搜索

[15970] 2020-10-15_微软轻量级系统监控工具sysmon原理与实现完全分析

文档创建者:s7ckTeam
浏览次数:15
最后更新:2025-01-18
2020-10-15_微软轻量级系统监控工具sysmon原理与实现完全分析 s y s m o n   _   F r e e B u f   2 0 2 0 - 1 0 - 1 5 s y s m o n s y s m o n s y s m o n r i n g 3 r i n g 0 使 8 . X 1 0 . X s y s m o n D N S E T W M i c r o s o f t - W i n d o w s - D N S - C l i e n t 1 . F i l e C r e a t e P r o c e s s P i d E v e n t C r e a t e T i m e F i l e C r e a t e T i m e h a s h V l a u e i d h a s h v a l u e U s e r S i d I m a g e F i l e N a m e F i l e N a m e h a s h 1 0   1 1 R e p o r t S i z e R e p o r t T y p e s t r u c t   _ R e p o r t _ C o m m o n _ H e a d e r { U L O N G   R e p o r t T y p e ; U L O N G   R e p o r t S i z e ; } ;
2 .   T y p e   2 F i l e C r e a t e h a s h 3 . s t r u c t   _ R e p o r t _ F i l e { C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   P r o c e s s P i d ; U L O N G   P a r e n t P i d ; L A R G E _ I N T E G E R   C r e a t e T i m e ; L A R G E _ I N T E G E R   F i l e C r e a t e T i m e ; U L O N G   H a s h i n g a l g o r i t h m R u l e v ; C H A R   F i l e H a s h [ 8 4 ] ; U L O N G   D a t a L e n g t h [ 4 ] ; C H A R   D a t a 2 [ 1 ] ; } ; s t r u c t   _ R e p o r t _ F i l e _ S e t A t t r u b u t e { C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   P r o c e s s P i d ; U L O N G   P a r e n t P i d ; L A R G E _ I N T E G E R   C r e a t e T i m e ; L A R G E _ I N T E G E R   F i l e T i m e ; L A R G E _ I N T E G E R   F i l e C r e a t e T i m e ; U L O N G   D a t a L e n g t h [ 4 ] ; C H A R   D a t a 2 [ 1 ] ; } ;
T y p e 4 1 ( ) 4 .   退 退 T y p e 3 s t r u c t   _ R e p o r t _ P r o c e s s { R e p o r t _ C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   P r o c e s s P i d ; U L O N G   P a r e n t P i d ; U L O N G   S e s s i o n I d ; U L O N G   U s e r S i d ; L A R G E _ I N T E G E R   C r e a t e T i m e ; L U I D   A u t h e n t i c a t i o n I d ; U L O N G   T o k e n I s A p p C o n t a i n e r ; L U I D   T o k e n I d ; U L O N G   H a s h i n g a l g o r i t h m R u l e ; D W O R D   D a t a C h u n k L e n g t h [ 6 ] ; C H A R   D a t a [ 1 ] ; } ;
i d   i d U s e r S i d 5 .   线 7 s t r u c t   _ R e p o r t _ P r o c e s s _ C r e a t e { R e p o r t _ C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   P r o c e s s P i d ; U L O N G   P a r e n t P i d ; L A R G E _ I N T E G E R   C r e a t e T i m e ; U L O N G   S i d L e n g t h ; U L O N G   X X X X X X X ; S I D   U s e r S i d ; C H A R   D a t a [ 1 ] ; } ;
D l l I n f o 线 D l l E x p o r t I n f o 6 .   O p e n P r o c e s s 9 s t r u c t   _   R e p o r t _ P r o c e s s _ T h r e a d { R e p o r t _ C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; L A R G E _ I N T E G E R   C r e a t e T i m e ; U L O N G   T h r e a d O w n e r P i d v ; U L O N G   T h r e a d I d ; U L O N G   T h r e a d A d d r e s s ; U L O N G   O p e n P r o c e s s P i d ; W C H A R   D l l I n f o [ 2 6 1 ] ; W C H A R   D l l E x p o r t I n f o [ 2 6 1 ] ; } ;
s t r u c t   _   R e p o r t _ O p e n P r o c e s s { R e p o r t _ C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   P r o c e s s I d ; U L O N G   M y T h r e a d I d ; U L O N G   O p e n P r c e s i d ; U L O N G   A c c e s s M a s k ; L A R G E _ I N T E G E R   C r e a t e T i m e ; U L O N G   S t a t c k T r a c k I n f o S i z e ; U L O N G   D a t a L e n g t h [ 3 ] ; C H A R   D a t a [ 1 ] ;
7 .   T y p e 1 2 5 U s e r S i d R e g i s t r y O p e r a t e N a m e K e y N a m e V a l u e N a m e R e g i s t r y O p e r a t e N a m e O p e r a t e E v e n t T y p e C H A R   D a t a [ 1 ] ; } ; s t r u c t   _ R e p o r t _ P r o c e s s _ R e g i s t r y { R e p o r t _ C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   O p e r a t e E v e n t T y p e ; U L O N G   P a r e n t P i d ; L A R G E _ I N T E G E R   C r e a t e T i m e ; U L O N G   P r o c e s s P i d ; U L O G   D a t a L e n t h [ 5 ] ; C H A R   D a t a [ 1 ] ; } ; g _ R e g i s t r y T y p e N a m e   d d   o f f s e t   a U n k n o w n E v e n t T y . r d a t a : 1 0 0 1 3 4 D 8   ;   D A T A   X R E F :   S y s m o n C r e a t e R e g i s t r y R e p o r t I n f o + 1 5 E r . r d a t a : 1 0 0 1 3 4 D 8   ;   " U n k n o w n   E v e n t   t y p e " . r d a t a : 1 0 0 1 3 4 D C   d d   o f f s e t   a C r e a t e k e y   ;   " C r e a t e K e y "
8 .   T y p e 1 3 d a t a N a m e P i p e F i l e N a m e   I m a g e F i l e N a m e   9 .   T y p e 6 D a t a s y s o m n I O 0 x X X X 0 0 0 0 X ( ) . r d a t a : 1 0 0 1 3 4 E 0   d d   o f f s e t   a D e l e t e k e y   ;   " D e l e t e K e y " . r d a t a : 1 0 0 1 3 4 E 4   d d   o f f s e t   a R e n a m e k e y   ;   " R e n a m e K e y " . r d a t a : 1 0 0 1 3 4 E 8   d d   o f f s e t   a C r e a t e v a l u e   ;   " C r e a t e V a l u e " . r d a t a : 1 0 0 1 3 4 E C   d d   o f f s e t   a D e l e t e v a l u e   ;   " D e l e t e V a l u e " . r d a t a : 1 0 0 1 3 4 F 0   d d   o f f s e t   a R e n a m e v a l u e   ;   " R e n a m e V a l u e " . r d a t a : 1 0 0 1 3 4 F 4   d d   o f f s e t   a S e t v a l u e   ;   " S e t V a l u e " . r d a t a : 1 0 0 1 3 4 F 8   d w o r d _ 1 0 0 1 3 4 F 8   d d   1 0 0 0 1 0 h   ;   D A T A   X R E F :   R e g i s t s t r u c t   _ R e p o r t _ P r o c e s s _ N a m e e d P i p e { R e p o r t _ C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   N a m e d P i p e T y p e ; U L O N G   P a r e n t P i d ; L A R G E _ I N T E G E R   C r e a t e T i m e ; U L O N G   P r o c e s s P i d ; D W O R D   D a t a C h u n k L e n g t h [ 3 ] ; C H A R   D a t a [ 1 ] ; } ; s t r u c t   _   _ R e p o r t _ E v e n t _ E r r o r { R e p o r t _ C o m m o n _ H e a d e r   H e a d e r ; C H A R   d a t a [ 1 6 ] ; U L O N G   E r r o r D a t a L e n g t h [ 2 ] ; C H A R   D a t a [ 1 ] ; } ; L A R G E _ I N T E G E R   R e q u e s t ; R e q u e s t . L o w P a r t   =   G e t C u r r e n t P r o c e s s I d ( ) ;
6 D a t a C h u n k L e n g g t h D a t a R e q u e s t . L o w P a r t   =   G e t C u r r e n t P r o c e s s I d ( ) ; R e q u e s t . H i g h P a r t   =   F A L S E ; B Y T E   O u t B u f f e r [ 4 0 0 2 ]   =   {   0   } ; U L O N G   B y t e s R e t u r n e d   =   0 ; i f   (   S U C C E E D E D (   D e v i c e I o C o n t r o l ( h O b j e c t D r v , S Y S M O N _ R E Q U E S T _ P R O C E S S _ I N F O , & R e q u e s t , 8 . O u t B u f f e r , s i z e o f ( O u t B u f f e r ) , & B y t e s R e t u r n e d ,   0   )   )   ) { i f   (   B y t e s R e t u r n e d   ) { R e p o r t _ P r o c e s s *   p S y s m o n _ R e p o r t _ P r o c e s s   =   ( _ R e p o r t _ P r o c e s s   * ) & O u t B u f f e r [ 0 ] ; i f   (   p S y s m o n _ R e p o r t _ P r o c e s s - > H e a d e r . R e p o r t S i z e   ) { C h e c k S e r v i c e O k   =   T R U E ; } } } C l o s e H a n d l e (   h O b j e c t D r v   ) ;
s y s m o n 西 P r o c e s s G u i d  
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理