微软发布了带有恶意程序进程篡改检测的Sysmon

微软发布了带有恶意程序进程篡改检测的Sysmon 13 for Windows 10

微软发布了新版Windows10SysInternals工具Sysmon,(微软Sysinternals Suite中文绿色版工具下载)该工具现在具备了检测黑客何时将恶意代码注入合法Windows进程以绕过安全措施的能力。

sysmon13可以监视windows10进程的活动,现在可以检测进程空心化或进程herpaderping技术,这些技术通常在任务管理器中不可见。

微软发布了带有恶意程序进程篡改检测的Sysmon插图

进程空心化是指恶意软件启动处于挂起状态的合法进程,并用恶意代码替换进程中的合法代码。然后,该恶意代码将由进程执行,无论分配给该进程的权限是什么。

进程herpaderping是恶意软件在加载恶意软件后修改其在磁盘上的图像,使其看起来像合法软件。当安全软件扫描磁盘文件时,当恶意代码在内存中运行时,它会看到一个无害的文件。

已知恶意软件(包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor)正在积极使用该技术。

要启用进程篡改检测,管理员需要向配置文件添加“processtamping”配置选项。你看了这里是Sysinternals网站上的文档 .

值得注意的是,BleepingComputer在Chrome、Opera、Firefox、Fiddler、microsoftedge和各种安装程序中发现了误报。

© 版权声明
THE END
喜欢就支持一下吧
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容