Sysinternals 2020年6月更新：Autoruns、Sigcheck与Sysmon新特性解析

1. Sysinternals 2020年6月更新深度解析

作为Windows系统管理和安全分析领域的标杆工具集，Sysinternals的每次更新都值得从业者重点关注。2020年6月的这次更新虽然版本号看似常规，但实际带来的功能改进直击企业环境中的多个痛点场景。本文将结合笔者多年企业IT支持经验，详细拆解Autoruns 13.98、Sigcheck 2.8和Sysmon 11.10三大工具的更新要点，并分享在实际运维中的落地应用技巧。

2. Autoruns 13.98：系统二进制识别优化

2.1 工具定位与核心功能

Autoruns是Windows系统启动项分析的瑞士军刀，它能全面扫描超过20类自动启动点（Auto-start Extensibility Points），包括但不限于：

• 服务（Services）和驱动程序（Drivers）
• 计划任务（Scheduled Tasks）
• Run/RunOnce注册表键值
• 资源管理器扩展（Explorer shell extensions）
• 浏览器帮助对象（BHO）
• Winlogon通知处理程序

在企业环境中，Autoruns常被用于：

• 排查恶意软件持久化机制
• 分析系统启动性能问题
• 审核软件安装合规性

2.2 版本13.98的改进细节

本次更新的核心改进是优化了Windows系统二进制文件的识别逻辑。具体变化包括：

1. 目录白名单扩展：

   • 新增%ProgramFiles%\Windows Defender目录到受保护系统目录列表
   • 完整系统目录列表现在包含：

     code复制%SystemRoot%\System32
     %SystemRoot%\SysWOW64  
     %ProgramFiles%\Windows Defender
     %ProgramFiles%\Windows NT
     

2. 签名验证增强：

   • 对位于上述目录中的文件，会额外验证其微软签名状态
   • 采用两级验证策略：
     1. 检查文件路径是否在系统目录
     2. 验证文件签名是否由微软颁发

3. UI标识优化：

   • 合法Windows二进制现在统一显示为绿色条目
   • 可疑条目保持红色高亮

实际案例：某企业曾遇到恶意软件将svchost.exe复制到%Temp%目录运行的案例。旧版Autoruns可能因路径判断不准确而漏报，新版通过强化目录+签名双重验证，能更可靠识别此类伪装行为。

3. Sigcheck 2.8：证书链分析增强

3.1 不可信证书链可视化

证书验证是企业安全的重要防线，但复杂的证书链问题常常让运维人员头疼。Sigcheck 2.8的主要改进包括：

旧版限制：

• 当遇到证书链问题时（如根证书不受信任），使用-i参数可能只能显示部分证书链
• 无法直观判断问题是出在根证书、中间证书还是终端实体证书

新版改进：

bash复制sigcheck -i -v suspect.exe

现在无论证书链是否可信，都会完整显示从终端实体到根证书的完整路径。典型输出示例：

code复制Certificate Chain:
  Issuer: CN=Intermediate CA, O=Contoso
  Status: Valid

  Issuer: CN=Contoso Root CA, O=Contoso
  Status: Revoked (CRL check failed)

  Issuer: CN=UnTrusted Root, O=Unknown
  Status: Not trusted (Root not in trusted store)

3.2 信任策略自定义（-p参数）

新增的-p参数允许指定自定义信任策略，这在以下场景特别有用：

1. 企业私有PKI环境：

   bash复制sigcheck -p "Enterprise PKI Policy" -i internal_app.exe
   

2. 特定行业验证标准：

   powershell复制sigcheck -p "EV Code Signing" -v driver.sys
   

3. 临时验证场景：

   cmd复制sigcheck -p "Test Policy" --file build_output/*
   

排障技巧：当遇到"Unknown Publisher"警告时，建议按以下步骤排查：

1. 先用sigcheck -i查看完整证书链
2. 检查中间证书是否过期（NotBefore/NotAfter）
3. 验证根证书是否存在于"受信任的根证书颁发机构"存储区
4. 如有必要，使用-p指定企业自定义策略重新验证

4. Sysmon 11.10：取证能力升级

4.1 关键问题修复

文件操作性能回归：

• 问题现象：访问SMB共享中的Office文档时，打开延迟增加2-3秒
• 根本原因：11.0版本引入的文件删除归档功能错误地触发了实时扫描
• 解决方案：优化文件操作过滤逻辑，区分本地与网络文件操作

进程创建漏报：

• 影响范围：Windows 10 1709及更早版本
• 触发条件：系统同时存在WSL和传统Win32进程
• 修复方式：重构进程事件上报逻辑，分离WSL检测路径

4.2 过滤语法增强

新增的is all条件使规则配置更加灵活：

传统多条件规则：

xml复制<RuleGroup groupRelation="or">
  <ProcessCreate onmatch="include">
    <Image condition="contains">temp</Image>
    <CommandLine condition="contains">powershell</CommandLine>
  </ProcessCreate>
</RuleGroup>

上述规则会匹配Image或CommandLine任一条件，相当于逻辑OR。

新版AND逻辑规则：

xml复制<RuleGroup groupRelation="or">
  <ProcessCreate onmatch="include">
    <Image condition="contains" isAll="true">temp</Image>
    <CommandLine condition="contains">powershell</CommandLine>
  </ProcessCreate>
</RuleGroup>

现在只有当Image和CommandLine同时满足时才会触发记录。

4.3 ADS内容捕获实战

Alternate Data Stream（ADS）是NTFS文件系统的特色功能，常用于存储元数据。Sysmon 11.10新增的关键能力包括：

1. 捕获条件：

   • 必须是文本内容
   • 大小不超过1KB
   • 常见捕获对象：
     • Zone.Identifier（MOTW）
     • encryptable（EFS元数据）
     • SummaryInformation（Office文档属性）

2. 日志示例：

xml复制<Event>
  <EventData>
    <Data Name="UtcTime">2020-06-15 08:00:00.123</Data>
    <Data Name="Image">C:\Downloads\document.doc</Data>
    <Data Name="StreamName">Zone.Identifier</Data>
    <Data Name="StreamContent">[ZoneTransfer]
ZoneId=3
HostUrl=https://example.com/download</Data>
    <Data Name="MainHash">SHA1=A1B2C3...</Data>
    <Data Name="StreamHash">SHA1=X9Y8Z7...</Data>
  </EventData>
</Event>

5. MOTW取证实战指南

5.1 技术原理深度解析

Mark of the Web（MOTW）是Windows用于标记互联网下载文件的安全机制：

数据结构：

• 存储位置：filename.ext:Zone.Identifier ADS
• 典型内容：

  ini复制[ZoneTransfer]
  ZoneId=3
  ReferrerUrl=https://source.site/page.html
  HostUrl=https://download.site/file.exe
  

ZoneId含义：

5.2 企业级应用方案

安全监控架构：

code复制[终端Sysmon] --(事件日志)--> [SIEM系统] --(告警)--> [SOC平台]
    ↑                           ↑
[文件下载]                 [关联分析规则]

典型SIEM检测规则：

sql复制SELECT 
    EventTime,
    Image,
    JSON_EXTRACT(StreamContent, '$.HostUrl') AS DownloadURL,
    JSON_EXTRACT(StreamContent, '$.ReferrerUrl') AS SourcePage
FROM SysmonEvents
WHERE 
    EventID = 15  -- FileCreateStreamHash
    AND StreamName = 'Zone.Identifier'
    AND Image LIKE '%.exe'
    AND JSON_EXTRACT(StreamContent, '$.ZoneId') = '3'

5.3 浏览器兼容性实测

经测试，主流浏览器对MOTW的支持如下：

企业策略建议：通过组策略强制所有浏览器写入完整MOTW信息：

code复制计算机配置\策略\管理模板\Windows组件\附件管理器
   → "文件附件中保留区域信息"：已启用

6. 企业落地实施指南

6.1 分阶段部署方案

阶段1：评估测试

mermaid复制graph TD
    A[下载新版工具] --> B[测试环境验证]
    B --> C{功能验证}
    C -->|成功| D[制定标准配置]
    C -->|失败| E[问题记录]
    E --> F[反馈微软]

阶段2：生产部署

1. Sysmon部署：

   • 使用GPO或配置管理系统推送
   • 建议配置：

     xml复制<Configuration>
       <HashAlgorithms>SHA256</HashAlgorithms>
       <CheckRevocation/> 
       <EventFiltering>
         <!-- 基础监控规则 -->
       </EventFiltering>
     </Configuration>
     

2. Sigcheck集成：

   • 整合到自动化运维流程：

     powershell复制$results = sigcheck -nobanner -c -h -s -e $filePath | ConvertFrom-Csv
     if ($results.'Verified' -ne 'Signed') {
         Send-Alert -File $filePath -Status $results.'Verified'
     }
     

6.2 典型问题排查流程

案例：可疑文件分析

1. 使用Autoruns检查启动项：

   cmd复制autorunsc.exe -a * -c -h -s > startup_scan.csv
   

2. 验证文件签名：

   bash复制sigcheck -i -v -p "Microsoft Standard" suspect.dll
   

3. 追溯文件来源：
   • 检查Sysmon事件ID 15（FileCreateStreamHash）
   • 提取Zone.Identifier内容
4. 关联分析：
   • 匹配进程创建日志（EventID 1）
   • 检查网络连接记录（EventID 3）

7. 技术演进趋势观察

从这次更新可以看出微软在安全工具设计上的三个明显趋势：

1. 上下文感知：工具越来越能理解企业环境的实际威胁模型，如Autoruns对系统目录的精准识别。

2. 取证闭环：从单纯记录事件到捕获完整证据链，如Sysmon对MOTW的深度支持。

3. 策略灵活：提供更多自定义选项以适应不同企业环境，如Sigcheck的信任策略参数。

这些改进使得Sysinternals工具集在企业安全防御体系中的价值进一步提升。建议企业安全团队：

• 每季度评估Sysinternals更新
• 将新功能整合到现有安全流程
• 培训一线支持人员掌握核心功能

对于需要持续监控的场景，可以考虑基于Sysmon日志构建自动化分析流水线，将文件来源信息与威胁情报关联，实现更主动的安全防御。