×

Microsoft Sysmon添加了对检测Process Herpaderping攻击的支持

作者:Terry2021.01.12来源:Web前端之家浏览:13225评论:0
关键词:Windows

今天发布的Sysmon 13.00可以检测“进程空心”和“进程Herpaderping”攻击,使系统管理员可以检测和调试恶意软件攻击。

windows-logo.png

Microsoft已发布Sysinternals软件包的新版本,并更新了Sysmon实用程序,使其能够检测Process Herpaderping和Process Hollowing攻击。

Sysinternals 是一组应用程序,旨在帮助系统管理员调试Windows计算机或帮助安全研究人员跟踪和调查恶意软件攻击。

Sysinternals软件包随附160多种不同的应用程序,每个应用程序都对特定任务有用。

最广泛使用的Sysinternal应用程序之一称为 Sysmon,即系统监视器,它通过将系统级事件(进程创建,网络连接和文件创建时间的更改)记录到默认的Windows事件日志中来工作。

多年来,该工具已成为所有安全研究人员的必备工具,无论他们是参与防御网络还是执行数字取证和事件响应(DFIR)操作。这是因为Sysmon允许他们记录深入的日志,然后跟踪针对特定进程和应用程序的恶意攻击的根源。

sysmon-eventid25.png

微软表示,在今天发布的Sysmon 13.00中,Sysmon应用程序现在可以检测并记录恶意软件篡改合法进程的时间。

发生这种情况时,Sysmon实用程序将在Windows事件日志中使用“ EventID 25”标识符创建警报。然后,系统管理员和安全研究人员可以扫描该ID,并检测恶意软件攻击试图修改的过程。

您的支持是我们创作的动力!
温馨提示:本文作者系Terry ,经Web前端之家编辑修改或补充,转载请注明出处和本文链接:
https://jiangweishan.com/article/hulianwang20200112.html

网友评论文明上网理性发言已有0人参与

发表评论: