Mark Russinovich hat nach dem Sysmon weitere Sysinternals-Tools mit einem Update versehen. Die Sysinternals-Tools sind ja eine kleine Sammlung hilfreicher Tools für Windows, die Microsoft-Mitarbeiter Mark Russinovich kostenlos anbietet.
Anzeige
In nachfolgendem Tweet vom 6. September 2019 weist Russinovich auf diese Aktualisierung der Sysinternals-Tools hin.
New Sysinternals updates, including major Sysmon filtering enhancements, including nested rules and "contains any" and "contains all" expressions: https://t.co/th84RGgI18
— Mark Russinovich (@markrussinovich) September 6, 2019
Die Aktualisierung erfolgte am 5. September 2019 die Beschreibung der Sysinternals-Tools lässt sich über diese Webseite abrufen. Zu Sysmon und den verbesserten Regelfunktionen hat Microsoft diesen Techcommunity-Artikel veröffentlicht. Zum Process Explorer gibt es ebenfalls eine kleine Neuerung.
Anzeige
Wieso sind die eigentlich immer noch nicht open source?
Ich bin schon froh, dass so etwas gutes aus dem Hause Microsoft GRATIS ist.
Ist keine FOSS, aber immerhin free of charge.
Auch der in dieser Version enthaltene PorcessExplorer v16.30 öffnet ungefragt bei Start Verbindungen ins Internet, alle auf Port 80, folgende Ziel-IP-Adressen:
23.51.123.27
93.184.220.29
104.18.21.226
104.18.20.226
151.139.128.14
Scheinen CDN zu sein.
Hm, ich habe andere Adressen beim Betrieb von ProcessExplorer beobachtet:
– 151.101.14.133 (SKYCA-3: Fastly San Francisco)
– 64.18.20.10 und 64.18.17.135 (CYBERTRUSTCIDR: MCI Communications Services, Inc. d/b/a Verizon Business)
Über die beiden letzteren IP-Adressen kam aber keine Verbindung zustande.
Vermutlich werden darüber die Signaturen der Module verifiziert.