Sysmon是一个老牌安全工具，自去年发布新功能后越发地强大，在我们勘验现场中，尤其是勘验被入侵现场有着非常明显的优势，实为利器，推荐给大家。

Sysmon是什么

系统监视器（Sysmon）是一种Windows系统服务和设备驱动程序，一旦安装在系统上，就会在系统重新启动时保持驻留状态，以监视和记录系统活动到Windows事件日志中。

它提供有关进程创建，网络连接，文件创建时间更改等详细信息。

通过使用Windows事件收集或SIEM代理收集它生成的事件并随后对其进行分析，可以识别恶意或异常活动，并了解入侵者和恶意软件如何在用户网络上运行。

需要注意的是，Sysmon不会对其生成的事件进行分析，也不会尝试保护自己免受攻击者攻击，因此仅作为监控工具而存在，允许其监视计算机上的某些活动并将其记录到Windows事件查看器。

在打开应用或者任何进程创建的行为发生时，Sysmon 会使用sha1（默认）、MD5、SHA256 或 IMPHASH 记录进程镜像文件的 hash 值，包含进程创建过程中的进程 GUID，每个事件中包含 session 的 GUID。除此之外记录磁盘和卷的读取请求 / 网络连接（包括每个连接的源进程，IP 地址，端口号，主机名和端口名），重要的是还可在生成初期进程事件能记录在复杂的内核模式运行的恶意软件。