Sysmon

Sysmon là ứng dụng chính thức của Microsoft để theo dõi trạng thái và sự kiện của hệ thống. Với ứng dụng này, bạn có thể kiểm soát chi tiết các sự kiện trên hệ thống như tạo tiến trình, kết nối mạng, tạo và xóa tệp tin v.v.

Ứng dụng được cài đặt thông qua dòng lệnh. Để cài đặt, bạn cần mở CMD.exe với quyền quản trị viên tại thư mục đã cài đặt ứng dụng. Sau đó, nhập lệnh sysmon -i để tiến hành cài đặt.

Từ đó, hãy truy cập vào Trình xem Sự kiện của Windows. Đến đường dẫn Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Tại đây, bạn có thể thấy tất cả các sự kiện xảy ra trên hệ thống. Những sự kiện tiến trình mà ứng dụng có thể ghi lại như sau:

1 ProcessCreate - Quá trình tạo tiến trình

2 FileCreateTime - Thời gian tạo tệp

3 NetworkConnect - Liên kết mạng được phát hiện

4 Thay đổi trạng thái dịch vụ Sysmon (không thể lọc)

5 ProcessTerminate - Tiến trình bị kết thúc

6 DriverLoad - Trình điều khiển được tải lên

7 ImageLoad - Tải ảnh -

8 CreateRemoteThread - Phát hiện CreateRemoteThread

9 RawAccessRead - Phát hiện RawAccessRead

10 ProcessAccess - Tiếp cận tiến trình

11 FileCreate - Tạo tệp mới

12 RegistryEvent - Thêm hoặc xóa đối tượng đăng ký

13 RegistryEvent - Đặt giá trị trong đăng ký

14 RegistryEvent - Thay đổi tên của đối tượng đăng ký

15 FileCreateStreamHash - Tạo luồng tệp

16 Thay đổi cài đặt Sysmon (không thể lọc)

17 PipeEvent - Tạo ống dẫn có tên

18 PipeEvent - Kết nối vào ống dẫn có tên

19 WmiEvent - Bộ lọc WMI

20 WmiEvent - Người tiêu dùng WMI

21 WmiEvent - Bộ lọc người tiêu dùng WMI

22 DNSQuery - Thực hiện truy vấn DNS

23 FileDelete - Tệp đã bị xóa khỏi kho lưu trữ

24 ClipboardChange - Thêm nội dung mới vào bảng tạm

25 ProcessTampering - Hình ảnh tiến trình đã bị thay đổi

26 FileDeleteDetected - Ghi nhận tệp đã bị xóa