- 综合排序
- 最热优先
- 最新优先
- 来自专栏Windows技术交流
关于sysmon
sysmon的几个特点分享如下: 1、sysmon会跑在某个vCPU上,我电脑是8核16线程(vCPU0~vCPU15),看到总有一个vCPU的利用率比较高,而且不固定,但基本是在vCPU12~vCPU15 经常跑的核,因此这3个核要特殊照顾下 超频优化参考:https://www.zhihu.com/tardis/bd/art/349414008? source_id=1001 2、机器空载的时候,sysmon也在不断监测系统并记录日志,因此有持续不断的IO 参考这个录屏文件 3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响 可以通过命令停止 sysmon的日志 停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false 启用sysmon日志 的命令 cmd /c "C:\Windows\sysmon.exe -u force" 2>&1 > $null 卸载sysmon,iOA又会把它装回去,iOA依赖sysmon的监测来实现功能
61520编辑于 2024-08-20 - 来自专栏中国白客联盟
利用超长命令绕过sysmon
前言 Sysmon是容易下载安装使用的日志审计应用,每个人都可以查看sysmon记录的内容。这些日志被EDR获取的话,能够在这些产品中看到一连串“有趣的东西”。 正文 当我们执行 sysmon.exe -t -i yoursysmonconfig.xml 命令时,突然出现了以下重要的错误信息 ? 这是因为我们提供给sysmon的命令过长,sysmon不得不去进行删减操作。 通过测试发现,sysmon可以显示最多0x2000个字符。也就是说,我们可以在sysmon截断的时候做一些有意义的事情。 当我们执行 powershell <0x2000 spaces> calc 命令时,我们可以看到sysmon只记录到了我执行了powershell命令 ? 但实际上,我最终执行的确是calc。 ? 后续 参考:http://www.hexacorn.com/blog/2018/06/29/sysmon-doing-lines-part-3/
87750发布于 2018-07-26 - 来自专栏FreeBuf
红队技巧:绕过Sysmon检测
Sysmon和Windows事件日志都是防御者中极为强大的工具。它们非常灵活的配置使他们可以深入了解设备上的活动,从而使检测攻击者的过程变得更加容易。 启动Ghidra并启动sysmon64.exe,我们可以看到它使用ReportEventWWindows API调用来报告事件。 ? 如果您在下面看,您将看到我能够启动Powershell提示而不会触发任何sysmon事件。 因此,现在我们可以使用来开始编写PoC代码了。
1.6K20发布于 2020-05-14 - 来自专栏LinkinStar's Blog
工作默默无闻的sysmon
sysmon 默默无闻的后台监控 golang 里面里面有一个默默无闻的工作者在后台跑着,它的名字叫 sysmon ,你可能在某个地方见到过它。 启动 首先让我们来看看 sysmon 是谁启动的。 // The main goroutine. func main() { ........... if GOARCH ! // register sysmon is not ready for the world to be // stopped. syscall_runtime_doAllThreadsSyscall, sysmon is // sufficiently up to participate in fixups. 不需要 P 只需要 M 即可执行,能休息就休息,没工作时就慢下来,sysmon 主要做了以下几样工作: 检查死锁 检查网络轮训 检查抢占 检查 gc 总之其实 sysmon 其实在背后承担了一些检查的工作
47810编辑于 2022-09-01 - 来自专栏码农桃花源
忠于职守 —— sysmon 线程到底做了什么?(九)
,该线程独立于调度器,不需要跟 p 关联即可运行 newm(sysmon, nil)}) sysmon 函数不依赖 P 直接执行,通过 newm 函数创建一个工作线程: func newm(fn CMPQ AX, $0 JEQ 3(PC) // 父线程,返回 MOVL AX, ret+40(FP) RET // In child, on new stack. // 在子线程中 但在这里,fn 就是最开始在 runtime.main 里设置的 sysmon 函数,因此这里会执行 sysmon,而它又是一个无限循环,永不返回。 接下来,我们就来看 sysmon 函数到底做了什么? sysmon 执行一个无限循环,一开始每次循环休眠 20us,之后(1 ms 后)每次休眠时间倍增,最终每一轮都会休眠 10ms。 没有无所事事的 p // 3.
90330发布于 2019-09-10 - 来自专栏Windows技术交流
sysmon导致句柄泄漏致使windows应用频繁出现IO错误
sysmon导致句柄泄漏致使windows应用频繁出现IO错误图片停止、禁用、卸载sysmon的话,是执行这个,卸载必须加forceStop-Service -name SysmonSet-Service Sysmon -StartupType DisabledC:\Windows\sysmon.exe -u force
42210编辑于 2023-04-27 - 来自专栏FreeBuf
使用Sysmon和Splunk探测网络环境中横向渗透
本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n ? 本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建 将下列配置写入inputs.conf文件: [WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = 在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ? Sysmon事件ID 在下面的案例中,我们关注如下了两类事件 Event ID 1: Process creation 进程创建 Event ID 3: Network connection 网络连接
2.6K70发布于 2018-02-09 - 来自专栏技术杂记
Mycat 配置3
Tip: 数据冗余和表分组是解决跨分片数据join的好思路,也是数据切分规划的重要规则 ---- 分片节点(dataNode) 每个表分片所在的数据库就是分片节点 ---- 节点主机(dataHost) 分片节点所在的服务器就是节点主机 Tip: 尽量将读写压力高的分片节点均衡放在不同的节点主机上,以避免单节点主机并发数限制 ---- 分片规则(rule) 分片规则就是切分数据的规则
29610编辑于 2021-12-03 - 来自专栏技术杂记
NFS 配置3
localhost program vers proto port service 100000 4 tcp 111 portmapper 100000 3 portmapper 100000 2 tcp 111 portmapper 100000 4 udp 111 portmapper 100000 3 udp 60207 mountd 100005 3 tcp 48980 mountd 100003 2 tcp 2049 nfs 100003 3 tcp 2049 nfs 100003 4 tcp 2049 nfs 100227 2 tcp 2049 nfs_acl 100227 3 tcp 2049 nfs_acl 100003 2 udp 2049 nfs 100003 3 udp 2049 nfs 100003
1.1K10编辑于 2022-07-09 - 来自专栏python3
3、配置中心
1、 当一个系统中的配置文件发生改变的时候,经常的做法是重新启动该服务,才能使得新的配置文件生效,spring cloud config可以实现微服务中的所有系统的配置文件的统一管理,而且还可以实现当配置文件发生变化的时候 ,系统会自动更新获取新的配置。 将配置文件放入git或者svn等服务中,通过一个Config Server服务来获取git或者svn中的配置数据,其他服务需要配置数据时在通过Config Client从Config Server获取。 3、 新建maven项目sc-config-server,对应pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi= "http://www.w<em>3</em>.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0
67720发布于 2020-01-07 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 CreateTime; LARGE_INTEGER FileTime; LARGE_INTEGER FileCreateTime; ULONG DataLength[4]; CHAR Data2[1]; }; 3. 进程退出事件 进程退出事件内核的Type值是3 ? OpenPrcesid; ULONG AccessMask; LARGE_INTEGER CreateTime; ULONG StatckTrackInfoSize; ULONG DataLength[3]
1.5K20发布于 2020-10-27 - 来自专栏WalkingCloud
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控 Sysmon系统监视器是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,系统重启后,它仍驻留在系统重启中, -2.10.2150.msi 3、sysmonconfig-export.xml配置文件 4、建议安装nodepad++用于编辑配置文件 (图片可点击放大查看) (图片可点击放大查看) 1、安装Sysmon Sysmon64.exe -i sysmonconfig-export.xml -accepteula (图片可点击放大查看) 其中sysmonconfig-export.xml 这个配置模板文件从哪获取 ,懂的都懂 就不展开讨论了 2、安装Nxlog并修改nxlog.conf (图片可点击放大查看) nxlog.conf配置文件中部分内容如下 <Input sysmon> Module im_msvistalog => sysmonout </Route> (图片可点击放大查看) 3、启动nxlog服务 (图片可点击放大查看) 4、GrayLog配置Input 这里为了区别系统日志与Sysmon日志
4.2K20编辑于 2022-03-31 威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? .Sysmon配置详解(SysmonConfigurationinDetail)Sysmon的强大之处在于其灵活的XML配置文件。 获取配置文件:下载一个社区维护的优秀配置文件,例如SwiftOnSecurity的sysmon-config。 #####启动Sysmon以管理员身份打开PowerShell或命令提示符,使用-i参数安装Sysmon服务并应用配置文件。 Bash展开代码语言:TXTAI代码解释#假设Sysmon.exe和配置文件位于同一目录下Sysmon.exe-accepteula-iswift.xml3.日志分析与最佳实践(LogAnalysisandBestPractices
24610编辑于 2026-01-08- 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 Event ID Sysmon日志中所使用的全部Event ID都已经在微软的Sysmon页面上进行了介绍,其中包括: 1:进程创建 2:文件创建时间修改 3:网络连接 5:进程终止 11:文件创建 12 :注册表对象创建和删除 13:注册表值设置 22:DNS查询 23:文件删除(带归档) 26:文件删除(不带归档) 工具 本文所进行的安全分析都将在一台Windows VM虚拟机中执行,并配置好Linux : MS Windows Vista Event Log, 3 chunks (no. 2 in use), next record no. 170 oxdf@hacky$ ls -lh Microsoft-Windows-Sysmon-Operational.evtx /Operational", "Provider": "Microsoft-Windows-Sysmon", "EventId": 3, "EventRecordId": "118910", "
2.1K10编辑于 2024-05-17 - 来自专栏全栈程序员必看
DSL和配置_ds3配置
我们来跟配置文件的方式比较一下。显然DSL在比较中会落败,因为至少对客户来说不存在语法的问题。 DSL的运行效率也未必就很好,至少从配置的角度来说会如此。 而配置作不到这一点。DSL作为语言,则自然的是可以测试的。 知识不仅仅是逻辑和赋值,还有环境和模式。而显然作为语言的DSL,可以满足这样的要求。
29120编辑于 2022-11-17 - 来自专栏云计算linux
3.全局配置和页面配置
3.全局配置和页面配置 1 window全局配置 window窗口全局配置用于设置小程序的状态栏、导航条、标题、窗口背景色。下图来源于官方文档,标识了导航栏,下拉刷新窗口和页面区域。 1.1 配置全局顶部导航栏样式 全局设置导航栏样式如下: (1)顶部导航栏的背景:粉红色 (2)导航栏标题文字设:掌上生活超市 (3)导航栏标题文字颜色:黑色 1.2 配置全局下拉刷新背景样式 全局设置下拉刷新窗口样式如下: (1)开启全局下拉刷新,开启成功后下拉才会出现下拉刷新窗口 (2)下拉窗口背景颜色:灰白色 (3)下拉窗口"..." 首先,我们需要创建除首页(home)以外的3个page页面:categroy、cart和mine。 然后,添加4个tabBar,并设置tabBar样式。 3 其他配置 详见官网:https://developers.weixin.qq.com/miniprogram/dev/reference/configuration/app.html 4 页面配置
50610编辑于 2024-12-13 - 来自专栏雪胖纸的玩蛇日常
3.xadmin配置
xadmin配置 1.在每个apps下新建adminx.py 1.在apps/users下新建adminx.py: import xadmin from xadmin import views from ZhuHu, ZhuHuAdmin) xadmin.site.register(UserToZhuHu, UserToZhuHuAdmin) 2.在apps/goods下新建adminx.py: 备用 3. add_time"] search_fields=["content"] xadmin.site.register(Notice,NoticeAdmin) 2.xadmin安装(前面已完成) 3. django.apps import AppConfig class GoodsConfig(AppConfig): name = 'goods' verbose_name='商品服务' 3.
68110发布于 2020-06-11 - 来自专栏python3
Nginx配置段(3)
: nginx: main配置段 http { } http配置:http core 配置一个静态web服务器 ngx_http_core_module 配置框架: http (~); (1) 先做精确匹配;www.zhanxwang: (2) 左侧通配符匹配,例如:*.zhanx.wang; (3) requests 241 241 431 (1)已经接受的连接 (2)已经处理过的连接数 (3) =类似的比较操作符进行测试 (3) 正则表达式的模式匹配操作 ~:区分大小写的模式匹配检查 保持连接的超时时长,默认为75s; 2、keepalive_requests #; 在一次保持连接上允许承载最大资源请求数; 3、
76310发布于 2020-01-10 - 来自专栏python3
3W配置
所需软件: httpd-2.2.3-11.el5_1.3 Apache主配置文件 vim /etc/httpd/conf/httpd.conf `57 ServerRoot "/etc/httpd 2:AllowOverride:表示是否允许额外配置文件“.htaccess”的权限复写?可以在httpd.conf内设置好所有的权限,如此以来若用户自己的个人网页想要修改权限时将会对管理员造成困扰。 )可复写 Indexes:仅允许Indexes方面的复写 Limits:允许用户利用Allow,Deny与Order管理可浏览的权限 None: 不可复写,即“.htaccess”文件无效 3:
96010发布于 2020-01-14 - 来自专栏山海散人技术
rebar3-配置
全局(所有命令)配置 ---- rebar3支持一些系统环境变量 变量设置 解释 REBAR_PROFILE="term" 强制使用基础配置 HEX_CDN="https://..." CDN端点设置 REBAR_CONFIG="rebar3.config" 修改rebar配置文件名称 QUIET=1 只输出错误信息 DEBUG=1 输出DEBUG信息 REBAR_COLOR="low 中的配置,因为它是项目顶层的rebar.config,该artifact会相对于profile_dir,默认情况下是_build/default/: {escript_name, rebar3}. 此外,rebar3将一些配置数据存储在~/.config/rebar3中,并且缓存一些数据到~/.cache/rebar3中。两者都可以通过指定{global_rebar_dir, ". 会创建一个特定的配置文件~/.config/rebar3/hex.config来存储key值。
1.9K20发布于 2021-03-03
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号