系统工具 微软发布新版Sysinternals组件Sysmon 13 可用于恶意软件进程篡改检测
微软发布了新版本的Windows 10 Sysinternals工具Sysmon,该工具可以用来检测黑客将恶意代码注入合法的Windows进程中,以绕过安全措施 。Sysmon 13可以监控Windows 10进程的活动,可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术 。
文章图片
进程掏空是指恶意软件在暂停状态下启动合法进程,并用恶意代码替换进程中的合法代码 。然后,这个恶意代码就会被进程执行,无论分配给进程的权限是什么 。
进程herpaderping是指恶意软件加载后,修改其在磁盘上的映像,改头换面使其看起来像合法软件 。当安全软件扫描磁盘上的文件时,它将看到一个无害的文件,而恶意代码却大摇大摆地在内存中运行而不被发现 。
该技术被已知的恶意软件使用,包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor 。
要启用进程篡改检测,管理员需要在配置文件中添加'ProcessTampering'配置选项 。你可以在这里阅读Sysinternals网站上的文档 。
【系统工具|微软发布新版Sysinternals组件Sysmon 13 可用于恶意软件进程篡改检测】您可以从Sysinternal的官方页面或这个地址直接下载Sysmon 。
推荐阅读
- Huawei 鸿蒙能不能走通操作系统的第三条路?
- Windows 有迹象表明微软将把下一代Windows命名为Windows 11
- Huawei 鸿蒙“初辟” 华为能否借此打破安卓和iOS系统的垄断局面?
- Huawei 华为正式发布HarmonyOS操作系统 央视:打破了苹果、谷歌的垄断
- Huawei “鸿蒙系统”上线,谁能买单?
- 股价 华为鸿蒙操作系统, 首批合作伙伴-中科创达, 股价将重回300元上方?
- 社交 增强同苹果iMessage竞争力 Facebook推出一系列企业通信工具
- AI 科学家设计P-Flash人工智能系统可向消防员发出闪燃警告
- 临界点 物理临界现象——神秘且微妙的物理世界,多尺度系统的迷人奥秘
- Huawei 鸿蒙“初辟” 华为能否借此打破安卓和 iOS 系统的垄断局面?