Das Sysinternals Tool Sysmon protokolliert Prozesse und Internet-/Netzwerkativitäten, die man auf verdächtige Hinweise durchflöhen kann.
Die Installation erfolgt in der Eingabeaufforderung, die als Administrator ausgeführt werden muss, mit Sysmon.exe -i -n , wenn auch Netzwerkaktivitäten protokolliert werden sollen. Sysmon.exe -i ohne Netzwerkprotokoll.
Das Protokoll befindet sich in den zahlreichen Protokollen der Ereignisanzeige, die man am schnellsten mit Windows-Taste + r – eventvwr erreicht. Dort klickt man sich zu Anwendungs- und Dienstprotokolle – Microsoft – Windows – Sysmon – Operational durch.
Ladeliste
technet.microsoft.com/de-de/sysinternals/dn798348
