前言
Sysmon是容易下载安装使用的日志审计应用,每个人都可以查看sysmon记录的内容。这虽然很操蛋,但是这些日志被EDR获取的话,能够在这些产品中看到一连串“有趣的东西”。
正文
当我们执行
sysmon.exe -t -i yoursysmonconfig.xml
命令时,突然出现了以下重要的错误信息
这是因为我们提供给sysmon的命令过长,sysmon不得不去进行删减操作。
通过测试发现,sysmon可以显示最多0x2000个字符。也就是说,我们可以在sysmon截断的时候做一些有意义的事情。
当我们执行
powershell <0x2000 spaces> calc
命令时,我们可以看到sysmon只记录到了我执行了powershell命令
但实际上,我最终执行的确是calc。
后续
参考:http://www.hexacorn.com/blog/2018/06/29/sysmon-doing-lines-part-3/
原文始发于微信公众号(中国白客联盟):利用超长命令绕过sysmon
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论