Sysinternals Process Explorer
Улучшенная замена Task Manager: дерево процессов, дескрипторы, DLL, поиск «кто держит файл», быстрый разбор зависаний.
Установка:
Запуск: procexp.exe → Ctrl+F — найди процесс по имени файла.
Опционально: «Options → Check VirusTotal» — быстрая проверка подозрительных процессов.
#windows #тулзы #sysinternals #инциденты
Улучшенная замена Task Manager: дерево процессов, дескрипторы, DLL, поиск «кто держит файл», быстрый разбор зависаний.
Установка:
winget install Sysinternals.ProcessExplorer
Запуск: procexp.exe → Ctrl+F — найди процесс по имени файла.
Опционально: «Options → Check VirusTotal» — быстрая проверка подозрительных процессов.
#windows #тулзы #sysinternals #инциденты
Windows: Перестань быть слепым. Включаем "чёрный ящик" с помощью Sysmon
Стандартные логи Windows (Event Log) показывают, что произошло. Sysmon (System Monitor) показывает, как это произошло. Это бесплатная утилита из набора Sysinternals от Марка Руссиновича, которая превращает ваш сервер в настоящий бортовой самописец.
Sysmon — это не антивирус. Это инструмент для Threat Hunting (охоты на угрозы). Он логирует то, что обычно остаётся невидимым:
Создание процессов с хешами файлов.
Сетевые соединения для каждого процесса.
Загрузку драйверов и DLL.
Изменения в WMI и реестре.
Быстрый старт:
Скачайте Sysmon с сайта Microsoft (Sysinternals Suite).
Создайте конфигурационный файл. Начинать с нуля сложно, поэтому используйте проверенный шаблон от SwiftOnSecurity. Он отфильтровывает 95% шума и оставляет только потенциально вредоносные события.
PowerShell
Установка и запуск:
PowerShell
Где смотреть логи?
Все события Sysmon пишутся в стандартный Event Viewer по пути: Журналы приложений и служб / Microsoft / Windows / Sysmon / Operational.
Пример реального кейса:
Вы видите, что powershell.exe установил подозрительное сетевое соединение с IP-адресом в Китае (Событие ID 3). Открыв событие создания этого процесса (ID 1), вы видите его родительский процесс — winword.exe. Это классический признак фишинговой атаки через макрос в документе. Со стандартными логами вы бы этого не увидели.
Взгляд архитектора:
Sysmon — это основа для построения централизованной системы сбора и анализа логов (SIEM). Отправляя события Sysmon в ELK Stack, Splunk или Graylog, вы получаете полную картину происходящего в вашей инфраструктуре и можете выявлять сложные атаки на ранних стадиях.
#windows #security #sysmon #sysinternals #threat_hunting #architect
Стандартные логи Windows (Event Log) показывают, что произошло. Sysmon (System Monitor) показывает, как это произошло. Это бесплатная утилита из набора Sysinternals от Марка Руссиновича, которая превращает ваш сервер в настоящий бортовой самописец.
Sysmon — это не антивирус. Это инструмент для Threat Hunting (охоты на угрозы). Он логирует то, что обычно остаётся невидимым:
Создание процессов с хешами файлов.
Сетевые соединения для каждого процесса.
Загрузку драйверов и DLL.
Изменения в WMI и реестре.
Быстрый старт:
Скачайте Sysmon с сайта Microsoft (Sysinternals Suite).
Создайте конфигурационный файл. Начинать с нуля сложно, поэтому используйте проверенный шаблон от SwiftOnSecurity. Он отфильтровывает 95% шума и оставляет только потенциально вредоносные события.
PowerShell
# Скачиваем конфиг
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml" -OutFile sysmonconfig.xml
Установка и запуск:
PowerShell
# Устанавливаем Sysmon как службу с нашим конфигом
.\sysmon.exe -accepteula -i sysmonconfig.xml
Где смотреть логи?
Все события Sysmon пишутся в стандартный Event Viewer по пути: Журналы приложений и служб / Microsoft / Windows / Sysmon / Operational.
Пример реального кейса:
Вы видите, что powershell.exe установил подозрительное сетевое соединение с IP-адресом в Китае (Событие ID 3). Открыв событие создания этого процесса (ID 1), вы видите его родительский процесс — winword.exe. Это классический признак фишинговой атаки через макрос в документе. Со стандартными логами вы бы этого не увидели.
Взгляд архитектора:
Sysmon — это основа для построения централизованной системы сбора и анализа логов (SIEM). Отправляя события Sysmon в ELK Stack, Splunk или Graylog, вы получаете полную картину происходящего в вашей инфраструктуре и можете выявлять сложные атаки на ранних стадиях.
#windows #security #sysmon #sysinternals #threat_hunting #architect
👍2
👑 Windows: Режим Бога (SYSTEM) через PsExec
Бывают ситуации, когда даже прав «Администратора» не хватает. Например, нужно удалить защищенный ключ реестра, убить системный процесс или проверить, почему скрипт в Task Scheduler падает (он запускается от SYSTEM, и у него другое окружение).
Вам нужно стать системой. Используем классику от Марка Руссиновича — PsExec.
Команда для локального запуска:
Разбор флагов:
* -i: Интерактивный режим (показать окно).
* -s: Запуск от имени учетной записи Local System (NT AUTHORITY\SYSTEM).
* -d: Не ждать завершения процесса.
В открывшейся консоли наберите whoami. Вы увидите nt authority\system. Теперь у вас прав больше, чем у Администратора. Вы можете править скрытые ветки реестра и смотреть файлы, доступные только ОС.
⚠️ Warning: Антивирусы часто ругаются на PsExec (HackTool). Добавьте папку Sysinternals в исключения на админской машине.
#windows #sysinternals #security #troubleshooting #godmode #psexec
Бывают ситуации, когда даже прав «Администратора» не хватает. Например, нужно удалить защищенный ключ реестра, убить системный процесс или проверить, почему скрипт в Task Scheduler падает (он запускается от SYSTEM, и у него другое окружение).
Вам нужно стать системой. Используем классику от Марка Руссиновича — PsExec.
Команда для локального запуска:
psexec -i -s -d cmd.exe
Разбор флагов:
* -i: Интерактивный режим (показать окно).
* -s: Запуск от имени учетной записи Local System (NT AUTHORITY\SYSTEM).
* -d: Не ждать завершения процесса.
В открывшейся консоли наберите whoami. Вы увидите nt authority\system. Теперь у вас прав больше, чем у Администратора. Вы можете править скрытые ветки реестра и смотреть файлы, доступные только ОС.
⚠️ Warning: Антивирусы часто ругаются на PsExec (HackTool). Добавьте папку Sysinternals в исключения на админской машине.
#windows #sysinternals #security #troubleshooting #godmode #psexec
👍2