MichalSoltysikSOC
diff --git a/‎v1.0/LiveProcessMonitor.exe‎
79 KB b/‎v1.0/LiveProcessMonitor.exe‎
79 KB
diff --git a/‎v1.0/LiveProcessMonitor.zip‎
27.1 KB b/‎v1.0/LiveProcessMonitor.zip‎
27.1 KB
diff --git a/‎v1.0/LiveProcessMonitorPlus.exe‎
84 KB b/‎v1.0/LiveProcessMonitorPlus.exe‎
84 KB
diff --git a/‎v1.0/LiveProcessMonitorPlus.zip‎
29 KB b/‎v1.0/LiveProcessMonitorPlus.zip‎
29 KB
diff --git a/‎v1.0/LiveProcessMonitorPlus_READ_ME_EN.txt‎
Lines changed: 112 additions & 0 deletions b/‎v1.0/LiveProcessMonitorPlus_READ_ME_EN.txt‎
Lines changed: 112 additions & 0 deletions
diff --git a/‎v1.0/LiveProcessMonitorPlus_READ_ME_PL.txt‎
Lines changed: 113 additions & 0 deletions b/‎v1.0/LiveProcessMonitorPlus_READ_ME_PL.txt‎
Lines changed: 113 additions & 0 deletions
diff --git a/‎v1.0/LiveProcessMonitorTools.zip‎
72.8 KB b/‎v1.0/LiveProcessMonitorTools.zip‎
72.8 KB
@@ -0,0 +1,112 @@
+Tool name: LiveProcessMonitorPlus.exe
+
+Version: 1.0
+SHA256 checksum: 10972FBECE7EFB6F349C1B377B39F2E77B5BCA8F511F9CAB1E67181B1926735E
+File Size: 84,0 KB
+Written in C#, targeting the .NET Framework.
+Compiled into a Windows GUI .exe executable file with an MZ file header.
+
+Author: Michał Sołtysik
+Cybersecurity Analyst & Consultant | Forensics Examiner | SOC Trainer | Cyber Warfare Organizer
+Official website: https://michalsoltysik.com/
+LinkedIn: https://www.linkedin.com/in/michal-soltysik-ssh-soc/
+Cybersecurity content: https://www.youtube.com/playlist?list=PL0RdRWQWldOAAKBqOVEutxKMP-a6CNoLY
+Accredible: https://www.credential.net/profile/michalsoltysik/wallet
+Credly: https://www.credly.com/users/michal-soltysik
+Email: me@michalsoltysik.com
+
+Purpose: Live Process Monitor Plus extends the baseline-driven monitoring model by correlating native Windows telemetry with optional Sysmon event data, providing deeper timeline visibility while preserving the same workflow and user interface principles.
+License: Free for personal and commercial use.
+
+Prerequisite:
+
+(1) Use of Sysmon-based enrichment requires conscious awareness of and compliance with the Sysmon license terms and conditions as published by Microsoft.
+(2) To enable Sysmon-based enrichment features in Live Process Monitor Plus, Sysmon must be installed, running, and configured with a compatible configuration file.
+(3) The following Sysmon configuration is required to ensure full Live Process Monitor Plus functionality:
+
+<Sysmon schemaversion="4.90">
+  <HashAlgorithms>SHA256</HashAlgorithms>
+  <EventFiltering>
+    <ProcessCreate onmatch="include">
+      <Image condition="contains">.exe</Image>
+    </ProcessCreate>
+    <ProcessTerminate onmatch="include">
+      <Image condition="contains">.exe</Image>
+    </ProcessTerminate>
+    <NetworkConnect onmatch="include">
+      <Image condition="contains">.exe</Image>
+    </NetworkConnect>
+  </EventFiltering>
+</Sysmon>
+
+(4) Alternatively, SysmonConfigurator.exe can be used to configure Sysmon automatically. Its menu provides the following options:
+
+1. Quick Sysmon status check
+2. Download and extract Sysmon (C:\Scripts\Sysmon)
+3. Create or overwrite Sysmon config (C:\Scripts\SysmonLiveProcessMonitorConfig.xml)
+4. Install Sysmon using config (auto-locate Sysmon)
+5. Reconfigure Sysmon using config (auto-locate Sysmon)
+6. Uninstall Sysmon (auto-locate Sysmon)
+7. Sysmon telemetry verification (Event ID 1, 3, 5 - last 15 minutes)
+8. Exit
+
+File name: SysmonConfigurator.exe
+SHA256 checksum: A5E94D062E3B379E0070B39E695342D7FBA4D5EEF23B834BE3AEF9ACDA9C98DE
+
+Note: SysmonConfigurator.exe is included in the same repository as Live Process Monitor Plus.
+
+Note: SysmonConfigurator.exe relies on the current official Microsoft Sysinternals download location and command-line parameters for Sysmon. If Microsoft changes the download URL (currently https://download.sysinternals.com/files/Sysmon.zip) or modifies Sysmon command-line parameters, the automatic download or configuration functionality may no longer work as expected and will require an update to this tool. In such cases, the issue should be reported to the author of the tool so that the implementation can be reviewed and updated accordingly.
+
+Sysmon-based enrichment (optional):
+
+When Sysmon is installed, running, and properly configured, Live Process Monitor Plus enriches process and network data with additional low-level telemetry:
+
+(1) Correlates Sysmon Event ID 1 (Process creation) with existing process rows.
+(2) Correlates Sysmon Event ID 5 (Process terminated) to record precise termination times.
+(3) Correlates Sysmon Event ID 3 (Network connection detected) with existing or newly observed network connections.
+(4) Displays all observed Sysmon Event IDs (1, 3, 5) per process in a dedicated column.
+(5) Adds explicit Sysmon-based timestamps for process creation and termination.
+
+Important behavior:
+
+(1) Sysmon data is inactive during baseline creation.
+(2) Sysmon monitoring becomes active only after clicking Resume Monitoring After Baseline Creation.
+(3) All Sysmon events occurring before post-baseline monitoring are treated as baseline context.
+
+Note: If Sysmon is not available, the application remains fully functional using native Windows telemetry.
+
+Extended network connection tracking:
+
+Live Process Monitor Plus extends Live Process Monitor with a more complete connection lifecycle view:
+
+(1) Tracks TCP connection start time, last seen time, and end time.
+(2) Distinguishes between:
+
+- Active connections.
+- Ended connections observed via polling.
+- Connection attempts observed only via Sysmon (shown as ATTEMPTED).
+
+(3) Retains ended connections in the session history instead of removing them immediately.
+(4) Correlates Sysmon network events with polling-based TCP and UDP snapshots.
+
+Note: Connection colours still follow the owning process classification. Connection state changes are reflected in columns, not via colour transitions.
+
+Summary of Plus-specific capabilities:
+
+Live Process Monitor Plus provides additional analytical depth by:
+
+(1) Combining native Windows process and network telemetry with optional Sysmon event data (Event IDs 1, 3, and 5).
+(2) Preserving a detailed timeline of process execution and network activity, including short-lived and rapidly terminating processes.
+(3) Using two independent evidence sources - polling-based system telemetry and event-based Sysmon logs - to reliably distinguish baseline context from true post-baseline behavior.
+
+Limitations and operational notes:
+
+(1) Sysmon-based enrichment is optional and conditional. If Sysmon is not installed, not running, or not configured with the required Event IDs, Plus-specific enrichment based on Sysmon data will not be added to the results.
+(2) In the absence of Sysmon telemetry, Live Process Monitor Plus operates using native Windows mechanisms only. All core baseline and post-baseline monitoring remains fully functional, but the following Plus-specific capabilities will be unavailable:
+
+- Sysmon-based process creation and termination timestamps.
+- Correlation of Sysmon network connection events.
+- Identification of connection attempts observed only via Sysmon (ATTEMPTED state).
+
+(3) Sysmon data is collected only during post-baseline monitoring. Events occurring before clicking Resume Monitoring After Baseline Creation are treated as baseline context and are not used for post-baseline correlation.
+(4) Sysmon availability and configuration are outside the control of the application. Users are responsible for ensuring that Sysmon is installed, running, and configured with the recommended Event IDs for full Plus functionality.
@@ -0,0 +1,113 @@
+Nazwa narzędzia: LiveProcessMonitorPlus.exe
+
+Wersja: 1.0
+Suma kontrolna SHA256: 10972FBECE7EFB6F349C1B377B39F2E77B5BCA8F511F9CAB1E67181B1926735E
+Rozmiar pliku: 84,0 KB
+Napisane w języku C#, z przeznaczeniem dla platformy .NET Framework.
+Skompilowane jako aplikacja Windows GUI w postaci pliku wykonywalnego .exe z nagłówkiem pliku MZ.
+
+Autor: Michał Sołtysik
+Cybersecurity Analyst & Consultant | Forensics Examiner | SOC Trainer | Cyber Warfare Organizer
+Analityk i Konsultant ds. Bezpieczeństwa Cybernetycznego | Ekspert ds. Informatyki Śledczej | Trener SOC (Centrum Operacji Bezpieczeństwa Cybernetycznego) | Organizator Działań w Cyberwojnie
+Oficjalna strona: https://michalsoltysik.com/
+LinkedIn: https://www.linkedin.com/in/michal-soltysik-ssh-soc/
+Treści z zakresu cyberbezpieczeństwa: https://www.youtube.com/playlist?list=PL0RdRWQWldOAAKBqOVEutxKMP-a6CNoLY
+Accredible: https://www.credential.net/profile/michalsoltysik/wallet
+Credly: https://www.credly.com/users/michal-soltysik
+Email: me@michalsoltysik.com
+
+Cel: Live Process Monitor Plus rozszerza model monitorowania oparty na baseline poprzez korelację natywnej telemetrii systemu Windows z opcjonalnymi danymi zdarzeń Sysmona, zapewniając głębszą widoczność osi czasu zdarzeń przy zachowaniu tego samego przepływu pracy oraz zasad interfejsu użytkownika.
+Licencja: Darmowa do użytku prywatnego i komercyjnego.
+
+Wymagania wstępne:
+
+(1) Korzystanie z mechanizmu wzbogacania danych o telemetrię Sysmon wymaga świadomego zapoznania się z warunkami licencyjnymi Sysmona opublikowanymi przez firmę Microsoft oraz ich akceptacji.
+(2) Aby włączyć funkcje wzbogacania danych oparte na Sysmonie w narzędziu Live Process Monitor Plus, Sysmon musi być zainstalowany, uruchomiony oraz skonfigurowany z użyciem kompatybilnego pliku konfiguracyjnego.
+(3) Poniższa konfiguracja Sysmona jest wymagana do zapewnienia pełnej funkcjonalności Live Process Monitor Plus:
+
+<Sysmon schemaversion="4.90">
+  <HashAlgorithms>SHA256</HashAlgorithms>
+  <EventFiltering>
+    <ProcessCreate onmatch="include">
+      <Image condition="contains">.exe</Image>
+    </ProcessCreate>
+    <ProcessTerminate onmatch="include">
+      <Image condition="contains">.exe</Image>
+    </ProcessTerminate>
+    <NetworkConnect onmatch="include">
+      <Image condition="contains">.exe</Image>
+    </NetworkConnect>
+  </EventFiltering>
+</Sysmon>
+
+(4) Alternatywnie do ręcznej konfiguracji można użyć narzędzia SysmonConfigurator.exe, które automatycznie konfiguruje Sysmona. Menu aplikacji udostępnia następujące opcje:
+
+1. Szybkie sprawdzenie stanu Sysmona									1. Quick Sysmon status check
+2. Pobranie i rozpakowanie Sysmona (C:\Scripts\Sysmon)							2. Download and extract Sysmon (C:\Scripts\Sysmon)
+3. Utworzenie lub nadpisanie konfiguracji Sysmona (C:\Scripts\SysmonLiveProcessMonitorConfig.xml)	3. Create or overwrite Sysmon config (C:\Scripts\SysmonLiveProcessMonitorConfig.xml)
+4. Instalacja Sysmona z użyciem konfiguracji (automatyczne wykrywanie Sysmona)				4. Install Sysmon using config (auto-locate Sysmon)
+5. Ponowna konfiguracja Sysmona z użyciem konfiguracji (automatyczne wykrywanie Sysmona)		5. Reconfigure Sysmon using config (auto-locate Sysmon)
+6. Odinstalowanie Sysmona (automatyczne wykrywanie Sysmona)						6. Uninstall Sysmon (auto-locate Sysmon)
+7. Weryfikacja telemetrii Sysmona (Event ID 1, 3, 5 - ostatnie 15 minut)				7. Sysmon telemetry verification (Event ID 1, 3, 5 - last 15 minutes)
+8. Wyjście												8. Exit
+
+Nazwa pliku: SysmonConfigurator.exe
+Suma kontrolna SHA256: A5E94D062E3B379E0070B39E695342D7FBA4D5EEF23B834BE3AEF9ACDA9C98DE
+
+Uwaga: SysmonConfigurator.exe znajduje się w tym samym repozytorium co Live Process Monitor Plus.
+
+Uwaga: SysmonConfigurator.exe korzysta z aktualnej, oficjalnej lokalizacji pobierania narzędzia Sysmon udostępnianej przez Microsoft Sysinternals oraz z obowiązujących parametrów linii poleceń dla Sysmona. Jeżeli Microsoft zmieni adres URL pobierania (obecnie https://download.sysinternals.com/files/Sysmon.zip) lub zmodyfikuje parametry linii poleceń Sysmona, funkcjonalność automatycznego pobierania lub konfiguracji może przestać działać zgodnie z oczekiwaniami i będzie wymagać aktualizacji tego narzędzia. W takim przypadku problem powinien zostać zgłoszony autorowi narzędzia w celu przeglądu i odpowiedniej aktualizacji implementacji.
+
+Wzbogacanie danych oparte na Sysmonie (opcjonalne):
+
+Gdy Sysmon jest zainstalowany, uruchomiony i poprawnie skonfigurowany, Live Process Monitor Plus wzbogaca dane o procesach i aktywności sieciowej o dodatkową, niskopoziomową telemetrię:
+
+(1) Koreluje zdarzenia Sysmon Event ID 1 (utworzenie procesu) z istniejącymi wierszami procesów.
+(2) Koreluje zdarzenia Sysmon Event ID 5 (zakończenie procesu), umożliwiając precyzyjne rejestrowanie czasu zakończenia procesu.
+(3) Koreluje zdarzenia Sysmon Event ID 3 (próby oraz nawiązania połączeń sieciowych) z istniejącymi lub nowo zaobserwowanymi połączeniami.
+(4) Wyświetla wszystkie zaobserwowane zdarzenia Sysmona (Event ID 1, 3 i 5) przypisane do danego procesu w dedykowanej kolumnie.
+(5) Dodaje jednoznaczne znaczniki czasu oparte na Sysmonie dla momentu utworzenia i zakończenia procesu.
+
+Istotne zachowanie aplikacji:
+
+(1) Dane z Sysmona są nieaktywne podczas tworzenia baseline.
+(2) Monitorowanie oparte na Sysmonie uaktywnia się dopiero po kliknięciu Wznów monitorowanie po utworzeniu baseline / Resume Monitoring After Baseline Creation.
+(3) Wszystkie zdarzenia Sysmona występujące przed rozpoczęciem monitorowania po baseline są traktowane wyłącznie jako kontekst baseline.
+
+Uwaga: Jeżeli Sysmon nie jest dostępny, aplikacja pozostaje w pełni funkcjonalna, korzystając wyłącznie z natywnej telemetrii systemu Windows.
+
+Rozszerzone śledzenie połączeń sieciowych:
+
+Live Process Monitor Plus rozszerza możliwości Live Process Monitor, zapewniając pełniejszy wgląd w cykl życia połączeń sieciowych:
+
+(1) Śledzi czas rozpoczęcia połączenia TCP, czas ostatniej obserwacji oraz moment jego zakończenia.
+(2) Rozróżnia:
+
+- połączenia aktywne,
+- połączenia zakończone wykryte w wyniku cyklicznego odpytywania systemu,
+- próby połączeń zaobserwowane wyłącznie przez Sysmona (stan: próba połączenia / ATTEMPTED).
+
+(3) Zachowuje zakończone połączenia w historii sesji zamiast usuwać je natychmiast.
+(4) Koreluje zdarzenia sieciowe Sysmona z migawkami TCP i UDP zbieranymi metodą odpytywania systemu.
+
+Uwaga: Kolory połączeń nadal wynikają z klasyfikacji procesu właścicielskiego. Zmiany stanu połączenia są odzwierciedlane wyłącznie w kolumnach tabeli, a nie poprzez zmianę koloru.
+
+Podsumowanie funkcji charakterystycznych dla wersji Plus:
+
+Live Process Monitor Plus zapewnia dodatkową głębię analityczną poprzez:
+
+(1) Łączenie natywnej telemetrii procesów i sieci systemu Windows z opcjonalnymi danymi zdarzeń Sysmona (Event ID 1, 3 i 5).
+(2) Zachowanie szczegółowej osi czasu wykonania procesów oraz aktywności sieciowej, w tym procesów krótkotrwałych i szybko kończących działanie.
+(3) Wykorzystanie dwóch niezależnych źródeł dowodowych - telemetrii systemowej opartej na odpytywaniu oraz dziennika zdarzeń Sysmona - w celu wiarygodnego rozróżnienia kontekstu baseline od rzeczywistego zachowania po baseline.
+
+Ograniczenia i uwagi operacyjne:
+
+(1) Wzbogacanie danych oparte na Sysmonie jest opcjonalne i warunkowe. Jeżeli Sysmon nie jest zainstalowany, nie jest uruchomiony lub nie jest skonfigurowany z wymaganymi identyfikatorami zdarzeń, funkcje wzbogacania specyficzne dla wersji Plus nie będą dostępne.
+(2) W przypadku braku telemetrii Sysmona, Live Process Monitor Plus działa wyłącznie w oparciu o natywne mechanizmy systemu Windows. Cała podstawowa funkcjonalność monitorowania baseline i monitorowania po baseline pozostaje w pełni dostępna, jednak niedostępne będą:
+
+- znaczniki czasu utworzenia i zakończenia procesu oparte na Sysmonie,
+- korelacja zdarzeń sieciowych pochodzących z Sysmona,
+- identyfikacja prób połączeń zaobserwowanych wyłącznie przez Sysmona (stan: próba połączenia / ATTEMPTED).
+
+(3) Dane Sysmona są zbierane wyłącznie podczas monitorowania po baseline. Zdarzenia występujące przed kliknięciem Wznów monitorowanie po utworzeniu baseline / Resume Monitoring After Baseline Creation są traktowane jako kontekst baseline i nie są wykorzystywane do korelacji po baseline.
+(4) Dostępność i konfiguracja Sysmona pozostają poza kontrolą aplikacji. Odpowiedzialność za instalację, uruchomienie oraz konfigurację Sysmona z rekomendowanymi identyfikatorami zdarzeń spoczywa na użytkowniku.