系統(tǒng)活動用Sysmon全程監(jiān)控

平淡

1.可疑活動 全面監(jiān)控

首先到https：∥docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon下載Sysmon軟件，下載后復(fù)制到C：＼Windows＼System32備用。接著以管理員身份啟動命令提示符，輸入“sysmon-accepteula-i”并回車，完成監(jiān)控服務(wù)的安裝（圖1）。

安裝監(jiān)控服務(wù)后，就可以監(jiān)視系統(tǒng)活動，比如很多釣魚郵件都會通過隱藏的鏈接在后臺下載木馬，然后竊取電腦中的資料。下面介紹如何使用Sysmon追查這些惡意活動。

由于這里是對包含惡意鏈接的郵件進行監(jiān)控，為了系統(tǒng)的安全，建議使用Windows 10自帶的虛擬機系統(tǒng)進行測試。同上在虛擬機中安裝Sysmon，接著在搜索框輸入“事件查看器”，啟動程序后依次展開“應(yīng)用程序和服務(wù)日志→Microsoft→Windows→Sysmon→Operational”，這里就可以看到Svsmon的監(jiān)視記錄，每個事件ID代表一類事件，比如ID2代表“File creation time changed”（文件創(chuàng)建時間變化），可以用來查看系統(tǒng)中所有創(chuàng)建的新文件（圖2）。

因為這里我們主要是針對釣魚郵件的鏈接進行監(jiān)視，所以需要先點擊右側(cè)的“清除日志”，在打開的窗口中點擊“清除”，先將無關(guān)的監(jiān)視記錄刪除，并且將無關(guān)的應(yīng)用程序也關(guān)閉（圖3）。

我們必須使用虛擬機等比較安全的環(huán)境，在其中用Outlook打開釣魚郵件，按提示點擊其中的鏈接，可以看到桌面會啟動QQ瀏覽器訪問一個頁面，然后瞬間又自動關(guān)閉了。那么這其中發(fā)生了什么？同上切換到事件查看器窗口，按F5刷新記錄，查看ID1（Process Create，進程創(chuàng)建）的記錄，記錄顯示用戶打開了Outlook（郵件客戶端程序），在點擊鏈接后激活QQ瀏覽器訪問https：∥www.xxxxx.com/track/f7627158iazt（圖4）。

繼續(xù)查看ID2事件，可以看到在訪問這個網(wǎng)站后，QQ瀏覽器從其中下載一個名為“8dc6469b-6a53-4d46-b990-8c8e1fdf371b.exe”的可執(zhí)行程序，文件位于“C：＼Users＼當前用戶＼AppData＼Local＼Tencent＼QQBrowser＼User Data＼Default＼”下（圖5）。

再查看ID1記錄，可以看到系統(tǒng)新建了一個進程，運行的正是上述下載的惡意程序。再結(jié)合系統(tǒng)Defender的攔截記錄可以知道，這個惡意程序被系統(tǒng)攔截提示為惡意木馬。顯然這就是釣魚郵件常用的伎倆，它們通過郵件的鏈接，誘導(dǎo)用戶點擊后連接到網(wǎng)站下載惡意軟件。借助Sysmon的監(jiān)控記錄可以清晰地看到釣魚過程。

2.監(jiān)控功能 個性定制

Sysmon的監(jiān)控功能很強大，可以借助xml配置文件按需打造適合各種條件下使用的監(jiān)控環(huán)境。比如新版11.0增加了對文件刪除的監(jiān)控，下面就可以通過添加參數(shù)的方法來增加這個新的監(jiān)控功能。

首先到http：∥suo.im/5SHAim（提取碼：2ri4）下載示例配置文件，下載后將其保存在E：＼，使用寫字板打開后，在“”代碼下添加下列的代碼（圖6）：

完成代碼的編輯后保存，接著再次打開命令提示符窗口輸入“Sysmon/c e：＼1.xml”，當屏幕提示“Configuration updated”（配置已更新），繼續(xù)輸入“Sysmon/c”，這樣可以看到更新的配置了（圖7）。

這樣，以后系統(tǒng)中任何文件的刪除都將會被自動記錄。比如很多黑客入侵我們的系統(tǒng)后會刪除黑客工具，我們進入系統(tǒng)事件查看器，對ID為23的事件進行篩選，然后仔細查看被刪除的文件，同時結(jié)合ID2事件，這樣，黑客入侵后，在我們的電腦中增加、刪除的文件就一目了然了（圖8）。

當然大家也可以自行編輯xml文件，為Sysmon定制更多的系統(tǒng)監(jiān)視功能。關(guān)于配置文件的更多知識，可以打開上述Sysmon下載頁面查看幫助文檔的介紹。