Sysinternals工具(Sysmon)的guid含义是什么？

Question

我有一个名为Sysmon的Sysinternals工具离开的guid。它看起来像这样。

3/18 C591B94E-4 4BDD 5 5AAE 0000-001073B13706

4/4 C591B94E-1 1BFA 5AC5-0000-0010E76F3903

4/29 C591B94E-A33F-5AE5-0000-001074CA4C26

5/2(不同视窗帐户)C591B94E-E23B-5AE9-0000-0010DD40EF 32

5/2(在虚拟机上) A15730FB-E3DA-5AE9-0000-0010AB2C0800

当进程在不同的日子和不同的环境中在我的计算机中创建(事件id 1)时，就会生成这个进程。我找到了uuid格式(identifier)

xxxxxxxx xxxx-Mxxx-Nxxx-xxxxxxxx(M表示UUID版本，1至3位最重要的数字N表示UUID变体)

基于此，我的3/18示例是C591B94E-4BDD-5AAE-000-001073B13706.它意味着M是5，N是0，换句话说，UUID版本是5，变量是0。这意味着它是SHA-1哈希值(版本5)，变量是0。

我真想知道另一个数字意味着什么。因为sysmon的文档说guid有助于关联，但是它们从来没有解释过这个数字意味着什么。

我可以猜到第一组是与个人电脑相关的信息。因为只有当我启动PC(虚拟机上的5/2)时，第一组才会被更改(C591B94E -> A15730FB)。所以我想这和Mac或IP地址有关。但是，即使我更改了MAC和IP地址，它仍然是A15730FB或C591B94E。

我肯定第二组和时间有关。

但我搞不懂这到底是什么意思。

Answer 1

GUID本身并不意味着什么。它的目的是允许您在Windows重用进程ID时关联和过滤进程事件(通过这种方式，您可以将其视为一个完全唯一的进程ID)。

来自：https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

“在进程创建事件中包括一个进程GUID，以便即使Windows重用进程ID时也允许事件之间的关联。”