RunPE Detector: Detekuje malware rezidentní v paměti, RAT, Backpack Crypters, Packers

Malware používá řadu triků pro skrytí procesu, RunPE je jedním z běžných příkladů toho samého. Technika v podstatě zahrnuje zahájení známého a důvěryhodného procesu Explorer.exe v pozastaveném stavu. Pak nahradí svůj kód kódem škodlivého softwaru. A nakonec to spustí. Spuštěné nástroje, jako Process Explorer, nemusí být vždy úspěšné při detekci škodlivého procesu. Phrozen RunPE Detector je bezplatný software, který byl speciálně navržen tak, aby detekoval a porazil některé podezřelé procesy jako je tento.

RunPE detektor pro Windows

Detektor RunPE

  1. Co to je

Jednoduše řečeno, detektor Phrong RunPE může být použit pro detekci škodlivého softwaru Fileless, RAT, trojských koní, Crypter Backdoors Crypters, Packer a malware rezidentních počítačů se systémem Windows. V podstatě skenuje hlavičky vašich procesů v paměti a porovnává je s jejich obrazy na disku. Trik může znít příliš jednoduché, než aby uvěřil, ale to funguje. Pokud byl proces využíván RunPE, pak by měl existovat rozdíl, a uvidíte varování.

  1. Jak to funguje

RunPE Detector detekuje a porazí hackerské útoky, které používají techniky RunPE k infikování vašeho systému jedním z následujících způsobů:

  • Obtok brány firewall: Tato technika obchází nebo zakazuje pravidla brány firewall nebo aplikace firewall.
  • Malware packer nebo crypter: Tato technika se používá k rozbalení nebo dešifrování malware v paměti a umístit jej do skutečného procesu bez zápisu na disk, kde jej lze objevit a zablokovat.
  1. Co to dělá

Detektor Phrase RunPE detekuje hlavičky PE pro každý proces a poté porovnává hlavičky PE v paměti s hlavičkami PE v procesní cestě. Podle vývojářů je to velmi jednoduchá a účinná metoda. K dispozici je mnoho komerčních antivirových programů, které jsou schopné provádět tento druh skenování, ale detektor RunPrague společnosti Phrozen je samostatným nástrojem pro ruční provádění takových skenů. Tento bezpečnostní program byl testován na řadu běžně používaných typů malwaru a míry detekce byly velmi přesné.

  1. Lze jej použít k odstranění škodlivého softwaru?

Tento program poskytuje uživatelům možnost odstranit jakýkoli malware, který detekuje. Přestože se doporučuje, aby se na to plně neopíralo. Pokud narazíte na problém, pomocí antivirového stroje s plnou silou prozkoumat, by to byl dobrý nápad. Mohlo by to být velmi užitečné při detekci malware rezidentních v paměti Bezplatný malware.

  1. Co to nedělá

Detektor RunPE snadno rozpozná unesené procesy skenováním všech aplikačních souborů v systému a poté porovnává jejich hlavičky PE se spuštěným procesem, který detekuje místo infekce. Nezjišťuje však umístění hostitele, pokud je škodlivý kód načten malwarem nebo kryptérem škodlivého softwaru. To je jeden z důvodů, proč vývojáři společnosti Phrozen doporučili používat komerční antivirové řešení k odstranění škodlivého softwaru.

konečný verdikt

Vzhledem k tomu, že s technikou RunPE je tak běžně používán RAT, Trojské koně, Cryptery Backside Crystal a Packers pomocí detektoru RunPE je inteligentním přístupem, který zajistí, že váš systém neobsahuje nejvíce destruktivní typy malwaru.

RunPE je stále běžným typem útoku a jako detektor Phrape RunPE je jedno kompaktní, přenosné řešení bez volání. Takže vám doporučujeme chytit kopii tohoto bezpečnostního nástroje.

Phrozen RunPE Detector detekuje RunPE-compromised procesy pouze pokud jsou 32-bit. Je kompatibilní s 64-bitovými systémy, ale v současné době nemůže spustit skenování, zdá se, že čoskoro bude naskenováno 64-bitové skenování.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.