Microsoft Sysmon 可以检测和调试恶意软件攻击

sugar 2021-01-12
专栏 - 事件 发布于 2021-01-12 13:49:47 阅读 95 评论 0

今天发布的Sysmon 13.00可以检测进程Hollowing和进程Herpaderping攻击,使系统管理员可以检测和调试恶意软件攻击。

Microsoft已发布Sysinternals软件包的新版本,并更新了Sysmon实用程序,使其能够检测Process Herpaderping和Process Hollowing攻击。

Sysinterals是一组应用程序,旨在帮助系统管理员调试Windows计算机或帮助安全研究人员追踪和调查恶意软件攻击。

Sysinterals软件包附带了160多个不同的应用程序,每个应用程序都适用于特定的任务。

最广泛使用的Sysinternal应用程序之一称为Sysmon,即系统监视器,它通过将系统级事件(进程创建,网络连接和文件创建时间的更改)记录到默认的Windows事件日志中来工作。

多年来,该工具已成为所有安全研究人员的必备工具,无论他们是参与防御网络还是执行数字取证和事件响应(DFIR)操作。这是因为Sysmon允许他们记录深入的日志,然后跟踪针对特定进程和应用程序的恶意攻击的根源。

微软表示,在今天发布的Sysmon 13.00中,Sysmon应用程序现在可以检测并记录恶意软件篡改合法进程的时间。

发生这种情况时,Sysmon实用程序将在Windows事件日志中使用“ EventID 25”标识符创建警报。然后,系统管理员和安全研究人员可以扫描该ID,并检测恶意软件攻击试图修改的过程。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!