Sysmon

Sysmon — это официальное приложение от Microsoft для мониторинга состояния системы и событий. С его помощью вы можете осуществлять детальный контроль событий системы, таких как создание процессов, сетевые соединения, создание и удаление файлов и прочее.

Программа устанавливается через командную строку. Для установки откройте CMD.exe с правами администратора в каталоге, где установлена программа. Затем введите команду [b]sysmon -i[/] для её установки.

Затем перейдите в Просмотр событий Windows. Пройдите по пути Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Здесь вы можете увидеть все происходящие в системе события. Программа способна регистрировать следующие события процессов:

1 ProcessCreate - создание процесса

2 FileCreateTime - время создания файла

3 NetworkConnect - обнаружено сетевое соединение

4 Изменение статуса службы Sysmon (не фильтруется)

5 ProcessTerminate - процесс завершён

6 DriverLoad - драйвер загружен

7 ImageLoad - изображение загружено

8 CreateRemoteThread - обнаружение CreateRemoteThread

9 RawAccessRead - обнаружение RawAccessRead

10 ProcessAccess - доступ к процессу

11 FileCreate - файл создан

12 RegistryEvent - добавлен или удалён объект реестра

13 RegistryEvent - задано значение реестра

14 RegistryEvent - изменено имя объекта реестра

15 FileCreateStreamHash - создан поток файла

16 Изменение настроек Sysmon (не фильтруется)

17 PipeEvent - создан именованный канал

18 PipeEvent - подключение к именованному каналу

19 WmiEvent - фильтр WMI

20 WmiEvent - потребитель WMI

21 WmiEvent - фильтр потребителя WMI

22 DNSQuery - произведён запрос DNS

23 FileDelete - удалены архивные файлы

24 ClipboardChange - добавлено новое содержимое в буфер обмена

25 ProcessTampering - процесс изображения изменён

26 FileDeleteDetected - удалён зарегистрированный файл