进程掏空是指恶意软件在暂停状态下启动合法进程,并用恶意代码替换进程中的合法代码。然后,这个恶意代码就会被进程执行,无论分配给进程的权限是什么。
进程herpaderping是指恶意软件加载后,修改其在磁盘上的映像,改头换面使其看起来像合法软件。当安全软件扫描磁盘上的文件时,它将看到一个无害的文件,而恶意代码却大摇大摆地在内存中运行而不被发现。
该技术被已知的恶意软件使用,包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor。
要启用进程篡改检测,管理员需要在配置文件中添加'ProcessTampering'配置选项。你可以在这里阅读Sysinternals网站上的文档。
您可以从Sysinternal的官方页面或这个地址直接下载Sysmon。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/33675.html