几天前,软餐曾报道微软系统工具集Sysinternals发布 2020 年 4 月更新的消息。
这次更新主要体现在最新的 Sysmon 11.0 上。Sysmon 是用于 Windows 7 及更高版本的专用系统监视工具,可作为系统服务和设备驱动程序安装。该应用程序监视攻击者通常使用的系统事件,例如恶意软件攻击,并将这些事件记录到 Windows 事件日志中。
Sysmon 在活动时监视重要的活动,例如进程的创建及其终止、网络连接、驱动程序的加载、文件的创建或注册表事件。
Sysmon 11.0 支持用户对电脑上文件被删除的行为进行监视。
将新事件添加到 Windows 设备上受监视活动的列表中。事件 23 FileDelete 监视 Windows 计算机上的所有文件删除活动。这为管理员提供了查看 Sysmon 处于活动状态时在系统上删除的所有文件的选项。
添加文件删除监视的原因之一来自微软自己的经验。微软称,成功进入公司机器的攻击者会将工具放到机器上,使用它们并在完成后将其删除。新的文件删除监视为分析人员提供了有关攻击者在系统上使用的工具的信息。自然,文件删除活动在使用时也涵盖其他类型的删除。
Sysmon 的安装非常简单。所有需要做的就是下载该程序的最新存档版本并将其解压缩到电脑上。您可以在命令提示符下使用 sysmon -s 检查配置,并使用 sysmon -accepteula -i 安装监视服务。这使用默认配置。要卸载 sysmon,请从命令行运行 sysmon -u。
高级用户可以使用配置文件来自定义监视,例如,忽略系统上的某些活动。Sysmon 的新版本带有一个标志,用于禁用反向 DNS 查找,以避免 DNS 服务器因该工具的请求而过载。
您可以直接从 Web 执行 Sysinternals 工具,而无需寻找和手动下载它们。只需在 Windows 资源管理器中输入工具的 Sysinternals Live 路径,或在命令提示符下输入 https://live.sysinternals.com/或\ live.sysinternals.com tools 。
您可以通过此链接查看整个 Sysinternals Live 工具目录。
微信扫一扫