我有一个名为Sysmon的Sysinternals工具留下的guid。看起来像这样。
3/18 C591B94E-4BDD-5AAE-0000-001073B13706
4/4 C591B94E-1BFA-5AC5-0000-0010E76F3903
4/29 C591B94E-A33F-5AE5-0000-001074CA4C26
5/2(不同的Windows帐户)C591B94E-E23B-5AE9-0000-0010DD40EF32
5/2(在虚拟机上)A15730FB-E3DA-5AE9-0000-0010AB2C0800
它是在不同日期和不同环境下在我的计算机中创建进程(事件ID 1)时生成的。我找到了uuid格式(https://en.wikipedia.org/wiki/Universally_unique_identifier)
xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx(M表示UUID版本,数字N的一到三个最高有效位表示UUID变体)
据此,我的3/18例子是C591B94E-4BDD-5AAE-0000-001073B13706。这意味着M是5,N是0,换句话说,UUID版本是5,变量是0.这意味着它是SHA-1哈希值(版本5),Variant是0。
我真的很想知道其他数字的意思。因为sysmon的文档说guid有助于相关,但他们从不解释这个数字是什么意思。
我猜第一组与PC信息有关。因为只有当我操作PC(虚拟机上的5/2)时才更改第一组(C591B94E - > A15730FB)。所以我认为这与Mac或IP地址有关。但即使我更改了MAC和IP地址,它也保留了A15730FB或C591B94E。
我确信第二组与时间有关。
但我无法弄清楚这究竟意味着什么。
GUID本身并不具体意义。其目的是允许您在Windows重用进程ID时关联和过滤进程事件(以这种方式,您可以将其视为一个完全唯一的进程ID)。
来自:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
“包括进程创建事件中的进程GUID,以便即使在Windows重用进程ID时也允许事件关联。”