MS Sysinternals 工具 (Sysmon) 的 guid 是什么意思
What does MS Sysinternals tool(Sysmon)'s guid meaning
我有一个名为 Sysmon 的 Sysinternals 工具留下的 guid。
看起来像这样。
3/18 C591B94E-4BDD-5AAE-0000-001073B13706
4/4 C591B94E-1BFA-5AC5-0000-0010E76F3903
4/29 C591B94E-A33F-5AE5-0000-001074CA4C26
5/2(不同 windows 帐户)C591B94E-E23B-5AE9-0000-0010DD40EF32
5/2(虚拟机上)A15730FB-E3DA-5AE9-0000-0010AB2C0800
它是在不同日期和不同环境中在我的计算机中创建进程(事件 id 1)时生成的。
我找到了 uuid 格式 (https://en.wikipedia.org/wiki/Universally_unique_identifier)
xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx(M表示UUID版本,数字N高一到三位表示UUID变体)
据此,我的3/18例子是C591B94E-4BDD-5AAE-0000-001073B13706。表示M为5,N为0,即UUID版本为5,variant为0。表示SHA-1 Hash Value(Version 5),Variant为0.
我真的很想知道另一个数字是什么意思。因为 sysmon 的文档说 guid 有助于关联,但他们从不解释这个数字的含义。
我猜第一组是PC信息相关的。因为只有当我更改 PC(虚拟机上的 5/2)时,第一组才会更改(C591B94E -> A15730FB)。所以我认为它与 Mac 或 IP 地址有关。但即使我更改了 MAC 和 IP 地址,它仍然是 A15730FB 或 C591B94E。
我确定第二组与时间有关。
但是我不明白这到底是什么意思。
GUID 本身没有任何具体含义。它的目的是允许您在 Windows 重用进程 ID 时关联和过滤进程事件(这样您可以将其视为一个完全唯一的进程 ID)。
发件人:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
"Includes a process GUID in process create events to allow for correlation of events even when Windows reuses process IDs."
我有一个名为 Sysmon 的 Sysinternals 工具留下的 guid。 看起来像这样。
3/18 C591B94E-4BDD-5AAE-0000-001073B13706
4/4 C591B94E-1BFA-5AC5-0000-0010E76F3903
4/29 C591B94E-A33F-5AE5-0000-001074CA4C26
5/2(不同 windows 帐户)C591B94E-E23B-5AE9-0000-0010DD40EF32
5/2(虚拟机上)A15730FB-E3DA-5AE9-0000-0010AB2C0800
它是在不同日期和不同环境中在我的计算机中创建进程(事件 id 1)时生成的。 我找到了 uuid 格式 (https://en.wikipedia.org/wiki/Universally_unique_identifier)
xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx(M表示UUID版本,数字N高一到三位表示UUID变体)
据此,我的3/18例子是C591B94E-4BDD-5AAE-0000-001073B13706。表示M为5,N为0,即UUID版本为5,variant为0。表示SHA-1 Hash Value(Version 5),Variant为0.
我真的很想知道另一个数字是什么意思。因为 sysmon 的文档说 guid 有助于关联,但他们从不解释这个数字的含义。
我猜第一组是PC信息相关的。因为只有当我更改 PC(虚拟机上的 5/2)时,第一组才会更改(C591B94E -> A15730FB)。所以我认为它与 Mac 或 IP 地址有关。但即使我更改了 MAC 和 IP 地址,它仍然是 A15730FB 或 C591B94E。
我确定第二组与时间有关。
但是我不明白这到底是什么意思。
GUID 本身没有任何具体含义。它的目的是允许您在 Windows 重用进程 ID 时关联和过滤进程事件(这样您可以将其视为一个完全唯一的进程 ID)。
发件人:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
"Includes a process GUID in process create events to allow for correlation of events even when Windows reuses process IDs."