当前位置:首页 > 教育动态 >

Microsoft发布新版本的Sysinals组件Sysmon 13,用于恶意软件进程篡改检测

 

来源:本文章来源于网络 | 时间:2021-01-13 02:45:33

进程空洞化是指恶意软件以暂停状态启动合法进程,并将进程中的合法代码替换为恶意代码。然后,无论分配给进程的权限如何,恶意代码都由进程执行。

处理herpaderping是指恶意软件加载后,修改其在磁盘上的图像,改变其外观,使其看起来像合法的软件。当安全软件扫描磁盘上的文件时,它会看到无害的文件,而恶意代码在内存中却没有被找到。

这项技术被已知的恶意软件所使用,包括mailto/defray777勒索软件、ticbot和bazar后门。

要启用进程篡改检测,管理员需要在配置文件中添加‘Processtaming’配置选项。您可以在这里阅读Sysinals网站上的文档。

您可以直接从sysside的官方页面或从这个地址下载sysmon。

焦点推荐

热点推荐