- 综合排序
- 最热优先
- 最新优先
- 来自专栏Windows技术交流
关于sysmon
sysmon的几个特点分享如下: 1、sysmon会跑在某个vCPU上,我电脑是8核16线程(vCPU0~vCPU15),看到总有一个vCPU的利用率比较高,而且不固定,但基本是在vCPU12~vCPU15 source_id=1001 2、机器空载的时候,sysmon也在不断监测系统并记录日志,因此有持续不断的IO 参考这个录屏文件 3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响 可以通过命令停止 sysmon的日志 停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false 启用sysmon日志 :wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:true 创建开机计划任务,停止sysmon的日志 schtasks 的命令 cmd /c "C:\Windows\sysmon.exe -u force" 2>&1 > $null 卸载sysmon,iOA又会把它装回去,iOA依赖sysmon的监测来实现功能
61520编辑于 2024-08-20 - 来自专栏中国白客联盟
利用超长命令绕过sysmon
前言 Sysmon是容易下载安装使用的日志审计应用,每个人都可以查看sysmon记录的内容。这些日志被EDR获取的话,能够在这些产品中看到一连串“有趣的东西”。 正文 当我们执行 sysmon.exe -t -i yoursysmonconfig.xml 命令时,突然出现了以下重要的错误信息 ? 这是因为我们提供给sysmon的命令过长,sysmon不得不去进行删减操作。 通过测试发现,sysmon可以显示最多0x2000个字符。也就是说,我们可以在sysmon截断的时候做一些有意义的事情。 当我们执行 powershell <0x2000 spaces> calc 命令时,我们可以看到sysmon只记录到了我执行了powershell命令 ? 但实际上,我最终执行的确是calc。 ? 后续 参考:http://www.hexacorn.com/blog/2018/06/29/sysmon-doing-lines-part-3/
87750发布于 2018-07-26 - 来自专栏FreeBuf
红队技巧:绕过Sysmon检测
Sysmon和Windows事件日志都是防御者中极为强大的工具。它们非常灵活的配置使他们可以深入了解设备上的活动,从而使检测攻击者的过程变得更加容易。 启动Ghidra并启动sysmon64.exe,我们可以看到它使用ReportEventWWindows API调用来报告事件。 ? 如果您在下面看,您将看到我能够启动Powershell提示而不会触发任何sysmon事件。 因此,现在我们可以使用来开始编写PoC代码了。
1.6K20发布于 2020-05-14 - 来自专栏LinkinStar's Blog
工作默默无闻的sysmon
sysmon 默默无闻的后台监控 golang 里面里面有一个默默无闻的工作者在后台跑着,它的名字叫 sysmon ,你可能在某个地方见到过它。 启动 首先让我们来看看 sysmon 是谁启动的。 // The main goroutine. func main() { ........... if GOARCH ! // register sysmon is not ready for the world to be // stopped. 不需要 P 只需要 M 即可执行,能休息就休息,没工作时就慢下来,sysmon 主要做了以下几样工作: 检查死锁 检查网络轮训 检查抢占 检查 gc 总之其实 sysmon 其实在背后承担了一些检查的工作 ,来保证 runtime 的正常运行,同时也尽可能的减少它本身运行所需要的资源 参考链接 https://medium.com/@blanchon.vincent/go-sysmon-runtime-monitoring-cff9395060b5
47810编辑于 2022-09-01 - 来自专栏码农桃花源
忠于职守 —— sysmon 线程到底做了什么?(九)
,该线程独立于调度器,不需要跟 p 关联即可运行 newm(sysmon, nil)}) sysmon 函数不依赖 P 直接执行,通过 newm 函数创建一个工作线程: func newm(fn 但在这里,fn 就是最开始在 runtime.main 里设置的 sysmon 函数,因此这里会执行 sysmon,而它又是一个无限循环,永不返回。 接下来,我们就来看 sysmon 函数到底做了什么? sysmon 执行一个无限循环,一开始每次循环休眠 20us,之后(1 ms 后)每次休眠时间倍增,最终每一轮都会休眠 10ms。 这说明系统调用所花费的时间较长,需要对其进行抢占,以此来使得 retake 函数返回值不为 0,这样,会保持 sysmon 线程 20 us 的检查周期,提高 sysmon 监控的实时性。 .go:5) CMPQ SP, 16(CX) 0x000d 00013 (test26.go:5) JLS 113 0x000f 00015 (test26.go:5)
90330发布于 2019-09-10 - 来自专栏Windows技术交流
sysmon导致句柄泄漏致使windows应用频繁出现IO错误
sysmon导致句柄泄漏致使windows应用频繁出现IO错误图片停止、禁用、卸载sysmon的话,是执行这个,卸载必须加forceStop-Service -name SysmonSet-Service Sysmon -StartupType DisabledC:\Windows\sysmon.exe -u force
42210编辑于 2023-04-27 - 来自专栏FreeBuf
使用Sysmon和Splunk探测网络环境中横向渗透
本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n ? 本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建 将下列配置写入inputs.conf文件: [WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = 在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ? 然后在Splunk中可以看到Sysmon事件已经导入: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ?
2.6K70发布于 2018-02-09 - 来自专栏技术杂记
NFS 配置5
,acl,anonuid=65534,anongid=65534,sec=sys,ro,root_squash,no_all_squash)[root@nfs-server ~]# ----重载NFS配置使用 data/nfs 192.168.1.0/24[root@nfs-server ~]# ----NFS防火墙由于 RPC 类的服务,都会随机注册端口,这样就给防火墙的设置造成了困扰,NFS 提供了一个配置文件
71110编辑于 2022-07-09 - 来自专栏技术杂记
Mycat 配置5
整体关系 ---- 配置 Mycat 的大部分配置都是以 XML 的格式设定的 [root@h102 mycat]# ll conf/schema.xml -rwxrwxrwx 1 root root root 4318 Feb 24 21:20 conf/wrapper.conf [root@h102 mycat]# Conf Comment conf/wrapper.conf JVM运行环境配置 server.xml 用来定义系统相关变量 conf/schema.xml 用来定义逻辑库,表,分片节点 conf/rule.xml 用来定义分片规则 ---- wrapper.conf 我们使用这个文件来配置 的相关运行参数 [root@h102 conf]# cat wrapper.conf | egrep "(Xm|MaxDirectMemorySize)" #wrapper.java.additional.5= -XX:MaxDirectMemorySize=2G wrapper.java.additional.5=-XX:MaxDirectMemorySize=256m #wrapper.java.additional
35030编辑于 2021-12-03 - 来自专栏全栈程序员必看
Vim详细配置_mini5配置
Vim配置要点 一、在终端中开打.vimrc文档 二、在.vimrc文档中添加配置内容 1.常用设置 2.自动备份 3.自动补全 三、保存退出 四、代码高亮不显示 一、在终端中开打.vimrc文档 vi ~/.vimrc 二、在.vimrc文档中添加配置内容 1.常用设置 set number " 显示行号 syntax on " 语法高亮度显示 set autoindent " vim
37710编辑于 2022-11-11 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 CreateTime; ULONG SidLength; ULONG XXXXXXX; SID UserSid; CHAR Data[1]; }; 可以看到数据有进程id、 父进程id、事件创建时间、UserSid 5. ULONG OperateEventType; ULONG ParentPid; LARGE_INTEGER CreateTime; ULONG ProcessPid; ULOG DataLenth[5] ; CHAR Data[1]; }; 这里要说明的是附加数据段有5个数据 UserSid RegistryOperateName 进程名带参数 KeyName ValueName 其中RegistryOperateName
1.5K20发布于 2020-10-27 - 来自专栏WalkingCloud
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
-2.10.2150.msi 3、sysmonconfig-export.xml配置文件 4、建议安装nodepad++用于编辑配置文件 (图片可点击放大查看) (图片可点击放大查看) 1、安装Sysmon Sysmon64.exe -i sysmonconfig-export.xml -accepteula (图片可点击放大查看) 其中sysmonconfig-export.xml 这个配置模板文件从哪获取 ,懂的都懂 就不展开讨论了 2、安装Nxlog并修改nxlog.conf (图片可点击放大查看) nxlog.conf配置文件中部分内容如下 <Input sysmon> Module im_msvistalog => sysmonout </Route> (图片可点击放大查看) 3、启动nxlog服务 (图片可点击放大查看) 4、GrayLog配置Input 这里为了区别系统日志与Sysmon日志 /udp firewall-cmd --permanent --zone=public --add-port=1518/udp firewall-cmd --reload (图片可点击放大查看) 5、
4.2K20编辑于 2022-03-31 - 来自专栏Devops专栏
5-SpringBoot 配置-配置文件分类
5-SpringBoot 配置-配置文件分类 SpringBoot 配置-配置文件分类 SpringBoot是基于约定的,所以很多配置都有默认值,但如果想使用自己的配置替换默认配置的话,就可以使用application.properties 默认配置文件名称:application 在同一级目录下优先级为:properties >yml > yaml 例如:配置内置Tomcat的端口 properties: server.port=8080 配置文件案例 1.springboot的默认配置文件 首先配置文件默认是可以写在 resources 目录下,而且默认的配置文件是 application.properties 2.修改配置文件 application.properties 5.演示 在同一级目录下优先级为:properties >yml > yaml 首先在三个配置文件都配置了服务端口号,我们发现 properties 的优先级最高: 我们再注释 properties 的配置,发现 yml 的配置优先级高于 yaml 文件: 6.优先级的参数设置总结 我们通过上面的演示,知道了 properties >yml > yaml 的优先级,这个是取决于同一个配置的参数的
41730编辑于 2022-03-23 - 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 Event ID Sysmon日志中所使用的全部Event ID都已经在微软的Sysmon页面上进行了介绍,其中包括: 1:进程创建 2:文件创建时间修改 3:网络连接 5:进程终止 11:文件创建 12 :注册表对象创建和删除 13:注册表值设置 22:DNS查询 23:文件删除(带归档) 26:文件删除(不带归档) 工具 本文所进行的安全分析都将在一台Windows VM虚拟机中执行,并配置好Linux 18","Channel":"Microsoft-Windows-Sysmon/Operational","Provider":"Microsoft-Windows-Sysmon","EventId": 18", "Channel": "Microsoft-Windows-Sysmon/Operational", "Provider": "Microsoft-Windows-Sysmon", "EventId
2.1K10编辑于 2024-05-17 - 来自专栏技术杂记
Redis 容器与配置(5)
后面是与默认配置的差异,这里稍微解释一下 Option Comment daemonize no 不以后台服务的形式运行 timeout 1800 将超时时间限定为半小时,默认是不限的 logfile /tmp/x:/data 将本地的 /tmp/x 目录挂载到容器中的 /data 目录 redis 使用redis镜像 redis-server /data/redis6379.conf 使用指定的配置初始化并启动
37530发布于 2021-10-20 - 来自专栏PHP专享栏
ThinkPHP5配置Config
配置文件Config目录 三类配置目录:默认配置目录,自定义配置目录,扩展配置目录。无论采用哪一种配置目录,最终都会于应用配置文件合并输出。 1.默认配置目录 应用配置:application目录 模块配置:application/模块目录 2.自定义配置目录 入口文件中添加:CONF_PATH常量 按常量约定创建对应配置目录 3.扩展配置目录 1.模块可以有自己的配置文件,独立配置文件和场景配置文件; 2.模块配置的优先级高于应用配置,相同配置项会覆盖掉应用汇总的配置项; 3.模块默认配置文件名是:config.php; 4.模块默认独立配置文件有二个 :database.php,validate.php; 5.模块场景配置文件名,根据‘app_status’参数值确定。 惯例配置(convention.php,config.php) < 应用配置(应用配置 < 独立配置 < 场景配置) < 模块配置(应用配置 < 独立配置 < 场景配置) < 动态配置(set) 配置项的作用域
2K20发布于 2019-08-05 - 来自专栏康怀帅的专栏
Laravel 5 框架基础配置
本文介绍了 Laravle 5 的安装及简要的使用方法。
97560发布于 2018-02-28 - 来自专栏技术杂记
Rails 容器与配置(5)
h104 blog2]# docker images | grep rails test-rails-app-blog latest b5b7ed8d740e
63420发布于 2021-10-20 - 来自专栏java架构计划训练营
SpringCloud Config配置中心(5)
SpringCloud Config配置中心 Config架构 当一个系统中的配置文件发生改变的时候,我们需要重新启动该服务,才能使得 新的配置文件生效,spring cloud config 可以实现微服务中的所有系统的配置文 件的统一管理,而且还可以实现当配置文件发生变化的时候,系统会自动更新获 取新的配置。 Gitee搭建Config Server的后端存储,专门存放配置,以供在客户端获取 在Gitee上新建项目 spring-cloud-config 服务端配置 1、引入pom文件 <! org.springframework.cloud</groupId> <artifactId>spring-cloud-config-server</artifactId> </dependency> 2、添加配置文件 </artifactId> </dependency> 2、添加配置文件application.yml spring: application: ####注册中心应用名称 name:
28610编辑于 2022-06-14 - 来自专栏FreeBuf
Whids:一款针对Windows操作系统的开源EDR
为社区提供一款功能强大且开源的Windows EDR; 2、支持检测规则透明化,允许分析人员了解规则被触发的原因; 3、通过灵活的规则引擎提供强大的检测原语; 4、通过大幅缩短检测和数据收集之间的时间来优化事件响应流程; 5、 10、易于与其他工具集成(Splunk、ELK、MISP…); 工具架构 注意:EDR代理可以单独运行(可以不用跟EDR管理器连接) 工具运行机制 工具依赖 首先,我们需要安装并配置好 Sysmon参考资料: https://docs.microsoft.com/enus/sysinternals/downloads/sysmon。 接下来,完成Sysmon的配置,并记录所有的ProcessCreate和ProcessTerminate事件。最后,记录下Sysmon代码的路径,之后需要使用到。 工具配置 为了最大化Whids的功能,我们需要做以下工具配置: 1、启用PowerShell模块日志功能:gpedit.msc -> Computer Configuration\Windows Settings
1.7K30编辑于 2023-03-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号