Sysmon是微软官方推出的一款非常强大的系统监控软件。该软件是Windows系统服务和设备驱动程序。一旦安装在系统上，它就会在系统重新启动后保持不变，并可用于监视系统活动。它在Windows 事件日志中记录系统活动，并提供更改进程创建、网络连接和文件创建时间等功能。这使得用户可以随时了解网络上的入侵者和恶意软件的操作行为。

【软件功能】

使用当前进程和父进程的完整命令行记录进程创建。

使用SHA1（默认）、MD5、SHA256 或IMPHASH 记录进程映像文件的哈希值。

可以同时使用多个哈希值。

要在Windows 重用进程ID 的情况下允许事件关联，请在进程中包含进程GUID。

在每个事件中包含会话GUID 允许在同一登录会话上关联事件。

使用驱动程序或DLL 签名和哈希值记录负载。

打开日志以对磁盘和卷进行原始读取访问。

（可选）记录网络连接，包括每个连接的源进程、IP 地址、端口号、主机名和端口名称。

您可以检测文件创建时间的变化，以了解文件的实际创建时间。修改文件创建时间戳是恶意软件通常用来覆盖其轨迹的一种技术。

如果对注册表进行更改，则会自动重新加载配置。

规则过滤可动态包含或排除特定事件。

从启动过程的早期阶段生成事件，以捕获高级内核模式恶意软件生成的活动。