Sysmon 이미지 로드
이벤트 ID 7
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | log_type | 로그유형 | 예: Image loaded |
| 문자열 | emp_key | 사번 | |
| 문자열 | emp_name | 성명 | |
| IP 주소소 | host_ip | 호스트IP | |
| 문자열 | computer | 호스트명 | 예: demo.acme.com |
| 문자열 | user | 계정 | 예: NT AUTHORITY\SYSTEM |
| 64비트 정수 | pid | PID | 예: 30932 |
| 문자열 | image_path | 이미지경로 | 예: C:\Windows\System32\svchost.exe |
| 문자열 | dll_path | DLL경로 | 예: C:\Windows\System32\taskschd.dll |
| 문자열 | dll_version | DLL파일버전 | 예: 10.0.19041.3636 (WinBuild.160101.0800) |
| 문자열 | dll_company | DLL제조사 | 예: Microsoft Corporation |
| 문자열 | dll_product | DLL제품이름 | 예: Microsoft® Windows® Operating System |
| 문자열 | dll_description | DLL설명 | 예: Task Scheduler COM API |
| 문자열 | dll_signer | DLL서명자 | 예: Microsoft Windows |
| 문자열 | dll_sign_status | DLL서명상태 | 예: Valid |
| MD5 | md5 | MD5 | |
| SHA1 | sha1 | SHA1 | 예: 633c92f5a5000cde3235c7fdc306b2b04c501c48 |
| SHA256 | sha256 | SHA256 | |
| 문자열 | imphash | IMPHASH | 예: b7a4477fa36e2e5287ee76ac4afcb05b |
| 문자열 | pguid | 프로세스GUID | 예: {51a1bb4b-ae52-6649-81aa-000000001300} |