微软发布适用于Windows 10的Sysmon 13,具有恶意软件过程篡改检测

微软已经发布了Windows 10 Sysinternals工具Sysmon的新版本,该工具现在具有检测黑客何时将恶意代码注入合法Windows进程中以绕过安全措施的功能。
Sysmon 13使您可以监视Windows 10进程的活动,现在可以检测进程空化或进程Herpaderping技术,这些技术通常在任务管理器中不可见。001399bf8455b4d02543dd8ca4cc7896

进程挖空是指恶意软件在挂起状态下启动合法进程并用恶意代码替换进程中的合法代码。然后,该恶意代码由进程执行,并为该进程分配任何权限。

加载进程恶意软件后,恶意软件会在磁盘上将其映像修改为看起来像合法软件的恶意软件。当安全软件扫描磁盘文件时,当恶意代码在内存中运行时,它将看到无害的文件。

包括Mailto / defray777勒索软件,TrickBot和BazarBackdoor在内的已知恶意软件正在积极使用该技术。

要启用进程篡改检测,管理员需要在配置文件中添加“ ProcessTampering”配置选项。您可以在此处阅读Sysinternals网站上的文档。

值得注意的是,BleepingComputer在Chrome,Opera,Firefox,Fiddler,Microsoft Edge和各种安装程序中发现了误报。

您可以从专用Sysinternal的页面 或 https://live.sysinternals.com/sysmon.exe下载Sysmon  。

未经允许不得转载:励志言 » 微软发布适用于Windows 10的Sysmon 13,具有恶意软件过程篡改检测

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏