微軟發布了新版本的Windows 10 Sysinternals工具Sysmon，該工具可以用來檢測黑客將惡意代碼注入合法的Windows進程中，以繞過安全措施。Sysmon 13可以監控Windows 10進程的活動，可以檢測到通常在任務管理器中看不到的進程掏空或進程herpaderping技術。

進程掏空是指惡意軟件在暫停狀態下啟動合法進程，並用惡意代碼替換進程中的合法代碼。然後，這個惡意代碼就會被進程執行，無論分配給進程的權限是什麼。

進程herpaderping是指惡意軟件加載後，修改其在磁盤上的映像，改頭換面使其看起來像合法軟件。當安全軟件掃描磁盤上的文件時，它將看到一個無害的文件，而惡意代碼卻大搖大擺地在內存中運行而不被發現。

該技術被已知的惡意軟件使用，包括Mailto/defray777勒索軟件、TrickBot和BazarBackdoor。

要啟用進程篡改檢測，管理員需要在配置文件中添加’ProcessTampering’配置選項。你可以在這裡閱讀Sysinternals網站上的文檔。

您可以從Sysinternal的官方頁面或這個地址直接下載Sysmon。