蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动

在这篇文章中，我们将演示如何使用Sysmon日志来分析和了解恶意软件的各种行为，其中包括如何通过Firefox从Dropbox下载、运行、并使用Windows工具进行安装。本文将介绍Sysmon日志中各种有用的Event ID，以及如何识别和分析Windows操作系统上的恶意活动。要解决的问题在开始本文的内容之前，我们需要先在脑海里记住以下几个问题，并带着这些问题来阅读本文：1、Sysmon日志中，Event ID 11相关的事件日志总共有多少？2、每当在内存中创建进程时，都会记录Event ID为1的事件，其中包含命令行、哈希、进程路径、父进程路径等详细信息。这些信息对于安全分析人员来说非常有用，因为它可以让我们看到系统上执行的所有程序，这意味着我们可以发现任何正在执行的恶意进程，以及感染目标系统的恶意程序是什么？3、威胁行为者使用了哪个云盘来分发恶意软件 ………………………………