RunPE detektor: Otkrivanje zlonamjernog softvera koji se nalazi u memoriji, RAT, Backdoor kripto, Packers

Sadržaj:

RunPE detektor: Otkrivanje zlonamjernog softvera koji se nalazi u memoriji, RAT, Backdoor kripto, Packers
RunPE detektor: Otkrivanje zlonamjernog softvera koji se nalazi u memoriji, RAT, Backdoor kripto, Packers

Video: RunPE detektor: Otkrivanje zlonamjernog softvera koji se nalazi u memoriji, RAT, Backdoor kripto, Packers

Video: RunPE detektor: Otkrivanje zlonamjernog softvera koji se nalazi u memoriji, RAT, Backdoor kripto, Packers
Video: How to Create Password Protected ZIP File using 7-Zip in Windows 10? - YouTube 2024, Ožujak
Anonim

Zlonamjerni softver koristi brojne trikove da bi sakrio svoj proces, RunPE jedan je od uobičajenih primjera iste. Tehnika zapravo uključuje pokretanje poznatog, a vjerodostojan proces može biti Explorer.exe u suspendiranom stanju. Zatim zamjenjuje kôd kodom zlonamjernog softvera. I konačno, pokreće ga. Running alati kao što je Process Explorer možda neće uvijek biti uspješni u otkrivanju zlonamjernih procesa. Frozen RunPE detektor je besplatni softver koji je posebno dizajniran za otkrivanje i poraz nekih sumnjivih procesa poput ovih.

RunPE detektor za Windows

Image
Image

Što je

Jednostavnim riječima, Phrozen RunPE detektor može se koristiti za otkrivanje zlonamjernih programa bez poteškoća, RAT, Trojans, Backdoor Crypters, Packera i malwarea koji se nalaze na memoriji na računalima sa sustavom Windows. U osnovi skenira zaglavlja vaših procesa u memoriji, a zatim ih uspoređuje s njihovim slikama diska. Trik može zvučati previše jednostavan za vjerovanje, ali to funkcionira. Ako je proces iskoristio RunPE, onda bi trebalo biti razlike, i vidjet ćete upozorenje.

Kako radi

RunPE detektor otkriva i porazi hakerske napade koji koriste tehnike RunPE kako bi zarazili vaš sustav na jedan od sljedećih načina:

  • Zaobići vatrozid: ova tehnika zaobilazi ili onemogućuje vatrozid ili pravila vatrozida aplikacija.
  • Malware paker ili crypter: Ova se tehnika koristi za raspakiranje ili dekriptiranje zlonamjernog softvera u memoriju i stavljanje ga u pravi proces bez pisanja na disk, gdje se može otkriti i blokirati.

Što to radi

Frozen RunPE detektor skenira PE zaglavlja za svaki proces, a zatim uspoređuje PE zaglavlja u memoriji na PE zaglavlja u procesu sliku put. Prema programerima, to je vrlo jednostavna i učinkovita metoda. Postoji mnogo komercijalnih protuvirusnih programa koji imaju sposobnost obavljanja takve vrste skeniranja, no Phrozenov detektor RunPE je samostalni alat za obavljanje takvih skeniranja ručno. Ovaj sigurnosni program testiran je protiv brojnih uobičajenih vrsta zlonamjernog softvera, a brzina detekcije bila je vrlo precizna.

Može li se koristiti za uklanjanje zlonamjernog softvera?

Ovaj program pruža korisnicima mogućnost uklanjanja zlonamjernog softvera kojeg otkriva. Iako je poželjno ne u potpunosti se oslanjati na to. Ako pronađete problem, upotrijebite antivirusni motor pune snage kako biste istražili, bilo bi dobra ideja. To bi moglo biti vrlo korisno u otkrivanju zlonamjernog softvera koji se nalazi u memoriji kao što je zlonamjerni program Fileless.

Što to ne čini

RunPE detektor lako prepoznaje oteti procesi skeniranjem svih aplikacijskih datoteka u sustavu, a zatim uspoređuje njihove PE zaglavlja s pokrenutim procesom radi otkrivanja točke infekcije. Ali ne identificira lokacije domaćina kada se zlonamjerni kôd učita sa zlonamjernim paketom ili kriptatorom. To je jedan od razloga zašto su programeri Phrozen preporučili upotrebu komercijalnog antivirusnog rješenja za uklanjanje zlonamjernog softvera.

Završna presuda

Budući da je tehnika RunPE tako često korištena s RAT-ovima, trojanskim, Backdoor Crypterima i Packerima koji koriste Runpe detektor, pametan je pristup kako biste osigurali da vaš sustav ima najviše destruktivnih vrsta zlonamjernog softvera.

RunPE je još uvijek uobičajena vrsta napada, a kao Phrozen RunPE detektor je jedan kompaktan, prijenosni i bez-strings free rješenje. Dakle, preporučujemo vam zgrabite kopiju ovog sigurnosnog alata.

Frozen RunPE detektor otkriva RunPE-kompromitirane procese samo ako su 32-bitni. Kompatibilan je s 64-bitnim sustavima, ali ne može pokrenuti skeniranje, očito će 64-bitno skeniranje uskoro doći.

Preporučeni: