- 综合排序
- 最热优先
- 最新优先
- 来自专栏Windows技术交流
关于sysmon
sysmon的几个特点分享如下: 1、sysmon会跑在某个vCPU上,我电脑是8核16线程(vCPU0~vCPU15),看到总有一个vCPU的利用率比较高,而且不固定,但基本是在vCPU12~vCPU15 source_id=1001 2、机器空载的时候,sysmon也在不断监测系统并记录日志,因此有持续不断的IO 参考这个录屏文件 3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响 可以通过命令停止 sysmon的日志 停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false 启用sysmon日志 :wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:true 创建开机计划任务,停止sysmon的日志 schtasks 的命令 cmd /c "C:\Windows\sysmon.exe -u force" 2>&1 > $null 卸载sysmon,iOA又会把它装回去,iOA依赖sysmon的监测来实现功能
61520编辑于 2024-08-20 - 来自专栏中国白客联盟
利用超长命令绕过sysmon
前言 Sysmon是容易下载安装使用的日志审计应用,每个人都可以查看sysmon记录的内容。这些日志被EDR获取的话,能够在这些产品中看到一连串“有趣的东西”。 正文 当我们执行 sysmon.exe -t -i yoursysmonconfig.xml 命令时,突然出现了以下重要的错误信息 ? 这是因为我们提供给sysmon的命令过长,sysmon不得不去进行删减操作。 通过测试发现,sysmon可以显示最多0x2000个字符。也就是说,我们可以在sysmon截断的时候做一些有意义的事情。 当我们执行 powershell <0x2000 spaces> calc 命令时,我们可以看到sysmon只记录到了我执行了powershell命令 ? 但实际上,我最终执行的确是calc。 ? 后续 参考:http://www.hexacorn.com/blog/2018/06/29/sysmon-doing-lines-part-3/
87750发布于 2018-07-26 - 来自专栏FreeBuf
红队技巧:绕过Sysmon检测
Sysmon和Windows事件日志都是防御者中极为强大的工具。它们非常灵活的配置使他们可以深入了解设备上的活动,从而使检测攻击者的过程变得更加容易。 启动Ghidra并启动sysmon64.exe,我们可以看到它使用ReportEventWWindows API调用来报告事件。 ? 如果您在下面看,您将看到我能够启动Powershell提示而不会触发任何sysmon事件。 因此,现在我们可以使用来开始编写PoC代码了。
1.6K20发布于 2020-05-14 - 来自专栏LinkinStar's Blog
工作默默无闻的sysmon
sysmon 默默无闻的后台监控 golang 里面里面有一个默默无闻的工作者在后台跑着,它的名字叫 sysmon ,你可能在某个地方见到过它。 // register sysmon is not ready for the world to be // stopped. delay *= 2 } if delay > 10*1000 { // up to 10ms delay = 10 * 1000 } usleep(delay) mDoFixup sleep := forcegcperiod / 2 if next-now < sleep { sleep = next - now } shouldRelax 不需要 P 只需要 M 即可执行,能休息就休息,没工作时就慢下来,sysmon 主要做了以下几样工作: 检查死锁 检查网络轮训 检查抢占 检查 gc 总之其实 sysmon 其实在背后承担了一些检查的工作
47810编辑于 2022-09-01 - 来自专栏码农桃花源
忠于职守 —— sysmon 线程到底做了什么?(九)
,该线程独立于调度器,不需要跟 p 关联即可运行 newm(sysmon, nil)}) sysmon 函数不依赖 P 直接执行,通过 newm 函数创建一个工作线程: func newm(fn 但在这里,fn 就是最开始在 runtime.main 里设置的 sysmon 函数,因此这里会执行 sysmon,而它又是一个无限循环,永不返回。 接下来,我们就来看 sysmon 函数到底做了什么? sysmon 执行一个无限循环,一开始每次循环休眠 20us,之后(1 ms 后)每次休眠时间倍增,最终每一轮都会休眠 10ms。 // 只要满足下面三个条件中的任意一个,则抢占该 p,否则不抢占 // 1. p 的运行队列里面有等待运行的 goroutine // 2. 这说明系统调用所花费的时间较长,需要对其进行抢占,以此来使得 retake 函数返回值不为 0,这样,会保持 sysmon 线程 20 us 的检查周期,提高 sysmon 监控的实时性。
90230发布于 2019-09-10 - 来自专栏Windows技术交流
sysmon导致句柄泄漏致使windows应用频繁出现IO错误
sysmon导致句柄泄漏致使windows应用频繁出现IO错误图片停止、禁用、卸载sysmon的话,是执行这个,卸载必须加forceStop-Service -name SysmonSet-Service Sysmon -StartupType DisabledC:\Windows\sysmon.exe -u force
42210编辑于 2023-04-27 - 来自专栏FreeBuf
使用Sysmon和Splunk探测网络环境中横向渗透
本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n ? 本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建 将下列配置写入inputs.conf文件: [WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = 在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ? 然后在Splunk中可以看到Sysmon事件已经导入: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ?
2.6K70发布于 2018-02-09 - 来自专栏finleyMa
Ansible 2 -- 2 环境配置
环境配置 Ansible配置以ini格式存储配置数据,在Ansible中几乎所有配置都可以通过Ansible的Playbook或环境变量来重新赋值。 在运行Ansible命令时,命令将会按照以下优先级查找配置文件。 ANSIBLE_CONFIG :首先,Ansible命令会检查环境变量,及这个环境变量指向的配置文件。 . /ansible.cfg:其次,将会检查当前目录下的ansible.cfg配置文件。 ~/.ansible.cfg:再次,将会检查当前用户home目录下的.ansible.cfg配置文件。 大多数的Ansible参数可以通过设置带有 ANSIBLE_ 开头的环境变量进行配置,参数名称必须都是大写字母,如下配置: export ANSIBLE_SUDO_USER=root 设置了环境变量之后 ansible.cfg 配置文件 Ansible有很多配置参数,以下是几个默认的配置参数: inventory = /root/ansible/hosts library = /usr/share/
1K20发布于 2019-07-15 - 来自专栏Golang开发
SpringBoot(2)——配置
SpringBoot使用一个全局的配置文件,配置文件名是固定的; •application.properties •application.yml 修改服务器端口 server: port: 以空格的缩进来控制层级关系;只要是左对齐的一列数据,都是同一个层级的 server: port: 8081 path: /hello 属性和值也是大小写敏感; 2、 lastName: zhangsan age: 20 行内写法: friends: {lastName: zhangsan,age: 18} 2、 ) 支持 不支持 SpEL 不支持 支持 JSR303数据校验 支持 不支持 复杂类型封装 支持 不支持 配置文件yml还是properties他们都能获取到值; 如果说,我们只是在某个业务逻辑中需要获取一下配置文件中的某项值 ,使用@Value; 如果说,我们专门编写了一个javaBean来和配置文件进行映射,我们就直接使用@ConfigurationProperties; @PropertySource:加载指定的配置文件
56410发布于 2019-05-28 - 来自专栏技术杂记
Mycat 配置2
类似于LVM中VG的概念(VG由一个或多个PV构成),逻辑库是由一个或多个后端数据库构成的,展示给应用的是一个单一视图,是分布式数据库在逻辑上的一个抽象
28810编辑于 2021-12-03 - 来自专栏技术杂记
NFS 配置2
成功启动后111端口是监听状态[root@test ~]# netstat -an | grep 111tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN tcp 0 0 :::111 :::* LISTEN udp 0 0 0.0.0.0:
64120编辑于 2022-07-09 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 LARGE_INTEGER FileCreateTime; ULONG HashingalgorithmRulev; CHAR FileHash[84]; ULONG DataLength[4]; CHAR Data2[ 1]; }; 2. 设置文件属性时间改变事件 内核出来的事件Type 值是2 ? 结构体与FileCreate稍微有些不同,少了文件hash的计算的步骤,但是多了一个设置文件改变的时间。
1.5K20发布于 2020-10-27 - 来自专栏WalkingCloud
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
准备条件 1、Sysmon64.exe https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon 2、nxlog安装包 nxlog-ce -2.10.2150.msi 3、sysmonconfig-export.xml配置文件 4、建议安装nodepad++用于编辑配置文件 (图片可点击放大查看) (图片可点击放大查看) 1、安装Sysmon Sysmon64.exe -i sysmonconfig-export.xml -accepteula (图片可点击放大查看) 其中sysmonconfig-export.xml 这个配置模板文件从哪获取 ,懂的都懂 就不展开讨论了 2、安装Nxlog并修改nxlog.conf (图片可点击放大查看) nxlog.conf配置文件中部分内容如下 <Input sysmon> Module im_msvistalog Path sysmon => sysmonout </Route> (图片可点击放大查看) 3、启动nxlog服务 (图片可点击放大查看) 4、GrayLog配置Input 这里为了区别系统日志与
4.2K20编辑于 2022-03-31 - 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 Sysmon日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。 Event ID Sysmon日志中所使用的全部Event ID都已经在微软的Sysmon页面上进行了介绍,其中包括: 1:进程创建 2:文件创建时间修改 3:网络连接 5:进程终止 11:文件创建 12 :注册表对象创建和删除 13:注册表值设置 22:DNS查询 23:文件删除(带归档) 26:文件删除(不带归档) 工具 本文所进行的安全分析都将在一台Windows VM虚拟机中执行,并配置好Linux : MS Windows Vista Event Log, 3 chunks (no. 2 in use), next record no. 170 oxdf@hacky$ ls -lh Microsoft-Windows-Sysmon-Operational.evtx
2.1K10编辑于 2024-05-17 - 来自专栏Java成神之路
Struts2配置
– myeclipse – servers – tomcat – 6.x b) 选择tomcat homedirectory c) 选择enable d) finish 2. 建立第一个struts2.1的程序 a) 找到struts目录下对应的apps目录 b) 解压struts2-blank-2.1.6.war c) Copy对应的lib的jar Copy对应的struts.xml到src目录,在packageexplorer视图进行操作 e) 注释掉struts.xml的多余内容 f) 建立HelloStruts2_ *修改jsp文件的默认编码属性window-preferences-web-jspfiles-设为Chinese,NationalStandard h) 在struts.xml中照原配置进行对应的配置 i) 修改对应的web.xml,建立struts2的filter(参考struts自带的项目)
60720发布于 2018-08-10 - 来自专栏Jasper小笔记
Struts2配置
Struts2配置 Struts2配置 结果页配置 1 Struts2配置 配置文件加载顺序 Struts2中有很多配置文件可以去配置常量,对同一个量在不同配置文件都配置了,那么生效的肯定是最后加载的 ,因此需要知道配置文件的加载顺序 1.前端控制器(过滤器)类的初始化方法 ? 2.得到dispater的initDispatcher方法 ? 3.初始化dispater ? 比如有个常量struts.i18n.encoding=UTF-8 在Struts2中post请求的中文乱码问题不用再去在代码中设置 一些时候这些常量的值我们需要修改,但是在default.properties 2 结果页配置 有的请求需要返回页面时,就可以配置结果页 ? ?
81020发布于 2019-09-19 - 来自专栏软件工程
Dubbo配置问题-2
目录 配置优先级别 1.dubbo的多版本支持 2.主机绑定过程分析 3.集群容错 4.服务降级 配置的优先级别是什么呢? 客户端的配置优先于服务端 1.方法级优先,接口级次之,全局配置再次之。 2.如果级别一样,则消费方优先,提供方次之。 其中,服务提供方配置,通过URL经由注册中心传递给消费方. NetUtils.isInvalidLocalHost(host), 从配置文件中获取st 2. 尝试从网卡拿host = InetAddress. 2.failover(默认) 失败自动切换,当出现失败,重试其它服务器。通常用于读操作,但重试会带来更长延迟。可通过 retries="2" 来设置重试次数(不含第一次)。一般用于查询操作. 重试次数配置如下:<dubbo:service retries="<em>2</em>" />或<dubbo:reference retries="<em>2</em>" /> 或<dubbo:reference><dubbo:method
66320编辑于 2021-12-22 - 来自专栏Golang开发
Nginx(2)——通用配置
gzip 压缩 gzip压缩后页面大小可以变为原来的更小,提高用户浏览页面的访问速度 gzip on; gzip_buffers 32 4K; gzip_comp_level 2; "; gzip_vary off; gzip配置的常用参数 gzip on|off; #是否开启gzip gzip_buffers 32 4K| 16 8K #缓冲(压缩在内存中缓冲几块
58120发布于 2019-05-29 - 来自专栏云深之无迹
DietPi配置问题(2)
液晶显示屏/触摸屏选项 ignore_lcd 默认情况下,在I2C总线上检测到Raspberry Pi LCD显示器时,将使用它。ignore_lcd=1将跳过此检测阶段,因此将不使用LCD显示器。 例如,lcd_rotate=2将补偿上下颠倒的显示。 disable_touchscreen 启用/禁用触摸屏。
1.7K30发布于 2020-08-11 威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? .Sysmon配置详解(SysmonConfigurationinDetail)Sysmon的强大之处在于其灵活的XML配置文件。 获取配置文件:下载一个社区维护的优秀配置文件,例如SwiftOnSecurity的sysmon-config。 #####启动Sysmon以管理员身份打开PowerShell或命令提示符,使用-i参数安装Sysmon服务并应用配置文件。 Bash展开代码语言:TXTAI代码解释#假设Sysmon.exe和配置文件位于同一目录下Sysmon.exe-accepteula-iswift.xml3.日志分析与最佳实践(LogAnalysisandBestPractices
24610编辑于 2026-01-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号