Sysmon v12.03

Sysmon软件功能

使用完整的命令行记录当前和父进程的进程创建。

使用SHA1(默认值)，MD5，SHA256或IMPHASH记录过程映像文件的哈希。

可以同时使用多个哈希。

在进程创建事件中包括进程GUID，即使Windows重用进程ID时也可以使事件相关。

在每个事件中都包含一个会话GUID，以允许在同一登录会话上关联事件。

使用签名和哈希记录驱动程序或DLL的加载。

将打开志，以进行磁盘和卷的原始读取访问。

记录网络连接，包括每个连接的源进程，IP地址，端口号，主机名和端口名。

检测文件创建时间的更改，以了解真正创建文件的时间。

修改文件创建时间是恶意软件通常用来掩盖其踪迹的技术

Sysmon软件特色

安装服务和驱动程序。(可选)获取配置文件。

如果未提供其他参数，则更新已安装的Sysmon驱动程序的配置或转储当前配置。(可选)获取配置文件。

安装事件清单(也应在服务安装中完成)。

打印配置架构定义。

卸载服务和驱动程序。即使未安装某些组件，加力也会导致卸载继续进行。

该服务会立即记录事件，并且该驱动程序将作为启动启动驱动程序进行安装

以捕获启动时该服务在启动时将写入事件志的早期活动。

在Vista和更高版本上，事件存储在“应用程序和服务志/Micsoft/Windows/Sysmon/Operational中

在较早的系统上，事件被写入系统事件志中。

如果您需要有关配置文件的更多，可以使用config命令。

Sysinternals网站上提供了更多示例。