Được xuất bản vào ngày 10 tháng 3 năm 2026, 11:00 sáng EDT
Oluwademilade là một người đam mê công nghệ với hơn 5 năm kinh nghiệm viết lách. Anh gia nhập nhóm MUO vào năm 2022 và phụ trách nhiều chủ đề khác nhau, bao gồm công nghệ tiêu dùng, iOS, Android, trí tuệ nhân tạo, phần cứng, phần mềm và an ninh mạng. Ngoài việc viết bài tại MUO, tác phẩm của anh còn xuất hiện trên HowtoGeek, Cryptoknowmics, TechNerdiness và SlashGear.
Oluwademilade theo học tại Đại học Ibadan ở Nigeria, lấy bằng y khoa của Trường Cao đẳng Y khoa. Xuất sắc trong lĩnh vực phục vụ cộng đồng, Oluwademilade được một tổ chức sinh viên liên kết với Liên hợp quốc vinh danh với danh hiệu Đại sứ hành động toàn cầu. Anh nhận được danh hiệu này tại Kuala Lumpur, Malaysia, để ghi nhận những nỗ lực của anh trong việc tạo ra tác động tích cực toàn cầu vào năm 2020
Trong thời gian rảnh rỗi, Oluwademilade thích thử nghiệm các ứng dụng và tính năng AI mới, khắc phục sự cố công nghệ cho gia đình và bạn bè, học ngôn ngữ lập trình mới và đi du lịch đến những địa điểm mới bất cứ khi nào có thể.
Bạn có thể cho rằng nếu có điều gì đó mờ ám xảy ra trên PC của bạn, phần mềm chống vi-rút của bạn sẽ phát hiện được. Và có thể nó sẽ xảy ra - cuối cùng. Nhưng vào thời điểm phần mềm bảo mật truyền thống cảnh báo, thiệt hại đã có thể xảy ra. Điều gì sẽ xảy ra nếu máy tính của bạn có thể ghi nhật ký chi tiết, đang chạy về mọi thứ đang diễn ra:mọi quy trình khởi chạy, mọi kết nối mạng mở ra, mỗi khi dấu thời gian tạo tệp bị thay đổi đáng ngờ?
Đó chính xác là những gì Sysmon làm. Đây là một công cụ miễn phí do Microsoft xây dựng, thuộc danh mục rộng hơn các công cụ Windows Sysiternals để phát hiện hành vi đáng ngờ. Điều thú vị là mặc dù những tiện ích này là tiêu chuẩn vàng để tìm phần mềm gián điệp và phần mềm quảng cáo trên PC của bạn nhưng hầu hết người dùng Windows hàng ngày có thể chưa bao giờ nghe nói về chúng.
Sysmon mang lại cho Windows mức độ hiển thị mà tính năng ghi nhật ký tích hợp của nó không thể sánh được
Event Viewer sẽ không bao giờ cắt nó
Windows đã lưu giữ nhật ký sự kiện và nếu bạn đã từng mở Trình xem sự kiện để khắc phục sự cố, bạn có thể nhận thấy chúng có thể hỗn loạn đến mức nào. Có rất nhiều tiếng ồn và không phải lúc nào cũng đủ rõ ràng. Sysmon, viết tắt của System Monitor, là một loài động vật hoàn toàn khác. Sau khi được cài đặt, nó sẽ chạy như một trình điều khiển thiết bị và dịch vụ hệ thống liên tục, vẫn tồn tại sau các lần khởi động lại và ghi các sự kiện rất chi tiết vào nhật ký sự kiện Windows. Sự khác biệt tương tự như việc so sánh một camera an ninh bị nhiễu hạt với một camera có khả năng đọc biển số xe.
Danh mục sự kiện của Sysmon ghi lại quá trình tạo quy trình cùng với các đối số dòng lệnh đầy đủ, do đó, bạn không chỉ thấy chương trình đã chạy mà còn thấy chương trình được khởi chạy như thế nào. Nó cũng ghi lại các kết nối mạng, bao gồm quá trình khởi tạo, địa chỉ IP, cổng và tên máy chủ. Điều đó giúp bạn có thể theo dõi ứng dụng nào đã liên hệ với máy chủ nào và khi nào. Nó thậm chí còn gắn cờ các thay đổi đối với dấu thời gian tạo tệp, một phần mềm độc hại lừa gạt cổ điển sử dụng để ngụy trang thành các tệp hệ thống hợp pháp. Ngoài ra, Sysmon còn theo dõi việc tải trình điều khiển, thay đổi sổ đăng ký, truy vấn DNS và các kỹ thuật nâng cao hơn như làm rỗng quy trình, ghi lại theo ID sự kiện 25, trong đó mã độc ẩn bên trong một quy trình Windows thiết yếu.
Liên quan
Đây là cách nhận biết PC của bạn có đang được sử dụng âm thầm cho mục đích khác hay không
Bạn nghĩ rằng PC của bạn có thể làm được nhiều việc hơn bạn yêu cầu? Đây là cách tôi kiểm tra hoạt động ẩn.
Đây là bảng nháp bao gồm các ID sự kiện liên quan đến bảo mật nhất:
<đầu>ID sự kiện
Tên
Nó chụp được gì
1
Quy trình tạo
Mọi quy trình khởi chạy, bao gồm dòng lệnh đầy đủ, quy trình gốc và hàm băm tệp. Đây là sự kiện hữu ích nhất để phát hiện các vụ hành quyết đáng ngờ.
2
Thời gian tạo tệp đã thay đổi
Gắn cờ khi một quá trình cố tình thay đổi dấu thời gian tạo tệp, một chiến thuật phần mềm độc hại cổ điển để trà trộn vào các tệp hệ thống hợp pháp.
3
Kết nối mạng
Ghi lại các kết nối TCP/UDP gửi đi, liên kết từng kết nối với quy trình đã tạo ra nó. Điều này rất cần thiết để phát hiện báo hiệu hoặc đánh cắp dữ liệu.
6
Đã tải trình điều khiển
Ghi lại trình điều khiển kernel khi chúng tải, bao gồm cả trạng thái chữ ký. Trình điều khiển không được ký tên hoặc không mong muốn là một dấu hiệu cảnh báo nghiêm trọng.
7
Đã tải hình ảnh
Theo dõi quá trình tải DLL vào các tiến trình; bị tắt theo mặc định do âm lượng nhưng mạnh mẽ để phát hiện việc chiếm quyền điều khiển DLL khi được lọc cẩn thận
8
Tạo chủ đề từ xa
Phát hiện khi một quy trình chèn một luồng vào một quy trình khác, đây là một kỹ thuật đặc trưng của việc tiêm mã và xử lý các cuộc tấn công làm rỗng.
10
Truy cập quy trình
Kích hoạt khi một quy trình mở bộ nhớ của một quy trình khác, bắt các công cụ đánh cắp thông tin xác thực nhắm mục tiêu LSASS (quy trình lưu trữ bí mật đăng nhập Windows).
11
Tạo tập tin
Ghi nhật ký các tệp mới được tạo hoặc ghi đè, đặc biệt hữu ích khi xem các thư mục Temp, Downloads và Startup.
12–14
Sự kiện đăng ký
Bao gồm việc tạo, xóa, thay đổi giá trị và đổi tên khóa đăng ký, cách chính mà phần mềm độc hại thiết lập sự tồn tại trong suốt quá trình khởi động lại.
15
Tệp tạo chuỗi băm
Bắt các tệp được tải xuống qua trình duyệt bằng cách ghi lại luồng Mã định danh vùng được đính kèm với chúng. Nó rất hữu ích cho việc truy tìm nguồn gốc của các tệp thực thi đáng ngờ.
17–18
Sự kiện ống
Các màn hình có tên là tạo và kết nối đường ống, một phương thức liên lạc giữa các quá trình phổ biến được sử dụng bởi phần mềm độc hại và các khuôn khổ sau khai thác như Cobalt Strike.
19–21
Sự kiện WMI
Theo dõi bộ lọc WMI và đăng ký người dùng, một kỹ thuật lưu giữ không dùng tệp được ưa chuộng mà hầu như không để lại dấu vết nếu không có sự kiện này.
22
Truy vấn DNS
Ghi lại mọi hoạt động tra cứu DNS mà một quy trình thực hiện, giúp phát hiện các kết nối tới các miền độc hại đã biết ngay cả trước khi kết nối TCP đầy đủ được thiết lập.
25
Giả mạo quy trình
Phát hiện lỗ hổng quy trình và herpaderping (kỹ thuật thay thế bộ nhớ quy trình hợp pháp bằng mã độc để tránh bị phát hiện).
29
Đã phát hiện tệp thực thi được
Gắn cờ việc tạo bất kỳ tệp thực thi mới nào (định dạng PE) trên hệ thống, một dấu hiệu ban đầu mạnh mẽ về việc trình nhỏ giọt hoặc trình cài đặt đang chạy.
Đây là cách thiết lập và chạy Sysmon
Nếu bạn có thể mở một thiết bị đầu cuối, bạn đã đi được gần hết chặng đường đó
Sysmon là bản tải xuống miễn phí từ trang Sysiternals của Microsoft (phiên bản 15.15 tính đến thời điểm viết bài này) và việc cài đặt chỉ bằng một lệnh duy nhất. Bạn sẽ cần có đặc quyền của quản trị viên và thực hiện một vòng ngắn thông qua PowerShell hoặc Dấu nhắc lệnh, nhưng toàn bộ quá trình chỉ mất chưa đầy năm phút.
Sysmon
HĐH Windows (cũng có phiên bản Linux)
Nhà phát triển Microsoft (nhóm Sysinternals)
Mô hình giá miễn phí
Sysmon là một công cụ giám sát hệ thống tiên tiến ghi lại hoạt động chi tiết của Windows, chẳng hạn như khởi chạy quy trình, kết nối mạng và thay đổi tệp. Nó chạy ở chế độ nền, giúp các chuyên gia bảo mật có cái nhìn sâu sắc về những gì đang diễn ra bên trong PC.
Đi tới trang Sysmon chính thức trên Microsoft Learn, tải xuống tệp ZIP (khoảng 4,6 MB) và trích xuất nội dung của nó. Sau đó mở PowerShell hoặc Dấu nhắc lệnh với tư cách quản trị viên, điều hướng đến thư mục và chạy:
.\sysmon64 -accepteula -i
Đó là cài đặt cơ bản:Sysmon sẽ cài đặt dịch vụ và trình điều khiển của nó ở chế độ nền. Trên thực tế, bạn thậm chí không cần phải khởi động lại. Từ thời điểm đó trở đi, nó bắt đầu ghi nhật ký các sự kiện vào Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> Sysmon -> Hoạt động trong Trình xem sự kiện . Bạn có thể xem các nhật ký đó ngay lập tức.
Việc gỡ cài đặt cũng đơn giản như vậy:sysmon64 -u . Công cụ này không bao giờ cố gắng cố thủ, điều mà tôi tôn trọng.
Bạn không cần phải tự mình tìm ra điều này
Cài đặt Sysmon mặc định có chức năng, nhưng nó thực sự hoạt động với một tệp cấu hình. Sysmon chấp nhận cấu hình XML chỉ định sự kiện nào cần ghi, sự kiện nào cần lọc và cách thực hiện chi tiết. Nếu không quen với định dạng này, bạn có thể tìm hiểu xem tệp XML là gì và cách sử dụng tệp đó, vì những tệp này xác định "logic" mà Sysmon sử dụng để giám sát hệ thống của bạn. Tự viết từ đầu là một dự án — nhưng bạn không cần phải làm vậy.
Cộng đồng an ninh mạng đã tạo ra một số cấu hình làm sẵn nổi bật. Được sử dụng rộng rãi nhất là sysmon-config SwiftOnSecurity, có sẵn miễn phí trên GitHub, với gần 5.000 sao và hơn 1.700 nhánh. Nó đã được điều chỉnh cẩn thận để ghi lại các sự kiện liên quan đến bảo mật đồng thời lọc tiếng ồn có thể khiến nhật ký của bạn không thể đọc được. Mỗi dòng đều được nhận xét, vì vậy nó đóng vai trò như một hướng dẫn. Để cài đặt với cấu hình này, bạn hãy chạy:
sysmon64 -accepteula -i sysmonconfig-export.xml
Để cập nhật cài đặt hiện có bằng tệp cấu hình mới:
sysmon64 -c sysmonconfig-export.xml
Nếu bạn muốn thứ gì đó mang tính mô-đun hơn nữa, dự án mô-đun hệ thống của Olaf Hartong (trên GitHub) cung cấp một cách tiếp cận có thể tổng hợp, được cộng đồng duy trì, ánh xạ trực tiếp tới khung MITER ATT&CK. Cả hai đều là điểm khởi đầu tuyệt vời.
Nó sẽ không dừng mọi cuộc tấn công, nhưng bạn sẽ biết một cuộc đã xảy ra
Bạn không cần phải là kỹ sư bảo mật để chạy tốt Sysmon. Bạn cần một tệp cấu hình hợp lý, sẵn sàng thỉnh thoảng mở Trình xem sự kiện và hài lòng khi biết rằng nếu có điều gì đó lạ xảy ra trên máy của bạn, bạn sẽ có bản ghi về nó. Đối với tôi, sự yên tâm đó đáng giá 5 phút thiết lập.