- 综合排序
- 最热优先
- 最新优先
- 来自专栏Windows技术交流
关于sysmon
sysmon的几个特点分享如下: 1、sysmon会跑在某个vCPU上,我电脑是8核16线程(vCPU0~vCPU15),看到总有一个vCPU的利用率比较高,而且不固定,但基本是在vCPU12~vCPU15 B550M AORUS ELITE主板对R7 5700G做超频优化了 我这颗CPU,0号、6号、7号核肯定是得特殊照顾下,一般来说大部分程序都是优先跑0号核的,而6号、7号核通过我长期观察是sysmon sysmon的日志 停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false 启用sysmon日志 :wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:true 创建开机计划任务,停止sysmon的日志 schtasks 的命令 cmd /c "C:\Windows\sysmon.exe -u force" 2>&1 > $null 卸载sysmon,iOA又会把它装回去,iOA依赖sysmon的监测来实现功能
61520编辑于 2024-08-20 - 来自专栏中国白客联盟
利用超长命令绕过sysmon
前言 Sysmon是容易下载安装使用的日志审计应用,每个人都可以查看sysmon记录的内容。这些日志被EDR获取的话,能够在这些产品中看到一连串“有趣的东西”。 正文 当我们执行 sysmon.exe -t -i yoursysmonconfig.xml 命令时,突然出现了以下重要的错误信息 ? 这是因为我们提供给sysmon的命令过长,sysmon不得不去进行删减操作。 通过测试发现,sysmon可以显示最多0x2000个字符。也就是说,我们可以在sysmon截断的时候做一些有意义的事情。 当我们执行 powershell <0x2000 spaces> calc 命令时,我们可以看到sysmon只记录到了我执行了powershell命令 ? 但实际上,我最终执行的确是calc。 ? 后续 参考:http://www.hexacorn.com/blog/2018/06/29/sysmon-doing-lines-part-3/
87750发布于 2018-07-26 - 来自专栏FreeBuf
红队技巧:绕过Sysmon检测
Sysmon和Windows事件日志都是防御者中极为强大的工具。它们非常灵活的配置使他们可以深入了解设备上的活动,从而使检测攻击者的过程变得更加容易。 启动Ghidra并启动sysmon64.exe,我们可以看到它使用ReportEventWWindows API调用来报告事件。 ? 如果您在下面看,您将看到我能够启动Powershell提示而不会触发任何sysmon事件。 因此,现在我们可以使用来开始编写PoC代码了。
1.6K20发布于 2020-05-14 - 来自专栏LinkinStar's Blog
工作默默无闻的sysmon
sysmon 默默无闻的后台监控 golang 里面里面有一个默默无闻的工作者在后台跑着,它的名字叫 sysmon ,你可能在某个地方见到过它。 启动 首先让我们来看看 sysmon 是谁启动的。 // The main goroutine. func main() { ........... if GOARCH ! // register sysmon is not ready for the world to be // stopped. syscall_runtime_doAllThreadsSyscall, sysmon is // sufficiently up to participate in fixups. 不需要 P 只需要 M 即可执行,能休息就休息,没工作时就慢下来,sysmon 主要做了以下几样工作: 检查死锁 检查网络轮训 检查抢占 检查 gc 总之其实 sysmon 其实在背后承担了一些检查的工作
47810编辑于 2022-09-01 - 来自专栏码农桃花源
忠于职守 —— sysmon 线程到底做了什么?(九)
,该线程独立于调度器,不需要跟 p 关联即可运行 newm(sysmon, nil)}) sysmon 函数不依赖 P 直接执行,通过 newm 函数创建一个工作线程: func newm(fn 但在这里,fn 就是最开始在 runtime.main 里设置的 sysmon 函数,因此这里会执行 sysmon,而它又是一个无限循环,永不返回。 :6) LEAQ ""..autotmp_0+48(SP), AX 0x004c 00076 (test26.go:6) MOVQ AX, (SP) 0x0050 00080 (test26.go:6) MOVQ $1, 8(SP) 0x0059 00089 (test26.go:6) MOVQ $1, 16(SP) 0x0062 00098 (test26.go:6) PCDATA $0, $1 0x0062 00098 (test26.go:6) CALL fmt.Println(SB) 0x0067 00103
90330发布于 2019-09-10 - 来自专栏技术杂记
NFS 配置6
-p udp -s 192.168.1.0/24 -m multiport --dport 111,2049,875,892,32769,32803 -j ACCEPTTip: iptables 的配配置需要
58220编辑于 2022-07-09 - 来自专栏技术杂记
Mycat 配置6
. --> mycat:server 这个标签用来框定服务配置范围 <mycat:server xmlns:mycat="http://org.opencloudb/"> </mycat:server> system 这个标签用来框定系统配置范围,用来保存几乎所有mycat需要的系统配置信息(其在代码内直接的映射类为 SystemConfig ) <system> </system> property
26630编辑于 2021-12-03 - 来自专栏Windows技术交流
sysmon导致句柄泄漏致使windows应用频繁出现IO错误
sysmon导致句柄泄漏致使windows应用频繁出现IO错误图片停止、禁用、卸载sysmon的话,是执行这个,卸载必须加forceStop-Service -name SysmonSet-Service Sysmon -StartupType DisabledC:\Windows\sysmon.exe -u force
42210编辑于 2023-04-27 - 来自专栏CMS建站教程
CentOS 6 配置Samba
一、安装samba [root@c ~]# yum install -y samba 二、配置smb.conf [root@c ~]# cd /etc/samba/ [root@c samba]# mv 127.0.0.1 Enter root's password: ##回车 Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.5.10-125.el6] Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.5.10-125.el6] Server Comment smb1 //127.0.0.1/smb Enter smb1's password: Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.5.10-125.el6] [root@c samba]# useradd smb4 -g opt [root@c samba]# useradd smb5 -g pgm [root@c samba]# useradd smb6
2.2K51编辑于 2022-03-07 - 来自专栏FreeBuf
使用Sysmon和Splunk探测网络环境中横向渗透
本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n ? 本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建 将下列配置写入inputs.conf文件: [WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = 在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ? 然后在Splunk中可以看到Sysmon事件已经导入: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ?
2.6K70发布于 2018-02-09 - 来自专栏iSharkFly
Confluence 6 配置 Windows 服务
当你使用 Start Confluence Automatically on Windows as a Service 的方式启动的时候,你有下面 2 种方式来配置你的系统属性:通过 command 应用新的选线,或者修改选项,通过添加选项配置到已经存在的 Java Options 列表后面。请参考 Recognized System Properties 页面中的内容对属性参数进行配置。 请参考 Recognized System Properties 页面中的内容对每一行变量进行配置。 你需要通过 Cloud Formation Template 传递配置参数,请不要使用上面描述的方法。 https://www.cwiki.us/display/CONF6ZH/Configuring+System+Properties
1.2K30发布于 2019-01-30 - 来自专栏iSharkFly
Confluence 6 配置 XSRF 保护
希望为评论配置 XSRF 保护: 在屏幕的右上角单击 控制台按钮 ? ,然后选择 基本配置(General Configuration) 链接。 在左侧面板中选择 安全配置(Security Configuration)。 选择 编辑(Edit)。
52830发布于 2019-01-30 - 来自专栏技术杂记
Redis 容器与配置(6)
redis:6379> info # Server redis_version:3.0.7 redis_git_sha1:00000000 redis_git_dirty:0 redis_build_id:6f8b503a2787e3a6 saving started by pid 14 14:C 28 Apr 15:09:11.460 * DB saved on disk 14:C 28 Apr 15:09:11.461 * RDB: 6
41430发布于 2021-10-20 - 来自专栏iSharkFly
Confluence 6 配置日志 原
我们推荐你根据你的需求来配置你自己的 Confluence 日志。 修改日志配置 在屏幕的右上角单击 控制台按钮 ? ,然后选择 General Configuration 链接。 这个配置的修改在管理员控制台界面中不可用。 'Diagnostic' 属性定义了更多的属性配置,能够为你提供更多的日志信息。这个配置将会降低你系统的性能并且让你日志文件更快的填充满。 https://www.cwiki.us/display/CONF6ZH/Configuring+Logging
77720发布于 2019-01-30 - 来自专栏技术杂记
Rails 容器与配置(6)
为了实现简便,这里我们使用的是sqlite,由于保存了数据,所以其实它是有状态的,我们虽然可以开启多个容器,但每个之间由于不共享数据,所以是相互独立的
1K30发布于 2021-10-20 - 来自专栏数据库干货铺
Elasticsearch 6 重要参数配置
采用zip或tar.gz的二进制包方式安装的ES,需要配置一系列参数,通过阅读官方文档了解到其中重要参数的配置及其说,下面将逐步进行了解。 一、 ElasticSearch参数配置 1. data和logs路径配置 如果使用.zip或.tar.gz归档文件,则数据和日志目录是$ES_HOME的子文件夹。 建议配置一个更有意义的名称,它还具有在重新启动节点后持久化的优点。 可解析的)其中任意一种均可; discovery.zen.minimum_master_nodes 设置的值建议设置为 (master_eligible_nodes / 2) + 1 6. 这些都是在jvm中配置的。选项并默认为与Elasticsearch日志相同的默认位置。
1.8K30发布于 2019-08-08 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 OpenProcessPid; WCHAR DllInfo[261]; WCHAR DllExportInfo[261]; }; DllInfo是指线程所在的模块名,DllExportInfo是该模块的导出表信息 6. 上报错误信息事件 内核的事件Type值是:6 结构体定义: struct _ _Report_Event_Error { Report_Common_Header Header; CHAR data[16 可以看到结构体上的值都是对的,然后6个DataChunkLenggth都有值,我们在去看下面的Data内存 ?
1.5K20发布于 2020-10-27 - 来自专栏猛牛哥的博客
使用NPD6自动配置IPV6子网
之前介绍了KIMSUFI独服如何开IPV6小鸡。有个繁琐的步骤就是每开一个IPV6小鸡,都要在/etc/network/interfaces文件中增加两行代码,然后还要重启网络服务,很不方便。 这里介绍一个可以自动配置IPV6子网的方法,配置后再新建小鸡就不需要任何配置了,也不需要重启网络服务。 https://github.com/npd6/npd6.git cd npd6 make && make install echo "prefix = 2607:xxxx:120:d9a:" >> /etc/npd6.conf echo "interface = vmbr0" >> /etc/npd6.conf /etc/init.d/npd6 start 执行完这些代码,如果没有遇到什么错误提示 ,IPV6子网就已经设置好了,后面再开这个IPV6前缀的虚拟机就不再需要任何配置了。
37510编辑于 2024-10-03 - 来自专栏大数据实战演练
Elasticsearch 6.x 配置详解
上一篇文章,我们介绍了 Elasticsearch 的基本概念及特点,今天再介绍一下 Elasticsearch 的配置。本文将对 Elasticsearch 已有的一些配置分类地做详细描述。 # 配置文件中给出了三种配置高性能集群拓扑结构的模式,如下: # 1. 如果你想让节点从不选举为主节点,只用来存储数据,可作为负载器。 6、Index # 设置索引的分片数,默认为 5 index.number_of_shards: 5 # 设置索引的副本数,默认为 1: index.number_of_replicas: 1 gateway.recover_after_time:如果未达到预期的节点数,则恢复过程将等待配置的时间,然后再尝试恢复。如果配置了expected_(xxx_)nodes,则默认为 5m 。 10、总结 Elasticsearch 已经为大多数参数设置合理的默认值,该文档对配置文件已有的一些配置做了详细描述。
1.7K11发布于 2019-12-02 - 来自专栏iSharkFly
Confluence 6 配置备份 原
存储备份文件在不同的位置(这个选项在默认情况下是禁用的,下面你可以找到开启这个配置的方法)。 你需要系统管理员全局权限来配置自动备份。 你可以在你共享的 home 目录中找到这个路径,这个路径通常配置在 confluence.cfg.xml 文件中,请查找 confluence.cluster.home 属性。
64730发布于 2019-01-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号