系統活動用Sysmon全程監控

平淡

1.可疑活動 全面監控

首先到https：∥docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon下載Sysmon軟件，下載后復制到C：＼Windows＼System32備用。接著以管理員身份啟動命令提示符，輸入“sysmon-accepteula-i”并回車，完成監控服務的安裝（圖1）。

安裝監控服務后，就可以監視系統活動，比如很多釣魚郵件都會通過隱藏的鏈接在后臺下載木馬，然后竊取電腦中的資料。下面介紹如何使用Sysmon追查這些惡意活動。

由于這里是對包含惡意鏈接的郵件進行監控，為了系統的安全，建議使用Windows 10自帶的虛擬機系統進行測試。同上在虛擬機中安裝Sysmon，接著在搜索框輸入“事件查看器”，啟動程序后依次展開“應用程序和服務日志→Microsoft→Windows→Sysmon→Operational”，這里就可以看到Svsmon的監視記錄，每個事件ID代表一類事件，比如ID2代表“File creation time changed”（文件創建時間變化），可以用來查看系統中所有創建的新文件（圖2）。

因為這里我們主要是針對釣魚郵件的鏈接進行監視，所以需要先點擊右側的“清除日志”，在打開的窗口中點擊“清除”，先將無關的監視記錄刪除，并且將無關的應用程序也關閉（圖3）。

我們必須使用虛擬機等比較安全的環境，在其中用Outlook打開釣魚郵件，按提示點擊其中的鏈接，可以看到桌面會啟動QQ瀏覽器訪問一個頁面，然后瞬間又自動關閉了。那么這其中發生了什么？同上切換到事件查看器窗口，按F5刷新記錄，查看ID1（Process Create，進程創建）的記錄，記錄顯示用戶打開了Outlook（郵件客戶端程序），在點擊鏈接后激活QQ瀏覽器訪問https：∥www.xxxxx.com/track/f7627158iazt（圖4）。

繼續查看ID2事件，可以看到在訪問這個網站后，QQ瀏覽器從其中下載一個名為“8dc6469b-6a53-4d46-b990-8c8e1fdf371b.exe”的可執行程序，文件位于“C：＼Users＼當前用戶＼AppData＼Local＼Tencent＼QQBrowser＼User Data＼Default＼”下（圖5）。

再查看ID1記錄，可以看到系統新建了一個進程，運行的正是上述下載的惡意程序。再結合系統Defender的攔截記錄可以知道，這個惡意程序被系統攔截提示為惡意木馬。顯然這就是釣魚郵件常用的伎倆，它們通過郵件的鏈接，誘導用戶點擊后連接到網站下載惡意軟件。借助Sysmon的監控記錄可以清晰地看到釣魚過程。

2.監控功能 個性定制

Sysmon的監控功能很強大，可以借助xml配置文件按需打造適合各種條件下使用的監控環境。比如新版11.0增加了對文件刪除的監控，下面就可以通過添加參數的方法來增加這個新的監控功能。

首先到http：∥suo.im/5SHAim（提取碼：2ri4）下載示例配置文件，下載后將其保存在E：＼，使用寫字板打開后，在“”代碼下添加下列的代碼（圖6）：

完成代碼的編輯后保存，接著再次打開命令提示符窗口輸入“Sysmon/c e：＼1.xml”，當屏幕提示“Configuration updated”（配置已更新），繼續輸入“Sysmon/c”，這樣可以看到更新的配置了（圖7）。

這樣，以后系統中任何文件的刪除都將會被自動記錄。比如很多黑客入侵我們的系統后會刪除黑客工具，我們進入系統事件查看器，對ID為23的事件進行篩選，然后仔細查看被刪除的文件，同時結合ID2事件，這樣，黑客入侵后，在我們的電腦中增加、刪除的文件就一目了然了（圖8）。

當然大家也可以自行編輯xml文件，為Sysmon定制更多的系統監視功能。關于配置文件的更多知識，可以打開上述Sysmon下載頁面查看幫助文檔的介紹。