<पी> अपने खाली समय में, ओलुवाडेमिलाडे को नए एआई ऐप्स और फीचर्स का परीक्षण करना, परिवार और दोस्तों के लिए तकनीकी समस्याओं का निवारण करना, नई कोडिंग भाषाएं सीखना और जब भी संभव हो नए स्थानों की यात्रा करना पसंद है। <पी> आप शायद यह मान लेते हैं कि यदि आपके पीसी पर कुछ संदिग्ध होता है, तो आपका एंटीवायरस उसे पकड़ लेगा। और शायद यह होगा - अंततः। लेकिन जब तक पारंपरिक सुरक्षा सॉफ्टवेयर झंडा उठाता है, तब तक नुकसान हो चुका होता है। क्या होगा यदि आपका कंप्यूटर हुड के नीचे होने वाली हर चीज़ का एक विस्तृत, चालू जर्नल रख सके:लॉन्च होने वाली प्रत्येक प्रक्रिया, खुलने वाला प्रत्येक नेटवर्क कनेक्शन, हर बार फ़ाइल के निर्माण टाइमस्टैम्प में संदिग्ध रूप से बदलाव हो जाता है? <पी> सिस्मोन बिल्कुल यही करता है। यह एक मुफ़्त, Microsoft-निर्मित टूल है जो संदिग्ध व्यवहार को पकड़ने के लिए Windows Sysinternals टूल की व्यापक श्रेणी से संबंधित है। दिलचस्प बात यह है कि भले ही ये उपयोगिताएँ आपके पीसी पर स्पाइवेयर और एडवेयर खोजने के लिए स्वर्ण मानक हैं, लेकिन अधिकांश रोजमर्रा के विंडोज़ उपयोगकर्ताओं ने इनके बारे में कभी नहीं सुना होगा।
Sysmon विंडोज़ को दृश्यता का एक ऐसा स्तर देता है जिससे इसकी अंतर्निहित लॉगिंग मेल नहीं खा सकती है
इवेंट व्यूअर कभी भी इसमें कटौती नहीं करने वाला था
<पी> विंडोज़ पहले से ही इवेंट लॉग रखता है, और यदि आपने कभी समस्याओं के निवारण के लिए इवेंट व्यूअर खोला है, तो आपने शायद देखा होगा कि वे कितने अराजक महसूस कर सकते हैं। वहाँ बहुत शोर है और हमेशा पर्याप्त स्पष्टता नहीं है। सिस्मोन, जो सिस्टम मॉनिटर का संक्षिप्त रूप है, पूरी तरह से एक अलग जानवर है। एक बार स्थापित होने के बाद, यह एक सतत सिस्टम सेवा और डिवाइस ड्राइवर के रूप में चलता है, रिबूट से बचता है, और विंडोज इवेंट लॉग में बड़े पैमाने पर विस्तृत ईवेंट लिखता है। यह अंतर एक दानेदार सुरक्षा कैमरे की तुलना लाइसेंस प्लेटों को पढ़ने में सक्षम कैमरे से करने के समान है। <पी> सिस्मोन का ईवेंट कैटलॉग संपूर्ण कमांड-लाइन तर्कों के साथ निर्माण प्रक्रिया को लॉग करता है, इसलिए आप केवल यह नहीं देखते हैं कि कोई प्रोग्राम चला, बल्कि आप देखते हैं कि इसे कैसे लॉन्च किया गया था। यह मूल प्रक्रिया, आईपी पता, पोर्ट और होस्टनाम सहित नेटवर्क कनेक्शन को भी रिकॉर्ड करता है। इससे यह पता लगाना संभव हो जाता है कि किस एप्लिकेशन ने किस सर्वर से और कब संपर्क किया। यहां तक कि यह फ़ाइल निर्माण टाइमस्टैम्प में बदलावों को भी चिह्नित करता है, एक क्लासिक ट्रिक मैलवेयर खुद को वैध सिस्टम फ़ाइलों के रूप में छिपाने के लिए उपयोग करता है। इसके अलावा, Sysmon ड्राइवर लोडिंग, रजिस्ट्री परिवर्तन, DNS क्वेरीज़ और इवेंट आईडी 25 के तहत लॉग की गई प्रक्रिया खोखली जैसी अधिक उन्नत तकनीकों पर नज़र रखता है, जहां दुर्भावनापूर्ण कोड एक अन्यथा आवश्यक विंडोज़ प्रक्रिया के अंदर छिपा होता है। <पी> 
संबंधित इस तरह बताएं कि आपका पीसी चुपचाप किसी और चीज के लिए इस्तेमाल किया जा रहा है
<पी> क्या आपको लगता है कि आपका पीसी आपके कहे से अधिक काम कर रहा होगा? यहां बताया गया है कि मैं छिपी हुई गतिविधि की जांच कैसे करता हूं। <पी> यहां सबसे अधिक सुरक्षा-प्रासंगिक ईवेंट आईडी को कवर करने वाली एक ड्राफ्ट तालिका है: <थ> <पी> इवेंट आईडी <थ> <पी> नाम <थ> <पी> यह क्या कैप्चर करता है <थ> <पी> 1 <पी> प्रक्रिया बनाएं <पी> पूर्ण कमांड लाइन, मूल प्रक्रिया और फ़ाइल हैश सहित लॉन्च होने वाली प्रत्येक प्रक्रिया। संदिग्ध फांसी का पता लगाने के लिए यह सबसे उपयोगी घटना है। <थ> <पी> 2 <पी> फ़ाइल निर्माण का समय बदल गया <पी> फ़्लैग तब होता है जब कोई प्रक्रिया जानबूझकर किसी फ़ाइल के निर्माण टाइमस्टैम्प को बदल देती है, जो वैध सिस्टम फ़ाइलों के साथ मिश्रण करने की एक क्लासिक मैलवेयर रणनीति है। <थ> <पी> 3 <पी> नेटवर्क कनेक्शन <पी> आउटबाउंड टीसीपी/यूडीपी कनेक्शन लॉग करता है, प्रत्येक को उस प्रक्रिया से जोड़ता है जिसने इसे बनाया है। यह बीकनिंग या डेटा घुसपैठ का पता लगाने के लिए आवश्यक है। <थ> <पी> 6 <पी> ड्राइवर लोड किया गया <पी> जैसे ही वे लोड होते हैं, हस्ताक्षर स्थिति सहित, कर्नेल ड्राइवरों को रिकॉर्ड करता है। अहस्ताक्षरित या अप्रत्याशित ड्राइवर एक गंभीर खतरे का संकेत हैं। <थ> <पी> 7 <पी> छवि लोड की गई <पी> प्रक्रियाओं में लोड हो रहे डीएलएल को ट्रैक करता है; वॉल्यूम के कारण डिफ़ॉल्ट रूप से अक्षम है, लेकिन सावधानीपूर्वक फ़िल्टर किए जाने पर DLL अपहरण का पता लगाने के लिए शक्तिशाली है <थ> <पी> 8 <पी> रिमोट थ्रेड बनाएं <पी> यह पता लगाता है कि जब एक प्रक्रिया किसी धागे को दूसरे में इंजेक्ट करती है, जो कोड इंजेक्शन और प्रक्रिया को खोखला करने वाले हमलों की एक विशिष्ट तकनीक है। <थ> <पी> 10 <पी> प्रक्रिया पहुंच <पी> जब एक प्रक्रिया दूसरे की मेमोरी खोलती है तो सक्रिय हो जाती है, एलएसएएसएस (वह प्रक्रिया जो विंडोज़ लॉगिन रहस्यों को संग्रहीत करती है) को लक्षित करने वाले क्रेडेंशियल चोरी टूल को पकड़ लेती है। <थ> <पी> 11 <पी> फ़ाइल बनाएं <पी> बनाई गई या अधिलेखित की गई नई फ़ाइलों को लॉग करता है, विशेष रूप से अस्थायी, डाउनलोड और स्टार्टअप फ़ोल्डर देखते समय उपयोगी। <थ> <पी> 12-14 <पी> रजिस्ट्री घटनाक्रम <पी> रजिस्ट्री कुंजी निर्माण, विलोपन, मूल्य परिवर्तन और नाम बदलने को कवर करता है, प्राथमिक तरीका मैलवेयर रिबूट के दौरान दृढ़ता स्थापित करता है। <थ> <पी> 15 <पी> फ़ाइल स्ट्रीम हैश बनाएँ <पी> ब्राउज़र के माध्यम से डाउनलोड की गई फ़ाइलों को उनसे जुड़ी जोन आइडेंटिफ़ायर स्ट्रीम को लॉग करके पकड़ता है। यह संदिग्ध निष्पादनयोग्यों की उत्पत्ति का पता लगाने के लिए उपयोगी है। <थ> <पी> 17-18 <पी> पाइप इवेंट <पी> मॉनिटर्स ने पाइप निर्माण और कनेक्शन नाम दिया है, जो मैलवेयर और कोबाल्ट स्ट्राइक जैसे पोस्ट-शोषण ढांचे द्वारा उपयोग की जाने वाली एक सामान्य अंतर-प्रक्रिया संचार विधि है। <थ> <पी> 19–21 <पी> WMI घटनाएँ <पी> WMI फ़िल्टर और उपभोक्ता पंजीकरण को ट्रैक करता है, एक पसंदीदा फ़ाइल रहित दृढ़ता तकनीक जो इस घटना के बिना लगभग कोई निशान नहीं छोड़ती है। <थ> <पी> 22 <पी> डीएनएस क्वेरी <पी> प्रक्रिया द्वारा किए गए प्रत्येक DNS लुकअप को लॉग करता है, जिससे पूर्ण टीसीपी कनेक्शन स्थापित होने से पहले ही ज्ञात दुर्भावनापूर्ण डोमेन से कनेक्शन का पता लगाना संभव हो जाता है। <थ> <पी> 25 <पी> प्रक्रिया से छेड़छाड़ <पी> प्रक्रिया खोखलापन और हर्पैडरपिंग का पता लगाता है (ऐसी तकनीकें जो पहचान से बचने के लिए वैध प्रक्रिया मेमोरी को दुर्भावनापूर्ण कोड से बदल देती हैं)। <थ> <पी> 29 <पी> फ़ाइल निष्पादन योग्य का पता चला <पी> सिस्टम पर किसी भी नई निष्पादन योग्य (पीई प्रारूप) फ़ाइल के निर्माण को चिह्नित करता है, जो ड्रॉपर या इंस्टॉलर के चलने का एक मजबूत प्रारंभिक संकेतक है।सिस्मोन को चालू करने का तरीका इस प्रकार है
यदि आप एक टर्मिनल खोल सकते हैं, तो आप पहले से ही वहां तक पहुंच चुके हैं
<पी> Sysmon Microsoft के Sysinternals पेज (इस लेखन के अनुसार संस्करण 15.15) से एक मुफ्त डाउनलोड है, और इंस्टॉलेशन एक एकल कमांड है। आपको व्यवस्थापक विशेषाधिकारों और पावरशेल या कमांड प्रॉम्प्ट के माध्यम से एक संक्षिप्त चक्कर की आवश्यकता होगी, लेकिन पूरी प्रक्रिया में पांच मिनट से कम समय लगता है। 
<पी> सिस्मोन
<पी> ओएस विंडोज़ (लिनक्स संस्करण के साथ भी उपलब्ध) <पी> डेवलपर माइक्रोसॉफ्ट (Sysinternals टीम) <पी> मूल्य मॉडल निःशुल्क <पी> Sysmon एक उन्नत सिस्टम मॉनिटरिंग टूल है जो विस्तृत विंडोज़ गतिविधि, जैसे प्रक्रिया लॉन्च, नेटवर्क कनेक्शन और फ़ाइल परिवर्तन को लॉग करता है। यह पृष्ठभूमि में चलता है, जिससे सुरक्षा पेशेवरों को पीसी के अंदर क्या हो रहा है, इसकी गहन जानकारी मिलती है। <पी> माइक्रोसॉफ्ट लर्न पर आधिकारिक सिस्मोन पेज पर जाएं, ज़िप फ़ाइल (लगभग 4.6 एमबी) डाउनलोड करें, और इसकी सामग्री निकालें। फिर व्यवस्थापक के रूप में PowerShell या Command Prompt खोलें, फ़ोल्डर में नेविगेट करें, और चलाएँ: <पी> .\sysmon64 -accepteula -i <पी> यह बुनियादी स्थापना है:Sysmon अपनी सेवा और ड्राइवर को पृष्ठभूमि में स्थापित करेगा। वास्तव में, आपको रीबूट करने की भी आवश्यकता नहीं है। उस बिंदु से आगे, यह एप्लिकेशन और सेवा लॉग में ईवेंट लॉग करना शुरू कर देता है -> माइक्रोसॉफ्ट -> विंडोज़ -> सिस्मोन -> इवेंट व्यूअर में परिचालन . आप उन लॉग को तुरंत देख सकते हैं।
<पी> अनइंस्टॉल करना बिल्कुल सरल है:sysmon64 -u . उपकरण कभी भी अपने आप को मजबूत करने की कोशिश नहीं करता, जिसका मैं सम्मान करता हूं। 
