[English]Microsoft hat den Windows Sysinternals Tools zum 17./18. September 2020 ein Update spendiert, bei dem einige der Tools aktualisiert und um neue Funktionen erweitert wurden. Hier ein grober Überblick – und übrigens: Die DLL-Hijacking-Schwachstelle ist nicht beseitigt.
Anzeige
Mark Russinovich hatte dieses Update bereits letzte Woche Freitag auf Twitter angekündigt, mir fehlte aber die Zeit, dass aufzubereiten. Die Details sind in diesem Microsoft-Dokument beschrieben.
Hier die kurze Übersicht der Neuerungen, die auch in diesem Techcommunity-Beitrag aufgelistet werden.
-
Sysmon v12.0: Zusätzlich zu mehreren Fehlerbehebungen bietet dieses größere Sysmon-Update Unterstützung zur Erfassung von Operationen in der Zwischenablage (soll Leuten, die Angriffe analysieren, helfen, von Angreifern injizierte RDP-Datei- und andere Befehle sowie die IP-Adressen von Remote-Rechnern abzurufen).
-
Process Monitor v3.60: Dieses Update von Process Monitor, einem Dienstprogramm zur Protokollierung von Prozessdatei-, Netzwerk- und Registrierungsaktivitäten, bietet Unterstützung für die Auswahl mehrerer Filterelemente sowie die Dekodierung neuer Dateisystemsteuerungsoperationen und Fehlerstatuscodes.
-
Procdump v10.0: Diese Version von Procdump, einem Tool für die manuelle und Trigger-basierte Erzeugung von Prozess-Dumps, bietet Unterstützung für Dump-Abbrüche und CoreCLR-Prozesse.
-
ARM64 ports: Darüber hinaus wurden mehrere Tools neu auf ARM64 portiert und sind jetzt für ARM64 verfügbar. Dazu gehören: AdInsight v1.2, AutoLogon v3.1, Autoruns v13.98, ClockRes v2.1, DebugView v4.9, DiskExt v1.2, FindLinks v1.1, Handle v4.22, Hex2Dec v1.1, Junction v1.07, PendMoves v1. 02, PipeList v1.02, Procdump v10.0, Process Explorer v16.32, RegDelNull v1.11, RU v1.2, Sigcheck v2.8, Streams v1.6, Sync v2.2, VMMap v3.26, WhoIs v1.21 und ZoomIt v4.52. Mit der Sysinternals Suite for ARM64 können Sie alle ARM64-Tools in einem einzigen Download herunterladen.
So weit der Überblick. Interessant dürften Sysmon und der Process Monitor sein, ob die ARM 64-Tools breiten Einsatz finden, weiß ich nicht.
Anzeige
Wo gibt es Details und den Download?
Die Sysinternals Tools stehen kostenlos auf dieser Webseite zum Download bereit. Die in obiger Liste verlinkten Detailseiten enthalten die Beschreibungen der jeweiligen Tools.
Anmerkung: An dieser Stelle mein Hinweis, dass einzelne Tools aus der Sysinternals-Suite mit einer DLL-Hijacking-Schwachstelle an Bord daherkommen. Ich habe im Blog-Beitrag Sysmon v11.0 von den Sysinternals-Tools freigegeben auf diesen Sachverhalt hingewiesen und Details genannt. Gibt dort auch eine ausführlichere Diskussion zum Thema.
Anzeige
Ich finde ja die "Sysinternals Live" Funktion nett, die Sachen aus \\live.sysinternals.com\tools\ heraus zu starten. Aber aus Firmenumgebungen geht das nicht, SMB-Zugriffe auf externe Adressen? Never!
Schlauer wäre ja, sowas per OneDrive zu abonnieren.
Hm? Das ist doch eine normale Website
https://live.sysinternals.com