web-dev-qa-db-ja.com

Sysmonを調整するためのWindowsプロセスのドキュメント

OSSysにイベントを記録し、現在いくつかのエンドポイントを監視するSysmonを最近インストールしました。 Windowsサービスなどの無害なプロセスをホワイトリストに登録しようとしています。これらのプロセスの多くはコマンドライン引数で実行されます。 svchost.exe -k netsvcs -p -s NetSetupSvc。ただし、/?を使用する場合、これらのコマンドライン引数の説明は、これらのWindowsプロセスの多くでは利用できません。コマンドプロンプトでsvchost.exe /?

これらのWindowsプロセスのコマンドライン引数を説明するオンラインのドキュメントはありますか?また、特定のWindowsプロセスを生成する親プロセスを示すドキュメントがある場合にも役立ちます。

この情報を要求するのは、プロセス名、コマンドライン引数、親プロセスを使用してWindowsプロセスをホワイトリストに登録できるようにするためです。同じ名前を使用するマルウェアを検出しないため、プロセス名のみを使用してプロセスをホワイトリストに登録したくありません。

1
synthesis

マイクロソフトは、顧客が使用すると信じていないものを文書化しない傾向があります。この実行可能ファイルに関するマイクロソフトのドキュメントは見当たらないと思いますが、それに代わる方法は、マイクロソフト製品をリバースエンジニアリングする人からの調査結果を調査することです。これは、コアWindows OSのサポートに少し前から携わっていたことが一般的な期待です。このサービスでサポートされている唯一のエンドユーザーTweakは、システムの安定性を高めるため、またはデバッグのために、共有svchostインスタンスからのサービスを新しいsvchostプロセスの単一の専用サービスに分割することでした。

サードパーティの調査に満足している場合は、ライブシステムでSysinternalsツールを使用し、Windowsレジストリでサービスに関連する値を検索するか、Windows Internalsの本を入手すると、実際に達成したいことに近づくことができます。

サンプル: https://www.geoffchappell.com/studies/windows/win32/services/svchost/index.htmhttps://www.raymond.cc/blog/identify- loaded-svchostexe-in-windows-task-list /

親プロセスを見つけるにはいくつかの方法がありますが、各プロセスには、親プロセスのPIDだけでなく、独自のプロセスID(PID)も含まれています。親プロセスがまだ実行されている場合は、そのPIDを見つけることでクエリできます。さらに、プロセス追跡監査を有効にする場合、それらのプロセス作成Windowsイベントには、新しいプロセスを生成した親プロセス情報が含まれている必要があります。

0
HackneyB

これらのWindowsプロセスのコマンドライン引数を説明するオンラインのドキュメントはありますか?

Svchost.exe自体のパラメーターリストまたはsvchostが実行するサービスについて質問しますか?

前者の場合は、最初に質問する必要はありません。 MSは意図的にそれを文書化していません。出くわす個々のフラグを検索する必要がありますが、それでもいくつかの説明はそれほど良くありません。

後者の場合は、svchostがラップしているものを把握する必要があります。それを行う方法は100万通りあります。これは最も簡単な私見です:

tasklist/svc | findstr "svchost"

次に、実行中のsvchostを確認できます。その情報を使用して、サービスに使用されているバイナリ(出力のPIDをバイナリにトレースすることが1つの方法です)を判別し、foo.exe /?を実行してみます。あなた自身。

ただし、マイレージは異なる場合があります...アクセスできないものもあれば、ユーザーがそれを気にしないように設計されているものもあれば、そうでないものもあります。すべてのパラメータ。

0
MGoBlue93