Sysmon是由微軟官方推出的一款非常給力的系統(tǒng)監(jiān)視軟件，該軟件是Windows系統(tǒng)服務(wù)和設(shè)備驅(qū)動(dòng)程序，一旦安裝在系統(tǒng)上，在系統(tǒng)重新啟動(dòng)后即可保持駐留狀態(tài)，可以用來監(jiān)視系統(tǒng)活動(dòng)并將系統(tǒng)活動(dòng)記錄到Windows事件日志，提供有關(guān)進(jìn)程創(chuàng)建、網(wǎng)絡(luò)連接和文件創(chuàng)建時(shí)間更改等功能，可幫助用戶隨時(shí)了解入侵者和惡意軟件在網(wǎng)絡(luò)上的操作行為。

【軟件功能】

　　使用當(dāng)前進(jìn)程和父進(jìn)程的完整命令行記錄進(jìn)程創(chuàng)建。

　　使用 SHA1 記錄進(jìn)程圖像文件的哈希， (默認(rèn)) 、MD5、SHA256 或 IMPHASH。

　　可以同時(shí)使用多個(gè)哈希。

　　在過程中包括進(jìn)程 GUID，以允許關(guān)聯(lián)事件，即使 Windows 重復(fù)使用進(jìn)程 ID 也是如此。

　　在每個(gè)事件中包含會(huì)話 GUID，以允許在同一登錄會(huì)話上關(guān)聯(lián)事件。

　　使用驅(qū)動(dòng)程序或 DLL 的簽名和哈希記錄加載。

　　此時(shí)會(huì)打開日志，以便對(duì)磁盤和卷進(jìn)行原始讀取訪問。

　　（可選）記錄網(wǎng)絡(luò)連接，包括每個(gè)連接的源進(jìn)程、IP 地址、端口號(hào)、主機(jī)名和端口名稱。

　　檢測(cè)文件創(chuàng)建時(shí)間的更改，以了解何時(shí)真正創(chuàng)建文件。 修改文件創(chuàng)建時(shí)間戳是惡意軟件通常用于覆蓋其跟蹤的技術(shù)。

　　如果注冊(cè)表中已更改，則自動(dòng)重新加載配置。

　　規(guī)則篩選以動(dòng)態(tài)包含或排除某些事件。

　　從啟動(dòng)過程中的早期生成事件，以捕獲由復(fù)雜的內(nèi)核模式惡意軟件生成的活動(dòng)。