微软系统监视工具 Sysmon 可阻止进程创建可执行文件

软餐获悉,微软刚刚发布了 Windows 工具集 Sysinternals Suite 2022.08.16 版。Sysinternals Suite 是 Windows Sysinternals 的全量套件包。这次更新,微软分别发布了 Sysmon v14.0、AccessEnum v1.34 和 Coreinfo v3.53。其中,Sysmon 工具(系统活动监视工具)迎来了一项新功能——可以阻止进程创建 EXE 或类似的可执行文件,从而避免相关的恶意攻击。

Sysmon v14.0 的发行说明说:

对高级主机监控工具 Sysmon 的这次重大更新添加了一个新的事件类型 FileBlockExecutable,它可以防止进程在指定位置创建可执行文件。它还包括一些性能改进和错误修复。

在给出的示例中,Sysmon 有效阻止了所有 PE 文件的下载。除了微软商店,用户还也从微软官网单独下载 Sysinternals 的特定某一款工具。

微软系统监视工具Sysmon可阻止进程创建可执行文件
(0)
志锋的头像志锋

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注