-
-
[原创]微软轻量级系统监控工具sysmon原理与实现------内核事件结构
-
发表于: 2020-11-20 17:10
-
前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。比如增加DNS得功能,这个功能实现也很简单,就是ETW里获取Microsoft-Windows-DNS-Client得数据,但是本篇不讲这个,本续篇主要讲内核里的事件结构。
所有的内核里上报的事件开头基本都是。
下面具体讲解每个事件的结构。
下图是文件上报事件,除了上报上诉三个字段外,还有ProcessPid、EventCreateTime,FileCreateTime、hashVlaue算法id,hashvalue、三组进程相关的数据用户UserSid、进程ImageFileName、文件名FileName
可以看到内核里上报出来的事件类型是根据是否计算hash来判断,分别是10 、11
内核出来的事件Type 值是2
结构体与FileCreate稍微有些不同,少了文件hash的计算的步骤,但是多了一个设置文件改变的时间。
进程创建上报事件内核的事件Type值是4或者1
他的结构体如下(具体不在讲解,名字字面意思都能看懂)
进程退出事件内核的Type值是3
可以看到数据有进程id、 父进程id、事件创建时间、UserSid
内核里的事件类型是7
结构体如下
DllInfo是指线程所在的模块名,DllExportInfo是该模块的导出表信息
内核事件类型是: 9
结构体定义如下:
进程注册表操作事件的Type值是12
结构体如下:
这里要说明的是附加数据段有5个数据
UserSid
RegistryOperateName
进程名带参数
KeyName
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
当楼主把sysmon了解透彻后就有了。。。
 749K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6#2L8X3c8W2N6W2)9J5k6h3&6A6L8X3A6S2i4K6u0r3M7%4W2K6L8h3!0F1i4K6u0V1K9h3&6@1k6i4u0F1j5h3I4K6i4K6u0V1k6Y4u0G2L8g2)9J5k6r3k6A6L8r3g2Q4x3X3c8V1k6h3I4W2N6r3g2Q4x3X3c8W2N6X3g2F1N6q4)9J5k6s2c8G2i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1j5$3!0V1k6g2)9J5k6r3g2^5k6h3y4#2N6r3W2G2L8W2)9J5c8R3`.`. |
|
|
这些我都逆向了,只是没发出来,有些是其他网站约稿我才发的,大半年没来论坛太不活跃了, 就随便挑了一个发了,代码也逆向了差不多了,之前代码只开源了一小部分,不过我逆向的目的
最后于 2020-11-22 21:02
被basketwill编辑
,原因:
|
|
|
下一部分慢慢发策略规则吧 |
|
|
|
|
|
|
