将Sysmon配置为服务并记录日志
。从功能上来讲,Sysmon是一款优秀的HIDS、EDR的主机入侵检测引擎,其依托于Windows内核层进、线程,模块,注册表回调,及文件过滤驱动针对相应的行为进行实时的增、删、改信息收集并通过ETW存储并展示于Windows日志。安装下载地址https://download.sysinternals.com/files/Sysmon.zip Install: Sysmon.exe -i <configfile> [-h <[sha1|md5|sha256|imphash|*],...>] [-n [<process,...>]] [-l (<process,...>