Тактика шерлока! Incident response в системах Windows.

[D2]

Содержание​

1.Вступление

-Что такое криминалистика?​

-Что такое Incident response?​

-Популярность Incident response в системах windows.​

2.Криминалистика и спецслужбы

-SOC и Blue team​

-КБ конторы и алярм от провайдеров​

-Как спецслужбы находят злоумышленников​

3.Использование инструментов для криминалистики.

-Sysmon simulator​

-Osquery​

-Системные инструменты логирования Windows​

4.Ищем следы вторжения , и смотрим логи

-Действия с файлами​

-Сетевые подключения​

-Действия с учетными данными​

-Ищем бекдоры во взломаной системе​

5.Реверсинг мальварей

-Ищем подозрительные процессы​

-Ищем последние сетевые подключения​

-Ищем следы применения зловреда​

6.Создание криминалистической цепочки.

-Поиск источника появления вторжения​

-Поиск исходного узла получения данных​

-Навыки и применение Osint​

7.Создание репорта с найденой информацией.

-Учимся сдавать доклады​

-Входные и выходные данные при процессе.​

-Итоги расследования​

Вступление
Что такое криминалистика?​

Криминалистика в кибербезопасности – процесс анализа вторжения и взлома компьютерной системы.
Также при криминалистике , очень интересным этапом процесса выступает построение криминалистической цепочки и деанон лиц (участников вторжения)

Что такое Incident response?​

Incident response – это процесс реагирования на вторжения , атаки. А также процесс анализа угрозы.
Основные этапы реагирования на вторжения:

-Обнаружение угрозы​

-Оценка критичности угрозы​

-Поиск следов вторжения​

-Создание цепочки следов​

-Создание отчета об расследовании​

Типы вторжений и инцидентов безопасности:

-Несанкционированные попытки доступа к системам или данным.​

-Атаки с повышением привилегий.​

-Внутренние угрозы .​

-Фишинговые атаки.​

-Атаки вредоносных программ.​

-Атаки типа «отказ в обслуживании» ( DoS ).​

-Атаки «человек посередине» .​

-Атаки на пароли.​

-Атаки на веб-приложения.​

-Расширенные постоянные угрозы​

Цель реагирования - быстро и эффективно реагировать на киберинциденты, минимизировать ущерб и восстановить нормальное функционирование системы или сети.

Популярность Incident response в системах windows.​

В последнее время после атак APT и Ransomware группировок , актуальность этапа incident response , выросла на 50%.

Тем более , как мы знаем, большинство атак направленны на системы с ОС Windows. Для этого мы будем использовать такие инструменты как Sysmon Simulator и Osquery.
Incident response в системах Windows направлен на обнаружение, реагирование и устранение киберугроз, а также восстановление нормальной работы системы после инцидента.
Популярность инцидентного реагирования в системах Windows обусловлена широким распространением этой операционной системы и необходимостью эффективной защиты компьютеров и сетей от кибератак.

Некоторые инструменты в системе Windows , которые применяют при incident response:

Событийные журналы (Event Logs): Windows ведет журналы событий, которые регистрируют различные активности и процессы в системе. Они могут содержать полезную информацию, которая помогает выявить подозрительную активность или индикаторы компрометации.​

Windows Defender и антивирусные программы: Windows поставляется с встроенным антивирусным программным обеспечением - Windows Defender. Оно обеспечивает защиту от вредоносных программ и может реагировать на обнаружение угроз, предпринимая соответствующие меры.​

Windows Event Forwarding: Эта функция позволяет собирать и отправлять журналы событий с нескольких компьютеров в централизованное хранилище. Это облегчает мониторинг и обнаружение инцидентов на различных системах Windows.​

PowerShell: PowerShell - мощный инструмент командной строки в Windows, который может использоваться для автоматизации задач и анализа системных данных. Он может быть полезен при инцидентном реагировании для выполнения задач по обнаружению и анализу инцидентов.​

Также с помощью инфраструктуры Active Directory , мы можем массово логировать и анализировать вторжения и атаки.

Криминалистика и спецслужбы
SOC и Blue team​

Как мы знаем , сейчас в новых модных канторах по кибербезопасности , есть 3 главных команды:

-Red team: Red team – это команда пентестеров , то есть “атакующая команда” , которая тестирует систему на безопасность используя тактики злоумышленника (хакера).
-Blue team: Blue team – это команда “защитников или безопасников”, которая анализируя написанный командой Red Team репорт , ищет уязвимые места в системе , анализирует их , и ставит комплекс защиты для этой уязвимости.
-SOC team: Команда мониторинга и быстрого реагирования на инциденты , цель этой команды – мониторинг системы , и в случае атаки или вторжения , быстро среагировать на инцидент и деактивировать угрозу до того , как злоумышленник не наделал шуму.

Incident response очень полезен для SOC и Blue team команд , потому что тактики криминалистики и быстрого реагирования на кибервторжения будут обязательны для SOC team для быстрого выявления вторжения и для анализа атак.
Incident response является частью процесса реагирования на инциденты, которая включает в себя действия SOC и Blue team для обнаружения, анализа и устранения проблемы в случае кибератаки или кибервторжений.

КБ конторы и алярм от провайдеров​

Как мы знаем , почти все провайдеры – это ручные куколки для спецслужб , также у меня есть несколько историй , когда провайдер ловит триггер из за простых действий даже в локальной сети!
Провайдеры услуг связи и интернета могут предоставлять системы и услуги, которые обеспечивают обнаружение и предупреждение о потенциальных угрозах и инцидентах безопасности.

Это может включать системы мониторинга сетевой активности, обнаружение вредоносного программного обеспечения, анализ трафика и другие механизмы, предназначенные для выявления подозрительной активности или аномалий в сети. Когда обнаруживается подозрительная активность, провайдеры могут предупреждать своих клиентов и принимать меры для снижения угрозы или предотвращения инцидента.

Как спецслужбы находят злоумышленников​

Спецслужбы имеют разнообразные методы и стратегии для выявления и преследования злоумышленников. Вот некоторые из наиболее распространенных подходов:

Мониторинг и анализ сетевой активности: Специалисты по кибербезопасности осуществляют наблюдение за сетевой активностью, включая сетевой трафик, журналы событий и системные логи. Они ищут подозрительные образцы и аномалии в сетевой активности, которые могут указывать на наличие злоумышленников. Это может включать обнаружение необычного поведения, попыток несанкционированного доступа, использование вредоносных программ и передачу конфиденциальной информации.
Цифровое следствие: Специалисты по цифровому следствию проводят анализ цифровых следов, которые оставляют злоумышленники на компьютерах, мобильных устройствах и в сетевых данных. Они используют специализированные инструменты и методы для восстановления удаленной информации, исследования файловых систем, регистров и других цифровых следов, чтобы выявить активности злоумышленников, их методы и мотивы.
Сотрудничество с информаторами: Спецслужбы могут устанавливать контакты с информаторами, которые имеют доступ к важной информации о преступной деятельности и злоумышленниках. Информаторы могут предоставлять ценные сведения о личностях, связях, операциях и планах злоумышленников. Эта информация помогает спецслужбам направить свои расследования, сосредоточиться на наиболее значимых угрозах и лучше понять деятельность преступников.
Международное сотрудничество: Злоумышленники часто действуют на глобальном уровне, поэтому спецслужбы сотрудничают с другими правоохранительными органами и разведывательными службами в рамках международных партнерств. Это позволяет обмениваться информацией, координировать действия и обнаруживать злоумышленников, которые могут перемещаться и действовать за пределами территории одной страны.
Использование технологий и аналитики данных: Спецслужбы применяют широкий спектр технических инструментов и программного обеспечения для обнаружения и анализа данных. Это может включать системы мониторинга сетевой активности, средства обнаружения вредоносного программного обеспечения, инструменты анализа больших данных и искусственного интеллекта. Такие технологии помогают автоматизировать процессы обнаружения, фильтрации и анализа данных, чтобы выделить потенциально важные индикаторы компрометации и определить цели и методы злоумышленников.

Использование инструментов для криминалистики
Sysmon simulator​

Sysmon Simulator - это инструмент, разработанный для имитации поведения Sysmon, утилиты мониторинга и регистрации событий в операционных системах Windows. Sysmon предоставляет детализированную информацию о различных событиях, происходящих в системе, таких как запуск процессов, соединения сети, изменения в реестре и другие активности, которые могут быть связаны с безопасностью и аномальной активностью. Этот инструмент очень полезен при Incident response в системах Windows , тем что позволяет мониторить изменения и активность в системе.

Основные преимущества Sysmon Simulator:

-Тестирование правил мониторинга: Sysmon Simulator позволяет тестировать и проверять правила мониторинга Sysmon, чтобы убедиться, что они правильно настроены и эффективно обнаруживают подозрительную активность. Это помогает снизить количество ложных срабатываний и улучшить общую эффективность системы мониторинга.​

-Имитация различных сценариев: С помощью Sysmon Simulator можно создавать разнообразные сценарии и симулировать события, которые могут быть связаны с атаками, вредоносной активностью или необычным поведением. Это позволяет проверить, как правила мониторинга реагируют на эти события и помогает идентифицировать уязвимости или проблемы в системе безопасности.​

-Улучшение общей безопасности: Sysmon Simulator помогает повысить уровень безопасности системы, позволяя проводить более точные и точные тесты мониторинга. Это может помочь выявить и предотвратить атаки, обнаружить необычное или вредоносное поведение и обеспечить реакцию на подозрительную активность.​

-Обучение и обучение персонала: Sysmon Simulator также может использоваться в образовательных целях для обучения персонала по кибербезопасности. Он позволяет создавать учебные сценарии и демонстрировать, как различные события и действия могут быть обнаружены и анализированы с помощью Sysmon и связанных инструментов.​

Установка Sysmon Simulator:
Возможности и параметры Sysmon Simulator:

Для использования инструмента , нам нужно запустить его с флагом -eid

Инструмент запускаем через powershell командой ./SysmonSimulator.exe -eid <event id>
Event id:

-eid 1 : Process creation​

-eid 2 : A process changed a file creation time​

-eid 3 : Network connection​

-eid 5 : Process terminated​

-eid 6 : Driver loaded​

-eid 7 : Image loaded​

-eid 8 : CreateRemoteThread​

-eid 9 : RawAccessRead​

-eid 10 : ProcessAccess​

-eid 11 : FileCreate​

-eid 12 : RegistryEvent – Object create and delete​

-eid 13 : RegistryEvent – Value Set​

-eid 14 : RegistryEvent – Key and Value Rename​

-eid 15 : FileCreateStreamHash​

-eid 16 : ServiceConfigurationChange​

-eid 17 : PipeEvent – Pipe Created​

-eid 18 : PipeEvent – Pipe Connected​

-eid 19 : WmiEvent – WmiEventFilter activity detected​

-eid 20 : WmiEvent – WmiEventConsumer activity detected​

-eid 21 : WmiEvent – WmiEventConsumerToFilter activity detected​

-eid 22 : DNSEvent – DNS query​

-eid 24 : ClipboardChange – New content in the clipboard​

-eid 25 : ProcessTampering – Process image change​

-eid 26 : FileDeleteDetected – File Delete logged​

Osquery​

Osquery - это открытое программное обеспечение, которое позволяет выполнять SQL-подобные запросы для исследования и анализа операционных систем. Оно предоставляет структурированное представление различных аспектов операционной системы, таких как процессы, сетевые соединения, файлы, реестр и многое другое. Osquery позволяет анализировать и исследовать систему, а также обнаруживать необычную активность или наличие вредоносных программ.

Вот несколько ключевых моментов о применении Osquery:

Операционные системы: Osquery поддерживает различные операционные системы, включая Windows, macOS, Linux и FreeBSD. Он предоставляет единый интерфейс для анализа и запросов данных операционной системы, независимо от платформы​

SQL-подобные запросы: Osquery использует SQL-подобный язык запросов для извлечения информации о системе. Пользователи могут написать запросы, используя знакомый SQL-синтаксис, чтобы получить данные о процессах, сетевых соединениях, файлах, реестре и других аспектах операционной системы.​

Схема данных: Osquery предоставляет схему данных, которая описывает доступные таблицы и столбцы для запросов. Схема данных помогает пользователям понять, какую информацию можно получить и как организована структура данных.​

Обнаружение необычной активности: Osquery может быть использован для обнаружения необычной активности или вторжений в систему. Путем написания запросов и анализа данных, пользователи могут искать аномалии, необычные соединения, подозрительные файлы или процессы, которые могут указывать на наличие вредоносных программ или атак.​

Интеграция с системами мониторинга и реагирования: Osquery может быть интегрирован с системами мониторинга и реагирования на инциденты, такими как Security Information and Event Management (SIEM) или Security Orchestration, Automation, and Response (SOAR). Это позволяет автоматизировать анализ данных Osquery и принимать меры по реагированию на обнаруженные события.​

​

Установка Osquery:

Установка под Windows: https://pkg.osquery.io/windows/osquery-5.8.2.msi​

Установка под MacOS: https://pkg.osquery.io/darwin/osquery-5.8.2.pkg​

Установка под Linux: https://pkg.osquery.io/linux/osquery-5.8.2_1.linux_x86_64.tar.gz​

Основные команды для использования в osquery:

osquery: Выполнить SQL-запрос к базе данных osquery.​

osquery> SELECT * FROM processes WHERE name = 'osqueryd';​

​

tables: Вывести список доступных таблиц.​

osquery> .tables​

​

schema: Вывести схему таблицы.​

osquery> .schema processes​

​

version: Вывести версию osquery.​

osquery> .version​

​

help: Вывести справку по доступным командам.​

osquery> .help​

​

exit: Выйти из интерфейса osquery.​

osquery> .exit​

Основные таблицы, предоставляемые osquery:

processes: Информация о процессах, запущенных на системе.​

services: Информация о службах (сервисах), работающих на системе.​

users: Информация о пользователях, зарегистрированных на системе.​

groups: Информация о группах пользователей на системе.​

file_systems: Информация о файловых системах на системе.​

registry: Информация о реестре (для систем Windows).​

network_connections: Информация о сетевых соединениях.​

logged_in_users: Информация о вошедших в систему пользователях.​

software: Информация о установленном программном обеспечении.​

Системные инструменты логирования Windows​

Event Viewer (Просмотр событий) - это инструмент, встроенный в операционные системы Windows, который позволяет просматривать и анализировать журналы событий компьютера. Журналы событий содержат информацию о различных событиях, происходящих в операционной системе и приложениях.

Для запуска этого инструмента , открываем окно “выполнить” через комбинацию win+r и запускаем eventvwr.msc

Возможности инструмента:

Просмотр и анализ журналов событий: Вы можете просматривать различные журналы событий, включая журналы системы, безопасности, приложений и журналы служб. Это позволяет вам получить общую информацию о происходящих событиях в операционной системе и приложениях.​

Фильтрация и поиск событий: Event Viewer позволяет фильтровать события по различным параметрам, таким как тип события, источник, уровень важности и другие атрибуты. Вы также можете использовать поиск для быстрого нахождения конкретных событий или ключевых слов в журналах.​

Просмотр подробностей событий: Вы можете просмотреть подробности каждого события, включая его идентификатор, дату и время, источник, описание и дополнительные сведения. Это помогает в анализе и понимании событий, происходящих в системе.​

Создание и настройка задач: Event Viewer позволяет создавать задачи, которые выполняются при определенных событиях. Например, вы можете создать задачу для отправки уведомления или запуска скрипта при возникновении определенного типа события.​

Экспорт и импорт данных: Вы можете экспортировать журналы событий в файлы форматов, таких как XML или CSV, для дальнейшего анализа или обмена информацией с другими пользователями. Также можно импортировать журналы событий, чтобы проанализировать их на другой системе.​

Просмотр и анализ аудиторских записей: Event Viewer позволяет просматривать аудиторские записи, которые регистрируют действия пользователей и изменения в системе. Это помогает в обеспечении безопасности и проверке соответствия.​

Ищем следы вторжения , и смотрим логи
Действия с файлами​

Один из первых шагов при анализе следов вторжения - это изучение действий, связанных с файлами.
Это может быть создание файлов , изменение файлов , удаление файлов , перемещение файлов.

Sysmon Simulator:
По очереди запускаем:

./SysmonSimulator -eid 2​

(Процесс изменения файлов)​

./SysmonSimulator -eid 11​

(Создание файлов)​

./SysmonSimulator -eid 15​

(ADS создание файла)​

./SysmonSimulator -eid 26​

(Процесс удаления файла)​

Osquery:
SELECT * FROM file

Также настройка FIM (File Integrity Monitoring)
Добавим в конфиг файл (Osquery.conf) эти строчки:

JSON: Скопировать в буфер обмена

{
"options": {
"config_plugin": "filesystem",
"logger_plugin": "filesystem",
"logger_path": "/var/log/osquery",
"disable_logging": "false",
"log_result_events": "true",
"schedule_splay_percent": "10",
"pidfile": "/var/osquery/osquery.pidfile",
"events_expiry": "3600",
"database_path": "/var/osquery/osquery.db",
"verbose": "false",
"worker_threads": "2",
"enable_monitor": "true",
"disable_events": "false",
"disable_audit": "false",
"audit_allow_config": "true",
"host_identifier": "hakase-labs",
"enable_syslog": "true",
"syslog_pipe_path": "/var/osquery/syslog_pipe",
"force": "true",
"audit_allow_sockets": "true",
"schedule_default_interval": "3600",
"enable_file_events": "true"
},
"schedule": {
"crontab": {
"query": "SELECT * FROM crontab;",
"interval": 300
},
"file_events": {
"query": "SELECT * FROM file_events;",
"removed": false,
"interval": 300
}
},
"file_paths": {
"homes": [
"/root/%%",
"/home/%%"
],
"etc": [
"/etc/%%"
],
"tmp": [
"/tmp/%%"
]
},
"exclude_paths": {
"homes": [
"/home/not_to_monitor/.ssh/%%"
],
"tmp": [
"/tmp/too_many_events/"
]
}
}

Event viewer:

Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с файловыми операциями. Несколько распространенных журналов, связанных с файлами:

"Security" (Безопасность): Регистрирует события, связанные с безопасностью, включая операции с файлами, такие как попытки доступа, изменения разрешений и т.д.​

"Application" (Приложения): Регистрирует события, связанные с приложениями, которые могут включать операции с файлами.​

"System" (Система): Регистрирует события, связанные с системой, которые могут содержать информацию о файловых операциях, связанных с драйверами и службами.​

В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Щелкните правой кнопкой мыши на событии, чтобы просмотреть подробности операции с файлом.
В окне подробностей события ищите поля, связанные с файлами. Обычно информация о файле включает путь к файлу, имя файла, тип операции (например, чтение, запись, удаление), идентификатор пользователя и другие детали.

Сетевые подключения​

Sysmon simulator:
./SysmonSimulator -eid 3
(Информация об сетевых подключениях)
./SysmonSimulator -eid 22
(Информация об DNS запросах)

Osquery:
SELECT * FROM socket_events
SELECT * FROM listening_ports
SELECT * FROM process_open_ports

Event Viewer:
Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с сетевыми событиями. Несколько распространенных журналов, связанных с сетью:

"Security" (Безопасность): Регистрирует события, связанные с безопасностью, включая сетевые события, такие как удачные или неудачные попытки подключения к ресурсам, использование протоколов безопасности и т.д.​

"System" (Система): Регистрирует события, связанные с системой, которые могут содержать информацию о сетевых интерфейсах, соединениях, ошибках сети и других сетевых событиях.​

В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Щелкните правой кнопкой мыши на событии, чтобы просмотреть подробности сетевого события.
В окне подробностей события ищите поля, связанные с сетью. Обычно информация о сетевом событии включает IP-адреса, порты, протоколы, идентификаторы процессов и другие детали.

Действия с учетными данными​

Sysmon Simulator:
./SysmonSimulator -eid 14
(Изменение ключей доступа в реестре)

Osquery:
SELECT * FROM registry WHERE key_path LIKE '%SAM\\SAM\\Domains\\Account\\Users\\%'

Event Viewer:
Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с безопасностью. Наиболее подходящий журнал для просмотра изменений учетных данных - "Security" (Безопасность).
В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Для фильтрации только событий, связанных с изменениями учетных данных, выполните следующие действия:
Щелкните правой кнопкой мыши на журнале "Security".
Выберите "Filter Current Log" (Фильтр текущего журнала).
В открывшемся окне "Filter Current Log" в разделе "Event sources" (Источники событий) выберите "Security-Auditing".
В поле "Keywords" (Ключевые слова) введите число "4738" (это код события для изменения учетных данных).
Нажмите "OK" для применения фильтра.

Теперь в правой панели "Event Viewer" будут отображаться только события, связанные с изменениями учетных данных. Щелкните на каждом событии, чтобы просмотреть подробности изменений учетных данных, таких как имя пользователя, тип операции (создание, изменение или удаление учетной записи), время события и другая информация.

Ищем бэкдоры во взломанной системе​

Вредоносные программы всегда оставляют за собой след в системе , этим следом могут быть:

-Левые процессы​

-Файлы , созданы вредоносном обеспечением​

-Логи сетевых подключений​

-Изменения в системе распределения прав (Добавление администраторов и новых учетных записей)​

Для поиска следов использования мальваря в системе , мы будем использовать такие инструменты: Osquery ,Sysmon Simulator

Osquery:
SELECT * FROM processes

С помощью этой команды мы выведем список запущенных процессов в системе.
Анализируя запущенные процессы , мы можем увидеть такую аномалию как Reverse shell или Bind shell. Это оболочки удаленного доступа к вашей системе.
Вероятно эти шеллы создались автоматически после запуска мальваря на вашей системе.


Также мы можем найти созданные файлы через инструмент Sysmon Simulator , очень часто эти файлы содержат в себе копии вредоносного кода , и созданы они самим мальварем.

./SysmonSimulator -eid 11
./SysmonSimulator – eid 15
(Sysmon Simulator покажет нам последние операции с файлами в системе)

Реверсинг мальварей
Ищем подозрительные процессы​

Для дампа всех работающих процессов в системе , с помощью Osquery:
SELECT * FROM processes

Теперь мы можем увидеть такую информацию об процессах:

Column​	Type​	Description​
pid	BIGINT	Process (or thread) ID
name	TEXT	The process path or shorthand argv[0]
path	TEXT	Path to executed binary
cmdline	TEXT	Complete argv
state	TEXT	Process state
cwd	TEXT	Process current working directory
root	TEXT	Process virtual root directory
uid	BIGINT	Unsigned user ID
gid	BIGINT	Unsigned group ID
euid	BIGINT	Unsigned effective user ID
egid	BIGINT	Unsigned effective group ID
suid	BIGINT	Unsigned saved user ID
sgid	BIGINT	Unsigned saved group ID
on_disk	INTEGER	The process path exists yes=1, no=0, unknown=-1
wired_size	BIGINT	Bytes of unpageable memory used by process
resident_size	BIGINT	Bytes of private memory used by process
total_size	BIGINT	Total virtual memory size
user_time	BIGINT	CPU time in milliseconds spent in user space
system_time	BIGINT	CPU time in milliseconds spent in kernel space
disk_bytes_read	BIGINT	Bytes read from disk
disk_bytes_written	BIGINT	Bytes written to disk
start_time	BIGINT	Process start time in seconds since Epoch, in case of error -1
parent	BIGINT	Process parent's PID
pgroup	BIGINT	Process group
threads	INTEGER	Number of threads used by process
nice	INTEGER	Process nice level (-20 to 20, default 0)
elevated_token	INTEGER	Process uses elevated token yes=1, no=0 Only available on Windows
secure_process	INTEGER	Process is secure (IUM) yes=1, no=0 Only available on Windows
protection_type	TEXT	The protection type of the process Only available on Windows
virtual_process	INTEGER	Process is virtual (e.g. System, Registry, vmmem) yes=1, no=0 Only available on Windows
elapsed_time	BIGINT	Elapsed time in seconds this process has been running. Only available on Windows
handle_count	BIGINT	Total number of handles that the process has open. This number is the sum of the handles currently opened by each thread in the process. Only available on Windows
percent_processor_time	BIGINT	Returns elapsed time that all of the threads of this process used the processor to execute instructions in 100 nanoseconds ticks. Only available on Windows
upid	BIGINT	A 64bit pid that is never reused. Returns -1 if we couldn't gather them from the system. Only available on macOS
uppid	BIGINT	The 64bit parent pid that is never reused. Returns -1 if we couldn't gather them from the system. Only available on macOS
cpu_type	INTEGER	Indicates the specific processor designed for installation. Only available on macOS
cpu_subtype	INTEGER	Indicates the specific processor on which an entry may be used. Only available on macOS
translated	INTEGER	Indicates whether the process is running under the Rosetta Translation Environment, yes=1, no=0, error=-1. Only available on macOS

Также установив утилиту Autoruns , мы также можем мониторить процессы в системе и информацию об них.
Скачать