Марк Руссинович продолжает совершенствовать отдельные утилиты из пакета Sysinternals. Пару дней назад он выпустил Sysmon 2.0 — вторую версию популярной программы для мониторинга процессов в Windows.

Sysmon (System Monitor) — системная служба, которая после установки ведёт непрерывный мониторинг и запись логов. Служба загружается вместе с ОС и при умелом обращении позволяет тщательно изучить состояние операционной системы, найти следы вредоносной или подозрительной активности, а также понять, какие конкретно методы применяет злоумышленник или вредоносная программа. При этом следует помнить, что Sysmon не пытается анализировать логи и не даёт подсказок, а также не прячет свои процессы от нападающих.

003

004

Некоторые функции Sysmon

  • Запись событий о создании процесса с указанием всех параметров командной строки для текущего и родительского процессов.
  • Запись хэшей сохранённых файлов процессов с использованием алгоритмов SHA1 (по умолчанию), MD5, SHA256 или IMPHASH.
  • Одновременное использование нескольких хэшей.
  • Указание в логах GUID для процессов и событий, чтобы всегда можно было найти связи между ними.
  • Запись в логи факта загрузки драйверов и динамических библиотек с их цифровыми подписями и хэшами (новая функция в Sysmon 2.0).
  • Запись в логи сетевых соединений (если установить Sysmon с параметром –n), включая исходный процесс для каждого соединения, IP-адреса, номера портов, названия портов, хосты.
  • Определение факта принудительного изменения даты создания файла и отображение истинной даты создания файла (изменение даты часто используется вредоносными программами для сокрытия следов своей деятельности).
  • Автоматическая перезагрузка конфигурации при изменении реестра, поддержка файла конфигурации (новая функция в Sysmon 2.0).
  • Фильтрация по установленным правилам для включения или исключения из логов определённых событий (новая функция в Sysmon 2.0).
  • Начало записи в логи в начале загрузки операционной системы, чтобы зафиксировать активность даже продвинутых зловредов, проникших в ядро.

Кроме Sysmon 2.0, позавчера вышли новые версии других утилит Sysinternals: AccessChk 5.21 и RU 1.1.

Полная версия Sysinternals Suite (46 утилит)

3 комментария

  1. 23.01.2015 at 14:49

  2. 23.01.2015 at 23:47

    Я представляю если эта утилита будет логировать все подробности о комментариях на хакере.
    Через месяц она и говорить научиться лишь бы избежать всех этих страданий 🙂

Оставить мнение