Sysmon

上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。
 Sysmon是微软的一款轻量级的系统监控工具,经常有安全人员使用这款工具去记录并分析系统进程的活动来识别恶意或者异常活动。本文讨论不是如何去使用该工具,而是讲解该软件的原理与实现。
本文将探讨在尝试沿着这些不同的方法检测CMSTP利用时的各种注意事项,使用Windows Sysinals的Sysmon工具,使用Swift on Security的基本配置,GitHub地址。
此前我阅读了CyberWarDog的威胁主动出击文章,并且还偶然发现并仔细阅读了他的“寻找内存中的Mimikatz”系列文章。其中用于构建签名的方法似乎非常简单,并且在对恶意工具的分析过程中已经解决了寻找入口的障碍。