Sysinternals ระบบตรวจสอบระบบ Sysmon สำหรับ Windows

Microsoftมีเครื่องมือที่มีประโยชน์มากมายสำหรับผู้ใช้ปลายทางที่สามารถใช้ปรับแต่ง เล่น แก้ไขปัญหา วินิจฉัย รักษาความปลอดภัย หรือทำอะไรก็ได้กับระบบปฏิบัติการWindows Sysinternals System Monitor (Sysmon)เป็นเครื่องมือที่เพิ่งเปิดตัวใหม่ซึ่งออกแบบมาสำหรับ คอมพิวเตอร์ที่ใช้ Windowsซึ่งรวบรวมไฟล์บันทึกของระบบทั้งหมด ไฟล์บันทึกเหล่านี้มีความสำคัญและจำเป็นอย่างยิ่งต่อการทำความเข้าใจปัญหาที่เกี่ยวข้องกับWindows เมื่อติดตั้งแล้ว Sysmon(Sysmon)จะยังคงทำงานในพื้นหลังแบบอยู่เฉยๆ และสามารถฟื้นคืนชีพได้เมื่อจำเป็น

Sysmon System Monitor สำหรับ Windows

เวิร์กโฟลว์พื้นฐานที่อยู่เบื้องหลังSystem Monitorคือการเก็บข้อมูลจากWindows Event Collection ( Event Viewer ) และSecurity Information and Event Management ( SIEM ) agent เช่น process IDs , GUID(GUIDs) , SHA1 , MD5 ( SHA256 ) hash logs มันเก็บไฟล์เหล่านี้ทั้งหมด ไว้ในโฟลเดอร์ Applications and Services\logs\Microsoft\Windows\Sysmon\operationalในWindows 10/8/7/Vistaและภายใต้System event log ในระบบปฏิบัติการ ( System event log)Windows  รุ่นเก่าเช่นWindows XP.

Sysmon System Monitor สำหรับ Windows

วิธีการติดตั้งการตรวจสอบระบบ
(How to install System Monitor)

  • ดาวน์โหลด Sysmon [(Download Sysmon [)ลิงค์ดาวน์โหลดด้านล่าง]
  • ไฟล์ที่ดาวน์โหลดมาจะอยู่ในรูปแบบ zip แตกไฟล์โดยใช้ตัวแยกไฟล์เริ่มต้นของ windows หรือลองWinrar , 7zip เป็นต้น
  • เมื่อไฟล์ถูกคลายซิปแล้ว ให้รัน"Sysmon"ยอมรับ EULA แล้วกด Next
  • รอ(Wait)ให้System , Monitorทำการติดตั้งให้เสร็จ เท่านั้น!

วิธีใช้ Sysmon(How to use Sysmon)

บรรทัดคำสั่งใน sysmon สามารถใช้เพื่อติดตั้ง ถอนการติดตั้ง ตรวจสอบ และปรับแต่งการกำหนดค่าของ System Monitor:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Uninstall:  Sysmon.exe –u

คำสั่งบางอย่างที่ผู้ใช้ต้องเข้าใจคือ:(Few commands that user need to understand are:)

i:ติดตั้งโปรแกรมบริการและไดรเวอร์

-n : เก็บบันทึกการเชื่อมต่อเครือข่าย

-u : ถอนการติดตั้งโปรแกรมบริการและไดรเวอร์

-c : มันอัพเดตไดรเวอร์ sysmon ที่ติดตั้งบนคอมพิวเตอร์หรือช่วยในการถ่ายโอนข้อมูลการตั้งค่าปัจจุบันที่มีอยู่

-h : ระบุอัลกอริทึมที่ใช้กับโปรแกรม [โดยค่าเริ่มต้น จะใช้ SHA1 ]

ตัวอย่าง:(Examples:)

  • วิธีติดตั้งแอปพลิเคชันด้วยการตั้งค่าเริ่มต้น: sysmon -i accepteula โดยไม่มีเครื่องหมายอัญประกาศ [ค่าเริ่มต้น SHA1]
  • ในการติดตั้งแอปพลิเคชันด้วยการตั้งค่า MD5 [SHA256]: sysmon -i accepteula –h md5 -n ”  
  • ถอนการติดตั้งsysmon -u

System Monitorเก็บเหตุการณ์เช่นEvent IDsเป็น

  • รหัสเหตุการณ์ 1(Event ID 1) : ใช้สำหรับการสร้างกระบวนการ
  • รหัสเหตุการณ์ 2(Event ID 2) : กระบวนการ(Process)เปลี่ยนเวลาสร้างไฟล์ด้วยการประทับเวลาและ
  • รหัสเหตุการณ์ 3(Event ID 3) : สำหรับการเชื่อมต่อเครือข่าย

เครื่องมือจะทำงานต่อไปในพื้นหลังและจะเขียนบันทึกเหตุการณ์ทั้งหมดลงในโฟลเดอร์ หลังจากติดตั้งหรือถอนการติดตั้งระบบไม่จำเป็นต้องรีบูตทั้งหมด

เป็นเครื่องมือที่จำเป็นสำหรับคอมพิวเตอร์ทุกเครื่องที่ทำงานบนWindows ไปคว้า เครื่องมือ ตรวจสอบระบบ(System Monitor)จากhere!

อัป(UPDATE) เดต : Windows Sysinternalsตอนนี้ Sysmon ยังบันทึกกิจกรรมของกระบวนการลงใน บันทึกเหตุการณ์ของ Windowsเพื่อใช้งานโดยการตรวจจับเหตุการณ์และการวิเคราะห์ทางนิติวิทยาศาสตร์ รวมถึงการโหลดไดรเวอร์และเหตุการณ์การโหลดรูปภาพพร้อมข้อมูลลายเซ็น การรายงานอัลกอริธึมการแฮชที่กำหนดค่าได้ ตัวกรองที่ยืดหยุ่นสำหรับการรวมและไม่รวมเหตุการณ์ และการสนับสนุน สำหรับการจัดหาการกำหนดค่าผ่านไฟล์การกำหนดค่าแทนบรรทัดคำสั่ง นอกจากนี้ยังได้รับการตรวจจับการปลอมแปลงกระบวนการมัลแวร์



นันทิชา ปืนครก

About the author

ฉันเป็นผู้เชี่ยวชาญด้าน Windows และทำงานในอุตสาหกรรมซอฟต์แวร์มากว่า 10 ปี ฉันมีประสบการณ์กับทั้งระบบ Microsoft Windows และ Apple Macintosh ทักษะของฉัน ได้แก่ การจัดการหน้าต่าง ฮาร์ดแวร์คอมพิวเตอร์และเสียง การพัฒนาแอพ และอื่นๆ ฉันเป็นที่ปรึกษาที่มีประสบการณ์ซึ่งสามารถช่วยให้คุณได้รับประโยชน์สูงสุดจากระบบ Windows ของคุณ


Related posts