Mark Russinovich, sviluppatore Microsoft e CTO di Azure, ha sviluppato nel corso degli anni alcune tra le più apprezzate utilità per Windows. Basti pensare a Process Explorer e Process Monitor, solo per citare i due tool forse più famosi in assoluto.
Process Explorer genera un’istantanea di tutti i processi in esecuzione sul sistema insieme con le varie dipendenze e le loro caratteristiche tecniche più importanti; il secondo permette di sapere quali modifiche a livello di file system e di registro di sistema vengono applicate dai componenti di Windows e da qualunque programma in esecuzione.
Tra gli strumenti più interessanti anche anche Sysmon, applicazione che viene installata in Windows come driver di sistema e che rimane residente in memoria registrando in un file di log tutto ciò che avviene.
Sysmon fornisce informazioni sulla creazione di nuovi processi, sulle connessione di rete e sulle modifiche via a via applicate a livello di file system.
La novità, che farà certamente felice una nutrita schiera di amministratori, è la possibilità di controllare attraverso Sysmon i siti web visitati e soprattutto i processi che hanno richiesto una connessione verso i vari URL e IP.
Premendo la combinazione di tasti Windows+R
quindi digitando eventvwr.msc
, si può accedere al Visualizzatore eventi di Windows. Cliccando su Registri applicazioni e servizi quindi su Microsoft, Windows, due volte su DNS Client Events e infine con il tasto destro su Operational scegliendo Attiva registro dal menu contestuale, si potrà attivare in Windows la registrazione automatica delle richieste DNS.
Ciò che Windows non fa, però, è collegare le richieste DNS con i processi in esecuzione.
Qui entra in gioco Sysmon: installandolo con il comando Sysmon.exe -i
, nel registro degli eventi di Windows si troveranno i riferimenti a tutte le richieste DNS insieme con i nomi delle applicazioni che le hanno generate.
La nuova versione di Sysmon non è stata ancora rilasciata ufficialmente ma come conferma Russinovich sarà a breve disponibile a questo indirizzo.