RunPE Detector: wykrywa złośliwe oprogramowanie rezydujące w pamięci, RAT, szyfratory backdoorów, programy pakujące

Malware używa wielu sztuczek, aby ukryć swój proces, RunPE jest jednym z typowych przykładów tego samego. Technika zasadniczo polega na uruchomieniu znanego i zaufanego procesu, który może być Explorer.exe w stanie zawieszenia. Następnie zastępuje swój kod własnym kodem złośliwego oprogramowania. I wreszcie uruchamia go. Uruchamianie narzędzi, takich jak Process Explorer , może nie zawsze skutecznie wykrywać złośliwy proces. Phrozen RunPE Detector to darmowe oprogramowanie, które zostało specjalnie zaprojektowane do wykrywania i pokonywania niektórych podejrzanych procesów, takich jak te.

Detektor RunPE dla Windows

Detektor RunPE

  1. Co to jest(What it is)

Mówiąc prościej, Phrozen RunPE Detector może być używany do wykrywania bezplikowego(Fileless) złośliwego oprogramowania, RAT(RATs) -ów , trojanów(Trojans) , backdoorów Crypters(Backdoors Crypters) , pakerów(Packers) i złośliwego oprogramowania rezydującego w pamięci na komputerach z systemem Windows(Windows) . Zasadniczo skanuje nagłówki twoich procesów w pamięci, a następnie porównuje je z ich obrazami dysków. Sztuczka może wydawać się zbyt prosta, by w to uwierzyć, ale działa. Jeśli proces został wykorzystany przez RunPE , powinna wystąpić różnica i zobaczysz alert.

  1. Jak to działa(How it works)

RunPE Detector wykrywa i pokonuje ataki hakerskie, które wykorzystują techniki RunPE do infekowania systemu na jeden z następujących sposobów:

  • Pomijanie zapory: Ta technika omija lub wyłącza reguły zapory lub zapory aplikacji.
  • Program pakujący lub szyfrujący złośliwe oprogramowanie(Malware) : Ta technika służy do rozpakowywania lub odszyfrowywania złośliwego oprogramowania w pamięci i umieszczania go w prawdziwym procesie bez zapisywania go na dysku, gdzie można je wykryć i zablokować.
  1. Co to robi(What it Does)

Phrozen RunPE Detector skanuje nagłówki PE dla każdego procesu, a następnie porównuje nagłówki PE w pamięci z nagłówkami PE w ścieżce obrazu procesu. Według twórców jest to bardzo prosta i wydajna metoda. Dostępnych jest wiele komercyjnych programów antywirusowych, które mają możliwość wykonywania tego rodzaju skanowania, ale RunPE Detector(RunPE Detector) firmy Phrozen jest samodzielnym narzędziem do ręcznego wykonywania takich skanów. Ten program zabezpieczający został przetestowany pod kątem wielu powszechnie używanych typów złośliwego oprogramowania, a wskaźniki wykrywania były bardzo dokładne.

  1. Czy można go użyć do usunięcia złośliwego oprogramowania?(Can it be used to remove malware?)

Ten program zapewnia użytkownikom możliwość usunięcia wykrytego złośliwego oprogramowania. Nawet jeśli nie jest wskazane, aby całkowicie na nim polegać. Jeśli znajdziesz problem, dobrym pomysłem będzie użycie w pełni wydajnego silnika antywirusowego do zbadania. Może to być bardzo przydatne w wykrywaniu złośliwego oprogramowania rezydującego w pamięci, takiego jak złośliwe oprogramowanie bezplikowe(Fileless malware) .

  1. Czego nie robi(What it does not do)

RunPE Detector łatwo identyfikuje przejęte procesy, skanując wszystkie pliki aplikacji w systemie, a następnie porównuje ich nagłówki PE z uruchomionym procesem, aby wykryć punkt infekcji. Nie identyfikuje jednak lokalizacji hosta, gdy złośliwy kod jest ładowany za pomocą programu pakującego lub szyfrującego złośliwe oprogramowanie. To jeden z powodów, dla których programiści Phrozen zalecili użycie komercyjnego rozwiązania antywirusowego w celu usunięcia złośliwego oprogramowania.

Ostateczny werdykt(Final Verdict)

Ponieważ technika RunPE jest tak powszechnie stosowana w przypadku RAT(RATs) , trojanów(Trojans) , Backdoors Crypters i Packerów używających RunPE Detector , jest sprytnym podejściem do zapewnienia, że ​​twój system jest wolny od najbardziej destrukcyjnych rodzajów złośliwego oprogramowania.

RunPE jest nadal powszechnym typem ataku, a ponieważ Phrozen RunPE Detector jest jednym kompaktowym, przenośnym i bezobsługowym rozwiązaniem. Dlatego zalecamy pobranie kopii tego zestawu narzędzi bezpieczeństwa ze strony www.phrozen.io(www.phrozen.io) .

Phrozen RunPE Detector wykrywa procesy zaatakowane przez RunPE tylko wtedy, gdy są 32-bitowe. Jest kompatybilny z systemami 64-bitowymi, ale obecnie nie może uruchamiać skanowania, najwyraźniej wkrótce pojawi się skanowanie 64-bitowe.



About the author

Jestem inżynierem Windows, ios, pdf, błędów, gadżetów z ponad 10-letnim doświadczeniem. Pracowałem nad wieloma wysokiej jakości aplikacjami i frameworkami Windows, takimi jak OneDrive dla Firm, Office 365 i nie tylko. Moja ostatnia praca obejmowała opracowanie czytnika PDF dla platformy Windows i pracę nad tym, aby komunikaty o błędach były bardziej zrozumiałe dla użytkowników. Dodatkowo od kilku lat jestem zaangażowany w rozwój platformy ios i dobrze znam zarówno jej funkcje, jak i dziwactwa.



Related posts