今天发布的Sysmon 13.00可以检测“进程空心”和“进程Herpaderping”攻击,使系统管理员可以检测和调试恶意软件攻击。
Microsoft已发布Sysinternals软件包的新版本,并更新了Sysmon实用程序,使其能够检测Process Herpaderping和Process Hollowing攻击。
Sysinternals 是一组应用程序,旨在帮助系统管理员调试Windows计算机或帮助安全研究人员跟踪和调查恶意软件攻击。
Sysinternals软件包随附160多种不同的应用程序,每个应用程序都对特定任务有用。
最广泛使用的Sysinternal应用程序之一称为 Sysmon,即系统监视器,它通过将系统级事件(进程创建,网络连接和文件创建时间的更改)记录到默认的Windows事件日志中来工作。
多年来,该工具已成为所有安全研究人员的必备工具,无论他们是参与防御网络还是执行数字取证和事件响应(DFIR)操作。这是因为Sysmon允许他们记录深入的日志,然后跟踪针对特定进程和应用程序的恶意攻击的根源。
微软表示,在今天发布的Sysmon 13.00中,Sysmon应用程序现在可以检测并记录恶意软件篡改合法进程的时间。
发生这种情况时,Sysmon实用程序将在Windows事件日志中使用“ EventID 25”标识符创建警报。然后,系统管理员和安全研究人员可以扫描该ID,并检测恶意软件攻击试图修改的过程。
网友评论文明上网理性发言已有0人参与
发表评论: