<sup>寻找商业合作伙伴,请访问 www.cyber-distance.com 获取更多信息</sup>
本仓库包含以下内容:
Sysmon View 通过逻辑分组和关联各种 Sysmon 事件,帮助跟踪和可视化 Sysmon 日志。它使用现有的事件数据,如可执行文件名、会话 GUID、事件创建时间等,然后重新排列这些数据以多种视图方式显示。
入门
首先,使用内置的 WEVTUtil 将 Sysmon 事件导出为 XML 文件,该文件稍后将被 Sysmon View 导入:
WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml
导出后,运行 Sysmon View 并导入生成的文件"eventlog.xml"(或您选择的名称)。请注意,这可能需要一些时间,具体取决于日志文件的大小(文件只需导入一次,后续运行 Sysmon View 时无需再次导入数据,只需使用文件菜单 文件 -> 加载现有数据
即可再次加载先前导入的数据)。
所有数据都将导入到与 Sysmon View 可执行文件位于同一位置的名为 SysmonViewDB 的 SQLite 数据库文件中。如果需要,可以与他人共享此文件,只需将文件放在与 Sysmon View 相同的位置,然后使用命令 文件 -> 加载现有数据
。
每次导入新的 XML 文件时,数据库文件都会被删除并重新创建。要保留任何先前导入的数据,请将数据库文件复制到其他位置或简单地重命名它。
数据库也可以直接在您自己的应用程序中使用,数据库包含哈希值、可执行文件、IP 地址、地理映射的摘要,所有这些都通过文件名或会话(可执行文件 GUID)进行逻辑链接。
您可以使用任何 SQLite 管理软件直接查询数据库文件,而无需使用 Sysmon View,例如生成报告或分析数据
Sysmon 视图
进程视图 这个视图简单地帮助关注"运行会话"的摘要,例如,分析师可以从可执行文件名(如 cmd.exe)或事件类型(如网络事件)开始,从那里可以应用进一步的筛选,例如找到来自相同二进制文件但来自不同位置的运行会话。此视图使用进程 GUID 来按会话"运行"筛选事件,选择任何运行会话(从 GUID 列表中)将以简单的数据流视图显示所有其他相关(关联)事件,按事件时间排序。 注意:如果数据是从 Elasticsearch 实例而不是单台机器导入的,则可以按每台机器的可执行文件来安排事件 - 请查看上一节 "实验性 - Sysmon View 和 Elasticsearch")。
只需双击视图中的任何事件即可访问 Sysmon 事件详细信息,例如,上一个屏幕截图显示了 进程创建 事件(事件 ID 1)的详细信息,该工具还可以根据需要与 VirusTotal 集成,以进行进一步的哈希和 IP 查找(需要 API 密钥注册)。
地图视图: 在事件导入过程中,有一个选项可以对 IP 地址进行地理定位,如果设置了,Sysmon View 将尝试使用 https://ipstack.com/ 服务对网络目标进行地理映射。
在地图视图中,通过使用 网络事件 作为起点,很容易在相关(关联)事件之间导航,同样,该工具能够使用正在运行的进程会话 GUID 来实现这一点。要探索相关事件,请使用会话 GUID 的超链接,一个类似于进程视图的新视图将在新窗口中显示所有相关的会话事件:
所有事件视图也可用于对所有 Sysmon 收集的事件数据进行 全面搜索,它还有助于查看与其他事件无关的事件,例如"驱动程序已加载"事件类型。除了通过单击 FID 链接 查看事件详细信息外,仍然可以使用进程 GUID 在相关事件之间导航。
此外,所有事件视图支持事件的透视式(分组)排列,按机器名称、事件类型或 GUID 分组,如下所示
还可以进行多级分组
Sysmon Shell 可以通过简单的 GUI 界面帮助编写和应用 Sysmon XML 配置。
Sysmon Shell 还可用于探索 Sysmon 可用的各种配置选项,轻松应用和更新 XML 配置,以及导出 Sysmon 事件日志,简而言之:
Sysmon.exe -c command
来应用生成的XML配置文件(在Sysmon安装的同一文件夹中创建临时XML文件),因此,如果使用此功能,Sysmon Shell将需要提升权限(这是从Sysmon进程本身继承的需求),应用配置的输出将显示在预览窗格中(这是Sysmon生成的输出)它不会做的事: 警告您包含/排除冲突或尝试验证规则本身,但是,一旦应用配置,预览窗格将显示从应用配置时捕获的Sysmon.exe输出(即Sysmon -c command
的输出),从中可以识别错误
Sysmon Box是一个小工具,可以帮助构建捕获的Sysmon和网络流量数据库。
要运行Sysmon Box,请使用以下命令(需要运行Sysmon和tshark):
SysmonBox -in Wi-Fi
然后该工具将执行以下操作:
版权所有 2018 Nader Shallabi。保留所有权利。
可以在未经Nader Shallabi明确许可的情况下复制和/或分发SYSMON工具。
本软件由Nader Shallabi"按原样"提供,不作任何明示或暗示的保证,包括但不限于对适销性和特定用途适用性的暗示保证。在任何情况下,Nader Shallabi或贡献者均不对任何直接、间接、偶然、特殊、示范性或后果性损害(包括但不限于替代 商品或服务的采购;使用、数据或利润的损失;或业务中断)承担责任,无论是基于合同、严格责任还是侵权行为(包括疏忽或其他),即使被告知可能发生此类损害。
软件和文档中包含的观点和结论是作者的观点和结论,不应被解释为代表Nader Shallabi的官方政策,无论是明示还是暗示。
一键生成PPT和Word,让学习生活更轻松
讯飞智文是一个利用 AI 技术的项目,能够帮助用户生成 PPT 以及各类文档。无论是商业领域的市场分析报告、年度目标制定,还是学生群体的职业生涯规划、实习避坑指南,亦或是活动策划、旅游攻略等内容,它都能提供支持,帮助用户精准表达,轻松呈现各种信息。
深度推理能力全新升级,全面对标OpenAI o1
科大讯飞的星火大模型,支持语言理解、知识问答和文本创作等多功能,适用于多种文件和业务场景,提升办公和日常生活的效率。讯飞星火是一个提供丰富智能服务的平台,涵盖科技资讯、图像创作、写作辅助、编程解答、科研文献解读等功能,能为不同需求的用户提供便捷高效的帮助,助力用户轻松获取信息、解决问题,满足多样化使用场景。
一种基于大语言模型的高效单流解耦语音令牌文本到语音合成模型
Spark-TTS 是一个基于 PyTorch 的开源文本到语音合成项目,由多个知名机构联合参与。该项目提供了高效的 LLM(大语言模型)驱动的语音合成方案,支持语音克隆和语音创建功能,可通过命令行界面(CLI)和 Web UI 两种方式使用。用户可以根据需求调整语音的性别、音高、速度等参数,生成高质量的语音。该项目适用于多种场景,如有声读物制作、智能语音助手开发等。
字节跳动发布的AI编程神器IDE
Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。
AI助力,做PPT更简单!
咔片是一款轻量化在线演示设计工具,借助 AI 技术,实现从内容生成到智能设计的一站式 PPT 制作服务。支持多种文档格式导入生成 PPT,提供海量模板、智能美化、素材替换等功能,适用于销售、教师、学生等各类人群,能高效制作出高品质 PPT,满足不同场景演示需求。
选题、配图、成文,一站式创作,让内容运营更高效
讯飞绘文,一个AI集成平台,支持写作、选题、配图、排版和发布。高效生成适用于各类媒体的定制内容,加速品牌传播,提升内容营销效果。
专业的AI公文写作平台,公文写作神器
AI 材料星,专业的 AI 公文写作辅助平台,为体制内工作人员提供高效的公文写作解决方案。拥有海量公文文库、9 大核心 AI 功能,支持 30 + 文稿类型生成,助力快速完成领导讲话、工作总结、述职报告等材料,提升办公效率,是体制打工人的得力写作神器。
OpenAI Agents SDK,助力开发者便捷使用 OpenAI 相关功能。
openai-agents-python 是 OpenAI 推出的一款强大 Python SDK,它为开发者提供了与 OpenAI 模型交互的高效工具,支持工具调用、结果处理、追踪等功能,涵盖多种应用场景,如研究助手、财务研究等,能显著提升开发效率,让开发者更轻松地利用 OpenAI 的技术优势。
高分辨率纹理 3D 资产生成
Hunyuan3D-2 是腾讯开发的用于 3D 资产生成的强大工具,支持从文本描述、单张图片或多视角图片生成 3D 模型,具备快速形状生成能力,可生成带纹理的高质量 3D 模型,适用于多个领域,为 3D 创作提供了高效解决方案。
一个具备存储、管理和客户端操作等多种功能的分布式文件系统相关项目。
3FS 是一个功能强大的分布式文件系统项目,涵盖了存储引擎、元数据管理、客户端工具等多个模块。它支持多种文件操作,如创建文件和目录、设置布局等,同时具备高效的事件循环、节点选择和协程池管理等特性。适用于需要大规模数据存储和管理的场景,能够提高系统的性能和可靠性,是分布式存储领域的优质解决方案。
最新AI工具、AI资讯
独家AI资源、AI项目落地
微信扫一扫关注公众号