“Windows Sysinternals”が開発した新しいシステムモニター「Sysmon」

「Sysmon」v1.01

　「System Monitor（Sysmon）」は、Microsoftの一部門である“Windows Sysinternals”が開発した新しいシステムモニター。編集部にてWindows 8.1で動作を確認した。“Windows Sysinternals”のWebサイトから無償でダウンロードできる。

　「Sysmon」は、システムの活動をWindowsのシステムログへ書き込むためのデバイスドライバーとシステムサービスをインストール・カスタマイズ・アンインストールするコマンドラインツール。「Sysmon」そのものはログの取得のみを行い、取得したログを閲覧・分析するためのGUIを備えていない。ログの分析には「イベント ビューア」や「Windows PowerShell」などを利用することになる。

「イベント ビューア」で「Sysmon」が取得したログを閲覧（［Windows ログ］－［Microsoft］－［Windows］－［Sysmon］－［Operational］）

「Windows PowerShell」で「Sysmon」が取得したログを列挙

　利用するには、まず「コマンドプロンプト」で“Sysmon.exe -i”を実行する。すると、デバイスドライバーとシステムサービスがインストールされる。あとはシステムを再起動すれば、プロセスの作成やファイルの作成日時の変更といったイベントがWindowsのシステムログへ記録される。

　さらに、インストールの際に“-n”オプションを追加することで、ネットワークへのアクセスをモニタリング対象に追加することも可能。また、「コマンドプロンプト」で“Sysmon.exe -u”を実行すれば、デバイスドライバーとシステムサービスをアンインストールすることができる。

　「Sysmon」はブートプロセスの初期段階からのイベントを生成するため、通常のシステムモニターではモニタリングできない、カーネルモードで動作するマルウェアの活動を補足することが可能。また、「Sysmon」はプロセスイメージのハッシュ値を記録し、それをもとにプロセスを判別する。そのため、プロセスIDが再利用されてもプロセスを正しく識別し、その活動を追跡することができる。ハッシュ値の取得に用いられるアルゴリズムは“SHA1”が初期設定になっているが、起動オプションなどで“MD5”や“SHA256”が選択可能だ。