做过应急响应的朋友，对Sysmon应该都比较熟悉了，它是一款强大的轻量级监控工具，由Windows Sysinternals出品的，Windows Sysinternals出品的一系列工具集中，有很多强大的工具，有兴趣的可以下载这款工具进行研究学习，如果对这款工具还不熟悉的，可以参考之前发的一篇文章：【工具】微软sysmon使用总结，也可以去官网下载使用手册学习

Sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供相关进程创建、网络连接和文件创建更改时间等详细信息，这篇文章给大家介绍三个非常实用的Sysmon辅助分析工具，这三款工具如下所示：

Sysmon View：Sysmon日志可视化工具

Sysmon Shell：Sysmon配置文件生成工具

Sysmon Box：Sysmon和网络捕获日志记录工具

Sysmon View

Sysmon View通过使用现有事件数据(例如可执行文件名称、会话GUID、事件创建时间等)对各种Sysmon事件进行逻辑分组和关联来帮助跟踪和可视化Sysmon日志，然后该工具重新排列此数据以供显示进多个视图

使用方法

首先，使用内置的WEVTUtil工具将Sysmon事件导出到XML文件，使用命令如下所示：

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

导出后，运行Sysmon View并导入生成的eventlog.xml文件

(注意：文件只需要导入一次，后续运行Sysmon View不需要再次导入数据文件，只需要使用菜单File->Load existing data再次加载以前导入的数据即可)

所以的数据文件导入名为SysmonViewDB的SQLite数据库文件，该文件与Sysmon View可执行文件在同一个目录位置，可以与其他人共享此文件，只需将文件放到Sysmon View同目录位置并使用菜单File->Load existing data导入数据库文件即可

每次导入新的xml文件时，都会删除原来生成的数据库文件，并创建新的数据库文件，要保留以前导入的数据，可以将生成的数据库文件复制到其他位置或重命名为其他名字，以副本的形式保存

生成的数据库文件可以使用SQLite管理软件直接查询数据库文件数据，无需使用Sysmon View

Sysmon View工具包含四个视图菜单选项：Process View、Map View、All Events View，Hierarchy、下面我们来分别介绍这四个视图的作用

Process View

此视图只是帮助关注“运行会话”的摘要，例如，分析人员可以从可执行文件名（例如cmd.exe）或事件类型（例如网络事件）开始，从那里进一步过滤即可例如，应用于查找源自相同二进制文件但来自不同位置的运行会话。此视图利用进程GUID过滤每个会话“运行”的事件，选择任何正在运行的会话（来自GUID列表）将在简单的数据流视图中显示所有其他相关（相关）事件，使用时间排序事件。

只需双击视图中的任何事件即可访问Sysmon事件详细信息，例如，显示Process Creation事件的详细信息(事件ID 1)，显示，如下所示：

Map View

在事件导入过程中，有一个地理定位IP地址的选项，如果设置，Sysmon View将尝试使用157K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6M7s2y4@1j5h3y4C8i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2J5N6X3W2U0k6g2!0q4y4g2!0m8c8W2!0n7z5g2!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4#2!0n7b7W2)9&6b7#2!0q4y4#2)9&6b7W2!0m8c8g2!0q4y4W2!0m8x3q4)9^5y4#2!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4g2)9&6b7#2!0n7x3q4!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4g2!0m8c8g2)9&6b7g2!0q4y4q4!0n7c8q4)9^5c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4#2!0m8y4q4!0n7b7g2!0q4c8W2!0n7b7#2)9&6b7b7`.`.

ipstack.com可对目标IP地址进行地理定位，地图视图中，通过使用网络事件作为起点，可以轻松地在相关（相关）事件之间导航，同样，该工具可以使用正在运行的进程会话GUID来实现此目的。要浏览相关事件，请使用会话GUID的超链接，类似于流程视图的新视图将显示在包含所有相关会话事件的新窗口中，如下所示：

All Events View

用于对所有Sysmon收集的事件数据进行完整搜索，还有助于查看与其他事件无关的事件，例如“已加载驱动程序”事件类型。除了事件详细信息之外，通过单击FID链接，仍然使用进程GUID提供相关事件之间的导航，如下所示：

此外，所有事件视图支持按机器名称，事件类型或GUID的事件的类似枢轴（分组）排列，如下所示：

多个分组级别也是可能的，如下所示：

Hierarchy

显示进程父子层次级别关系，并标注进程是否已结束，如下所示：

实例讲解

1.先安装Sysmon工具，具体的使用方法，可以参考Sysmon使用手册，网站链接：

fe1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8#2M7#2)9J5c8Y4y4&6M7$3W2F1N6r3g2J5L8X3q4D9M7#2)9J5c8X3c8G2N6$3&6D9L8$3q4V1M7#2)9J5c8Y4y4&6M7$3#2G2L8R3`.`.

使用默认设置安装，如下所示：

[培训]科锐逆向工程师培训第53期2025年7月8日开班！