Sysmon

Sysmon 是一款微软官方应用，用于监视系统状态和事件。借助这个应用，您可以详细控制系统事件，如进程创建、网络连接、文件创建和删除等。

该程序通过命令行安装。要安装它，您需要以管理员身份在安装程序路径中打开CMD.exe。然后输入命令sysmon -i进行安装。

安装后，进入Windows事件查看器。在“应用和服务日志/微软/Windows/Sysmon/Operational”路径下，您可以查看系统中发生的所有事件。程序能够记录的事件具体如下：

1 ProcessCreate - 创建进程

2 FileCreateTime - 文件创建时间

3 NetworkConnect - 检测到网络连接

4 改变Sysmon服务状态（无法筛选）

5 ProcessTerminate - 进程已终止

6 DriverLoad - 驱动已加载

7 ImageLoad - 加载的映像

8 CreateRemoteThread - 检测到CreateRemoteThread

9 RawAccessRead - 检测到RawAccessRead

10 ProcessAccess - 访问的进程

11 FileCreate - 已创建文件

12 RegistryEvent - 添加或删除注册表对象

13 RegistryEvent - 设置注册表值

14 RegistryEvent - 更改了注册表对象的名称

15 FileCreateStreamHash - 创建的文件流

16 修改了Sysmon设置（无法筛选）

17 PipeEvent - 创建命名管道

18 PipeEvent - 连接到命名管道

19 WmiEvent - WMI过滤器

20 WmiEvent - WMI消费者

21 WmiEvent - WMI消费者过滤器

22 DNSQuery - 已查询DNS

23 FileDelete - 删除的归档文件

24 ClipboardChange - 向剪贴板新增内容

25 ProcessTampering - 改变的进程镜像

26 FileDeleteDetected - 记录已删除文件