简介

Sysmon 是微软的一款轻量级的系统监控工具,最开始是由 Sysinternals 开发的,后来 Sysinternals 被微软收购,现在属于 Sysinternals 系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在 Windows 的事件日志里。

参考

  1. 获取配置文件 https://github.com/SwiftOnSecurity/sysmon-config
  2. 安装服务 Sysmon64 及驱动 SysmonDrv
    1. Sysmon64.exe -accepteula -i sysmonconfig-export.xml
    对应文件:
  • C:\Windows\Sysmon64.exe
  • C:\Windows\SysmonDrv.sys

    更新配置文件

    1. Sysmon64.exe -c sysmonconfig-export.xml

    查看日志

    1. %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

    卸载

    ``` Sysmon64.exe -u

或者

C:\Windows\Sysmon64.exe -u && del C:\Windows\Sysmon64.exe ```