微软发布用于 Windows 13 的 Sysmon 10,带有恶意软件进程篡改检测功能
2分钟读
发表于
分享此文章
改进本指南
微软发布了新版本的 Windows 10 Sysinternals 工具 Sysmon,该工具现在具有检测黑客何时将恶意代码注入合法 Windows 进程以绕过安全措施的能力。
Sysmon 13 可让您监控 Windows 10 进程的活动,现在可以检测通常在任务管理器中不可见的进程空洞或进程 Herpaderping 技术。
进程空心化是指恶意软件以挂起状态启动合法进程并将进程中的合法代码替换为恶意代码。 然后,该恶意代码将由该进程执行,并具有分配给该进程的任何权限。
进程 Herpaderping 是恶意软件在加载恶意软件后修改其在磁盘上的映像以使其看起来像合法软件的地方。 当安全软件扫描磁盘文件时,它会看到一个无害的文件,而恶意代码在内存中运行。
已知恶意软件正在积极使用该技术,包括 Mailto/defray777 勒索软件、TrickBot 和 BazarBackdoor。
要启用进程篡改检测,管理员需要将“ProcessTampering”配置选项添加到配置文件中。 你读了 Sysinternals 网站上的文档在这里.
值得注意的是,BleepingComputer 在 Chrome、Opera、Firefox、Fiddler、Microsoft Edge 和各种安装程序中发现了误报。
您可以从专用的下载 Sysmon Sysinternal 的页面 or https://live.sysinternals.com/sysmon.exe.
