Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06) - JPCERTコーディネーションセンター(JPCERT/CC)
JPCERT/CCではマルウエアに感染した端末を起点として、他の端末への感染拡大やサーバーへの侵入など内部のネットワーク内に侵害が拡大する事例を多く確認しています。侵害を受けた端末の調査には、動作したアプリケーションや通信などの詳細なログを日頃から取得しておくことが望まれます。このような用途に使用できるツールとしてマイクロソフト社が提供しているSysmon[1]というツールがあります。Sysmonは、端末上で動作したアプリケーションの情報やレジストリエントリの作成、通信などWindows OSの様々な動作をイベントログに記録するツールです。このSysmonのログを調査する最も一般的な方法は、イベントログをテキストなどの形式に変換し検索する方法ですが、この方法では多数の端末を同時に調査することは困難です。 そこでJPCERT/CCではSysmonのログを一元管理し、ログ分析を迅速かつより正確
Bug Check 0x50 PAGE_FAULT_IN_NONPAGED_AREA - Windows drivers
Type of page fault 0x0 - NONPAGED_BUGCHECK_FREED_PTE - The address referenced is on a page table entry marked as free. 0x2 - NONPAGED_BUGCHECK_NOT_PRESENT_PAGE_TABLE The address referenced does not have a valid active page table entry. 0x03 - NONPAGED_BUGCHECK_WRONG_SESSION - An attempted reference to a session space address was made in the context of a process that has no session. Typically this
プログラムの通信履歴を残す - @port139 Blog
皆さんの組織では、マルウェア感染したWindows PCが(組織内の)何処と通信したか?、を追跡できるログを取っていますでしょうか? 先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねw」と Haruyama さんから突っ込みをいただいたので、Sysmon を利用したプログラムの通信履歴保存についてです(笑) プログラムの実行履歴はWindowsの監査機能を利用する事でセキュリティログに記録する事ができますが、プログラムが何処と通信したかは記録されていません。 いわゆる標的型攻撃、APT攻撃と呼ばれる攻撃では、マルウェア感染した機器を踏み台として、組織内の広い範囲への侵入や情報の搾取が行われます。 この為、被害範囲が広がっているのかを確認するには、マルウェア感染した端末が、何処と通信を行っていたのか?が重要な手がかりになります。 プログラムが何処
Update: Sysmon v3.0, Autornus v13.3, Regjump v1.1, Process Monitor v3.11
Sysmon v3.0 This release of Sysmon, an advanced background monitor that records process-related activity to the event log for use in intrusion detection and forensics, adds the process name to process terminate events, reports remote thread creation events, and improves the simplicity and flexibility of filter settings. Autoruns v13.3 Autoruns, a utility that shows what processes, DLLs, and driver
新しい仲間「Sysmon」はトラブルシューティングの必携ツールになりそうな予感
Windowsトラブルシューティングツールの老舗に新参者現る 「Windows Sysinternals」には60を超えるさまざまな無償ツールがありますが、つい先日、2014年8月5日(米国時間)に新しいツールとなる「Sysmon(System Monitor)」が仲間入りしました。8月20日には更新版の「v1.01」が公開され、イベントログ表示の改善やUDPデータグラムのログ機能が追加されました。 Sysinternalsツールの出入りは非常に珍しいことなので、それだけでニュースといえます。前回追加されたのは2013年3月の「Ru(Registry Usage)」、その前は2012年10月の「PsPing」です。一方、最後に引退したツールは、2011年9月の「ProcFeatures」になります(提供終了の理由は、当時リリースされた「Coreinfo v3.0」に機能が包含されているため
Sysmon - Sysinternals
By Mark Russinovich and Thomas Garnier Published: July 23, 2024 Download Sysmon (4.6 MB) Download Sysmon for Linux (GitHub) Introduction System Monitor (Sysmon) is a Windows system service and device driver that, once installed on a system, remains resident across system reboots to monitor and log system activity to the Windows event log. It provides detailed information about process creations, n
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Active Directory Explorer v1.52, Contig v1.82, and Sysmon v14.13
「Sysmon 14.0」が公開、マルウェアの検知・解析だけでなくブロックも可能に/Windows Sysinternalsのシステム監視ツール
Sysmon v14.0, AccessEnum v1.34, and Coreinfo v3.53
Procmon v3.70, Sysmon v13.10, Autoruns v13.99, TCPView v4.01 and WinObj v3.03
VirusTotal
Handle v4.22, NotMyFault v4.20, Process Explorer v16.25, Sysmon v10.1
Antivirus scan for 706f3d26475c8ccc0252e9e4fc7d5bf7cbab872094ed52bb267da45022bd6533 at 2018-10-31 12:27:57 UTC - VirusTotal
Sysmon v8.0, Autoruns v13.90
Sysmon v7.03
Sysmon v6.2, AccessChk 6.20, Sigcheck v2.60, Whois v1.20 – Sysinternals Site Discussion
VirusTotal
Sysinternals Update: Sysmon v6.02, Sigcheck v2.55
ランサムウェアやMiraiなど、セキュリティの最新動向をISPが解説 「IIJ Technical WEEK 2016」3日目レポート
Bug Check 0x9F DRIVER_POWER_STATE_FAILURE - Windows drivers