У меня есть гид, который оставили инструменты Sysinternals по имени Sysmon.
Похоже на это.
3/18 C591B94E-4BDD-5AAE-0000-001073B13706
4/4 C591B94E-1BFA-5AC5-0000-0010E76F3903
4/29 C591B94E-A33F-5AE5-0000-001074CA4C26
5/2 (разные учетные записи Windows) C591B94E-E23B-5AE9-0000-0010DD40EF32
5/2 (на виртуальной машине) A15730FB-E3DA-5AE9-0000-0010AB2C0800
Он генерируется, когда процесс создается (событие с кодом 1) на моем компьютере в разные дни и в другой среде.
И я нашел формат uuid (https://en.wikipedia.org/wiki/Universally_unique_identifier)
xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx (M указывает версию UUID, а один-три старших разряда цифры N указывают вариант UUID)
В соответствии с этим моим примером 3/18 является C591B94E-4BDD- 5 AAE- 0 000-001073B13706. Это означает, что M равно 5, N равно 0, другими словами, версия UUID равна 5, вариант равен 0. Это означает, что это значение хеш-функции SHA-1 (версия 5), а вариант равен 0.
Мне действительно интересно, что означает другое число. Поскольку в документах sysmon сказано, что guid полезен для корреляции, НО они никогда не объясняют, что означает это число.
Я могу предположить, что первая группа связана с информацией о ПК. потому что только когда я изменил ПК (5/2 на виртуальной машине), первая группа изменилась (C591B94E -> A15730FB). Поэтому я подумал, что это связано с Mac или IP-адресом. Но даже если я сменил MAC и IP-адрес, он остался A15730FB или C591B94E.
Я уверен, что вторая группа связана со временем.
Но я не могу понять, что именно это значит.