(更多详情、使用方法，请下载后细读README.md文件) Shhmon - 通过卸载其驱动程序实现中性 Sysmon\nUsage Shhmon.exe huntkill\n虽然 Sysmon 的驱动程序可以在安装时重命名，但它总是在海拔 385201 处加载。这个工具的目的是挑战我们的防御工具总是收集事件的假设。Shhmon 使用以下策略定位并卸载驱动程序：\n1.使用fltlib!FilterFindFirst和fltlib!FilterFindNext枚举系统上的驱动程序来代替爬取注册表。\n2a. 如果在海拔 385201 找到驱动程序，它会使用kernel32!OpenProcessToken和advapi32!AdjustTokenPrivileges授予自己SeLoadDriverPrivilege。\n2b。如果在 385201 处未找到驱动程序，它会HKLM\\SYSTEM\\CurrentControlSet\\Services查找“Sysmon Instance”子项，如果找到，则分配所需的权限，如上所述。\n3.如果能够获得所需的权限，则调用fltlib!Fi

主机监控、病毒分析

系统监视器：基于Qt的gnome系统监视器的替代品

Sysmon10.0.4.2　以及sysmontools SysmonShell 1.6.0.0 SysmonView 3.2.0.0 SysmonBox1.0.0.0 不知道具体用法。

Ubuntu18.04安装indicator-sysmonitor显示CPU、网速（方法同时适用于x86、ARM电脑）

信息安全_数据安全_us-18-Graeber-Subverting-Sysmon- 安全实践 安全对抗 金融安全 系统安全 web安全

信息安全_数据安全_us-18-Graeber-Subverting-Sysmon-Application-Of-A-Formalized-Security-Product-Evasion-Methodology 安全建设 漏洞挖掘 安全架构解决方案 信息安全

通过sysmon.exe -i 配置文件 安装时，如果系统没有两个补丁，则会提示报错。KB2533623和KB3033929，win7和win server2008适用

进程分析工具Sysmon.zip