Windows 11 Pro ISO文件在哪下载最新版?如何下载原装纯净版Win11 ?点击进入 持续更新!
微软已经发布了Windows 10 Sysinternals工具Sysmon的新版本,该工具现在具有检测黑客何时将恶意代码注入合法Windows进程中以绕过安全措施的功能。
进程挖空是指恶意软件在挂起状态下启动合法进程并用恶意代码替换进程中的合法代码。然后,该恶意代码由进程执行,并为该进程分配任何权限。
加载进程恶意软件后,恶意软件会在磁盘上将其映像修改为看起来像合法软件的恶意软件。当安全软件扫描磁盘文件时,当恶意代码在内存中运行时,它将看到无害的文件。
包括Mailto / defray777勒索软件,TrickBot和BazarBackdoor在内的已知恶意软件正在积极使用该技术。
要启用进程篡改检测,管理员需要在配置文件中添加“ ProcessTampering”配置选项。您可以在此处阅读Sysinternals网站上的文档。
值得注意的是,BleepingComputer在Chrome,Opera,Firefox,Fiddler,Microsoft Edge和各种安装程序中发现了误报。
您可以从专用Sysinternal的页面 或 https://live.sysinternals.com/sysmon.exe下载Sysmon 。