Operating Offensively Against Sysmon

规避 Sysmon 的手法介绍

sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。

通过收集使用Windows事件集合或SIEM代理生成的事件，然后分析它们，你可以识别恶意或异常活动，并了解入侵者和恶意软件在你的网络上如何操作。