Sysmon

Sysmon este o aplicație oficială Microsoft pentru monitorizarea stării și evenimentelor sistemului. Cu ajutorul ei, poți avea un control detaliat asupra evenimentelor de sistem, precum crearea de procese, conexiuni de rețea, crearea și ștergerea fișierelor etc.

Programul se instalează prin intermediul liniei de comandă. Pentru instalare, va trebui să deschizi CMD.exe ca administrator în calea unde ai instalat programul. După aceasta, introdu comanda sysmon -i pentru a-l instala.

După aceea, accesează Vizualizatorul de Evenimente din Windows. Apoi mergi pe calea Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Acolo, poți vedea toate evenimentele care au loc în sistem. Evenimentele proceselor pe care programul este capabil să le înregistreze sunt următoarele:

1 ProcessCreate - Creare proces

2 FileCreateTime - Timpul de creare a fișierului

3 NetworkConnect - Conexiune de rețea detectată

4 Starea serviciului schimbată din Sysmon (nu poate fi filtrată)

5 ProcessTerminate - Proces terminat

6 DriverLoad - Driver încărcat

7 ImageLoad - Imagine încărcată

8 CreateRemoteThread - Creare de RemoteThread detectată

9 RawAccessRead - Acces brut detectat

10 ProcessAccess - Proces accesat

11 FileCreate - Fișier creat

12 RegistryEvent - Obiect din registru adăugat sau șters

13 RegistryEvent - Valoare de registru setată

14 RegistryEvent - Nume de obiect din registru schimbat

15 FileCreateStreamHash - Flux de fișier creat

16 Configurațiile modificate ale Sysmon (nu pot fi filtrate)

17 PipeEvent - Conductă JND-create-site_pipe_java_den_flow.

18 PipeEvent - S-a conectat la conductă

19 WmiEvent - Filtru WMI

20 WmiEvent - Consumator WMI

21 WmiEvent - Filtru consumator WMI

22 DNSQuery - DNS întrebat

23 FileDelete - Fișiere arhivate șterse

24 ClipboardChange - Conținut nou adăugat în clipboard

25 ProcessTampering - Imagine proces schimbată

26 FileDeleteDetected - Fișier șters înregistrat