Introduction
If you’re on this page you probably don’t need me to explain much about what Sysmon is or why it is an excellent tool for security monitoring. In short:
- It’s part of Microsoft’s Sysinternals Suite
- So it should play nice with Windows
- It can monitor almost anything that happens on a Windows host
- So it can detect all the most common MITRE ATT&CKs
- It logs using Windows Event Logs
- So it’s easy to export to a SIEM etc for analysis
However, if you’ve tried rolling Sysmon out to a large number of machines, and then removing or updating it, you may have experienced some issues. At least, I did. So I’ve collated some of my findings.
At the time of writing Sysmon is on version 13.20.
Что такое инструменты sysinternals?
Набор инструментов SysInternals — это просто набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. Все они портативны, а это значит, что вам не только не нужно их устанавливать, вы можете скопировать их на флешку и использовать с любого ПК. Фактически, вы можете запускать их без установки через SysInternals Live (что мы немного проиллюстрируем).
Инструменты включают в себя такие утилиты, как Process Explorer, который очень похож на диспетчер задач с множеством дополнительных функций, или Process Monitor, который контролирует ваш компьютер на предмет изменений файловой системы, реестра или даже сетевой активности практически любого процесса в вашей операционной системе.
Autoruns помогает контролировать автоматическую запуску всех процессов, TCPView показывает, что подключается к ресурсам в Интернете, и есть целый набор инструментов, которые запускаются из командной строки, чтобы помочь вам взять под контроль процессы, службы и т. д.
Большинству этих инструментов потребуется права администратора на вашем компьютере, поэтому было бы разумно протестировать их на виртуальной машине или на тестовом компьютере, если вы не уверены, что делаете — это очень мощные инструменты.
Например, предположим, что вы хотите устранить причину, по которой компьютер стал работать слишком медленно. И вы хотите проверить все потоки для конкретного приложения, а затем вы хотите увидеть весь стек для одного из этих потоков, чтобы точно узнать, какие библиотеки DLL и функции вызываются.
Что всё это значит? Подождите до уроков 2 и 3, где мы сделаем все возможное, чтобы объяснить вам концепции и, что более важно, объяснить, почему вы вас могут заинтересовать такие дебри процессов.
Install
This is the easy bit. Download Sysmon.zip from the main website, extract, then run:
Sysmon64.exe -i
If you have a config file you want to use:
Sysmon64.exe -i <path-to-config.xml>
Done.
Sysinternals suite — набор системных утилит для windows
Большинству опытных пользователей Windows знакомы бесплатные программы из набора Microsoft Sysinternals, такие как из и другие, о некоторых из них я очень давно писал в статье Бесплатные утилиты Майкрософт, о которых вы не знали.
Ранее эти утилиты требовалось скачивать по отдельности, теперь же пользователи Windows 11 и Windows 10 могут скачать и установить набор наиболее востребованных инструментов Sysinternals Suite из магазина приложений Microsoft Store, а пользователи предыдущих версий системы могут скачать автономный установщик этого набора с официального сайта, о чем далее в статье. Также может быть полезным: Microsoft PowerToys — полезные системные утилиты для Windows 11 и Windows 10.
Всё что потребуется для установки Sysinternals Suite, это несколько простых шагов:
- Пользователи Windows 11 и Windows 10 могут открыть магазин приложений Microsoft Store и выполнить поиск по запросу «Sysinternals Suite» и установить его. Прямая ссылка на приложение в магазине.
- Пользователи предыдущих версий системы могут скачать установщик набора утилит с официального сайта, а затем выполнить установку.
В результате будет установлен набор самых популярных и часто используемых опытными пользователями и системными администраторами утилит Sysinternals.
Приложения вы найдете в списке всех приложений в меню «Пуск»:
Утилиты, входящие в набор Sysinternals Suite (их описания можно найти на странице https://msconfig.ru/ru-ru/sysinternals/):
Надеюсь, для кого-то информация окажется полезной и упростит скачивание и установку необходимых инструментов в Windows.
The investigation
This led me to further investigation. I ran several installs and uninstalls and took snapshots using Regshot, an awesome tool that lets you do before-and-afters for the filesystem and registry.
From this, I found Sysmon affects the following:
C:WindowsSysmon64.exeC:WindowsSysmonDrv.sysHKLM:SYSTEMCurrentControlSetServicesSysmon64HKLM:SYSTEMCurrentControlSetServicesSysmonDrvHKLM:SYSTEMControlSet001ServicesSysmon64HKLM:SYSTEMControlSet001ServicesSysmonDrvHKLM:SYSTEMControlSet002ServicesSysmon64HKLM:SYSTEMControlSet002ServicesSysmonDrvHKLM:SOFTWAREMicrosoftWindowsCurrentVersionWINEVTChannelsMicrosoft-Windows-Sysmon/OperationalHKLM:SOFTWAREMicrosoftWindowsCurrentVersionWINEVTPublishers{5770385f-c22a-43e0-bf4c-06f5698ffbd9}HKLM:SYSTEMCurrentControlSetControlWMIAutologgerEventLog-Microsoft-Windows-Sysmon-Operational
Other findings:
- Even though it says
Sysmon64 removed., uninstalling Sysmon does not remove theSysmon64.exefile itself. This needs to be done manually. - If it fails, often even a machine reboot won’t fix it. This is because the
ServicesSysmonDrvregistry keys, andSysmonDrv.sys, still exist. When the machine restarts, the service will start (note it’s not visible in Task Manager or the Services manager). If you try to uninstall or reinstall, you get the above “already exists” issue.
This means, if the Sysmon64.exe -u fails, you’ll need to do some manual intervention. This is the best I’ve found.
The problem
Except, sometimes it fails. And when it does, you’re kind of stuck. You can’t reinstall Sysmon, as it claims Sysmon is already installed, but you also can’t uninstall it by rerunning the command, as it says it’s not installed. Catch 22!
There is another option:
Sysmon64.exe -u force
The solution
First, I wrote a script to check the above files, to see what exists and what doesn’t. In production I used a more complex one that feeds into our SIEM, but this is the core of it:
I like to use O for success and X for fail, from my teaching in Korea days.
For a fresh install, the output is something like this:
However, a failed uninstall might look something like this:
The executable is there, but the service relating to it doesn’t exist. Yet the driver is still up and running. If you try to stop the driver manually after a failed -u uninstall, it often doesn’t – you get a Stopping the service failed error, or it just hangs at Stopping.
There is a solution, however. If the registry keys relating to the service don’t exist, then, on the next reboot, the service doesn’t exist either. Hence, it doesn’t start (and therefore doesn’t need stopping), so you can delete SysmonSys.Drv and you’re good to go!
To make this easier – yeah, another PowerShell script, with error logging:
The output from my clean install above was (note O means successfully deleted):
Then, after a reboot, you can delete C:WindowsSysmonDrv.sys (and C:WindowsSysmon64.exe if you haven’t already). If you run sysmon-checks.ps1 again you’ll get this:
And then you can install as normal!
Uninstall
And even this isn’t simply. While Sysmon has a built-in uninstall action:
Sysmon64.exe -u
Upgrade
This is where it gets more complicated. You can’t upgrade:
The service Sysmon64 is already registered. Uninstall Sysmon before reinstalling.
Запуск инструментов из sysinternals live
Если вы не хотите, чтобы у вас возникли проблемы с загрузкой и разархивированием, а затем с запуском приложения, и вы не хотите обновлять USB-накопитель с последними версиями, или у вас просто нет доступа к вашему диску во время работы на чужом компьютере, всегда можно прибегнуть к SysInternals Live.
Суть в следующем: несколько лет назад ребятам из SysInternals стало любопытно, смогут ли они найти новый способ распространения своего программного обеспечения… поэтому они создали общий файловый ресурс Windows на своём сервере и предоставили всем в Интернете доступ к нему.
Серия уроков по пакету утилит sysinternals
1. Что такое инструменты SysInternals и как их использовать?
2. Знакомство с Process Explorer
3. Использование Process Explorer для устранения неполадок и диагностики
4. Понимание Process Monitor
5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра
6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО
Следующий урок: знакомство с process explorer
Следующий урок познакомит вас с приложением Process Explorer, заменой диспетчера задач со многими другими функциями. Интерфейс наполнен данными и опциями, поэтому мы рассмотрим и объясним всё, что вам нужно знать, например, что на самом деле означают все эти цвета в списке процессов.
После этого мы расскажем, как использовать его в реальном мире для борьбы с проблемными процессами, вредоносными программами и т. д. Затем мы перейдём на территорию Process Monitor и объясним, как использовать одно из самых мощных приложений для устранения неполадок, чтобы выяснить, что на самом деле происходит под капотом вашего ПК.
А затем мы познакомимся с некоторыми другими утилитами, такими как Autoruns, Bginfo и многими утилитами командной строки, включёнными в набор инструментов.
Предстоит охватить много материала, но это будет интересно.
