Марк Руссинович продолжает совершенствовать отдельные утилиты из пакета Sysinternals. Пару дней назад он выпустил Sysmon 2.0 — вторую версию популярной программы для мониторинга процессов в Windows.

Sysmon (System Monitor) — системная служба, которая после установки ведёт непрерывный мониторинг и запись логов. Служба загружается вместе с ОС и при умелом обращении позволяет тщательно изучить состояние операционной системы, найти следы вредоносной или подозрительной активности, а также понять, какие конкретно методы применяет злоумышленник или вредоносная программа. При этом следует помнить, что Sysmon не пытается анализировать логи и не даёт подсказок, а также не прячет свои процессы от нападающих.

003

004

Некоторые функции Sysmon

  • Запись событий о создании процесса с указанием всех параметров командной строки для текущего и родительского процессов.
  • Запись хэшей сохранённых файлов процессов с использованием алгоритмов SHA1 (по умолчанию), MD5, SHA256 или IMPHASH.
  • Одновременное использование нескольких хэшей.
  • Указание в логах GUID для процессов и событий, чтобы всегда можно было найти связи между ними.
  • Запись в логи факта загрузки драйверов и динамических библиотек с их цифровыми подписями и хэшами (новая функция в Sysmon 2.0).
  • Запись в логи сетевых соединений (если установить Sysmon с параметром –n), включая исходный процесс для каждого соединения, IP-адреса, номера портов, названия портов, хосты.
  • Определение факта принудительного изменения даты создания файла и отображение истинной даты создания файла (изменение даты часто используется вредоносными программами для сокрытия следов своей деятельности).
  • Автоматическая перезагрузка конфигурации при изменении реестра, поддержка файла конфигурации (новая функция в Sysmon 2.0).
  • Фильтрация по установленным правилам для включения или исключения из логов определённых событий (новая функция в Sysmon 2.0).
  • Начало записи в логи в начале загрузки операционной системы, чтобы зафиксировать активность даже продвинутых зловредов, проникших в ядро.

Кроме Sysmon 2.0, позавчера вышли новые версии других утилит Sysinternals: AccessChk 5.21 и RU 1.1.

Полная версия Sysinternals Suite (46 утилит)

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии