close
進程掏空是指惡意軟件在暫停狀態下啟動合法進程,並用惡意代碼替換進程中的合法代碼。然後,這個惡意代碼就會被進程執行,無論分配給進程的權限是什麼。
進程herpaderping是指惡意軟件加載後,修改其在磁盤上的映像,改頭換面使其看起來像合法軟件。當安全軟件掃描磁盤上的文件時,它將看到一個無害的文件,而惡意代碼卻大搖大擺地在內存中運行而不被發現。
該技術被已知的惡意軟件使用,包括Mailto/defray777勒索軟件、TrickBot和BazarBackdoor。
要啟用進程篡改檢測,管理員需要在配置文件中添加'ProcessTampering'配置選項。你可以在這裡閱讀Sysinternals網站上的文檔。
您可以從Sysinternal的官方頁面或這個地址直接下載Sysmon。
全站熱搜
留言列表
