Sysmon是由微软官方推出的一款非常给力的系统监视软件，该软件是Windows系统服务和设备驱动程序，一旦安装在系统上，在系统重新启动后即可保持驻留状态，可以用来监视系统活动并将系统活动记录到Windows事件日志，提供有关进程创建、网络连接和文件创建时间更改等功能，可帮助用户随时了解入侵者和恶意软件在网络上的操作行为。

【软件功能】

　　使用当前进程和父进程的完整命令行记录进程创建。

　　使用 SHA1 记录进程图像文件的哈希， (默认) 、MD5、SHA256 或 IMPHASH。

　　可以同时使用多个哈希。

　　在过程中包括进程 GUID，以允许关联事件，即使 Windows 重复使用进程 ID 也是如此。

　　在每个事件中包含会话 GUID，以允许在同一登录会话上关联事件。

　　使用驱动程序或 DLL 的签名和哈希记录加载。

　　此时会打开日志，以便对磁盘和卷进行原始读取访问。

　　（可选）记录网络连接，包括每个连接的源进程、IP 地址、端口号、主机名和端口名称。

　　检测文件创建时间的更改，以了解何时真正创建文件。 修改文件创建时间戳是恶意软件通常用于覆盖其跟踪的技术。

　　如果注册表中已更改，则自动重新加载配置。

　　规则筛选以动态包含或排除某些事件。

　　从启动过程中的早期生成事件，以捕获由复杂的内核模式恶意软件生成的活动。