Microsoft发布Sysmon 11来帮助用户备份已删除的数据
Microsoft已发布Sysmon 11,它允许用户监视并自动将已删除文件归档在受监视的设备上。
为您提供信息,Sysmon是一个sysinternals工具,旨在监视系统是否存在恶意活动,并将这些事件记录到Windows事件日志中。尽管如此,用户可以删除受到破坏后在其网络上发生的恶意活动,或者执行事件响应和数字取证,以了解攻击是如何发生的。
在Sysmon 11发行版中,sysmon可以监视文件删除,并可以在删除文件时自动归档文件。当执行数字取证或缓解安全漏洞时,此工具还有助于事件响应。
当网络被破坏时,攻击者使用各种工具在网络中横向传播。一旦获得访问权限,他们便会收集有价值的数据并部署勒索软件等恶意软件。在这种情况下,攻击者会自动删除那些提到的工具,以便事件响应者和研究人员无法分析它们的弱点或了解它们如何破坏网络。
通过添加Sysmon的新文件删除监视和存档功能,事件响应者可以更轻松地访问受攻击者使用的工具和恶意软件可执行文件。这些文件有助于研究人员更多地了解攻击者的战术,技术和程序,以建立更好的防御能力。
您可以从Sysinternal的sysmon页面或https://live.sysinternals.com/sysmon.exe下载Sysmon 11。下载后,应从提升权限的命令提示符下运行它,因为它需要管理权限才能正常运行。
默认情况下,Sysmon 11可以监视基本信息,例如进程创建和文件时间修改。但是,您可以将其配置为记录许多其他事件。要使用此功能,您需要将新的ArchiveDirectory和FileDeletion配置选项添加到我们的Sysmon配置文件中。您可以使用以下命令加载配置文件:
sysmon -i sysmon.xml
/ DeletedFiles是文件夹的名称,在其中可以看到文件删除监视和基本配置文件启用的所有已删除文件的归档。此文件夹还存储已删除文件的副本。
将onmatch =“ exclude”选项用于FIleDeletion选项。使用此配置启动Sysmon时,它将开始将文件删除事件记录到事件查看器中的应用程序和服务日志/ Microsoft / Windows / Sysmon / Operational。
从C; /驱动器删除文件后,该文件将被存档在名为Sha1-hash.extension的C:/ DeletedFiles中。例如,以上文件存档为C:\ DeletedFiles \ C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F.exe。
该目录受系统ACL保护,要访问该目录,用户需要下载psexec.exe程序并使用以下命令启动cmd提示符:
psexec -sid cmd
下载后,可以轻松访问已删除的文件。
上面的示例只是一个示例,显示了系统监视器可以执行的操作。对于那些想了解更多有关此工具的人,请参考Sysinternails网站上的文档。