系统监视器(Sysmon)工具的使用

一、Sysmon介绍

Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器（Sysmon）是Windows系统服务和设备驱动程序，一旦安装在系统上，便会驻留在系统重新引导期间，以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建，网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具，收集事件并随后对其进行分析，可以识别恶意或异常活动，并了解入侵者和恶意软件如何在您的网络上运行。

Sysmon包括以下功能：

1、使用完整的命令行记录当前行为的父进程的进程创建；

2、使用SHA1（默认值），MD5，SHA256或IMPHASH记录过程映像文件的哈希；

3、可以同时使用多个哈希；

4、在进程创建事件中包含进程GUID，即使Windows重用进程ID时也可以使事件相关；

5、在每个事件中都包含一个会话GUID，以允许在同一登录会话上关联事件；

6、使用签名和哈希记录驱动程序或DLL的加载；

7、日志打开以进行磁盘和卷的原始读取访问；

8、可选的记录网络连接，包括每个连接的源进程，IP地址，端口号，主机名和端口名。

9、检测文件创建时间的更改，以了解真正创建文件的时间。修改文件创建时间戳是恶意软件通常用来掩盖其踪迹的技术；

10、如果注册表中发生更改，则自动重新加载配置；

11、规则过滤以动态包括或排除某些事件；

12、从启动过程的早期开始生成事件，以捕获甚至复杂的内核模式恶意软件进行的活动。

二、日志事件ID解析介绍

事件ID 1：流程创建

流程创建事件提供有关新创建流程的扩展信息。完整的命令行提供了有关流程执行的上下文。ProcessGUID字段是整个域中此过程的唯一值，以简化事件关联。哈希是文件的完整哈希，其中包含HashType字段中的算法。

事件ID 2：一个进程更改了文件创建时间

当进程显式修改文件创建时间时，将注册更改文件创建时间事件。此事件有助于跟踪文件的实际创建时间。攻击者可能会更改后门的文件创建时间，以使其看起来像与操作系统一起安装。请注意，许多进程会合理地更改文件的创建时间。它不一定表示恶意活动。

事件ID 3：网络连接

网络连接事件记录计算机上的TCP / UDP连接。默认情况下禁用。每个连接都通过ProcessId和ProcessGUID字段链接到流程。该事件还包含源和目标主机名IP地址，端口号和IPv6状态。

事件ID 4：Sysmon服务状态已更改

服务状态更改事件报告Sysmon服务的状态（已启动或已停止）。

事件ID 5：进程终止

进程终止时报告进程终止事件。它提供了进程的UtcTime，ProcessGuid和ProcessId。

事件ID 6：驱动程序已加载

驱动程序加载事件提供有关在系统上加载驱动程序的信息。提供配置的哈希值以及签名信息。出于性能原因，签名是异步创建的，并指示在加载后是否删除了文件。

事件ID 7：图像已加载

图像加载事件记录在特定过程中加载模块的时间。默认情况下，此事件是禁用的，需要使用–l选项进行配置。它指示模块的加载过程，哈希和签名信息。出于性能原因，签名是异步创建的，并指示在加载后是否删除了文件。应仔细配置此事件，因为监视所有图像加载事件将生成大量事件。

事件ID 8：CreateRemoteThread

CreateRemoteThread事件检测一个进程何时在另一个进程中创建线程。恶意软件使用此技术来注入代码并隐藏在其他进程中。该事件指示源和目标进程。它提供了有关将在新线程中运行的代码的信息：StartAddress，StartModule和StartFunction。请注意，将推断StartModule和StartFunction字段，如果起始地址在已加载的模块或已知的导出函数之外，则它们可能为空。