По умолчанию утилита мониторит базовые события: создание нового процесса, завершение процессов и т. п. Однако опытные пользователи могут задействовать дополнительные конфигурационные файлы, расширяющие функциональность Sysmon.Anti-Malware.ru
Например, с помощью тулзы можно отслеживать удаление файлов и изменения в буфере обмена Windows.Anti-Malware.ru
Поскольку Sysmon может использоваться для детектирования вредоносной активности, киберпреступники будут пытаться отключить его.Anti-Malware.ru
Чтобы воспрепятствовать такому поведению, разработчики добавили функцию конвертации Sysmon.exe в защищённый процесс.Anti-Malware.ru