Sysmon

Sysmon เป็นแอปอย่างเป็นทางการของ Microsoft สำหรับการตรวจสอบสถานะและเหตุการณ์ของระบบ ด้วยแอปนี้ คุณสามารถควบคุมเหตุการณ์ของระบบได้อย่างละเอียด เช่น การสร้างกระบวนการ การเชื่อมต่อเครือข่าย การสร้างและลบไฟล์ เป็นต้น

โปรแกรมนี้ติดตั้งผ่านบรรทัดคำสั่ง ในการติดตั้ง คุณต้องเปิด CMD.exe ในฐานะผู้ดูแลระบบ ณ เส้นทางที่คุณติดตั้งโปรแกรม หลังจากนั้น ป้อนคำสั่ง [b]sysmon -i[/] เพื่อทำการติดตั้ง

จากนั้นไปที่เครื่องมือ Windows Event Viewer แล้วไปที่เส้นทาง Applications and Services Logs/Microsoft/Windows/Sysmon/Operational ในที่นี้ คุณจะสามารถดูเหตุการณ์ทั้งหมดที่เกิดขึ้นในระบบ รายการเหตุการณ์ของกระบวนการที่โปรแกรมสามารถบันทึกได้มีดังนี้:

1 ProcessCreate - การสร้างกระบวนการ

2 FileCreateTime - เวลาในการสร้างไฟล์

3 NetworkConnect - การเชื่อมต่อเครือข่ายที่ตรวจพบ

4 เปลี่ยนสถานะของบริการ Sysmon (ไม่สามารถกรองได้)

5 ProcessTerminate - กระบวนการสิ้นสุดลง

6 DriverLoad - โหลดไดรเวอร์

7 ImageLoad - อัปโหลดภาพ -

8 CreateRemoteThread - ตรวจพบการ CreateRemoteThread

9 RawAccessRead - ตรวจพบการเข้าถึงข้อมูลดิบ

10 ProcessAccess - กระบวนการที่ได้รับการเข้าถึง

11 FileCreate - สร้างไฟล์

12 RegistryEvent - เพิ่มหรือลบวัตถุรีจิสทรี

13 RegistryEvent - ตั้งค่าค่าของรีจิสทรี

14 RegistryEvent - เปลี่ยนชื่อของวัตถุรีจิสทรี

15 FileCreateStreamHash - ไฟล์สตรีมที่สร้างขึ้น

16 เปลี่ยนการตั้งค่า Sysmon (ไม่สามารถกรองได้)

17 PipeEvent - การสร้างพอร์ตชื่อ

18 PipeEvent - การเชื่อมต่อกับพอร์ตชื่อ

19 WmiEvent - ตัวกรอง WMI

20 WmiEvent - ผู้บริโภค WMI

21 WmiEvent - ตัวกรองผู้บริโภค WMI

22 DNSQuery - คำถาม DNS

23 FileDelete - ลบไฟล์ที่บันทึกไว้

24 ClipboardChange - เพิ่มเนื้อหาใหม่ลงในคลิปบอร์ด

25 ProcessTampering - มีการเปลี่ยนรูปภาพของกระบวนการ

26 FileDeleteDetected - ไฟล์ที่บันทึกถูกลบทิ้ง