(monut? moon? 你到底在說什麼?)

『Sysmon!』

我在Google 搜尋 sysmon後，把結果投影出來。

『資訊長、資安長，各位長官...妳們只要到Google搜尋，就會看到這些內容，使用簡單，但功能卻很強大! 這個工具，主要功能是補全，Windows Event 不足的地方。』

(補足Windows Event? 真好笑，有啥好補足的，人家可是Windows耶...包山包海，現在連Windows都可切到Ubuntu了，還要補什麼?)

『我那知道? 我只知道網路是這樣介紹的。我們來看個實例吧，有圖就是真相，而且，就算圖是假的，也沒關係，反正有圖就是真相，資訊長，是吧?』

(請你專業一點，現在是正式會議。)

『那有沒有可能是因為，妳聽不懂我的專業，所以覺得我不專業? 看畫面看畫面。

我現在模擬機上，建了一個後門，連線成功後，我連到模擬機上，對C硬碟，做了一個VSS Create。』

(做那個能幹嘛?)

『基本上，它就是一個完整的C硬碟備份...有那個備份後，能做的事，應該很多哦。』

(不對啊，你要怎麼拿到備份檔?)

『不就，透過妳們的網路嗎?』

(那檔案應該很大吧，你確定你傳的完?)

『好就是好在，這不是問題啊.....我都進到妳們的網路環境，無人阻擋了，這還會是問題嗎?』

(...然後呢? 建了然後呢?)

『然後，就沒有然後了...我拿到了主機完整的備份檔案，就沒有然後了。』

(那Sysmon 是要幹嘛?)

『Sysmon 主要是記錄Windows 裡的Prorcess...只要在Windows 裡有Process被建立時，就會被記錄下來。』

(那又如何?)

『它可以記錄，Process 是被那一個檔案或那一串指令，創造出來的。

所以，這樣的記錄，送到SIEM平台，是有意義、有價值、可被分析的。』

(Windows Event 不行嗎?)

『這我就不清楚了，但它是原廠提供的，又是補足或加強，我只知道這些。』

(這樣啊，有坑怎麼不跳?)

『沒有啦，那有坑...』

(待)

2020/09/29 SunAllen