sysmon是一款電腦系統(tǒng)活動監(jiān)測工具。sysmon的主要目的是幫助您監(jiān)視和捕獲系統(tǒng)活動到Windows事件日志，這樣您就可以確定你的計算機上是否存在什么問題或錯誤。歡迎大家來jz5u下載體驗！

功能特色

為當(dāng)前進程和父進程創(chuàng)建具有完整命令行的日志進程創(chuàng)建。

使用SHA1(默認(rèn))、MD5、SHA256或IMPHASH記錄進程圖像文件的散列。

多個散列可以同時使用。

在進程創(chuàng)建事件中包含進程GUID，以便在Windows重用進程id時允許事件關(guān)聯(lián)。

在每個事件中包含一個會話GUID，以便在相同的登錄會話中允許事件關(guān)聯(lián)。

使用簽名和散列裝載驅(qū)動程序或dll的日志。

日志為磁盤和卷的原始讀訪問打開。

可選地記錄網(wǎng)絡(luò)連接，包括每個連接的源進程、IP地址、端口號、主機名和端口名稱。

檢測文件創(chuàng)建時間的更改，以了解何時真正創(chuàng)建了文件。修改文件創(chuàng)建時間戳是一種通常被惡意軟件用來掩蓋其蹤跡的技術(shù)。

如果在注冊表中更改，則自動重新加載配置。

規(guī)則篩選，以動態(tài)地包含或排除某些事件。

從啟動過程的早期生成事件，以捕獲甚至是復(fù)雜的內(nèi)核模式惡意軟件的活動。