HomeFeaturedFocusUn nou instrument de la Sysinternals: Sysmon, detectorul inteligent de malware

Un nou instrument de la Sysinternals: Sysmon, detectorul inteligent de malware

sysmon

Setul Sysinternals de instrumente avansate de analiză și monitorizare a Windows-ului a primit de curând un nou membru: Sysmon. Suita Sysinternals, creată de celebrul Mark Russinovich pe vremea când nu făcea parte din Microsoft. a primit zilele acestea un nou modul: Sysmon. Este cel cu numărul 73 după cum ne anunță zdnet iar scopul său este acela de a monitoriza trei componente cheie din Windows, cele care sunt folosite cel mai des de malware și sunt greu de identificat.

Ideea din spatele Sysmon este aceea de a detecta mai simplu dacă ceva malware s-a insinuat în sistem. După instalarea cu sysmon –i și pornirea serviciului Sysmon în Windows, trei elemente vor fi descrise în event log:

  • Event ID 1: Process creation. A new process is created. The event includes the date/time, the full command line, a hash of the executable file, the ID of the parent process and many other items which might help in system analysis.
  • Event ID 2: A process changed a file creation time. According to the documentation, malware will often change file creation times in order to disguise the date/time when it infiltrated the system. Based on my own logs, it looks like Google Chrome changes the file creation times of its temp files a lot.
  • Event ID 3: Network connection. This event shows a TCP or UDP connection on the local machine. This event is not turned on by default and must be enabled with sysmon -n.

Pentru Windows Vista, 7 sau 8 log-urile se regăsesc în  “Applications and Services  Logs / Microsoft / Windows / Sysmon / Operational”.

Sysmon este tot gratuit ca și celelalte instrumente din suita Sysinternals. Poate fi descărcat și instalat de aici.

Ionuţ Bălan
Ionuţ Bălanhttps://www.mobzine.ro
Gadget enthusiast. Ruby Developer. Security addict. IT industry analyst. Reviewer & speaker.

LASA UN COMENTARIU

Scrie comantariul
Introdu numele

*

MobileDirect.ro

Comentarii recente

Recomandare

Bigstep