Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！

时间：2023-06-02 20:04:00浏览次数：51

标签：记录 Windows 查询 Sysmon DNS 日志

浏览器打开的域名：

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_安全分析

ss的请求：

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_Windows_02

svchost出去的也有：

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_DNS_03

系统更新，也是svchost发出去的：

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_安全分析_04

ping的：

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_Windows_05

nslookup的，看不到：GG！！！

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_Windows_06

这是一个简单的“ping google.com ”命令，导致事件 22 记录在 Sysmon Windows 事件日志中：

它可以监视几乎任何支持网络的 Windows 客户端软件执行的 DNS 查询，例如 Web 浏览器、FileZilla、WinSCP、ping、tracert 等。但是，应该注意的是，使用 nslookup 的直接 DNS 查询不会被记录Sysmon 的 DNS 查询日志记录。

Sysmon Installation Instructions

Download Sysmon from the official site.
Extract the files to a folder of your choice.
Launch a command prompt with administrator privileges.
Change to the directory where you extracted Sysmon and type Sysmon -i.
(When you start it for the first time, you will be asked to check the terms of use.)

Sysmon install — cmd.exe

Installation is complete.

Event Log Location

Sysmon logs are all located in the Applications and Services Log > Microsoft > Windows > Sysmon Operational.

Sysmon Event Log

Enable DNS query logging

By default, DNS queries are not logged. I will change the setting to enable logging of DNS queries.

Using Notepad, create a file with the following contents and save it with the filename config-dnsquery.xml.

<Sysmon schemaversion="4.21">
 <EventFiltering>
  <DnsQuery onmatch="exclude" />
 </EventFiltering>
</Sysmon>

Take this file to the same folder where you extracted Sysmon and type Sysmon.exe -c config-dnsquery.xml to apply the settings.

Update configuration

This starts logging DNS queries.

DNS query log Location

Sysmon logs are all located in the Applications and Services Log > Microsoft > Windows > Sysmon Operational. A log of DNS queries has an event ID of 22.

Sysmon EventLog DNS Query

DNS query log is noisy

You can find the Sysmon configuration files at the following site:

SwiftOnSecurity/sysmon-config: Sysmon configuration file template with default high-quality event tracing
https://github.com/SwiftOnSecurity/sysmon-config

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！

经过

劳伦斯·艾布拉姆斯

2019 年 6 月 9 日
晚上 8 点 31 分
2

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_Windows_07

令世界各地的 Windows 系统管理员高兴的是，微软宣布本周将推出新版本的 Sysmon，其中包括记录在受监控计算机上执行的 DNS 查询的能力。更好的是，Sysmon 还会记录执行查询的进程。

对于那些不熟悉 Sysmon 或 System Monitor 的人来说，它是一个 Sysinternals 工具，作为服务安装在 Windows 中，可以将各种事件和信息记录到 Windows 事件日志中。

在 Microsoft Azure 的 CTO 和 Sysinternals 工具的创建者 Mark Russinovich 最近的一条中推文，宣布将于本周二发布一个新版本的 Sysmon，其中包括 DNS 查询日志。

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_Windows_08

DNS 查询记录示例

虽然 DNS 查询日志记录已经在 Windows 上可用所提到的， Sam King 它缺少一条关键信息——执行查询的可执行文件的名称。

如 Russinovich 推文的放大图所示，您可以看到即将发布的 Sysmon 版本将在事件日志中提供正在执行 DNS 查询的进程的名称。

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！_Windows_09

执行 DNS 查询的可执行文件

这可以让管理员快速追踪可能正在连接到不需要的站点或执行其他不需要的行为的违规应用程序。

管理员和安全专业人员都很兴奋

DNS 查询日志记录对于现在可以使用 Sysmon 将 DNS 查询数据输入事件日志的 Windows 管理员和安全专业人员特别有用。然后，其他工具可以使用此数据，以查找创建可疑流量或连接到恶意域的可执行文件。

SwiftOnSecurity 维护了一个 Sysmon 配置文件，用于监控和记录入侵事件和恶意活动，他对这个功能感到非常兴奋。

有了这个新功能，我们可以期待更新的配置文件和工具，现在可以利用这个免费工具提供的数据。

标签：记录,Windows,查询,Sysmon,DNS,日志
From： https://blog.51cto.com/u_11908275/6404745

MySQL锁查询与锁释放实操
1.查询一个数据表中可测试数据SELECT*FROMt_wx_authorizer_infoWHEREservice_id='30127'forupdate;2.实验制造数据库锁，以下语句都先只执行第一条更新语句，然后再执行第二条更新语句的时候就会锁住--第一个事务，只执行第一条更新语句starttransaction;updatet_......
MySQL中将多行查询结果合并为一行展示SQL语句书写
写在前面最近开发过程中，遇到一个需求是要将所查询的多条结果汇总成一条结果展示，由于之前没有接触过这方面的业务，所以经过一番折腾之后，解决了需求，这里特此记录一下，以供后续参考！1、问题复现这里以一个例子进行说明：需求：一个员工每月是否完成了打卡，要求统计员工当月完成和未完成......
分享一道ctf dns流量分享
打开流量包，发现dns数据包里面有16进制直接手动提取出来然后用010导入1并保存为zip压缩包打开压缩包发现有密码，直接ARCHPR爆破得到密码打开文件得到flag......
BFF层聚合查询服务异步改造及治理实践 | 京东云技术团队
首先感谢王晓老师的[接口优化的常见方案实战总结]一文总结，恰巧最近在对稳健理财BFF层聚合查询服务优化治理，针对文章内的串行改并行章节进行展开，分享下实践经验，主要涉及原同步改异步的过程、全异步化后衍生的问题以及治理方面的思考与改进。希望通过分享这些经验，能够对大家的工作......
gorm查询时间去掉时区问题
gorm查询的时间格式是2022-03-03T14:32:05+08:00，这种格式不符合我们日常使用习惯，尤其是前端展示会额外占用单元格宽度gorm不提供时间格式的配置，只能自定义个一个类型，继承time.Time，上代码，这个是网上一搜一堆的代码，没啥可以说的packageutilsimport("database/sql/drive......
解决用PLSQL Developer查询时数据大小超过100M的提示问题
解决用PLSQLDeveloper查询时数据大小超过100M的提示问题Tools->Preferences->SQLWindowMaximumResultSetsize(0isunlimited)由100设置为0即可解决PLSQLDeveloper字体太小的问题Tools->Preferences->USERINTERFACE->FONTS1.Browser设置PL/SQL中左侧......
什么是ip地址?什么是物理地址? 如何查询网站IP地址和物理地址？
......
Mybatis 数据库Mysql时间范围内数据查询非常慢的解决办法
表中数据量过大，目前已有300万条,查询user_name数据速度非常慢，如果不使用索引，想优化sql来提高查询速度，在调试过程中发现，写sql查询数据库时，传入时间段查询部分为：andsw.TIME>=to_date(CONCAT('2018-09-10','00:00:00'),'yyyy-mm-ddhh24:mi:ss')<!--小于结束......
自适应何必媒体查询
自适应何必媒体查询简单的自适应可以使用grid布局的grid-template-columns和grid-gap属性实现例如：要实现一行三个div并自适应宽度，同时使用justify-items和align-items属性实现靠左，并使用margin属性实现中间间隔。HTML代码：<divclass="grid-container"><divclass="box"><......
使用JPA实现分页和模糊查询
1、首先创建DAO层接口，实现JpaRepository和JpaSpecificationExecutor两个接口JpaRepository<SysOperLog,Integer> 泛型参数分别是：要查询的实体（Entity），实体的主键类型JpaSpecificationExecutor<SysOperLog> 泛型参数：要查的实体 @RepositorypublicinterfaceSysOperLogReposit......

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！

Sysmon Installation Instructions

Event Log Location

Enable DNS query logging

DNS query log Location

DNS query log is noisy

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！

劳伦斯·艾布拉姆斯

管理员和安全专业人员都很兴奋

相关文章

赞助商

阅读排行