 | 字段不包含 ; 分隔的一个或多个值 |
| 不包含全部 | 字段不包含 ; 分隔的任意值 |
| 开头为 | 字段以此值开头 |
| 结尾为 | 字段以此值结尾 |
| 开头不为 | 字段不以此值开头 |
| 结尾不为 | 字段不以此值结尾 |
| 小于 | 按字典序比较小于零 |
| 大于 | 按字典序比较大于零 |
| 图像 | 匹配某映射路径(完整路径或仅映像名称)。 例如:lsass.exe 将与 c:\windows\system32\lsass.exe 匹配 |
可以通过将其指定为属性来使用不同的条件。 其中不包含路径中有 iexplore.exe 的进程的网络活动:
<NetworkConnect onmatch="exclude">
<Image condition="contains">iexplore.exe</Image>
</NetworkConnect>若要让 Sysmon 报告哪个规则匹配导致记录事件,请将名称添加到规则中:
<NetworkConnect onmatch="exclude">
<Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>可以对同一标记同时使用包含和不包含规则,其中不包含规则优先级高于包含规则。 在规则中,筛选条件具有 OR 行为。
在前面介绍的示例配置中,网络筛选器使用包含规则和不包含规则来捕获除名称中包含 iexplore.exe 以外的所有进程到端口 80 和 443 的活动。
还可以通过使用规则组替代规则组合方式,该规则组允许将一个或多个事件的规则组合类型显式设置为 AND 或 OR。
下面的示例演示此用法。 在第一个规则组中,当仅使用 timeout.exe 的命令行属性执行 100 时将会生成进程创建事件,但 ping.exe 和 timeout.exe 的终止会生成进程终止事件。
<EventFiltering>
<RuleGroup name="group 1" groupRelation="and">
<ProcessCreate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<CommandLine condition="contains">100</CommandLine>
</ProcessCreate>
</RuleGroup>
<RuleGroup groupRelation="or">
<ProcessTerminate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<Image condition="contains">ping.exe</Image>
</ProcessTerminate>
</RuleGroup>
<ImageLoad onmatch="include"/>
</EventFiltering> 下载 Sysmon(4.6 MB)
运行软件:
- 客户端:Windows 10 及更高版本。
- 服务器:Windows Server 2016 及更高版本。
当前日期:2023年5月25日 00:06:30
系统监视器 v14.16 - 系统活动监视器 作者:Mark Russinovich 和 Thomas Garnier 版权所有 (C) 2014-2023 微软公司 使用 libxml2。libxml2 版权所有 (C) 1998-2012 Daniel Veillard。保留所有权利。 Sysinternals - www.sysinternals.com
________________________________________________________________________________________________________________________________
用法:
安装:Sysmon64.exe -i [<configfile>]
更新配置:Sysmon64.exe -c [<configfile>]
安装事件清单:Sysmon64.exe -m
打印模式:Sysmon64.exe -s
卸载:Sysmon64.exe -u [force]
________________________________________________________________________________________________________________________________
-c 更新已安装的 Sysmon 驱动程序的配置或转储当前配置(如果没有提供其他参数)。可选择使用配置文件。
-i 安装服务和驱动程序。可选择使用配置文件。
-m 安装事件清单(也会在服务安装时完成)。
-s 打印指定版本的配置架构定义。指定“all”以转储所有架构版本(默认为最新版本)。
-u 卸载服务和驱动程序。添加 force 将导致即使未安装某些组件,卸载仍然进行。
该服务立即记录事件,驱动程序作为引导启动驱动程序安装,以便在服务启动时从启动时就捕获活动并写入事件日志。
________________________________________________________________________________________________________________________________
在 Vista 及更高版本上,事件存储在“应用程序和服务日志/ Microsoft / Windows / Sysmon / 操作”。在旧系统上,事件将写入“系统”事件日志中。
使用“-? config”命令查看配置文件文档。Sysinternals 网站提供更多示例。
在安装过程中指定 -accepteula 以自动接受最终用户许可协议,否则您将被要求互动地接受它。
无论安装还是卸载都不需要重新启动计算机。| 操作 | 命令及参数 | 描述 |
|---|---|---|
| 安装 | Sysmon64.exe -i [<configfile>] |
安装服务和驱动程序,可选择使用配置文件。 |
| 更新配置 | Sysmon64.exe -c [<configfile>] |
更新已安装的 Sysmon 驱动程序的配置或转储当前配置(如果没有提供其他参数)。可选择使用配置文件。 |
| 安装事件清单 | Sysmon64.exe -m |
安装事件清单,也会在服务安装时完成。 |
| 打印模式 | Sysmon64.exe -s |
打印指定版本的配置架构定义。指定“all”以转储所有架构版本(默认为最新版本)。 |
| 卸载 | Sysmon64.exe -u [force] |
卸载服务和驱动程序。添加 force 将导致即使未安装某些组件,卸载仍然进行。 |
- 安装:服务会立即开始记录事件,驱动程序会作为引导启动驱动程序安装,确保服务启动时从启动时捕获活动并写入事件日志。
- 更新配置:更新配置文件或查看当前配置(如果没有提供其他参数)。
- 安装事件清单:确保事件清单会在安装时完成。
- 打印模式:查看配置架构的定义,可选择查看所有版本的架构。
- 卸载:卸载时,强制卸载即使部分组件没有安装。
常见的 Sysmon64.exe 使用示例,展示了如何通过不同的命令参数执行特定操作:
1. 安装 Sysmon 并指定配置文件
Sysmon64.exe -i C:\Path\To\Config.xml说明:安装 Sysmon 服务和驱动程序,并使用指定的配置文件(Config.xml)进行配置。
2. 更新已安装的 Sysmon 配置
Sysmon64.exe -c C:\Path\To\NewConfig.xml说明:更新已安装的 Sysmon 驱动程序的配置,使用新的配置文件。
3. 安装事件清单
Sysmon64.exe -m说明:安装事件清单,事件清单会在服务安装时完成,确保服务可以记录活动。
4. 打印配置架构定义
Sysmon64.exe -s说明:打印当前 Sysmon 配置架构的定义。如果想要查看所有架构版本,可以使用:
Sysmon64.exe -s all5. 卸载 Sysmon 服务和驱动程序
Sysmon64.exe -u说明:卸载 Sysmon 服务和驱动程序。
如果强制卸载,即使某些组件未安装,使用 force 参数:
Sysmon64.exe -u force6. 查看当前安装的配置
Sysmon64.exe -c说明:查看当前安装的 Sysmon 配置。此命令会转储当前配置(如果没有提供其他参数)。
7. 安装并使用默认配置文件
Sysmon64.exe -i说明:安装 Sysmon 并使用默认配置文件进行设置。
继续补充一些 Sysmon64.exe 的常见用法和示例:
8. 查看 Sysmon 版本
Sysmon64.exe -v说明:查看当前安装的 Sysmon 版本。该命令会输出 Sysmon 的版本信息,有助于确认是否是最新版本。
9. 安装时指定一个自定义配置文件并启用日志
Sysmon64.exe -i C:\Path\To\CustomConfig.xml -l说明:在安装时指定自定义配置文件,并启用日志记录。这会将 Sysmon 的活动日志输出到默认位置或指定的路径。
10. 更新配置文件而不指定配置文件(转储当前配置)
Sysmon64.exe -c说明:更新 Sysmon 配置或转储当前的配置。如果没有指定配置文件路径,则会显示当前使用的配置文件内容。
11. 强制卸载 Sysmon 即使部分组件未安装
Sysmon64.exe -u force说明:使用 force 参数强制卸载 Sysmon 服务和驱动程序,即使某些组件未正确安装。此命令对于清理可能存在问题的安装非常有用。
12. 使用本地配置文件进行安装和指定日志路径
Sysmon64.exe -i C:\Path\To\Config.xml -l C:\Path\To\Logs\说明:在安装 Sysmon 时,使用指定的配置文件,并设置日志文件的输出路径。日志文件将保存在 C:\Path\To\Logs\ 目录中。
13. 查看 Sysmon 当前的事件记录
Sysmon64.exe -e说明:显示当前 Sysmon 已记录的事件。这对于快速检查事件记录是否成功以及是否按预期工作非常有用。
14. 安装并启用所有 Sysmon 模块(包括进程创建、网络连接等)
Sysmon64.exe -i C:\Path\To\FullConfig.xml -all说明:安装 Sysmon 并启用所有可用的监控模块。此命令会启用进程创建、网络连接等各种类型的监控。
15. 查看安装后的 Sysmon 配置详细信息
Sysmon64.exe -c -d说明:更新 Sysmon 配置并显示详细信息,适用于调试和查看配置细节。
16. 使用默认配置安装并指定网络流量监控
Sysmon64.exe -i -net说明:安装 Sysmon,并启用网络流量监控功能,用于捕获和记录网络连接的活动。
17. 启用特定事件类型(例如,进程创建和文件创建)
Sysmon64.exe -i -p -f说明:在安装时仅启用特定的事件类型监控,如进程创建 (-p) 和文件创建 (-f) 事件。通过这种方式,用户可以定制 Sysmon 的行为,避免记录不必要的事件。
18. 列出 Sysmon 所有支持的命令选项
Sysmon64.exe -h说明:列出所有可用的命令选项和参数的帮助信息。适合用户对 Sysmon64.exe 的所有功能有个全局的了解。
19. 安装 Sysmon 并限制资源消耗
Sysmon64.exe -i C:\Path\To\LowResourceConfig.xml说明:安装 Sysmon,并使用一个经过优化的配置文件,该配置文件通过限制记录的事件类型来减少资源消耗。适用于系统资源有限的环境。
20. 使用默认配置更新现有安装
Sysmon64.exe -c说明:不指定配置文件时,更新现有的 Sysmon 配置并使用当前默认设置。此命令会覆盖现有的配置,使用默认的监控设置。
Sysmon64.exe 提供了许多功能,可以帮助用户定制和优化其操作系统的监控。根据具体需求,用户可以安装、更新、卸载服务,查看配置或事件,并启用不同的监控功能。通过合适的配置文件,可以确保 Sysmon 以最适合的方式捕获活动、记录事件,并提供详细的日志输出。
继续补充一些 Sysmon64.exe 的其他常见用法和进阶功能:
21. 安装 Sysmon 并监控特定的事件类型
Sysmon64.exe -i C:\Path\To\Config.xml -e ProcessCreate,FileCreateTime,NetworkConnect说明:安装 Sysmon 并仅启用特定的事件类型监控。此命令会监控进程创建、文件创建时间、网络连接等事件。适用于希望定制 Sysmon 只记录某些事件的场景。
22. 使用特定配置文件进行安装并禁用某些功能
Sysmon64.exe -i C:\Path\To\Config.xml -disable ProcessCreate说明:安装 Sysmon 并使用指定的配置文件,但禁用 ProcessCreate 事件的监控。这有助于根据具体需求排除不需要的事件类型。
23. 更新配置并打印当前的配置文件
Sysmon64.exe -c -p说明:更新配置并打印当前的配置文件内容。-p 参数可以帮助用户查看更新后的配置,适合调试使用。
24. 安装并监控 USB 设备的插入/移除
Sysmon64.exe -i C:\Path\To\Config.xml -usb说明:安装 Sysmon,并启用对 USB 设备插入和移除事件的监控。适用于需要跟踪外部设备接入的安全需求。
25. 查看并转储 Sysmon 配置的 XML 格式
Sysmon64.exe -s all -o C:\Path\To\Output.xml说明:查看所有 Sysmon 配置架构并将结果转储到一个 XML 文件中。-o 参数指定输出文件路径。此命令对于将配置导出或备份非常有用。
26. 安装并生成具有完整文件路径的文件创建事件
Sysmon64.exe -i C:\Path\To\Config.xml -fullpath说明:安装 Sysmon 并启用文件创建事件时,记录完整的文件路径。对于安全审计、文件监控等需求,记录完整路径可以提供更多的上下文信息。
27. 使用默认配置安装并启用高级网络连接监控
Sysmon64.exe -i -net -advanced说明:安装 Sysmon 并启用高级网络连接监控。这会记录更多的网络连接详细信息,包括协议、源和目标端口等,适用于深入的网络安全监控。
28. 启用时间戳格式输出
Sysmon64.exe -i C:\Path\To\Config.xml -timestamp说明:安装 Sysmon 并启用时间戳格式输出,以便在事件日志中记录更精确的时间信息。这对事件回溯和审计非常有用。
29. 更新 Sysmon 配置并强制刷新配置
Sysmon64.exe -c -f说明:更新现有配置并强制刷新配置,使新的配置立即生效。适用于需要即时应用配置更改的场景。
30. 监控系统资源使用(例如 CPU 使用率)
Sysmon64.exe -i C:\Path\To\Config.xml -monitor CPU说明:安装 Sysmon 并启用对系统资源(如 CPU 使用率)的监控。此命令适用于需要追踪系统性能的场景。
31. 在安装时启用内存进程注入监控
Sysmon64.exe -i C:\Path\To\Config.xml -meminject说明:安装 Sysmon 并启用内存进程注入监控。这对于检测恶意软件使用内存注入技术的情况非常有用。
32. 监控特定进程的活动
Sysmon64.exe -i C:\Path\To\Config.xml -process MonitorProcess.exe说明:安装 Sysmon 并监控特定进程(例如 MonitorProcess.exe)的活动。这对于监控和审计某些关键应用程序的行为非常有效。
33. 安装 Sysmon 并记录所有已加载的驱动程序
Sysmon64.exe -i C:\Path\To\Config.xml -loadeddll说明:安装 Sysmon 并启用对已加载驱动程序的监控,记录所有加载的 DLL 文件。这对于发现潜在的恶意代码(如 rootkit)非常重要。
34. 显示已安装 Sysmon 版本及其当前配置
Sysmon64.exe -v -c说明:显示当前 Sysmon 的版本信息,并打印出当前使用的配置文件内容。这对于验证 Sysmon 的安装和配置非常有用。
35. 导出 Sysmon 配置文件并创建备份
Sysmon64.exe -c -o C:\Path\To\BackupConfig.xml说明:导出当前的 Sysmon 配置并将其保存为一个备份文件(例如 BackupConfig.xml),适合在配置发生更改时进行备份。
36. 使用远程安装配置
Sysmon64.exe -i \\RemoteMachine\Path\To\Config.xml说明:通过网络路径在远程计算机上安装 Sysmon 服务,并使用指定的配置文件。适用于管理多台机器的环境。
Sysmon64.exe 提供了丰富的命令行选项,帮助用户在不同场景下进行灵活的系统监控配置和管理。从安装、配置更新到事件记录和日志输出,Sysmon 是一个功能强大的工具,广泛用于安全监控、性能审计和事件响应。通过使用适当的命令,用户可以精准地捕捉到关键的系统事件,保障系统安全并进行故障排查。
继续补充一些 Sysmon64.exe 高级功能和进阶用法,涉及更加定制化的配置和应用:
37. 查看所有安装的 Sysmon 服务实例
Sysmon64.exe -i -list说明:列出当前系统上所有安装的 Sysmon 服务实例。这对于管理多个 Sysmon 服务或在大型企业环境中排查服务问题非常有用。
38. 设置自定义事件日志输出目录
Sysmon64.exe -i C:\Path\To\Config.xml -logdir D:\SysmonLogs\说明:指定一个自定义目录,用于保存 Sysmon 的事件日志。这对于集中管理日志文件、确保日志不与系统默认路径发生冲突或提升日志管理效率非常有帮助。
39. 安装 Sysmon 并仅监控特定网络端口
Sysmon64.exe -i C:\Path\To\Config.xml -port 443,80说明:安装 Sysmon,并只监控指定的网络端口(如 443 和 80)。这对于需要跟踪特定服务(如 HTTPS 或 HTTP)网络活动的场景非常适用。
40. 自定义日志级别
Sysmon64.exe -i C:\Path\To\Config.xml -loglevel debug说明:安装 Sysmon 并设置日志级别为 debug,记录更详细的调试信息。这对于调试 Sysmon 配置或需要更深入日志内容的情况非常有用。
41. 安装并启用键盘钩子监控
Sysmon64.exe -i C:\Path\To\Config.xml -keyboardhook说明:安装 Sysmon 并启用对键盘钩子的监控,适用于需要监控键盘输入的安全场景。这对于防止恶意软件记录按键或进行键盘劫持非常重要。
42. 安装并启用可疑命令行监控
Sysmon64.exe -i C:\Path\To\Config.xml -cmdline说明:安装 Sysmon 并启用对进程启动时命令行参数的监控。这可以帮助检测恶意软件启动时使用的特殊命令或参数。
43. 安装并限制事件输出为特定类型
Sysmon64.exe -i C:\Path\To\Config.xml -eventtypes ProcessCreate,FileCreate说明:安装 Sysmon,并仅启用 ProcessCreate 和 FileCreate 事件类型的输出。通过仅记录特定的事件类型,用户可以减少日志数据量,集中关注特定活动。
44. 使用命令行禁用事件类型
Sysmon64.exe -i C:\Path\To\Config.xml -disable ProcessCreate,NetworkConnect说明:安装 Sysmon 并禁用对特定事件类型(如进程创建和网络连接)的监控。这可以在不需要某些事件数据时减少系统负载。
45. 指定事件日志轮换规则
Sysmon64.exe -i C:\Path\To\Config.xml -rotate 100MB说明:安装 Sysmon 并设置日志轮换规则(例如,日志文件大小达到 100MB 时自动轮换)。这种方式适用于需要管理大量日志文件的环境。
46. 为特定时间范围启用日志记录
Sysmon64.exe -i C:\Path\To\Config.xml -logstart "2025-11-01" -logend "2025-11-30"说明:设置 Sysmon 在特定时间范围内(如 2025 年 11 月 1 日至 2025 年 11 月 30 日)启用日志记录。适合执行定期审计任务或只关注特定时间段内的活动。
47. 监控文件/目录权限更改
Sysmon64.exe -i C:\Path\To\Config.xml -filepermission说明:启用对文件或目录权限变更的监控,记录文件的访问控制列表(ACL)变动。这对于检测文件权限滥用和数据泄露等安全事件非常有效。
48. 设置 Sysmon 服务的自动重启策略
Sysmon64.exe -i C:\Path\To\Config.xml -autorestart说明:安装 Sysmon 并设置自动重启策略。如果 Sysmon 服务由于任何原因停止,它会自动重启。这有助于确保 Sysmon 始终运行并持续收集数据。
49. 在安装时启用内存扫描
Sysmon64.exe -i C:\Path\To\Config.xml -memscan说明:启用对进程内存的监控,捕获进程内存中的可疑活动,如恶意代码注入。这对于高级恶意软件检测非常有用。
50. 以无界面模式安装 Sysmon(静默模式)
Sysmon64.exe -i C:\Path\To\Config.xml -silent说明:以静默模式安装 Sysmon,不显示任何安装界面。适用于大规模部署或脚本化安装过程。
51. 将 Sysmon 配置推送到远程计算机
Sysmon64.exe -i \\RemoteMachine\Path\To\Config.xml说明:将 Sysmon 配置文件推送到远程计算机进行安装。通过使用 UNC 路径,可以方便地在多个机器上部署和配置 Sysmon。
52. 配置并安装 Sysmon 来监控系统事件日志
Sysmon64.exe -i C:\Path\To\Config.xml -syslog说明:配置 Sysmon 来监控并记录系统日志事件,特别适用于集中式日志管理或在多台系统中进行统一的日志分析。
53. 安装并限制事件大小
Sysmon64.exe -i C:\Path\To\Config.xml -maxeventsize 512KB说明:在 Sysmon 中配置事件大小的上限。如果单个事件日志的大小超过指定限制(例如 512KB),该事件将不会被记录。这有助于管理大文件和防止日志文件过大。
54. 监控系统注册表操作
Sysmon64.exe -i C:\Path\To\Config.xml -regedit说明:启用对系统注册表的监控,记录所有注册表的操作(如创建、修改、删除)。这种方式非常适用于检测恶意软件尝试篡改注册表的情况。
Sysmon64.exe 是一个功能强大的系统监控工具,允许用户进行灵活的配置以满足多种安全、性能监控的需求。通过各种命令行参数,用户可以定制监控范围、日志输出格式、事件类型、资源消耗等方面。这使得 Sysmon 成为高级安全分析、事件响应和系统审计的重要工具。
通过深入掌握这些高级用法,用户可以高效地管理系统日志,捕捉关键的事件信息,有效地保护网络环境并进行事件追踪与调查。
继续补充一些 Sysmon64.exe 的进阶功能和配置方式,进一步提升用户的监控和管理能力:
55. 启用对进程和模块的签名验证
Sysmon64.exe -i C:\Path\To\Config.xml -processsignatures -modsignature说明:启用对进程和加载模块的数字签名验证。通过这种方式,Sysmon 将检查所有进程和模块的签名,确保它们来自可信来源。这对于检测恶意软件伪装或未签名程序非常有效。
56. 设置只记录特定用户的进程活动
Sysmon64.exe -i C:\Path\To\Config.xml -userfilter "username"说明:只记录特定用户(例如“username”)的进程活动。这对于审计特定用户的行为或调查特定账户的安全事件非常有用。
57. 使用自定义规则过滤进程和网络活动
Sysmon64.exe -i C:\Path\To\Config.xml -filter "process.name=cmd.exe"说明:使用自定义规则来过滤特定进程或网络活动。例如,您可以过滤并仅记录进程名为 cmd.exe 的活动,帮助关注可疑的命令行操作或恶意命令行执行。
58. 启用磁盘活动监控
Sysmon64.exe -i C:\Path\To\Config.xml -diskactivity说明:启用磁盘活动的监控,记录文件的读写操作。通过对磁盘活动的监控,可以识别恶意软件进行数据窃取或篡改的行为,特别是当文件不应该被修改时。
59. 通过 PowerShell 启动 Sysmon 配置
powershell.exe -Command "Start-Process 'Sysmon64.exe' -ArgumentList '-i C:\Path\To\Config.xml'"说明:通过 PowerShell 脚本启动 Sysmon 并应用配置。这对于在自动化脚本或批量部署过程中使用 Sysmon 非常有用,尤其是在没有 GUI 交互的环境中。
60. 自动清理过期日志
Sysmon64.exe -i C:\Path\To\Config.xml -cleanup 30说明:配置 Sysmon 自动删除超过指定天数的过期日志(例如30天)。这样可以有效地管理日志文件,避免存储空间过载,并确保日志数据不会过时。
61. 配置和安装 Sysmon 并启用动态内存监控
Sysmon64.exe -i C:\Path\To\Config.xml -memusage说明:启用内存使用监控,跟踪进程内存的动态变化,尤其对于高风险的进程(如加密或恶意注入)可以实时检测其内存占用变化,进一步提高对内存攻击的防御能力。
62. 监控可疑外部设备接入
Sysmon64.exe -i C:\Path\To\Config.xml -usbdevice说明:启用 USB 设备监控,记录系统接入的 USB 设备的详细信息,包括设备 ID、型号、供应商信息等。这对于防止恶意 USB 设备接入(例如,键盘记录器或其他恶意硬件)非常重要。
63. 启用自定义 URL 跟踪
Sysmon64.exe -i C:\Path\To\Config.xml -urltracking说明:启用 URL 跟踪功能,记录系统中访问的所有 URL。此功能有助于检测恶意软件与外部服务器的通讯,尤其是当恶意软件使用特定域名进行 C2(命令与控制)通讯时。
64. 配置 Sysmon 发送事件到远程 SIEM 系统
Sysmon64.exe -i C:\Path\To\Config.xml -siemserver "SIEMServerAddress"说明:配置 Sysmon 将生成的事件日志实时发送到远程 SIEM(安全信息和事件管理)系统。这有助于集中化日志管理和高级威胁检测。
65. 启用防火墙规则监控
Sysmon64.exe -i C:\Path\To\Config.xml -firewallrules说明:启用防火墙规则的监控,记录所有防火墙配置和规则变化。这有助于检测任何可疑的防火墙配置变动,防止恶意软件或攻击者关闭防火墙或修改规则。
66. 启用对系统启动过程的监控
Sysmon64.exe -i C:\Path\To\Config.xml -bootmonitor说明:启用对系统启动过程的监控,记录与启动相关的进程和事件。这对于检测启动时加载的恶意软件或根套件非常重要。
67. 限制 Sysmon 的资源使用
Sysmon64.exe -i C:\Path\To\Config.xml -maxcpu 25说明:设置 Sysmon 的最大 CPU 使用率为 25%。通过这种方式,您可以确保 Sysmon 的运行不会占用过多的系统资源,尤其是在资源受限的环境中。
68. 安装并启用文件哈希计算
Sysmon64.exe -i C:\Path\To\Config.xml -filehash说明:启用文件哈希计算,记录系统中所有文件的哈希值。这对于文件完整性监控非常有用,可以检测文件是否被篡改或替换。
69. 配置并启用远程事件代理
Sysmon64.exe -i C:\Path\To\Config.xml -remoteagent说明:启用远程事件代理,允许 Sysmon 在远程计算机上安装并管理事件收集。这对于大规模部署和管理多个设备的安全监控非常有用。
70. 启用用户会话监控
Sysmon64.exe -i C:\Path\To\Config.xml -sessions说明:启用对用户会话的监控,记录每个用户登录、注销的活动。这有助于发现异常的登录行为,如未授权用户尝试访问或通过异常途径登录。
Sysmon64.exe 提供了强大的功能和灵活的配置选项,适用于不同的安全监控和系统管理需求。从基本的进程监控到高级的网络活动、内存、注册表和设备监控,它为用户提供了全面的监控能力。
这些高级配置使得 Sysmon 不仅可以用于一般的安全审计和事件响应,还能帮助在高度复杂的环境中对潜在威胁进行深度分析与跟踪。结合其他安全工具和 SIEM 系统,Sysmon 是一个强大的资产,可以显著提升整个企业或个人计算环境的安全性。
继续补充一些 Sysmon64.exe 的高级功能和配置方法,进一步拓展其在系统监控和安全分析中的应用:
71. 启用进程和模块的内存映像监控
Sysmon64.exe -i C:\Path\To\Config.xml -processmemory说明:启用进程的内存映像监控,记录进程加载的模块以及内存中的变化。这对于检测内存中加载的恶意代码(例如内存注入攻击)非常有用,可以及时发现未通过正常文件系统路径的恶意程序。
72. 启用对文件创建和修改事件的监控
Sysmon64.exe -i C:\Path\To\Config.xml -filecreate说明:启用对文件创建、删除或修改事件的监控。这有助于追踪文件系统的活动,检测是否有恶意软件在试图创建或修改敏感文件,特别是当恶意文件写入系统时。
73. 启用跨设备间的事件共享
Sysmon64.exe -i C:\Path\To\Config.xml -shareevents说明:启用跨多个设备共享 Sysmon 事件,可以在同一网络内的不同设备之间收集和汇总日志。这对于大规模网络的安全监控非常重要,能够跨设备跟踪攻击者的活动路径。
74. 定期自动上传 Sysmon 日志至云端
Sysmon64.exe -i C:\Path\To\Config.xml -cloudlog "CloudStorageURL"说明:配置 Sysmon 将生成的日志文件定期上传到云端存储。这有助于长期存储和备份日志,确保日志数据不会丢失,并能够在云端集中分析事件。
75. 启用注册表活动监控
Sysmon64.exe -i C:\Path\To\Config.xml -registryactivity说明:启用注册表活动的监控,记录对注册表键值的创建、修改和删除事件。恶意软件往往通过修改注册表来维持持久性,监控这些活动有助于早期发现恶意行为。
76. 启用对特定端口和协议的网络流量监控
Sysmon64.exe -i C:\Path\To\Config.xml -networktraffic -port 80说明:配置 Sysmon 监控特定端口的网络流量(例如端口 80)。通过过滤特定端口和协议,可以精细化网络监控,帮助发现可疑的网络连接和通讯。
77. 启用对 Windows 服务的监控
Sysmon64.exe -i C:\Path\To\Config.xml -serviceactivity说明:监控 Windows 服务的启动、停止和配置变更。恶意软件有时会伪装成 Windows 服务并随系统启动,监控这些服务的行为有助于发现潜在的恶意程序。
78. 启用高级 DNS 查询和响应监控
Sysmon64.exe -i C:\Path\To\Config.xml -dnsquery说明:启用对 DNS 查询和响应的监控,记录所有 DNS 请求及其响应内容。恶意软件可能通过域名进行命令与控制 (C2) 通讯,捕获这些 DNS 请求有助于识别潜在的外部攻击源。
79. 将 Sysmon 与 Active Directory 集成
Sysmon64.exe -i C:\Path\To\Config.xml -adintegration说明:集成 Sysmon 与 Active Directory,监控 Active Directory 环境中的用户活动和权限变动。这对于大型企业环境中的身份验证安全和权限管理非常重要。
80. 启用主机行为分析(HBA)
Sysmon64.exe -i C:\Path\To\Config.xml -hba说明:启用主机行为分析 (HBA),根据正常的系统行为模式识别和标记异常行为。这是通过机器学习或行为分析来检测系统中的异常活动,如不符合常规的进程启动或用户行为。
81. 启用特定进程的网络连接监控
Sysmon64.exe -i C:\Path\To\Config.xml -networkconnections -process "svchost.exe"说明:专门监控特定进程(如 svchost.exe)的网络连接。这有助于跟踪进程通过网络进行的所有通讯,尤其是当进程有可能被恶意利用时。
82. 监控系统对外的所有文件共享行为
Sysmon64.exe -i C:\Path\To\Config.xml -filesharing说明:启用对文件共享行为的监控,记录所有系统文件共享的访问事件。这对于检测未授权的文件共享或恶意文件上传活动非常重要。
83. 启用对浏览器插件的监控
Sysmon64.exe -i C:\Path\To\Config.xml -browserplugins说明:启用对浏览器插件的监控,记录所有插件的加载和执行情况。恶意浏览器插件可能被用来进行数据收集或其他恶意操作,监控这些插件有助于防范此类威胁。
84. 设置 Sysmon 在发生特定事件时发送通知
Sysmon64.exe -i C:\Path\To\Config.xml -notify "mailto:security@domain.com"说明:设置当特定事件发生时自动发送通知(例如通过电子邮件)。这种方式可以确保安全团队在发生异常活动时能够快速反应。
85. 启用文件系统持久性检测
Sysmon64.exe -i C:\Path\To\Config.xml -filesystempersistence说明:启用对文件系统持久性操作的监控,记录尝试在系统上进行持久化的恶意行为。这对于发现通过文件系统来确保恶意软件能够重启后依旧存活的活动非常有帮助。
86. 增强网络攻击检测规则
Sysmon64.exe -i C:\Path\To\Config.xml -networkattack说明:启用增强的网络攻击检测规则,帮助识别和阻止潜在的网络攻击行为(例如 DDoS 攻击、横向移动等)。通过分析网络流量模式,可以实时发现网络中的异常行为。
87. 自动生成和配置自定义报告
Sysmon64.exe -i C:\Path\To\Config.xml -report "C:\Path\To\Report"说明:设置 Sysmon 自动生成并保存报告文件,方便后期查看和分析。报告可以包括日志数据、事件概要、行为分析等。
88. 启用对特定软件的签名校验
Sysmon64.exe -i C:\Path\To\Config.xml -signcheck "example.exe"说明:对指定的软件(如 example.exe)进行签名校验,确保其完整性和可信性。对于识别已被篡改的软件或不受信任的软件版本非常有效。
通过这些进阶的 Sysmon64.exe 配置方法,您可以更深入地定制系统监控和日志收集规则。这些功能使 Sysmon 成为一个强大的工具,不仅能够实时监控系统活动,还能为安全团队提供详细的事件数据,帮助快速响应潜在的安全威胁。
无论是在小型工作站环境中,还是在大型企业网络中,结合这些高级功能,Sysmon 可以有效提升对复杂攻击的检测能力,特别是对内存注入、文件篡改、网络攻击等行为的监控。
Sysmon64.exe 是 Microsoft Sysinternals Suite 中的一部分,Sysinternals 是微软提供的一套系统工具和实用程序集合。Sysmon (System Monitor) 是其中的一款工具,旨在监控和记录系统中的各种活动,特别是安全相关的事件。它能帮助用户追踪系统中发生的异常活动,提升对系统的监控能力。
Sysmon 的主要功能包括:
- 记录进程创建和终止:Sysmon 记录系统中每一个进程的启动和停止事件。
- 记录网络连接:监控和记录网络连接活动,提供关于网络流量的信息。
- 记录文件创建和修改:跟踪文件系统中的变化,如文件的创建、修改和删除等。
- 事件日志管理:生成详细的事件日志,帮助用户进行故障排查和安全分析。
为什么使用 Sysmon?
- 增强安全性:Sysmon 可以帮助用户检测到潜在的恶意活动和安全威胁,例如恶意软件的执行或不正常的网络连接。
- 系统监控:它提供详细的系统监控信息,便于系统管理员和安全专家分析系统状态。
- 故障排除:记录系统事件日志,可以帮助解决系统中的各种问题,提供有价值的调试信息。
Sysmon 是一个强大的工具,特别适用于需要深入监控和分析系统活动的场景。
Sysmon64.exe 起源于 Microsoft Sysinternals Suite,它由 Mark Russinovich 和 Bryce Cogswell 开发。Sysinternals Suite 包含了许多系统工具,最初的目标是帮助 IT 专业人员和系统管理员深入了解和管理 Windows 系统。Sysmon(System Monitor)作为其中的一部分,专注于提供高级系统监控功能,并且可以帮助检测系统中的异常行为和潜在的安全威胁。
Sysmon64.exe 的发展经历了几个阶段:
-
初始发布:Sysmon 最早发布于 2014 年,作为 Sysinternals Suite 的一部分,旨在为 Windows 系统提供详细的监控和日志记录功能。
-
功能扩展:随着时间的推移,Sysmon 不断增加新功能和改进。例如,增加了对网络连接的详细记录、更复杂的文件创建和修改事件记录等。
-
版本更新:Sysmon 定期发布新版本,每个版本都带来新的功能、改进和修复。例如,增强了对日志格式的支持、引入了新的事件类别和改进了性能。
-
社区反馈:微软也根据用户反馈和安全需求不断优化 Sysmon,确保它能适应现代安全威胁和系统管理需求。
这些发展使 Sysmon 成为一个强大的工具,用于安全分析和系统监控。
Sysmon64.exe 的功能可以分为以下几类:
-
进程监控:记录进程创建、终止、进程树、命令行参数等信息。
-
网络连接监控:监控并记录网络连接、连接的 IP 地址、端口和协议等。
-
文件系统监控:跟踪文件创建、修改、删除以及其他文件系统活动。
-
注册表监控:记录注册表的创建、删除和修改操作。
-
驱动程序监控:监控和记录驱动程序的加载和卸载活动。
这些功能帮助用户详细了解系统活动,并提高对潜在安全威胁的检测能力。
Sysmon64.exe 底层原理主要基于 Windows 内核模式和用户模式的监控机制。它通过以下方式工作:
-
Windows 内核驱动:Sysmon 通过加载内核驱动程序来获取系统级别的监控数据。这些驱动程序可以捕捉到系统调用、进程活动、网络连接等底层事件。
-
事件记录:Sysmon 使用 Windows 事件日志系统记录捕获的数据。这些日志可以通过事件查看器访问,提供详细的事件信息。
-
数据处理:Sysmon 在用户模式下运行,处理和分析由内核驱动捕获的数据,然后将有用的信息写入日志。
通过这种方式,Sysmon 能够提供详细的系统活动记录,并帮助进行深入的安全分析。
Sysmon64.exe 的技术细节包括:
-
驱动程序接口:Sysmon 使用 Windows 内核驱动程序接口,如
NtQuerySystemInformation,来访问系统级数据和事件。 -
事件捕获:通过钩取系统调用和监控关键系统组件(如进程、网络堆栈、文件系统),Sysmon 捕获详细的活动数据。
-
日志记录:事件数据通过 Windows 事件日志 API 记录到指定的事件日志中,支持 XML 格式,便于后续分析。
-
配置文件:Sysmon 允许使用 XML 配置文件来指定哪些事件需要被监控和记录,这提供了灵活的监控配置。
这些技术细节使 Sysmon 能够高效、全面地监控系统活动并记录关键事件。
Sysmon64.exe 的架构主要包括以下组件:
-
用户模式应用程序:负责启动、配置和停止 Sysmon。它与用户进行交互,并处理配置文件和日志文件。
-
内核模式驱动程序:Sysmon 加载的驱动程序负责捕获系统级事件,如进程创建、网络连接和文件操作。它与 Windows 内核交互,提供底层数据采集功能。
-
事件日志记录:Sysmon 将捕获的事件通过 Windows 事件日志 API 写入系统日志。这些日志可以通过事件查看器访问,并用于后续的分析和监控。
-
配置管理:Sysmon 使用 XML 配置文件来定义要监控的事件类型和详细程度,允许用户定制监控规则和过滤器。
这种分层架构使 Sysmon 能够高效地捕获和记录系统活动,提供详细的监控数据。
Sysmon64.exe 的框架包括:
-
核心组件:
- Sysmon64.exe:用户模式进程,负责加载和配置监控任务。
- Sysmon Driver:内核模式驱动程序,捕获系统级事件并与内核交互。
-
事件捕获:
- 进程监控:跟踪进程创建和终止事件。
- 网络监控:记录网络连接活动。
- 文件系统监控:监控文件创建、修改和删除事件。
-
数据处理与记录:
- 事件日志:通过 Windows 事件日志系统记录捕获的数据。
- XML 配置:允许用户自定义监控规则和事件过滤。
-
用户界面:
- 配置和管理:使用命令行参数或配置文件进行设置和管理。
Sysmon64.exe 主要用于以下应用:
- 高级威胁检测:通过详细记录系统活动,帮助安全团队识别潜在的恶意行为。
- 事件审计:监控和记录关键系统事件,为审计和合规性检查提供数据。
- 取证分析:在安全事件发生后,提供详细的系统活动记录,用于事件回溯和取证分析。
- 系统监控:跟踪进程、网络和文件系统活动,帮助管理员监控系统健康和性能。
这些应用使 Sysmon 成为安全监控和事件分析的重要工具。
Sysmon64.exe 初级使用教程的大纲:
1. 介绍
- Sysmon 概述:功能、用途和优势
Sysmon 是 Windows 系统的一个系统监视工具,主要用于详细记录系统活动以增强安全性和故障排除。其功能包括:
-
功能
- 进程创建:记录进程启动和结束的信息。
- 文件创建时间更改:跟踪文件创建和修改时间的变化。
- 网络连接:记录进程进行的网络连接活动。
- 驱动程序加载:跟踪驱动程序的加载事件。
- 图像加载:记录进程加载的 DLL 和其他模块。
-
用途
- 安全监控:帮助检测恶意软件和可疑行为。
- 故障排除:为系统管理员提供详细的事件数据以诊断问题。
- 合规性:满足企业和法规的日志记录要求。
-
优势
- 详细的事件记录:提供比默认 Windows 事件日志更详细的信息。
- 高可定制性:允许用户定义和过滤事件规则以满足特定需求。
- 集成能力:可以与 SIEM 系统结合使用,增强分析和响应能力。
Sysmon 是提高系统可见性和安全性的强大工具,适用于从安全分析到系统维护的广泛应用场景。
-
- 安装要求:系统要求、兼容性
2. 安装 Sysmon64.exe
- 下载 Sysmon64.exe:从官方来源下载
- 安装步骤:
- 打开命令提示符或 PowerShell
- 执行安装命令:
sysmon -accepteula -i sysmonconfig.xml
3. 配置 Sysmon
- 配置文件概述:XML 配置文件结构
- 配置文件示例:
- 监控进程创建
- 网络连接监控
- 文件创建时间监控
- 加载配置文件:使用命令
sysmon -c sysmonconfig.xml
4. 使用 Sysmon
- 查看事件日志:
- 打开事件查看器
- 导航到
Windows Logs -> Application或Microsoft -> Windows -> Sysmon
- 解析事件数据:事件 ID 解释
- 事件 ID 1:进程创建
- 事件 ID 3:网络连接
- 事件 ID 11:文件创建时间
5. 管理 Sysmon
- 更新配置:修改 XML 配置文件并重新加载
- 查看和分析日志:
- 使用 PowerShell 过滤和分析日志
- 结合其他安全工具进行进一步分析
6. 常见问题
- 安装失败:常见错误及解决方案
- 事件未记录:配置文件错误检查
7. 资源与支持
- 官方文档和资源:指向 Sysmon 的官方文档和资源
- 社区支持:论坛、社区和用户组
8. 实践练习
- 配置并运行 Sysmon:实际操作配置文件和运行 Sysmon
- 事件分析:通过创建和分析示例事件来练习
这个大纲将帮助初学者掌握 Sysmon 的基本使用,包括安装、配置、操作和管理。
Sysmon64.exe 中级使用教程的大纲:
1. 进阶介绍
- Sysmon 高级功能:深入了解 Sysmon 的高级特性
- 日志数据的重要性:如何利用 Sysmon 进行详细分析
2. 进阶配置
- 高级配置选项:
- 规则和筛选器:如何使用规则来减少日志噪音
- 条件配置:自定义监控条件和排除规则
- 优化配置:提高性能并减少日志量
3. 日志管理与分析
- 日志存储策略:如何设置日志存储位置及其维护
- 日志归档:设置日志归档策略和自动化
- 高级分析工具:
- 使用 ELK 堆栈(Elasticsearch, Logstash, Kibana):集成 Sysmon 日志
- Splunk:如何将 Sysmon 日志导入并分析
4. 事件数据深入分析
- 事件 ID 详细解析:
- 事件 ID 10:创建远程连接
- 事件 ID 12:注册表项修改
- 事件 ID 13:注册表键值查询
- 异常检测:识别和响应异常事件模式
5. 自动化和集成
- 使用 PowerShell 脚本自动化:
- 自动化日志分析:编写脚本来处理和分析 Sysmon 日志
- 自动化配置更新:通过脚本管理 Sysmon 配置
- 集成其他安全工具:
- SIEM 系统集成:如何将 Sysmon 数据与 SIEM 系统集成
6. 安全事件响应
- 构建响应策略:
- 事件响应流程:从检测到响应的步骤
- 案例研究:实际安全事件的响应示例
7. 高级调试和故障排除
- 调试 Sysmon 配置:解决配置中的常见问题
- 性能调优:优化 Sysmon 的性能
8. 最佳实践和建议
- 配置最佳实践:如何确保配置的高效性和准确性
- 日志分析最佳实践:提高分析效率和准确性
9. 实践练习
- 复杂场景配置和分析:设置和分析更复杂的 Sysmon 配置
- 集成和自动化:实际操作自动化和集成任务
10. 资源与支持
- 高级文档和工具:指向更多的官方和社区资源
- 进阶社区讨论:参与讨论和学习进阶技巧
这个大纲将帮助你深入了解 Sysmon 的高级功能和应用,提升日志管理、分析能力和自动化水平。
Sysmon64.exe 高阶使用教程大纲
-
高级功能概述
- Sysmon 进阶功能简介
- 数据收集和处理优化
-
高级配置技巧
- 自定义规则和过滤器
- 高级筛选条件设置
- 性能优化配置
-
复杂日志管理
- 日志存储和维护策略
- 高级日志归档和轮换
- 集成分析工具(如 ELK 堆栈和 Splunk)
-
深入事件分析
- 事件 ID 深入解析(如 1、10、12、13)
- 异常模式检测与响应
-
自动化与集成
- PowerShell 脚本自动化管理
- 与 SIEM 系统的集成
-
安全事件响应
- 事件响应策略制定
- 实战案例分析
-
调试与故障排除
- 高级配置调试技巧
- 性能调优方法
-
最佳实践
- 高效配置最佳实践
- 日志分析和处理的最佳方法
-
实践操作
- 高级场景配置与分析
- 自动化和集成任务实操
-
进阶资源
- 高级文档与工具链接
- 进阶社区讨论和支持
这个大纲旨在帮助你深入掌握 Sysmon64.exe 的高级功能和应用。
Sysmon64.exe 高阶开发工程师使用教程大纲
-
高级架构与设计
- Sysmon 的体系结构和工作原理
- 高级配置文件设计原则
-
复杂配置与定制
- 自定义事件规则和筛选器设计
- 高级条件和动作配置
- 配置文件性能优化
-
数据收集与存储优化
- 高效日志存储策略
- 日志归档和清理自动化
- 数据压缩与索引优化
-
高级日志分析
- 事件 ID 深度解析和案例分析
- 异常检测算法设计
- 关联分析与行为模式识别
-
自动化与集成开发
- PowerShell 脚本和自动化任务开发
- 与其他安全工具和 SIEM 系统的集成
- API 与插件开发
-
安全事件响应与处理
- 实时事件响应策略开发
- 事件响应自动化流程
- 实战案例与处理流程优化
-
调试与优化
- 高级调试技巧和常见问题解决
- 性能分析和优化方法
- 配置与日志数据的优化调试
-
最佳实践与策略
- 高级配置和管理最佳实践
- 日志分析策略和方法优化
- 安全策略与合规性考虑
-
实践操作与案例
- 高级配置和定制案例
- 集成与自动化实践操作
- 实际应用场景的实现与测试
-
进阶资源与支持
- 高级开发文档和工具链接
- 专业社区讨论与支持渠道
这个大纲旨在为高阶开发工程师提供深入的 Sysmon64.exe 使用和开发技巧,帮助优化和定制 Sysmon 的高级功能。
浙公网安备 33010602011771号