微軟發布用於 Windows 13 的 Sysmon 10,帶有惡意軟件進程篡改檢測功能
2分鐘讀
發表於
分享此文章
改進本指南
微軟發布了新版本的 Windows 10 Sysinternals 工具 Sysmon,該工具現在具有檢測黑客何時將惡意代碼注入合法 Windows 進程以繞過安全措施的能力。
Sysmon 13 可讓您監控 Windows 10 進程的活動,現在可以檢測通常在任務管理器中不可見的進程空洞或進程 Herpaderping 技術。
進程空心化是指惡意軟件以掛起狀態啟動合法進程並將進程中的合法代碼替換為惡意代碼。 然後,該惡意代碼將由該進程執行,並具有分配給該進程的任何權限。
進程 Herpaderping 是惡意軟件在加載惡意軟件後將其在磁盤上的映像修改為看起來像合法軟件的地方。 當安全軟件掃描磁盤文件時,它會看到一個無害的文件,而惡意代碼在內存中運行。
已知惡意軟件正在積極使用該技術,包括 Mailto/defray777 勒索軟件、TrickBot 和 BazarBackdoor。
要啟用進程篡改檢測,管理員需要將“ProcessTampering”配置選項添加到配置文件中。 你讀了 此處 Sysinternals 網站上的文檔.
值得注意的是,BleepingComputer 在 Chrome、Opera、Firefox、Fiddler、Microsoft Edge 和各種安裝程序中發現了誤報。
您可以從專用的下載 Sysmon Sysinternal 的頁面 or https://live.sysinternals.com/sysmon.exe.
