1. 云栖社区>
  2. 全部标签>
  3. #Sysmon#
Sysmon

#Sysmon#

已有0人关注此标签

内容分类:
博客 | 问答 | 视频 | 资料 |

微软轻量级系统监控工具sysmon原理与实现完全分析(下篇)

上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。 驱动DriverEntry的初始化 从DriverEntry(PDRIVER_OBJECT DriverObject, UNICODE_STRING *pRe

函数 阿里技术协会 模块 监控工具 驱动 逆向 Sysmon

微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)

作者:浪子_三少 Sysmon是微软的一款轻量级的系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。经常有安全人员使用这款工具去记录并分析系统进程的活动来识别恶意或者异常活动。而本文讨论

算法 监控 函数 日志 windows 阿里技术协会 string 系统安全 监控工具 逆向 Sysmon

1
GO