Detektor RunPE: wykrywanie szkodliwego oprogramowania rezydentnego, RAT-ów, kryptografów typu backdoors, pakerów

Złośliwe oprogramowanie używa wielu sztuczek, aby ukryć swój proces, RunPE jest jednym z typowych przykładów tego samego. Technika polega zasadniczo na uruchomieniu znanego i zaufanego procesu, który może być Explorer.exe zawieszony. Następnie zastępuje swój kod własnym kodem złośliwego oprogramowania. I wreszcie, uruchamia to. Uruchamianie narzędzi, takich jak Process Explorer, nie zawsze może skutecznie wykryć złośliwy proces. Phrozen RunPE Detector to darmowe oprogramowanie, które zostało specjalnie zaprojektowane do wykrywania i pokonywania podejrzanych procesów, takich jak te.

Detektor RunPE dla Windows

1. Co to jest

Mówiąc prosto, Phrozen Detektor RunPE może być użyty do wykrywaj złośliwe oprogramowanie bezdomnych, RAT-y, trojany, kryptografy typu backdoor, pakery i szkodliwe oprogramowanie rezydentne na komputerach z systemem Windows. Zasadniczo skanuje nagłówki procesów w pamięci, a następnie porównuje je z obrazami dysków. Sztuczka może wydawać się zbyt prosta do uwierzenia, ale działa. Jeśli proces RunPE został wykorzystany, to powinna wystąpić różnica, a zobaczysz alert.

1. Jak to działa

Detektor RunPE wykrywa i pokonuje ataki hakerskie, które używają technik RunPE do infekowania twojego systemu albo z następujących sposobów:

• Obejście zapory: Ta technika omija lub blokuje zaporę ogniową lub reguły zapory aplikacji.
• Pakowacz złośliwego oprogramowania lub narzędzie cryptera: ta technika służy do rozpakowania lub odszyfrowania złośliwego oprogramowania w pamięci i umieszczenia go w oryginalnym przetwarzanie bez zapisywania go na dysku, gdzie można go wykryć i zablokować.

1. Co to jest

Detektor RunPE z funkcją Phrozen skanuje nagłówki PE dla każdego procesu, a następnie porównuje nagłówki PE w pamięci z nagłówkami PE w procesie ścieżka obrazu. Według twórców jest to bardzo prosta i skuteczna metoda. Dostępnych jest wiele komercyjnych programów antywirusowych, które mają możliwość wykonywania tego rodzaju skanowania, ale Detektor RunPE firmy Phrozen to samodzielne narzędzie do wykonywania takich skanów ręcznie. Ten program bezpieczeństwa został przetestowany pod kątem wielu powszechnie używanych typów złośliwego oprogramowania, a współczynniki wykrywania są bardzo dokładne.

1. Czy można go użyć do usuwania złośliwego oprogramowania?

Ten program zapewnia użytkownikom opcję usuwania wszelkich złośliwych programów to wykrywa. Chociaż zaleca się, aby nie polegać na nim całkowicie. Jeśli znajdziesz jakiś problem, dobrym pomysłem byłoby skorzystanie z pełnego silnika antywirusowego do zbadania. Może być bardzo przydatny w wykrywaniu złośliwego oprogramowania, które jest zlokalizowane w pamięci, np. Bezzałogowego oprogramowania.

1. Czego nie robi

Detektor RunPE łatwo identyfikuje przejęte procesy, skanując wszystkie pliki aplikacji w systemie, a następnie porównuje ich nagłówki PE do uruchomiony proces wykrywania punktu infekcji. Ale nie identyfikuje lokalizacji hosta, gdy złośliwy kod jest ładowany za pomocą pakera lub cryptera. Jest to jeden z powodów, dla których deweloperzy Phrozen zalecają użycie komercyjnego rozwiązania antywirusowego w celu usunięcia złośliwego oprogramowania.

Ostateczny werdykt

Ponieważ technika RunPE jest tak powszechnie używana w RAT-ach, trojanach, programach typu Cdo-back-z i programach pakujących używających detektora RunPE, inteligentne podejście, aby upewnić się, że twój system jest wolny od najbardziej destrukcyjnych typów złośliwego oprogramowania.

RunPE jest wciąż typowym typem ataku, a jako Phrozen Detektor RunPE to jedno kompaktowe, przenośne i wolne od ciągów rozwiązanie. Dlatego zalecamy pobranie kopii tego zestawu narzędzi bezpieczeństwa.

Wykrywacz Runmo w Frozen wykrywa procesy, które zostały zaatakowane przez RunPE, tylko jeśli są 32-bitowe. Jest kompatybilny z systemami 64-bitowymi, ale nie może obecnie skanować, prawdopodobnie wkrótce pojawi się skanowanie 64-bitowe.