Sysmon 6.0 i paczka Sysinternals – narzędzia monitoringu i kontroli Windowsa (niemal) od Microsoftu
20.02.2017 15:31
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Jeśli chodzi o monitorowanie i diagnozowanie Windowsa, toniewiele jest lepszych narzędzi, niż te, które oferuje WindowsSysinternals, jednostka zależna Microsoftu. Upewniają o tymostatnie wydania monitora Sysmon w wersji 6.0 oraz pakietuSysinternals. Choć nie jest to oprogramowanie łatwe w obsłudze, wrękach kompetentnych użytkowników pozwala na dogłębny wgląd wto, co z systemem operacyjnym Microsoftu się dzieje.
Sysmon 6.0: wszystko, co chcesz wiedzieć oWindowsie – i nie boisz się zapytać
Sysmon funkcjonuje jako usługa systemowa i sterownik Windowsa,który zajmuje się śledzeniem aktywności systemu plików,Rejestru, stosu sieciowego i działających aplikacji. Uruchamia sięna wczesnym etapie rozruchu systemu, wychwytując praktyczniewszystkie detale.
Wraz z nowym wydaniem dostajemy możliwość logowania procesów,które uzyskują dostęp do innych procesów (dobra metodawychwycenia aktywności malware), śledzenia w przyjazny dlaużytkownika sposób zmian przeprowadzanych w Rejestrze iwychwytywania zdarzeń związanych z potokami (co pozwala wychwycićpodejrzaną komunikację między procesami). Narzędzie uodporniłosię także na próby potajemnej modyfikacji konfiguracji – logujejako niezależne zdarzenia wszelkie takie zmiany.
Początkującym użytkownikom przyda się flaga -s, która pozwalazapisać cały aktualny stan konfiguracji Sysmona do pliku XML.Szczegółowe informacje temat wykorzystania tego systemowegomonitora znajdziecie naTechnecie, na blogu jego autora, Marka Russinovicha.
Nową wersję Sysmona znajdziecie oczywiście w naszej bazieoprogramowania – działa z Windowsem 7 i nowszymi.
Sysinternals – pakiet narzędzi na każdąokazję
Wraz z wydaniem nowego Sysmona firma ogłosiła dostępnośćnowych wersji wysoce użytecznych programików z pakietu SysinernalsSuite. Pojawiły się nowe wersje programików Autoruns, AccessChk,BgInfo, LiveKD, Process Explorer oraz Process Monitor. Otonajważniejsze wprowadzone w nich zmiany:
Autoruns pokazuje teraz biblioteki monitorów drukarek,odpowiedzialne za przesyłanie danych z systemowej kolejki wydruku dosterownika drukarki, rozszerza też swoje wsparcie dla danychpłynących z protokołów Windows Management Instrumentation(zarówno danych o software jak i sprzęcie).
AccessCheck potrafi poinformować o wpisach kontroli dostępu dlaprocesów w Windows 10 oraz atrybutach bezpieczeństwa tokenów
Process Monitor doczekał się możliwości wyświetlaniaidentyfikatorów procesów i wątków w formacie szesnastkowym. Jestteż teraz zgodny z nową polityką podpisywania sterowników.
Wszystkie wspomniane programy lepiej sobie radzą z działaniemna ekranach HiDPI, usunięto z nich też sporo błędów.
Nową wersję pakietu Sysinternals znajdziecie w naszej bazieoprogramowania, narzędzia te działają z Windowsem 7 i nowszymi.