Detektor RunPE: detekuje škodlivý softvér rezidentný v pamäti, RAT, kryptoch záloh, balíky

Obsah:

Detektor RunPE: detekuje škodlivý softvér rezidentný v pamäti, RAT, kryptoch záloh, balíky
Detektor RunPE: detekuje škodlivý softvér rezidentný v pamäti, RAT, kryptoch záloh, balíky

Video: Detektor RunPE: detekuje škodlivý softvér rezidentný v pamäti, RAT, kryptoch záloh, balíky

Video: Detektor RunPE: detekuje škodlivý softvér rezidentný v pamäti, RAT, kryptoch záloh, balíky
Video: Как исправить ошибку 0xc00000e9 - YouTube 2024, Marec
Anonim

Malware používa niekoľko trikov na skrytie svojho procesu, RunPE je jedným z bežných príkladov toho istého. Táto technika v zásade zahŕňa začiatok známeho a dôveryhodného procesu explorer.exe v pozastavenom stave. Potom nahradí kód s vlastným kódom škodlivého softvéru. A nakoniec to začne. Bežné nástroje ako Process Explorer nemusia byť vždy úspešné pri zisťovaní škodlivého procesu. Phouted RunPE Detector je bezplatný softvér, ktorý bol špeciálne navrhnutý na detekciu a porážanie niektorých podozrivých procesov, ako sú tieto.

Detektor RunPE pre systém Windows

Image
Image

Čo to je

Jednoduchým slovom môže byť detekovaný detekčný modul Phrape RunPE na detekciu škodlivého softvéru bez rizík, RAT, trójskych koní, kryptorov Backdoors, Packerov a malware rezidentných na počítačoch so systémom Windows. V podstate skenuje záhlavie vašich procesov v pamäti a potom ich porovnáva s ich obrazmi na disku. Trik môže znieť príliš jednoducho, aby veril, ale to funguje. Ak bol proces využitý RunPE, mal by to byť rozdiel a uvidíte upozornenie.

Ako to funguje

RunPE Detector detekuje a porazí hackerské útoky, ktoré používajú techniky RunPE na infikovanie vášho systému jedným z nasledujúcich spôsobov:

  • Obchádzka brány firewall: Táto technika obchádza alebo zakazuje pravidlá brány firewall alebo firewall.
  • Malware packer alebo crypter: Táto technika sa používa na rozbalenie alebo dešifrovanie škodlivého softvéru v pamäti a jeho zaradenie do skutočného procesu bez jeho zápisu na disk, kde ho možno nájsť a zablokovať.

Čo to robí

Fuzzy detektor RunPE skenuje hlavičky PE pre každý proces a potom porovnáva hlavičky PE v pamäti s hlavičkami PE v procese obrazovej cesty. Podľa vývojárov to je veľmi jednoduchá a účinná metóda. Existuje veľa komerčných antivírusových programov, ktoré sú schopné vykonať tento druh skenovania, ale detektor RunFrame od firmy Phrozen je samostatným nástrojom na manuálne vykonávanie takýchto kontrol. Tento bezpečnostný program bol testovaný na množstvo bežne používaných typov škodlivého softvéru a miery detekcie boli veľmi presné.

Môže sa použiť na odstránenie škodlivého softvéru?

Tento program poskytuje používateľom možnosť odstrániť akýkoľvek malware, ktorý detekuje. Aj keď sa odporúča, aby sa naň úplne nespoliehalo. Ak narazíte na problém, pomocou antivírusového motora s plnou silou na prešetrenie by bol dobrý nápad. Mohlo by to byť veľmi užitočné pri zisťovaní malware rezidentnej v pamäti, ako je malý softvér Fileless.

Čo to neurobí

Detektor RunPE ľahko identifikuje únosy procesov skenovaním všetkých aplikačných súborov v systéme a potom porovnáva ich hlavičky PE s bežiacim procesom na zistenie miesta infekcie. Neidentifikuje však miesta hostiteľa, keď je škodlivý kód načítaný balíkom škodlivého kódu alebo kryptérom. To je jeden z dôvodov, prečo vývojári spoločnosti Phrozen odporučili používanie komerčného antivírusového riešenia na odstránenie škodlivého softvéru.

Záverečná verdikt

Pretože technológia RunPE je tak bežne používaná s RAT, trójske kone, Backdoors Crypters a Packers pomocou detektora RunPE je inteligentný prístup, ktorý zabezpečuje, že váš systém neobsahuje najnebezpečnejšie typy škodlivého softvéru.

RunPE je stále bežným typom útoku a ako detektor PhRURA RunPE je jedno kompaktné, prenosné a bezdrôtové riešenie. Takže by sme vám odporučili chytiť kópiu tohto balíka bezpečnostných nástrojov.

Funkcia detekcie RunPE deteguje procesy RunPE, ktoré sú kompatibilné iba s 32-bitovým procesom. Je kompatibilný so 64-bitovými systémami, ale v súčasnosti nedokáže spustiť skenovanie, čoskoro sa objaví 64-bitové skenovanie.

Odporúča: