Sysinternals XNUMX 月更新对 Sysmon 等进行了重大改进

Sysinternals 实用程序可帮助您管理、排除故障和诊断您的 Windows 系统和应用程序。 Sysinternals 的 2016 年 XNUMX 月更新带来了主要的 Sysmon 增强功能，包括注册表和文件事件以及对 Procexp、Procdump 和 LiveKd 的改进。

新增功能（18 年 2016 月 XNUMX 日）：

• 系统门 v5
  Sysmon 是一个后台监视器，可将活动记录到事件日志中以用于安全事件检测和取证，这项重大更新引入了文件创建和注册表修改日志记录。 这些事件类型可以配置过滤器来捕获关键系统配置的更新以及恶意软件使用的自动启动入口点的更改。
•  进程浏览器 v16.20
  此版本的 Process Explorer 是一个强大的流程管理和诊断实用程序，增加了流程控制流防护 (CFG) 状态的报告，并动态更新以反映流程数据执行保护 (DEP) 配置的更改。
•  程序转储 v8.2
  Procdump 是一个命令行实用程序，可根据需要或基于触发器（包括内存、CPU、异常和性能计数器阈值）生成进程转储，它添加了一个 -kill 选项，可在进程转储完成后终止进程，而不是允许将异常传递给Windows 错误报告 (WER) 和 -wer 开关，用于将转储复制到 WER 队列。
•  直播Kd v5.6
  LiveKd 是一种能够对实时系统或虚拟机进行交互式内核调试器分析的工具，它包括一个为脚本分析而设计的批处理模式选项，该选项在调试器会话终止后省略重新执行 LiveKD 的提示。

您可以直接从 Web 执行 Sysinternals 工具，而无需寻找和手动下载它们。 只需将工具的 Sysinternals Live 路径输入 Windows 资源管理器或命令提示符，如 https://live.sysinternals.com/ 或 \\live.sysinternals.com\tools\。

您可以在浏览器中查看整个 Sysinternals Live 工具目录，网址为  live.sysinternals.com.