记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

绕过Sysmon的两种方法

Sysmon是Mark Russinovich编写的一个工具,Sysmon 3.0或者PowerShell模块,用于创建和管理for v2.0配置文件。它是一个Windows系统服务和设备驱动程序,是来自微软的SysInternal工具的一部分。它可以监控Windows系统操作并将其记录到Windows事件日志中。在系统上安装该工具时,可以给出XML配置文件,以便控制所记录的内容。PowerShell模块中的所有函数都包含帮助信息和使用get帮助cmdlet可以查看的用法示例。我在以前的多篇文章中已经介绍过了,甚至还编写了Posh-Sysmon(用于创建和管理Sysmon配置文件的PowerShell模块)。· 源代码
发布时间:2018-10-17 12:20 | 阅读:78802 | 评论:0 | 标签:Web安全 Sysmon

如何使用Sysmon来检测利用CMSTP绕过UAC的攻击

前言很多微软工具可以通过多种方式被武器化或被绕过,比如用户帐户控制(User Account Control, UAC),UAC是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序损坏系统的效果。最近,我就发现了由攻击者利用CMSTP绕过UAC。这个发现还要从前些天我阅读ATT&CK(对抗战术、技术与常识)说起,ATT&CK是在公共和私营公司、学术机构和政府机构的帮助下建立的一个全球性网络对手战术和技术知识库。该知识库能够阐明威胁,并以通用的语言和框架来定义,从而跨越多学科的障碍以推动安全性的改
发布时间:2018-07-18 12:20 | 阅读:94545 | 评论:0 | 标签:技术 Sysmon cms

使用Sysmon和Splunk探测网络环境中横向渗透

当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n 本地查看sysmon事件日志,打开事件查看器 - Microsoft  - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建:   将下列配置写入inputs.conf文件: [WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = true
发布时间:2017-02-03 21:30 | 阅读:142981 | 评论:0 | 标签:企业安全 工具 网络安全 sysmon 横向渗透

使用轻量级工具Sysmon监视你的系统

*本文原创作者:Green_m,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×01 sysmon介绍 sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。 通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,您可以识别恶意或异常活动,并了解入侵者和恶意软件在您的网络上如何操作。 0×02 sysmon特点 用完整的命令行记录下子进程和父进程的创建行为。 使用sha1(默认),MD5,SHA256或IMPHASH记录进程
发布时间:2016-12-16 14:10 | 阅读:180653 | 评论:0 | 标签:工具 系统安全 sysmon

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云