Salvare quanto copiato negli appunti di Windows con Sysmon

Come funziona Sysmon: presentazione del nuovo strumento che permette di monitorare e memorizzare tutto quanto viene copiato nell'area degli appunti di Windows.

Mark Russinovich e Thomas Garnier hanno realizzato una nota utilità, peraltro molto diffusa tra gli amministratori di sistema, che si chiama Sysmon.
Ne abbiamo parlato più volte in passato perché essa è utile per capire tutto ciò che avviene sul sistema dove viene installata (vedere Sysmon adesso consente di monitorare e archiviare tutti i file cancellati sul sistema e Capire a quali domini si collegano i programmi installati con il nuovo Sysmon).

L’ultima novità è che adesso Symon – scaricabile gratuitamente da questa pagina – è in grado di memorizzare tutte le informazioni che via a via vengono copiate nell’area degli appunti di Windows dai singoli processi oppure, manualmente, dagli utenti usando la combinazione di tasti (CTRL+C).

Un programma come Sysmon è potentissimo perché, una volta installato, rimane silenziosamente in esecuzione in background e non svela la sua presenza. Essendo stato sviluppato da Microsoft e riportando la firma digitale dell’azienda di Redmond non viene mai riportato da nessun antimalware (vedere su VirusTotal).

Il suo principale utilizzo è quello di fornire un valido aiuto agli amministratori di sistema per capire cosa è accaduto su una macchina e, ad esempio, quali operazioni hanno portato a un’infezione. L’area degli appunti di Windows viene comunemente utilizzata dai malware writer ed è per questo motivo che gli sviluppatori di Sysmon ne hanno voluto aggiungere il supporto diretto.

Avviando semplicemente Sysmon senza alcun file di configurazione, l’utilità provvederà al monitoraggio degli eventi di base verificatisi sul sistema (ad esempio la creazione di nuovi processi e le modifiche applicate sui file).

Creando un file sysmon.cfg.xml e incollandovi quanto segue, si potrà abilitare il monitoraggio degli appunti di Windows:

<Sysmon schemaversion="4.40">
<CaptureClipboard />
  <Event Filtering>
    <RuleGroup name="" groupRelation="or">
      <ClipboardChange onmatch="exclude">
      </ClipboardChange>
    </RuleGroup>
  </EventFiltering>
</Sysmon>

Per attivare l’utilizzo del file, basterà usare la sintassi sysmon64 -i sysmon.cfg.xml (sui sistemi a 64 bit, altrimenti eseguire sysmon).
Le informazioni via a via salvate nell’area degli appunti verranno memorizzate nella cartella di Sysmon sotto forma di hash SHA-1.

Per accedere al loro contenuto, l’amministratore dovrà usare l’utilità psexec e impartire il comando psexec -sid cmd. In questo modo il contenuto dei file sarà immediatamente accessibile.

Digitando notepad seguito dal nome del file da aprire, si leggerà il contenuto precedentemente copiati negli appunti con il Blocco Note di Windows.

Tanti esempi di configurazione di Symon sono disponibili qui e qui.

Da ricordare che in Windows 10 la nuova combinazione di tasti Windows+V consente di accedere alla cronologia delle informazioni copiate nell’area degli appunti: vedere il paragrafo Area degli appunti intelligente: per conservare in memoria più informazioni e più file nell’articolo Windows 10: strumenti molto utili ma poco conosciuti.

Ti consigliamo anche

Link copiato negli appunti