RunPE detektor: észleli a memória-rezidens rosszindulatú programokat, RAT-okat,

RunPE az egyik gyakori példája annak, hogy ugyanazt a számítógépes kártyát észleljük.. A technika alapvetően egy ismert és megbízható folyamat indítását jelenti Explorer.exe felfüggesztett állapotban. Ezután helyettesíti a kódot a kártevő saját kódjával. És végül elindítja. A futási eszközök, például a Process Explorer nem mindig sikeresek a rosszindulatú folyamat észlelésében. A fagyasztott RunPE detektor egy olyan szabad szoftver, amelyet kifejezetten olyan gyanús folyamatok észlelésére és legyőzésére terveztek, amilyenek ezek. RunPE detektor Windows alatt

Mi ez

1. Egyszerű szavakkal, a Phrozen RunPE detektort használhatjuk észlelni a Fájl nélküli rosszindulatú programokat, a RAT-okat, a trójaiakat, a Backdoors Cryptereket, a Packereket és a memóriatörvényes kártevőket a Windows számítógépeken. Alapjában véve beolvassa a folyamatok fejlécét a memóriában, majd összehasonlítja őket a lemezképekkel. A trükk talán túl egyszerűnek tűnik ahhoz, hogy elhiggyezhesse, de működik. Ha egy folyamatot kihasznált a RunPE, akkor a különbségnek és a riasztásnak látnia kellene.

Hogyan működik

1. A RunPE detektor észleli és meghiúsítja a RunPE-technikákat alkalmazó hacker támadásokkal a rendszer megfertőzését a következő módokon:

Tűzfal áthidalás: Ez a technika megkerüli vagy letiltja a tűzfal vagy az alkalmazás tűzfal szabályait.

• Malware packer vagy crypter: Ezt a technikát a rosszindulatú szoftverek kicsomagolására vagy visszafejtésére használják, és helyre
• Mit csinál

1. A fagyasztott RunPE detektor minden folyamathoz beolvassa a PE fejléceket, majd összehasonlítja a PE-fejléceket a memóriában a folyamat PE-fejlécei között képpálya. A fejlesztők szerint ez egy nagyon egyszerű és hatékony módszer. Számos kereskedelmi víruskereső program áll rendelkezésre, amelyek képesek ilyen típusú vizsgálat elvégzésére, de a Phrozen RunPE detektor önálló eszköz az ilyen beolvasások kézzel történő végrehajtásához. Ezt a biztonsági programot számos, gyakran használt rosszindulatú program ellen határozták meg, és az észlelési arány nagyon pontos volt.

Használható a rosszindulatú programok eltávolítására?

1. Ez a program biztosítja a felhasználók számára a rosszindulatú programok eltávolítását felismeri. Bár tanácsos nem támaszkodni rá teljesen. Ha problémát észlel, egy teljes erősségű víruskereső motor segítségével vizsgálja meg, jó ötlet lenne. Nagyon hasznos lehet a memória-rezidens rosszindulatú programok észlelésére, mint például a Fileless rosszindulatú programok.

Mit nem csinál

1. A RunPE detektor könnyen azonosítja az átfutott folyamatokat a rendszer összes alkalmazásfájljának szkennelésével, majd PE-fejléceit egy futási folyamat a fertőzés pontjának felderítésére. De nem azonosítja a befogadó helyeket, ha a rosszindulatú kódot rosszindulatú csomagolóval vagy kriptográfussal tölti be. Ez az egyik oka annak, hogy a Phrozen fejlesztők ajánlották a kereskedelmi víruskereső megoldást a rosszindulatú programok eltávolítására.

Végső ítélet

Mivel a RunPE-technikát olyan gyakran használják a RAT-ok, a trójaiak, a Backdoors Crypters és a Packers a RunPE detektor használatával egy intelligens megközelítés annak biztosítására, hogy a rendszer mentes a leginkább pusztító rosszindulatú programoktól.

A RunPE még mindig egy közös típusú támadás, és a Phrozen RunPE detektor egy kompakt, hordozható és nem hárítatlan megoldás. Tehát javasoljuk

megragadni a biztonsági másolatot. A Phrozen RunPE detektor csak akkor észleli a RunPE által veszélyeztetett folyamatokat, ha azok 32 bitesek. Kompatibilis a 64 bites rendszerekkel, de jelenleg nem tudja futtatni a vizsgálatokat, a 64 bites szkennelés hamarosan megjelenik.