SysmonX
[https://github.com/marcosd4h/sysmonx]
Версия Sysmon (сервис, совершающий мониторинг всех процессов в системе Windows) с открытым исходным кодом, созданная с целью дать возможность безопасникам масштабировать аудит событий Windows
• расширение источников сбора данных Sysmon и создание новых событий безопасности
• расширение возможностей Sysmon по корреляции событий. Это позволяет эффективно использовать новые логические операции между событиями и создавать расширенные возможности обнаружения
• обеспечение снижения количества ложных срабатываний путем сужения круга подозрительных событий
• состоит из автономного двоичного файла, который разворачивается как служба windows, поддерживает традиционные конфигурации Sysmon, а также предоставляет возможность настраивать SysmonX через CLI.
А также подборка материалов - https://github.com/ion-storm/sysmon-config, https://github.com/MHaggis/sysmon-dfir
#windows #sysmon #infosec #events #audit #dfir
[https://github.com/marcosd4h/sysmonx]
Версия Sysmon (сервис, совершающий мониторинг всех процессов в системе Windows) с открытым исходным кодом, созданная с целью дать возможность безопасникам масштабировать аудит событий Windows
• расширение источников сбора данных Sysmon и создание новых событий безопасности
• расширение возможностей Sysmon по корреляции событий. Это позволяет эффективно использовать новые логические операции между событиями и создавать расширенные возможности обнаружения
• обеспечение снижения количества ложных срабатываний путем сужения круга подозрительных событий
• состоит из автономного двоичного файла, который разворачивается как служба windows, поддерживает традиционные конфигурации Sysmon, а также предоставляет возможность настраивать SysmonX через CLI.
А также подборка материалов - https://github.com/ion-storm/sysmon-config, https://github.com/MHaggis/sysmon-dfir
#windows #sysmon #infosec #events #audit #dfir
Phant0m | Windows Event Log Killer
[https://github.com/hlldz/Phant0m]
приложение, которое обнаруживает и убивает потоки, отвечающие за службу Event Log. В итоге Event Log кажется запущенной в системе (поскольку Phant0m не убил процесс), на самом деле она не работает (поскольку Phant0m убил потоки), а система не собирает журналы.
• работает с svchost, ведь он управляет всеми службами Windows
• использует 2 методики обнаружение идентификатора процесса Event Log: первый это определение через диспетчер управления службами (SCM) с помощью API NtQueryInformationThread, а второй - через WMI (Windows Management Instrumentation), определяя имена DLL, связанные с потоками
• реализован как в качестве отдельного EXE-файла, так и в качестве DLL
#antiforensic #windows #events
[https://github.com/hlldz/Phant0m]
приложение, которое обнаруживает и убивает потоки, отвечающие за службу Event Log. В итоге Event Log кажется запущенной в системе (поскольку Phant0m не убил процесс), на самом деле она не работает (поскольку Phant0m убил потоки), а система не собирает журналы.
• работает с svchost, ведь он управляет всеми службами Windows
• использует 2 методики обнаружение идентификатора процесса Event Log: первый это определение через диспетчер управления службами (SCM) с помощью API NtQueryInformationThread, а второй - через WMI (Windows Management Instrumentation), определяя имена DLL, связанные с потоками
• реализован как в качестве отдельного EXE-файла, так и в качестве DLL
#antiforensic #windows #events
👍2
…И СНОВА ЗДРАВСТВУЙТЕ!
INVESTIGATION & FORENSIC TOOLS: REBORN
Разделы:
#software - программы для поиска, фиксации, исследования и анализа информации
#hardware - аппаратные проекты, позволяющие провести сбор, изъятие и анализ информации.
#books - книги и статьи о разведке и форензике
#slides - слайды с выступлений экспертов- практиков
#cards - пошаговые инструкции и mind-карты
#projects - различные проекты в области безопасности, аналитики и разведки
#links - ссылки на сервисы, каналы и различные источники по тематике
#events - мероприятия и анонсы по тематике
Что тут будет:
⁃ ВСЕ материалы публикуемые в канале будут тестироваться нашей командой и мы будем стараться отбирать их наиболее тщательно.
⁃ Так же будем стараться рецензировать все статьи, книги и сервисы которые вы увидите тут.
⁃ В канале появится аналитика по разным аспектам нашей тематики.
В ОБЩЕМ - УПОР ТОЛЬКО В ПРОВЕРЕННОЕ И ОПРОБОВАННОЕ НА СОБСТВЕННОЙ ШКУРЕ!
В планах:
⁃ Скорей всего, появится закрытая платная группа для консультаций
⁃ Скорей всего возродится история со стримами (но это неточно, так как предполагает затрату времени, внимания и сил)
Да, материалы будут появляться гораздо реже чем это было, но будем надеяться, что это хорошо отразится на качестве и пользе.
Хотите помочь в создание канала? Или отблагодарить за принесённую пользу?
Сделать это можно тут
СПАСИБО, ЧТО ВЫ С НАМИ!
INVESTIGATION & FORENSIC TOOLS: REBORN
Разделы:
#software - программы для поиска, фиксации, исследования и анализа информации
#hardware - аппаратные проекты, позволяющие провести сбор, изъятие и анализ информации.
#books - книги и статьи о разведке и форензике
#slides - слайды с выступлений экспертов- практиков
#cards - пошаговые инструкции и mind-карты
#projects - различные проекты в области безопасности, аналитики и разведки
#links - ссылки на сервисы, каналы и различные источники по тематике
#events - мероприятия и анонсы по тематике
Что тут будет:
⁃ ВСЕ материалы публикуемые в канале будут тестироваться нашей командой и мы будем стараться отбирать их наиболее тщательно.
⁃ Так же будем стараться рецензировать все статьи, книги и сервисы которые вы увидите тут.
⁃ В канале появится аналитика по разным аспектам нашей тематики.
В ОБЩЕМ - УПОР ТОЛЬКО В ПРОВЕРЕННОЕ И ОПРОБОВАННОЕ НА СОБСТВЕННОЙ ШКУРЕ!
В планах:
⁃ Скорей всего, появится закрытая платная группа для консультаций
⁃ Скорей всего возродится история со стримами (но это неточно, так как предполагает затрату времени, внимания и сил)
Да, материалы будут появляться гораздо реже чем это было, но будем надеяться, что это хорошо отразится на качестве и пользе.
Хотите помочь в создание канала? Или отблагодарить за принесённую пользу?
Сделать это можно тут
СПАСИБО, ЧТО ВЫ С НАМИ!
👍63❤16👎4