D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Содержание
1.Вступление-Что такое криминалистика?
-Что такое Incident response?
-Популярность Incident response в системах windows.
2.Криминалистика и спецслужбы
-SOC и Blue team
-КБ конторы и алярм от провайдеров
-Как спецслужбы находят злоумышленников
3.Использование инструментов для криминалистики.
-Sysmon simulator
-Osquery
-Системные инструменты логирования Windows
4.Ищем следы вторжения , и смотрим логи
-Действия с файлами
-Сетевые подключения
-Действия с учетными данными
-Ищем бекдоры во взломаной системе
5.Реверсинг мальварей
-Ищем подозрительные процессы
-Ищем последние сетевые подключения
-Ищем следы применения зловреда
6.Создание криминалистической цепочки.
-Поиск источника появления вторжения
-Поиск исходного узла получения данных
-Навыки и применение Osint
7.Создание репорта с найденой информацией.
-Учимся сдавать доклады
-Входные и выходные данные при процессе.
-Итоги расследования
Вступление
Что такое криминалистика?
Криминалистика в кибербезопасности – процесс анализа вторжения и взлома компьютерной системы.Что такое криминалистика?
Также при криминалистике , очень интересным этапом процесса выступает построение криминалистической цепочки и деанон лиц (участников вторжения)
Что такое Incident response?
Incident response – это процесс реагирования на вторжения , атаки. А также процесс анализа угрозы.Основные этапы реагирования на вторжения:
-Обнаружение угрозы
-Оценка критичности угрозы
-Поиск следов вторжения
-Создание цепочки следов
-Создание отчета об расследовании
Типы вторжений и инцидентов безопасности:-Несанкционированные попытки доступа к системам или данным.
-Атаки с повышением привилегий.
-Внутренние угрозы .
-Фишинговые атаки.
-Атаки вредоносных программ.
-Атаки типа «отказ в обслуживании» ( DoS ).
-Атаки «человек посередине» .
-Атаки на пароли.
-Атаки на веб-приложения.
-Расширенные постоянные угрозы
Цель реагирования - быстро и эффективно реагировать на киберинциденты, минимизировать ущерб и восстановить нормальное функционирование системы или сети.
Популярность Incident response в системах windows.
В последнее время после атак APT и Ransomware группировок , актуальность этапа incident response , выросла на 50%.Тем более , как мы знаем, большинство атак направленны на системы с ОС Windows. Для этого мы будем использовать такие инструменты как Sysmon Simulator и Osquery.
Incident response в системах Windows направлен на обнаружение, реагирование и устранение киберугроз, а также восстановление нормальной работы системы после инцидента.
Популярность инцидентного реагирования в системах Windows обусловлена широким распространением этой операционной системы и необходимостью эффективной защиты компьютеров и сетей от кибератак.
Некоторые инструменты в системе Windows , которые применяют при incident response:
Событийные журналы (Event Logs): Windows ведет журналы событий, которые регистрируют различные активности и процессы в системе. Они могут содержать полезную информацию, которая помогает выявить подозрительную активность или индикаторы компрометации.
Windows Defender и антивирусные программы: Windows поставляется с встроенным антивирусным программным обеспечением - Windows Defender. Оно обеспечивает защиту от вредоносных программ и может реагировать на обнаружение угроз, предпринимая соответствующие меры.
Windows Event Forwarding: Эта функция позволяет собирать и отправлять журналы событий с нескольких компьютеров в централизованное хранилище. Это облегчает мониторинг и обнаружение инцидентов на различных системах Windows.
PowerShell: PowerShell - мощный инструмент командной строки в Windows, который может использоваться для автоматизации задач и анализа системных данных. Он может быть полезен при инцидентном реагировании для выполнения задач по обнаружению и анализу инцидентов.
Также с помощью инфраструктуры Active Directory , мы можем массово логировать и анализировать вторжения и атаки.
Криминалистика и спецслужбы
SOC и Blue team
Как мы знаем , сейчас в новых модных канторах по кибербезопасности , есть 3 главных команды:SOC и Blue team
-Red team: Red team – это команда пентестеров , то есть “атакующая команда” , которая тестирует систему на безопасность используя тактики злоумышленника (хакера).
-Blue team: Blue team – это команда “защитников или безопасников”, которая анализируя написанный командой Red Team репорт , ищет уязвимые места в системе , анализирует их , и ставит комплекс защиты для этой уязвимости.
-SOC team: Команда мониторинга и быстрого реагирования на инциденты , цель этой команды – мониторинг системы , и в случае атаки или вторжения , быстро среагировать на инцидент и деактивировать угрозу до того , как злоумышленник не наделал шуму.
Incident response очень полезен для SOC и Blue team команд , потому что тактики криминалистики и быстрого реагирования на кибервторжения будут обязательны для SOC team для быстрого выявления вторжения и для анализа атак.
Incident response является частью процесса реагирования на инциденты, которая включает в себя действия SOC и Blue team для обнаружения, анализа и устранения проблемы в случае кибератаки или кибервторжений.
КБ конторы и алярм от провайдеров
Как мы знаем , почти все провайдеры – это ручные куколки для спецслужб , также у меня есть несколько историй , когда провайдер ловит триггер из за простых действий даже в локальной сети!Провайдеры услуг связи и интернета могут предоставлять системы и услуги, которые обеспечивают обнаружение и предупреждение о потенциальных угрозах и инцидентах безопасности.
Это может включать системы мониторинга сетевой активности, обнаружение вредоносного программного обеспечения, анализ трафика и другие механизмы, предназначенные для выявления подозрительной активности или аномалий в сети. Когда обнаруживается подозрительная активность, провайдеры могут предупреждать своих клиентов и принимать меры для снижения угрозы или предотвращения инцидента.
Как спецслужбы находят злоумышленников
Спецслужбы имеют разнообразные методы и стратегии для выявления и преследования злоумышленников. Вот некоторые из наиболее распространенных подходов:
Мониторинг и анализ сетевой активности: Специалисты по кибербезопасности осуществляют наблюдение за сетевой активностью, включая сетевой трафик, журналы событий и системные логи. Они ищут подозрительные образцы и аномалии в сетевой активности, которые могут указывать на наличие злоумышленников. Это может включать обнаружение необычного поведения, попыток несанкционированного доступа, использование вредоносных программ и передачу конфиденциальной информации.
Цифровое следствие: Специалисты по цифровому следствию проводят анализ цифровых следов, которые оставляют злоумышленники на компьютерах, мобильных устройствах и в сетевых данных. Они используют специализированные инструменты и методы для восстановления удаленной информации, исследования файловых систем, регистров и других цифровых следов, чтобы выявить активности злоумышленников, их методы и мотивы.
Сотрудничество с информаторами: Спецслужбы могут устанавливать контакты с информаторами, которые имеют доступ к важной информации о преступной деятельности и злоумышленниках. Информаторы могут предоставлять ценные сведения о личностях, связях, операциях и планах злоумышленников. Эта информация помогает спецслужбам направить свои расследования, сосредоточиться на наиболее значимых угрозах и лучше понять деятельность преступников.
Международное сотрудничество: Злоумышленники часто действуют на глобальном уровне, поэтому спецслужбы сотрудничают с другими правоохранительными органами и разведывательными службами в рамках международных партнерств. Это позволяет обмениваться информацией, координировать действия и обнаруживать злоумышленников, которые могут перемещаться и действовать за пределами территории одной страны.
Использование технологий и аналитики данных: Спецслужбы применяют широкий спектр технических инструментов и программного обеспечения для обнаружения и анализа данных. Это может включать системы мониторинга сетевой активности, средства обнаружения вредоносного программного обеспечения, инструменты анализа больших данных и искусственного интеллекта. Такие технологии помогают автоматизировать процессы обнаружения, фильтрации и анализа данных, чтобы выделить потенциально важные индикаторы компрометации и определить цели и методы злоумышленников.
Использование инструментов для криминалистики
Sysmon simulator
Sysmon Simulator - это инструмент, разработанный для имитации поведения Sysmon, утилиты мониторинга и регистрации событий в операционных системах Windows. Sysmon предоставляет детализированную информацию о различных событиях, происходящих в системе, таких как запуск процессов, соединения сети, изменения в реестре и другие активности, которые могут быть связаны с безопасностью и аномальной активностью. Этот инструмент очень полезен при Incident response в системах Windows , тем что позволяет мониторить изменения и активность в системе.Sysmon simulator
Основные преимущества Sysmon Simulator:
-Тестирование правил мониторинга: Sysmon Simulator позволяет тестировать и проверять правила мониторинга Sysmon, чтобы убедиться, что они правильно настроены и эффективно обнаруживают подозрительную активность. Это помогает снизить количество ложных срабатываний и улучшить общую эффективность системы мониторинга.
-Имитация различных сценариев: С помощью Sysmon Simulator можно создавать разнообразные сценарии и симулировать события, которые могут быть связаны с атаками, вредоносной активностью или необычным поведением. Это позволяет проверить, как правила мониторинга реагируют на эти события и помогает идентифицировать уязвимости или проблемы в системе безопасности.
-Улучшение общей безопасности: Sysmon Simulator помогает повысить уровень безопасности системы, позволяя проводить более точные и точные тесты мониторинга. Это может помочь выявить и предотвратить атаки, обнаружить необычное или вредоносное поведение и обеспечить реакцию на подозрительную активность.
-Обучение и обучение персонала: Sysmon Simulator также может использоваться в образовательных целях для обучения персонала по кибербезопасности. Он позволяет создавать учебные сценарии и демонстрировать, как различные события и действия могут быть обнаружены и анализированы с помощью Sysmon и связанных инструментов.
Установка Sysmon Simulator:
Возможности и параметры Sysmon Simulator:
Для использования инструмента , нам нужно запустить его с флагом -eid
Инструмент запускаем через powershell командой
./SysmonSimulator.exe -eid <event id>Event id:
-eid 1 : Process creation
-eid 2 : A process changed a file creation time
-eid 3 : Network connection
-eid 5 : Process terminated
-eid 6 : Driver loaded
-eid 7 : Image loaded
-eid 8 : CreateRemoteThread
-eid 9 : RawAccessRead
-eid 10 : ProcessAccess
-eid 11 : FileCreate
-eid 12 : RegistryEvent – Object create and delete
-eid 13 : RegistryEvent – Value Set
-eid 14 : RegistryEvent – Key and Value Rename
-eid 15 : FileCreateStreamHash
-eid 16 : ServiceConfigurationChange
-eid 17 : PipeEvent – Pipe Created
-eid 18 : PipeEvent – Pipe Connected
-eid 19 : WmiEvent – WmiEventFilter activity detected
-eid 20 : WmiEvent – WmiEventConsumer activity detected
-eid 21 : WmiEvent – WmiEventConsumerToFilter activity detected
-eid 22 : DNSEvent – DNS query
-eid 24 : ClipboardChange – New content in the clipboard
-eid 25 : ProcessTampering – Process image change
-eid 26 : FileDeleteDetected – File Delete logged
Osquery
Osquery - это открытое программное обеспечение, которое позволяет выполнять SQL-подобные запросы для исследования и анализа операционных систем. Оно предоставляет структурированное представление различных аспектов операционной системы, таких как процессы, сетевые соединения, файлы, реестр и многое другое. Osquery позволяет анализировать и исследовать систему, а также обнаруживать необычную активность или наличие вредоносных программ.Вот несколько ключевых моментов о применении Osquery:
Операционные системы: Osquery поддерживает различные операционные системы, включая Windows, macOS, Linux и FreeBSD. Он предоставляет единый интерфейс для анализа и запросов данных операционной системы, независимо от платформы
SQL-подобные запросы: Osquery использует SQL-подобный язык запросов для извлечения информации о системе. Пользователи могут написать запросы, используя знакомый SQL-синтаксис, чтобы получить данные о процессах, сетевых соединениях, файлах, реестре и других аспектах операционной системы.
Схема данных: Osquery предоставляет схему данных, которая описывает доступные таблицы и столбцы для запросов. Схема данных помогает пользователям понять, какую информацию можно получить и как организована структура данных.
Обнаружение необычной активности: Osquery может быть использован для обнаружения необычной активности или вторжений в систему. Путем написания запросов и анализа данных, пользователи могут искать аномалии, необычные соединения, подозрительные файлы или процессы, которые могут указывать на наличие вредоносных программ или атак.
Интеграция с системами мониторинга и реагирования: Osquery может быть интегрирован с системами мониторинга и реагирования на инциденты, такими как Security Information and Event Management (SIEM) или Security Orchestration, Automation, and Response (SOAR). Это позволяет автоматизировать анализ данных Osquery и принимать меры по реагированию на обнаруженные события.
Установка Osquery:Установка под Windows: https://pkg.osquery.io/windows/osquery-5.8.2.msi
Установка под MacOS: https://pkg.osquery.io/darwin/osquery-5.8.2.pkg
Установка под Linux: https://pkg.osquery.io/linux/osquery-5.8.2_1.linux_x86_64.tar.gz
Основные команды для использования в osquery:
osquery: Выполнить SQL-запрос к базе данных osquery.
osquery>
SELECT * FROM processes WHERE name = 'osqueryd';
tables: Вывести список доступных таблиц.
osquery>
.tables
schema: Вывести схему таблицы.
osquery>
.schema processes
version: Вывести версию osquery.
osquery>
.version
help: Вывести справку по доступным командам.
osquery>
.help
exit: Выйти из интерфейса osquery.
osquery>
.exitОсновные таблицы, предоставляемые osquery:
processes: Информация о процессах, запущенных на системе.
services: Информация о службах (сервисах), работающих на системе.
users: Информация о пользователях, зарегистрированных на системе.
groups: Информация о группах пользователей на системе.
file_systems: Информация о файловых системах на системе.
registry: Информация о реестре (для систем Windows).
network_connections: Информация о сетевых соединениях.
logged_in_users: Информация о вошедших в систему пользователях.
software: Информация о установленном программном обеспечении.
Системные инструменты логирования Windows
Event Viewer (Просмотр событий) - это инструмент, встроенный в операционные системы Windows, который позволяет просматривать и анализировать журналы событий компьютера. Журналы событий содержат информацию о различных событиях, происходящих в операционной системе и приложениях.Для запуска этого инструмента , открываем окно “выполнить” через комбинацию win+r и запускаем eventvwr.msc
Возможности инструмента:
Просмотр и анализ журналов событий: Вы можете просматривать различные журналы событий, включая журналы системы, безопасности, приложений и журналы служб. Это позволяет вам получить общую информацию о происходящих событиях в операционной системе и приложениях.
Фильтрация и поиск событий: Event Viewer позволяет фильтровать события по различным параметрам, таким как тип события, источник, уровень важности и другие атрибуты. Вы также можете использовать поиск для быстрого нахождения конкретных событий или ключевых слов в журналах.
Просмотр подробностей событий: Вы можете просмотреть подробности каждого события, включая его идентификатор, дату и время, источник, описание и дополнительные сведения. Это помогает в анализе и понимании событий, происходящих в системе.
Создание и настройка задач: Event Viewer позволяет создавать задачи, которые выполняются при определенных событиях. Например, вы можете создать задачу для отправки уведомления или запуска скрипта при возникновении определенного типа события.
Экспорт и импорт данных: Вы можете экспортировать журналы событий в файлы форматов, таких как XML или CSV, для дальнейшего анализа или обмена информацией с другими пользователями. Также можно импортировать журналы событий, чтобы проанализировать их на другой системе.
Просмотр и анализ аудиторских записей: Event Viewer позволяет просматривать аудиторские записи, которые регистрируют действия пользователей и изменения в системе. Это помогает в обеспечении безопасности и проверке соответствия.
Ищем следы вторжения , и смотрим логи
Действия с файлами
Один из первых шагов при анализе следов вторжения - это изучение действий, связанных с файлами.Действия с файлами
Это может быть создание файлов , изменение файлов , удаление файлов , перемещение файлов.
Sysmon Simulator:
По очереди запускаем:
./SysmonSimulator -eid 2(Процесс изменения файлов)
./SysmonSimulator -eid 11(Создание файлов)
./SysmonSimulator -eid 15(ADS создание файла)
./SysmonSimulator -eid 26(Процесс удаления файла)
Osquery:
SELECT * FROM fileТакже настройка FIM (File Integrity Monitoring)
Добавим в конфиг файл (Osquery.conf) эти строчки:
JSON: Скопировать в буфер обмена
Код:
{
"options": {
"config_plugin": "filesystem",
"logger_plugin": "filesystem",
"logger_path": "/var/log/osquery",
"disable_logging": "false",
"log_result_events": "true",
"schedule_splay_percent": "10",
"pidfile": "/var/osquery/osquery.pidfile",
"events_expiry": "3600",
"database_path": "/var/osquery/osquery.db",
"verbose": "false",
"worker_threads": "2",
"enable_monitor": "true",
"disable_events": "false",
"disable_audit": "false",
"audit_allow_config": "true",
"host_identifier": "hakase-labs",
"enable_syslog": "true",
"syslog_pipe_path": "/var/osquery/syslog_pipe",
"force": "true",
"audit_allow_sockets": "true",
"schedule_default_interval": "3600",
"enable_file_events": "true"
},
"schedule": {
"crontab": {
"query": "SELECT * FROM crontab;",
"interval": 300
},
"file_events": {
"query": "SELECT * FROM file_events;",
"removed": false,
"interval": 300
}
},
"file_paths": {
"homes": [
"/root/%%",
"/home/%%"
],
"etc": [
"/etc/%%"
],
"tmp": [
"/tmp/%%"
]
},
"exclude_paths": {
"homes": [
"/home/not_to_monitor/.ssh/%%"
],
"tmp": [
"/tmp/too_many_events/"
]
}
}Event viewer:
Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с файловыми операциями. Несколько распространенных журналов, связанных с файлами:
"Security" (Безопасность): Регистрирует события, связанные с безопасностью, включая операции с файлами, такие как попытки доступа, изменения разрешений и т.д.
"Application" (Приложения): Регистрирует события, связанные с приложениями, которые могут включать операции с файлами.
"System" (Система): Регистрирует события, связанные с системой, которые могут содержать информацию о файловых операциях, связанных с драйверами и службами.
В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Щелкните правой кнопкой мыши на событии, чтобы просмотреть подробности операции с файлом.
В окне подробностей события ищите поля, связанные с файлами. Обычно информация о файле включает путь к файлу, имя файла, тип операции (например, чтение, запись, удаление), идентификатор пользователя и другие детали.
Сетевые подключения
Sysmon simulator:./SysmonSimulator -eid 3(Информация об сетевых подключениях)
./SysmonSimulator -eid 22(Информация об DNS запросах)
Osquery:
SELECT * FROM socket_eventsSELECT * FROM listening_portsSELECT * FROM process_open_portsEvent Viewer:
Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с сетевыми событиями. Несколько распространенных журналов, связанных с сетью:
"Security" (Безопасность): Регистрирует события, связанные с безопасностью, включая сетевые события, такие как удачные или неудачные попытки подключения к ресурсам, использование протоколов безопасности и т.д.
"System" (Система): Регистрирует события, связанные с системой, которые могут содержать информацию о сетевых интерфейсах, соединениях, ошибках сети и других сетевых событиях.
В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Щелкните правой кнопкой мыши на событии, чтобы просмотреть подробности сетевого события.В окне подробностей события ищите поля, связанные с сетью. Обычно информация о сетевом событии включает IP-адреса, порты, протоколы, идентификаторы процессов и другие детали.
Действия с учетными данными
Sysmon Simulator:./SysmonSimulator -eid 14(Изменение ключей доступа в реестре)
Osquery:
SELECT * FROM registry WHERE key_path LIKE '%SAM\\SAM\\Domains\\Account\\Users\\%'Event Viewer:
Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с безопасностью. Наиболее подходящий журнал для просмотра изменений учетных данных - "Security" (Безопасность).
В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Для фильтрации только событий, связанных с изменениями учетных данных, выполните следующие действия:
Щелкните правой кнопкой мыши на журнале "Security".
Выберите "Filter Current Log" (Фильтр текущего журнала).
В открывшемся окне "Filter Current Log" в разделе "Event sources" (Источники событий) выберите "Security-Auditing".
В поле "Keywords" (Ключевые слова) введите число "4738" (это код события для изменения учетных данных).
Нажмите "OK" для применения фильтра.
Теперь в правой панели "Event Viewer" будут отображаться только события, связанные с изменениями учетных данных. Щелкните на каждом событии, чтобы просмотреть подробности изменений учетных данных, таких как имя пользователя, тип операции (создание, изменение или удаление учетной записи), время события и другая информация.
Ищем бэкдоры во взломанной системе
Вредоносные программы всегда оставляют за собой след в системе , этим следом могут быть:-Левые процессы
-Файлы , созданы вредоносном обеспечением
-Логи сетевых подключений
-Изменения в системе распределения прав (Добавление администраторов и новых учетных записей)
Для поиска следов использования мальваря в системе , мы будем использовать такие инструменты: Osquery ,Sysmon Simulator
Osquery:
SELECT * FROM processesС помощью этой команды мы выведем список запущенных процессов в системе.
Анализируя запущенные процессы , мы можем увидеть такую аномалию как Reverse shell или Bind shell. Это оболочки удаленного доступа к вашей системе.
Вероятно эти шеллы создались автоматически после запуска мальваря на вашей системе.
Также мы можем найти созданные файлы через инструмент Sysmon Simulator , очень часто эти файлы содержат в себе копии вредоносного кода , и созданы они самим мальварем.
./SysmonSimulator -eid 11./SysmonSimulator – eid 15(Sysmon Simulator покажет нам последние операции с файлами в системе)
Реверсинг мальварей
Ищем подозрительные процессы
Для дампа всех работающих процессов в системе , с помощью Osquery:Ищем подозрительные процессы
SELECT * FROM processesТеперь мы можем увидеть такую информацию об процессах:
Column | Type | Description |
| pid | BIGINT | Process (or thread) ID |
| name | TEXT | The process path or shorthand argv[0] |
| path | TEXT | Path to executed binary |
| cmdline | TEXT | Complete argv |
| state | TEXT | Process state |
| cwd | TEXT | Process current working directory |
| root | TEXT | Process virtual root directory |
| uid | BIGINT | Unsigned user ID |
| gid | BIGINT | Unsigned group ID |
| euid | BIGINT | Unsigned effective user ID |
| egid | BIGINT | Unsigned effective group ID |
| suid | BIGINT | Unsigned saved user ID |
| sgid | BIGINT | Unsigned saved group ID |
| on_disk | INTEGER | The process path exists yes=1, no=0, unknown=-1 |
| wired_size | BIGINT | Bytes of unpageable memory used by process |
| resident_size | BIGINT | Bytes of private memory used by process |
| total_size | BIGINT | Total virtual memory size |
| user_time | BIGINT | CPU time in milliseconds spent in user space |
| system_time | BIGINT | CPU time in milliseconds spent in kernel space |
| disk_bytes_read | BIGINT | Bytes read from disk |
| disk_bytes_written | BIGINT | Bytes written to disk |
| start_time | BIGINT | Process start time in seconds since Epoch, in case of error -1 |
| parent | BIGINT | Process parent's PID |
| pgroup | BIGINT | Process group |
| threads | INTEGER | Number of threads used by process |
| nice | INTEGER | Process nice level (-20 to 20, default 0) |
| elevated_token | INTEGER | Process uses elevated token yes=1, no=0 Only available on Windows |
| secure_process | INTEGER | Process is secure (IUM) yes=1, no=0 Only available on Windows |
| protection_type | TEXT | The protection type of the process Only available on Windows |
| virtual_process | INTEGER | Process is virtual (e.g. System, Registry, vmmem) yes=1, no=0 Only available on Windows |
| elapsed_time | BIGINT | Elapsed time in seconds this process has been running. Only available on Windows |
| handle_count | BIGINT | Total number of handles that the process has open. This number is the sum of the handles currently opened by each thread in the process. Only available on Windows |
| percent_processor_time | BIGINT | Returns elapsed time that all of the threads of this process used the processor to execute instructions in 100 nanoseconds ticks. Only available on Windows |
| upid | BIGINT | A 64bit pid that is never reused. Returns -1 if we couldn't gather them from the system. Only available on macOS |
| uppid | BIGINT | The 64bit parent pid that is never reused. Returns -1 if we couldn't gather them from the system. Only available on macOS |
| cpu_type | INTEGER | Indicates the specific processor designed for installation. Only available on macOS |
| cpu_subtype | INTEGER | Indicates the specific processor on which an entry may be used. Only available on macOS |
| translated | INTEGER | Indicates whether the process is running under the Rosetta Translation Environment, yes=1, no=0, error=-1. Only available on macOS |
Также установив утилиту Autoruns , мы также можем мониторить процессы в системе и информацию об них.
Скачать
View hidden content is available for registered users!