安全KER - 安全资讯平台

Sysmon

微软轻量级工具Sysmon新功能剪切板Change事件

Sysmon

Sysmon的最新版本增加一个事件id： 24 剪切板事件。

浪子_三少
2021-04-21 10:30:39

360290次阅读

Windows

微软轻量级系统监控工具sysmon原理与实现完全分析——ProcessGuid的生成

Windows

Sysmon

系统安全

Sysmon的众多事件看起来都是独立存在的，但是它们确实都是由每个进程的产生的，而关联这些信息的东西正是ProcessGuid，这个对进程是唯一的。

浪子_三少
2020-11-13 10:00:33

415723次阅读

Sysmon

微软轻量级系统监控工具sysmon原理与实现完全分析（续篇）

Sysmon

前两次我们分别讲了sysmon的ring3与ring0的实现原理，但是当初使用的版本的是8.X的版本，最新的版本10.X的sysmon功能有所增加，经过分析代码上也有变化。

浪子_三少
2020-09-25 14:30:57

460161次阅读 1

Sysmon

三款超实用的Sysmon辅助分析工具你知道吗

Sysmon

Sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供相关进程创建、网络连接和文件创建更改时间等详细信息，这篇文章给大家介绍三个非常实用的Sysmon辅助分析工具。

安全分析与研究
2019-07-29 11:30:54

491312次阅读

Sysmon

如何规避Sysmon DNS监控

Sysmon

DNS

Sysmon在最近更新中添加了一个功能，可以记录DNS事件。这一点对防御方非常有用，但对攻击方而言，这意味着如果我们的植入后门或者payload尝试通过DNS进行通信，那么蓝队就有可能搜集到相关特征，用来检测攻击行为。

興趣使然的小胃
2019-06-17 16:30:13

773438次阅读 7

安全资讯

微软发布具有DNS查询日志记录功能的Sysmon

安全资讯

Sysmon

周二，微软发布了Sysmon 10，并带来了备受期待的DNS查询记录功能。此功能将允许Sysmon用户在受监视的计算机上记录进程所执行的DNS查询。

奇安信威胁情报中心
2019-06-12 18:02:12

445141次阅读 3

Sysmon

如何规避Sysmon

Sysmon

系统安全

Sysmon的主要目的是跟踪主机上是否潜在恶意行为，底层原理与Procmon类似。Sysmon与其他Sysinternals工具有所不同，会实际安装到主机上，将信息保存到Windows事件日志（Eventlog）中。

興趣使然的小胃
2018-10-12 10:00:24

533406次阅读 2

逆向工程

微软轻量级系统监控工具sysmon原理与实现完全分析（下篇）

逆向工程

Sysmon

系统安全

上文讲解了sysmon的ring3部分实现原理，本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动，内部实现了进程信息、文件访问信息以及注册表访问信息的记录，下面开始具体讲解它的实现流程。

浪子_三少
2018-09-16 10:00:48

424046次阅读

逆向工程

微软轻量级系统监控工具sysmon原理与实现完全分析（上篇）

逆向工程

Sysmon

系统安全

Sysmon是微软的一款轻量级的系统监控工具，经常有安全人员使用这款工具去记录并分析系统进程的活动来识别恶意或者异常活动。本文讨论不是如何去使用该工具，而是讲解该软件的原理与实现。

浪子_三少
2018-08-17 10:00:06

903428次阅读 14

Sysmon

使用 Sysmon 来检测利用 CMSTP 绕过 UAC 的攻击

本文将探讨在尝试沿着这些不同的方法检测CMSTP利用时的各种注意事项，使用Windows Sysinals的Sysmon工具，使用Swift on Security的基本配置，GitHub地址。

秋真平
2018-07-11 13:00:27

521175次阅读