- 综合排序
- 最热优先
- 最新优先
- 来自专栏Windows技术交流
关于sysmon
sysmon的几个特点分享如下: 1、sysmon会跑在某个vCPU上,我电脑是8核16线程(vCPU0~vCPU15),看到总有一个vCPU的利用率比较高,而且不固定,但基本是在vCPU12~vCPU15 source_id=1001 2、机器空载的时候,sysmon也在不断监测系统并记录日志,因此有持续不断的IO 参考这个录屏文件 3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响 可以通过命令停止 sysmon的日志 停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false 启用sysmon日志 :wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:true 创建开机计划任务,停止sysmon的日志 schtasks 的命令 cmd /c "C:\Windows\sysmon.exe -u force" 2>&1 > $null 卸载sysmon,iOA又会把它装回去,iOA依赖sysmon的监测来实现功能
61520编辑于 2024-08-20 - 来自专栏中国白客联盟
利用超长命令绕过sysmon
前言 Sysmon是容易下载安装使用的日志审计应用,每个人都可以查看sysmon记录的内容。这些日志被EDR获取的话,能够在这些产品中看到一连串“有趣的东西”。 正文 当我们执行 sysmon.exe -t -i yoursysmonconfig.xml 命令时,突然出现了以下重要的错误信息 ? 这是因为我们提供给sysmon的命令过长,sysmon不得不去进行删减操作。 通过测试发现,sysmon可以显示最多0x2000个字符。也就是说,我们可以在sysmon截断的时候做一些有意义的事情。 当我们执行 powershell <0x2000 spaces> calc 命令时,我们可以看到sysmon只记录到了我执行了powershell命令 ? 但实际上,我最终执行的确是calc。 ? 后续 参考:http://www.hexacorn.com/blog/2018/06/29/sysmon-doing-lines-part-3/
87750发布于 2018-07-26 - 来自专栏FreeBuf
红队技巧:绕过Sysmon检测
Sysmon和Windows事件日志都是防御者中极为强大的工具。它们非常灵活的配置使他们可以深入了解设备上的活动,从而使检测攻击者的过程变得更加容易。 启动Ghidra并启动sysmon64.exe,我们可以看到它使用ReportEventWWindows API调用来报告事件。 ? 如果您在下面看,您将看到我能够启动Powershell提示而不会触发任何sysmon事件。 因此,现在我们可以使用来开始编写PoC代码了。
1.6K20发布于 2020-05-14 - 来自专栏LinkinStar's Blog
工作默默无闻的sysmon
sysmon 默默无闻的后台监控 golang 里面里面有一个默默无闻的工作者在后台跑着,它的名字叫 sysmon ,你可能在某个地方见到过它。 delay *= 2 } if delay > 10*1000 { // up to 10ms delay = 10 * 1000 } usleep(delay) mDoFixup = nil { asmcgocall(*cgo_yield, nil) } // poll network if not polled for more than 10ms lastpoll := < now 也就是说举例上一次网络轮训已经过去了 10ms 了,那么就需要检查是否有待执行的文件描述符。 不需要 P 只需要 M 即可执行,能休息就休息,没工作时就慢下来,sysmon 主要做了以下几样工作: 检查死锁 检查网络轮训 检查抢占 检查 gc 总之其实 sysmon 其实在背后承担了一些检查的工作
47810编辑于 2022-09-01 - 来自专栏码农桃花源
忠于职守 —— sysmon 线程到底做了什么?(九)
,该线程独立于调度器,不需要跟 p 关联即可运行 newm(sysmon, nil)}) sysmon 函数不依赖 P 直接执行,通过 newm 函数创建一个工作线程: func newm(fn 但在这里,fn 就是最开始在 runtime.main 里设置的 sysmon 函数,因此这里会执行 sysmon,而它又是一个无限循环,永不返回。 接下来,我们就来看 sysmon 函数到底做了什么? sysmon 执行一个无限循环,一开始每次循环休眠 20us,之后(1 ms 后)每次休眠时间倍增,最终每一轮都会休眠 10ms。 从上一次监控线程观察到 p 对应的 m 处于系统调用之中到现在已经超过 10 毫秒。 这说明系统调用所花费的时间较长,需要对其进行抢占,以此来使得 retake 函数返回值不为 0,这样,会保持 sysmon 线程 20 us 的检查周期,提高 sysmon 监控的实时性。
90330发布于 2019-09-10 - 来自专栏Windows技术交流
sysmon导致句柄泄漏致使windows应用频繁出现IO错误
sysmon导致句柄泄漏致使windows应用频繁出现IO错误图片停止、禁用、卸载sysmon的话,是执行这个,卸载必须加forceStop-Service -name SysmonSet-Service Sysmon -StartupType DisabledC:\Windows\sysmon.exe -u force
42210编辑于 2023-04-27 - 来自专栏FreeBuf
使用Sysmon和Splunk探测网络环境中横向渗透
本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n ? 本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建 将下列配置写入inputs.conf文件: [WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = 在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ? 然后在Splunk中可以看到Sysmon事件已经导入: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ?
2.6K70发布于 2018-02-09 - 来自专栏look Java
10 Dubbo 配置实战
Dubbo 配置实战 快速入门 dubbo 建议看这篇文章是在学习了快速入门 dubbo 那篇文章的基础上来学习 配置说明 文档地址 https://dubbo.apache.org/zh/index.html 这里没有错误提示的原因呢,就是说我们没有正确的去配置 log4j,的确我们也没有去配置 系统级别日志,需要配合 log4j 才输出,在 resources 下添加 log4j.properties,内容如下 配置原则: dubbo 推荐在Provider上尽量多配置Consumer端属性: 作服务的提供者,比服务使用方更清楚服务性能参数,如调用的超时时间,合理的重试 次数,等等 在Provider配置后, Consumer不配置则会使用 Provider 的配置值,即 Provider 配置可 以作消费者的缺省值 3 重试次数 当出现失败,自动切换并重试其它服务器,dubbo 重试的缺省值是 2 次,我们可以自行设置 在 provider 提供方配置: <!
49910编辑于 2023-12-07 - 来自专栏python3
myeclipse10 配置python
将PyDev%202.7.1.zip解压到D:\MyEclipse\MyEclipse 10\dropins\python 5、在Myeclipse中导入python解释器以及python类库 6.
51510发布于 2020-01-08 - 来自专栏全栈程序员必看
Windows 10配置远程开机
配置方法 主板开启网络唤醒功能,如图: 设置网络适配器支持唤醒,打开网络连接,右键以太网,点击属性,点击配置,设置电源管理允许设备唤醒计算机,如图: 设置路由器IP与MAC地址绑定,以防路由器重启局域网 IP地址改变,如图: 端口映射,在虚拟服务器中将80端口和3389端口映射到公网IP地址,80端口主要用于接收网卡唤醒的请求,如图: 到这一步已经全部配置完毕了,用手机或电脑安装Wake On Lan
3.7K40编辑于 2022-08-22 - 来自专栏hotarugaliの技术分享
Windows10配置PowerShell
对于长期使用惯了 Zsh 的用户来说,切换到 Windows 10 系统上的 CMD 和 PowerShell 简直就是噩梦! 不过 PowerShell 一直在发展更新,目前最新版是 PowerShell 7(Windows 10 自带的是版本 5.1)。而且它也出了跨平台版本,使用也和 Linux Shell 有很多兼容。 2.2 PowerShell 7 Windows 10 自带的 PowerShell 太旧了,缺少很多功能。 配置 PowerShell 编辑 PowerShell 的配置文件 $Profile: notepad.exe $Profile 然后添加以下内容到配置文件中: Import-Module posh-git 配置字体 按装上述步骤配置完在 WT 打开 PowerShell 后看起来仍然很丑,主要是字体和主题图标不兼容的问题。因此需要安装一些适合终端的字体,比如 Cascadia PL。
5.3K20编辑于 2022-09-27 - 来自专栏全栈工程师修炼之路
Windows10常用配置
[TOC] 0x00 win10系统配置快速入门 1. win10系统下隐藏磁盘盘符 Step1. 盘对应十进制数字:4194304 隐藏X盘对应十进制数字:8388608 隐藏Y盘对应十进制数字:16777216 隐藏Z盘对应十进制数字:33554432 隐藏所有盘符对应十进制数字:67108863 2.win10 系统下切换管理员cmd 由于win10处于安全考虑,会默认把administrator的账户禁用并隐藏。 WeiyiGeek.切换管理员 ---- 0x01 win10系统进阶使用 1.Windows WSL 1.1)Linux子系统的安装使用 在microsoft store商店搜索Ubuntu并下载安装设置
1.4K61发布于 2020-10-26 - 来自专栏全栈工程师修炼之路
Windows10常用配置
[TOC] 0x00 win10系统概述 Q: Windows 10版本 business_editions和consumer_editions的区别? (business editions) VL版 ISO镜像包含以下版本(根据需要选择安装): 专业版、企业版、教育版、专业工作站版、专业教育版 Windows 10 (consumer editions ) 零售版 ISO镜像包含以下版本(根据需要选择安装): 家庭版、专业版、教育版、家庭单语言版、专业工作站版、专业教育版 Q: Windows 10 各版本区别? ---- 0x01 win10系统常规配置 1. win10系统下隐藏磁盘盘符 Step1. 系统下切换管理员cmd 由于win10处于安全考虑,会默认把administrator的账户禁用并隐藏。
3K10编辑于 2022-09-28 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 hashVlaue算法id,hashvalue、三组进程相关的数据用户UserSid、进程ImageFileName、文件名FileName 可以看到内核里上报出来的事件类型是根据是否计算hash来判断,分别是10 BYTE OutBuffer[4002] = { 0 }; ULONG BytesReturned = 0; if ( SUCCEEDED( DeviceIoControl( hObjectDrv, SYSMON_REQUEST_PROCESS_INFO 今天的续篇就此结束,sysmon还是可以挖掘很多很实用得东西,比如每个事件里得ProcessGuid 并不是随机生成得,而是有一定算法得,具体读者可以自行研究发现。 ?
1.5K20发布于 2020-10-27 威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? .Sysmon配置详解(SysmonConfigurationinDetail)Sysmon的强大之处在于其灵活的XML配置文件。 获取配置文件:下载一个社区维护的优秀配置文件,例如SwiftOnSecurity的sysmon-config。 #####启动Sysmon以管理员身份打开PowerShell或命令提示符,使用-i参数安装Sysmon服务并应用配置文件。 >PowerShell查询:PowerShell展开代码语言:TXTAI代码解释Get-WinEvent-Path<Path_to_Log>-FilterXPath'*/System/EventID=10and
24610编辑于 2026-01-08- 来自专栏信安之路
利用真实或伪造的计算机账号进行隐秘控制
1、 如图所示,指定配置文件安装 sysmon,使用“-c”参数可以查看当前的配置情况。 加载的配置文件ProcdumporTaskmgr.xml 为: <Sysmon schemaversion="**4.21**"><EventFiltering> <ProcessAccess 筛选事件 id 为 10(ProcessAccess)的日志,我们可以看到两次转储操作的日志。 至此,我们已经借助 sysmon 分析出当前操作系统中发生过的内存转储行为,当然防御时必须提前配置 sysmon 进行监控。 我们还观察了其他 4 台使用 Win7/Win10 的计算机。
2.8K11发布于 2019-05-31 - 来自专栏Devops专栏
10-SpringBoot配置-项目外部配置加载顺序
10-SpringBoot配置-项目外部配置加载顺序 项目外部配置加载顺序 外部配置文件的使用是为了对能不文件的配合 1.命令行 java -jar app.jar --name="Spring" -- 那么有没有一种通过外部配置文件来管理的方式呢?这个是有的。 2. spring.config.location=\ optional:classpath:/default.properties,\ optional:classpath:/override.properties 上面这是配置外部配置文件的方式 能不能有一些外部配置文件默认存放的位置,直接将配置文件往那个位置一丢,就会自动加载配置的呢? 当然有!! =/hehe 此时,直接启动就会默认自动加载这个配置文件,我们来确认一下: 通过这个演示,我们确认了 jar 包同级目录下的配置文件将会被自动加载。
1.1K20编辑于 2022-03-23 - 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 Sysmon日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。 Event ID Sysmon日志中所使用的全部Event ID都已经在微软的Sysmon页面上进行了介绍,其中包括: 1:进程创建 2:文件创建时间修改 3:网络连接 5:进程终止 11:文件创建 12 :注册表对象创建和删除 13:注册表值设置 22:DNS查询 23:文件删除(带归档) 26:文件删除(不带归档) 工具 本文所进行的安全分析都将在一台Windows VM虚拟机中执行,并配置好Linux ,我们会看到一个大小为1.1MB的Windows事件日志: oxdf@hacky$ file Microsoft-Windows-Sysmon-Operational.evtx Microsoft-Windows-Sysmon-Operational.evtx
2.1K10编辑于 2024-05-17 - 来自专栏FreeBuf
Whids:一款针对Windows操作系统的开源EDR
可以与任何防病毒产品共存(建议与MS Defender一起运行); 7、有一个强大的管理API来简化大型部署的管理(目前还没有GUI); 8、提供了非常强大且可定制的检测引擎; 9、专为高吞吐量而设计; 10 、易于与其他工具集成(Splunk、ELK、MISP…); 工具架构 注意:EDR代理可以单独运行(可以不用跟EDR管理器连接) 工具运行机制 工具依赖 首先,我们需要安装并配置好 Sysmon参考资料: https://docs.microsoft.com/enus/sysinternals/downloads/sysmon。 接下来,完成Sysmon的配置,并记录所有的ProcessCreate和ProcessTerminate事件。最后,记录下Sysmon代码的路径,之后需要使用到。 工具配置 为了最大化Whids的功能,我们需要做以下工具配置: 1、启用PowerShell模块日志功能:gpedit.msc -> Computer Configuration\Windows Settings
1.7K30编辑于 2023-03-29 - 来自专栏程序员同行者
10-部署配置dashboard插件
配置和安装 dashboard 官方文件目录:kubernetes/cluster/addons/dashboard 我们需要使用的yaml文件 $ ls *.yaml dashboard-controller.yaml 配置dashboard-service # cat dashboard-service.yaml apiVersion: v1 kind: Service metadata: name: kubernetes-dashboard ports: - port: 80 targetPort: 9090 指定端口类型为 NodePort,这样外界可以通过地址 nodeIP:nodePort 访问 dashboard; 配置
92810发布于 2018-07-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号