Microsoft выпустила новую версию одного из своих инструментов для мониторинга состояния системы — Sysmon 14. Главной особенностью новой версии стала функция «FileBlockExecutable», которая способна блокировать создание вредоносных исполняемых файлов в форматах EXE, DLL и SYS.
Нововведение станет полезным инструментом для системных администраторов, обеспечивая надёжную защиту от вредоносных программ. Блокировка потенциально опасных файлов осуществляется по ряду критериев: путь файла, соответствие хешу, факт попадания в систему другими исполняемыми файлами.
Например, Sysmon можно настроить на блокировку создания файлов с соответствующими хеш-суммами. Если же вы хотите запретить определённой программе устанавливать вредоносное ПО, вы можете блокировать ей создание исполняемых файлов.
Тем не менее, новую функцию «FileBlockExecutable» уже успел обойти специалист Адам Честер.