Марк Руссинович продолжает совершенствовать отдельные утилиты из пакета Sysinternals. Пару дней назад он выпустил Sysmon 2.0 — вторую версию популярной программы для мониторинга процессов в Windows.
Sysmon (System Monitor) — системная служба, которая после установки ведёт непрерывный мониторинг и запись логов. Служба загружается вместе с ОС и при умелом обращении позволяет тщательно изучить состояние операционной системы, найти следы вредоносной или подозрительной активности, а также понять, какие конкретно методы применяет злоумышленник или вредоносная программа. При этом следует помнить, что Sysmon не пытается анализировать логи и не даёт подсказок, а также не прячет свои процессы от нападающих.
Некоторые функции Sysmon
- Запись событий о создании процесса с указанием всех параметров командной строки для текущего и родительского процессов.
- Запись хэшей сохранённых файлов процессов с использованием алгоритмов SHA1 (по умолчанию), MD5, SHA256 или IMPHASH.
- Одновременное использование нескольких хэшей.
- Указание в логах GUID для процессов и событий, чтобы всегда можно было найти связи между ними.
- Запись в логи факта загрузки драйверов и динамических библиотек с их цифровыми подписями и хэшами (новая функция в Sysmon 2.0).
- Запись в логи сетевых соединений (если установить Sysmon с параметром –n), включая исходный процесс для каждого соединения, IP-адреса, номера портов, названия портов, хосты.
- Определение факта принудительного изменения даты создания файла и отображение истинной даты создания файла (изменение даты часто используется вредоносными программами для сокрытия следов своей деятельности).
- Автоматическая перезагрузка конфигурации при изменении реестра, поддержка файла конфигурации (новая функция в Sysmon 2.0).
- Фильтрация по установленным правилам для включения или исключения из логов определённых событий (новая функция в Sysmon 2.0).
- Начало записи в логи в начале загрузки операционной системы, чтобы зафиксировать активность даже продвинутых зловредов, проникших в ядро.
Кроме Sysmon 2.0, позавчера вышли новые версии других утилит Sysinternals: AccessChk 5.21 и RU 1.1.
Полная версия Sysinternals Suite (46 утилит)