微软发布了带有恶意程序进程篡改检测的Sysmon

微软发布了带有恶意程序进程篡改检测的Sysmon 13 for Windows 10

微软发布了新版Windows10SysInternals工具Sysmon,(微软Sysinternals Suite中文绿色版工具下载)该工具现在具备了检测黑客何时将恶意代码注入合法Windows进程以绕过安全措施的能力。

sysmon13可以监视windows10进程的活动,现在可以检测进程空心化或进程herpaderping技术,这些技术通常在任务管理器中不可见。

微软发布了带有恶意程序进程篡改检测的Sysmon 13 for Windows 10

进程空心化是指恶意软件启动处于挂起状态的合法进程,并用恶意代码替换进程中的合法代码。然后,该恶意代码将由进程执行,无论分配给该进程的权限是什么。

进程herpaderping是恶意软件在加载恶意软件后修改其在磁盘上的图像,使其看起来像合法软件。当安全软件扫描磁盘文件时,当恶意代码在内存中运行时,它会看到一个无害的文件。

已知恶意软件(包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor)正在积极使用该技术。

要启用进程篡改检测,管理员需要向配置文件添加“processtamping”配置选项。你看了这里是Sysinternals网站上的文档 .

值得注意的是,BleepingComputer在Chrome、Opera、Firefox、Fiddler、microsoftedge和各种安装程序中发现了误报。

    您可能感兴趣的文章

    文章模式

    微软发布了带有恶意程序进程篡改检测的Sysmon

    微软发布了带有恶意程序进程篡改检测的Sysmon 13 for Windows 10 微软发布了新版Windows10SysInternals工具Sysmon,该工具现在具备了检测黑客何时将恶意代码注入合法W

    长按识别二维码 进入电脑技术网查看详情

    请长按保存图片