RunPE Ανιχνευτής: Εντοπισμός κακόβουλου λογισμικού μνήμης, RATs, Backpackers Cryptors, Packers

Το κακόβουλο λογισμικό χρησιμοποιεί ορισμένα τεχνάσματα για να αποκρύψει τη διαδικασία του, RunPE είναι ένα από τα συνηθισμένα παραδείγματα του ίδιου. Η τεχνική βασικά περιλαμβάνει την εκκίνηση μιας γνωστής και αξιόπιστης διαδικασίας μπορεί να είναι Explorer.exe σε κατάσταση αναστολής. Στη συνέχεια αντικαθιστά τον κώδικα του με τον κώδικα του κακόβουλου λογισμικού. Και τέλος, ξεκινά. Τα εργαλεία που τρέχουν, όπως το Process Explorer, μπορεί να μην είναι πάντα επιτυχημένα στην ανίχνευση της κακόβουλου διαδικασίας. Ο εντοπισμός RunPE ανιχνευτής RunPE είναι ένα δωρεάν λογισμικό το οποίο έχει σχεδιαστεί ειδικά για να ανιχνεύει και να νικήσει ορισμένες ύποπτες διεργασίες όπως αυτές.

RunPE ανιχνευτής για Windows

1. Τι είναι

ανίχνευση κακόβουλου λογισμικού αρχείων, αρχείων RAT, trojans, Crypters Backdoors, Packers & μολυσματικού λογισμικού μνήμης σε υπολογιστές με Windows. Βασικά σαρώνει τις κεφαλίδες των διαδικασιών σας στη μνήμη και στη συνέχεια τις συγκρίνει με τις εικόνες του δίσκου τους. Το τέχνασμα ίσως ακούγεται πολύ απλό για να το πιστέψει, αλλά λειτουργεί. Εάν μια διαδικασία έχει εκμεταλλευτεί το RunPE, τότε θα πρέπει να υπάρχει διαφορά και θα δείτε μια ειδοποίηση.

1. Πώς λειτουργεί

Ο ανιχνευτής RunPE ανιχνεύει και νικώνει επιθέσεις hacking που χρησιμοποιούν τις τεχνικές RunPE για να μολύνουν το σύστημά σας είτε από τους παρακάτω τρόπους:

• Παράκαμψη τείχους προστασίας: Αυτή η τεχνική παρακάμπτει ή απενεργοποιεί τους κανόνες firewall ή τους κανόνες firewall εφαρμογής.
• Συσκευαστής ή κρυπτογράφος κακόβουλου λογισμικού: Αυτή η τεχνική χρησιμοποιείται για την αποσυσκευασία ή αποκρυπτογράφηση του κακόβουλου λογισμικού στη μνήμη χωρίς να το γράψετε στο δίσκο, όπου μπορεί να ανακαλυφθεί και να μπλοκαριστεί.

1. Ο ανιχνευτής PhPEG RunPE ανιχνεύει τις κεφαλίδες PE για κάθε διαδικασία και στη συνέχεια συγκρίνει τις κεφαλίδες PE στη μνήμη με τις κεφαλίδες PE στη διαδικασία διαδρομή εικόνας. Σύμφωνα με τους προγραμματιστές, αυτή είναι μια πολύ απλή και αποτελεσματική μέθοδος. Υπάρχουν πολλά διαθέσιμα εμπορικά προγράμματα προστασίας από ιούς, τα οποία έχουν τη δυνατότητα να εκτελούν αυτό το είδος ανίχνευσης, αλλά ο ανιχνευτής RunPE του Phrozen είναι ένα αυτόνομο εργαλείο για την εκτέλεση αυτών των σαρώσεων με το χέρι. Αυτό το πρόγραμμα ασφαλείας έχει δοκιμαστεί σε σχέση με πολλούς τύπους κακόβουλου λογισμικού που χρησιμοποιούνται συχνά και τα ποσοστά ανίχνευσης είναι πολύ ακριβή.

Μπορεί να χρησιμοποιηθεί για την κατάργηση κακόβουλου λογισμικού;

1. Αυτό το πρόγραμμα παρέχει στους χρήστες την επιλογή να αφαιρέσουν τα κακόβουλα προγράμματα ανιχνεύει. Παρόλο που είναι σκόπιμο να μην βασιστείτε πλήρως. Εάν βρείτε κάποιο πρόβλημα, χρησιμοποιώντας μια μηχανή προστασίας από ιούς πλήρους αντοχής για να διερευνήσετε, θα ήταν καλή ιδέα. Θα μπορούσε να είναι πολύ χρήσιμο για την ανίχνευση κακόβουλου λογισμικού που μοιάζει με μνήμη όπως το κακόβουλο λογισμικό Fileless

Αυτό που δεν κάνει

1. Ο ανιχνευτής RunPE εντοπίζει εύκολα τις διεργασίες που έχουν ληφθεί από τη σάρωση όλων των αρχείων εφαρμογών στο σύστημα και στη συνέχεια συγκρίνει τις κεφαλίδες PE τους διαδικασία για την ανίχνευση του σημείου μόλυνσης. Ωστόσο, δεν εντοπίζει τις τοποθεσίες του κεντρικού υπολογιστή, όταν ο κακόβουλος κώδικας έχει φορτωθεί με πρόγραμμα επεξεργασίας κακόβουλων προγραμμάτων ή κρυπτογράφο. Αυτός είναι ένας λόγος για τον οποίο οι προγραμματιστές Phrozen συνέστησαν να χρησιμοποιήσουν μια εμπορική antivirus λύση για να αφαιρέσουν το κακόβουλο λογισμικό.

Τελική ετυμηγορία

Επειδή η τεχνική RunPE χρησιμοποιείται τόσο συχνά με τους RATs, τα Trojans, Crypters Backdoors και Packers χρησιμοποιώντας RunPE Detector είναι μια έξυπνη προσέγγιση για να διασφαλίσετε ότι το σύστημά σας είναι απαλλαγμένο από τα πιο καταστρεπτικά είδη κακόβουλου λογισμικού.

Το RunPE εξακολουθεί να είναι ένας κοινός τύπος επίθεσης και ως Detector Phrouted RunPE είναι μια συμπαγής, φορητή και χωρίς χορδές λύση. Επομένως, θα σας συνιστούσαμε

να πάρετε ένα αντίγραφο αυτού του πακέτου εργαλείων ασφαλείας. Ο ανιχνευτής Phraps RunPE ανιχνεύει τις διεργασίες που είναι συμβιβασμένες με RunPE μόνο αν είναι 32-bit. Είναι συμβατό με συστήματα 64-bit, αλλά δεν μπορεί να εκτελέσει σαρώσεις προς το παρόν, προφανώς η σάρωση 64-bit πρόκειται να έρθει σύντομα.