Злонамереният софтуер използва редица трикове, за да скрие своя процес, RunPE е един от често срещаните примери за същото. Техниката основно включва стартиране на известен и надежден процес може да бъде Explorer.exe в спряно състояние. След това той замества кода си със собствения код на злонамерения софтуер. И накрая, започва. Работещите инструменти като Process Explorer може да не са успешни при откриването на зловредния процес. Phrozen RunPE Detector е безплатен софтуер, специално разработен за откриване и разрушаване на някои подозрителни процеси като тези.
RunPE детектор за Windows
Какво е
Сложен с прости думи, Phrozen RunPE Detector може да се използва за откриване на зловреден софтуер Fileless, RATs, троянски коне, криптери за Backdoors Crypters, Packers & malware с памет на компютрите на Windows. Той основно сканира заглавията на вашите процеси в паметта и след това ги сравнява с техните дискови изображения. Трикът може да звучи прекалено прости, за да повярва, но това не работи. Ако процесът е бил експлоатиран от RunPE, тогава трябва да има разлика и ще видите сигнал.
Как работи
RunPE Detector открива и побеждава хакерски атаки, които използват техниките RunPE за заразяване на вашата система по един от следните начини:
- Заобикаляне на защитната стена: Тази техника заобикаля или деактивира защитната стена или правилата за защитна стена на приложението.
- Злонамерен пакет или криптер: Тази техника се използва за разопаковане или декриптиране на зловреден софтуер в паметта и за поставянето му в истински процес, без да се записва на диска, където може да бъде открит и блокиран.
Какво прави
Phrozen RunPE Detector сканира PE заглавките за всеки процес и след това сравнява PE заглавките в паметта с PE заглавките в процеса на обработка на изображението. Според разработчиците, това е много прост и ефективен метод. Има много антивирусни програми на пазара, които имат възможност да извършват този вид сканиране, но RunPE Detector на Phrozen е самостоятелно средство за ръчно извършване на такива сканирания. Тази програма за сигурност е тествана срещу много често използвани типове зловреден софтуер и честотата на откриване е много точна.
Може ли да се използва за премахване на злонамерен софтуер?
Тази програма предоставя на потребителите възможността да премахнат каквото и да е злонамерен софтуер, който открива. Въпреки че е препоръчително да не се разчита напълно на него. Ако откриете проблем, използвайте антивирусен двигател с пълна сила, за да разследвате, би била добра идея. Тя може да бъде много полезна за откриване на зловреден софтуер, който се намира в паметта, като зловреден софтуер Fileless.
Какво не прави
RunPE Detector лесно идентифицира отвлечените процеси, като сканира всички файлове на приложението в системата и след това сравнява своите PE заглавки с текущ процес, за да открие точката на инфекция. Но той не идентифицира разположенията на хост, когато злонамереният код е зареден със злонамерен пакет или криптер. Това е една от причините, поради които разработчиците на Phrozen препоръчват използването на антивирусно решение за премахване на злонамерения софтуер.
Окончателна присъда
Тъй като техниката RunPE се използва толкова често с RAT, троянски коне, Crypters Backdoors и Packers, използвайки RunPE Detector, е интелигентен подход, който гарантира, че вашата система е свободна от най-разрушителните видове зловреден софтуер.
RunPE все още е често срещан тип атака, а като детектор Phrouted RunPE е едно компактно, преносимо и без низове безплатно решение. Така че, бихме ви препоръчали вземете копие на този инструментариум за сигурност.
Phrozen RunPE Detector открива RunPE компрометирани процеси само ако са 32-битови. Той е съвместим с 64-битови системи, но в момента не може да стартира сканиране, очевидно скоро ще се появи 64-битово сканиране.
