久久精-久久经典视频-久久加久久-久久极品视频-一区二区福利视频-一区二区不卡在线观看

　　Sysmon是由微軟官方推出的一款非常給力的系統監視軟件，該軟件是Windows系統服務和設備驅動程序，一旦安裝在系統上，在系統重新啟動后即可保持駐留狀態，可以用來監視系統活動并將系統活動記錄到Windows事件日志，提供有關進程創建、網絡連接和文件創建時間更改等功能，可幫助用戶隨時了解入侵者和惡意軟件在網絡上的操作行為。

【軟件功能】

　　使用當前進程和父進程的完整命令行記錄進程創建。

　　使用 SHA1 記錄進程圖像文件的哈希， (默認) 、MD5、SHA256 或 IMPHASH。

　　可以同時使用多個哈希。

　　在過程中包括進程 GUID，以允許關聯事件，即使 Windows 重復使用進程 ID 也是如此。

　　在每個事件中包含會話 GUID，以允許在同一登錄會話上關聯事件。

　　使用驅動程序或 DLL 的簽名和哈希記錄加載。

　　此時會打開日志，以便對磁盤和卷進行原始讀取訪問。

　　（可選）記錄網絡連接，包括每個連接的源進程、IP 地址、端口號、主機名和端口名稱。

　　檢測文件創建時間的更改，以了解何時真正創建文件。 修改文件創建時間戳是惡意軟件通常用于覆蓋其跟蹤的技術。

　　如果注冊表中已更改，則自動重新加載配置。

　　規則篩選以動態包含或排除某些事件。

　　從啟動過程中的早期生成事件，以捕獲由復雜的內核模式惡意軟件生成的活動。