RunPE Detector: Tunnista muistissa olevat haittaohjelmat, RAT:t, takaoven salauslaitteet, pakkaajat

Haittaohjelma(Malware) käyttää useita temppuja piilottaakseen prosessinsa, RunPE on yksi yleisimmistä esimerkeistä samasta. Tekniikka sisältää periaatteessa tunnetun ja luotetun prosessin käynnistämisen keskeytetyssä tilassa Explorer.exe . Sitten se korvaa koodinsa haittaohjelman omalla koodilla. Ja lopuksi käynnistää sen. Työkalujen, kuten Process Explorerin(Process Explorer) , käyttäminen ei välttämättä aina onnistu havaitsemaan haitallista prosessia. Phrozen RunPE Detector on ilmainen ohjelmisto, joka on erityisesti suunniteltu havaitsemaan ja kumoamaan joitain tämän kaltaisia ​​epäilyttäviä prosesseja.

RunPE Detector for Windows

RunPE-ilmaisin

  1. Mikä se on(What it is)

Yksinkertaisesti sanottuna Phrozen RunPE Detectoria(Phrozen RunPE Detector) voidaan käyttää tiedostottomien(Fileless) haittaohjelmien, RAT(RATs) -haittaohjelmien , troijalaisten(Trojans) , Backdoors-salausohjelmien(Backdoors Crypters) , pakkaajien(Packers) ja muistissa olevien haittaohjelmien havaitsemiseen Windows - tietokoneissa. Pohjimmiltaan se skannaa prosessiesi otsikot muistissa ja vertaa niitä sitten niiden levykuviin. Temppu saattaa kuulostaa liian yksinkertaiselta uskottavaksi, mutta se toimii. Jos RunPE on käyttänyt prosessia hyväkseen , siinä pitäisi olla ero, ja näet hälytyksen.

  1. Kuinka se toimii(How it works)

RunPE Detector havaitsee ja kukistaa hakkerointihyökkäykset, jotka käyttävät RunPE- tekniikoita järjestelmän tartuttamiseen jommallakummalla seuraavista tavoista:

  • Palomuurin ohitus: Tämä tekniikka ohittaa tai poistaa käytöstä palomuurin tai sovelluksen palomuurisäännöt.
  • Haittaohjelmien(Malware) pakkaaja tai salaus: Tätä tekniikkaa käytetään haittaohjelman purkamiseen tai salauksen purkamiseen muistissa ja sen sijoittamiseen todelliseen prosessiin kirjoittamatta sitä levylle, jossa se voidaan löytää ja estää.
  1. Mitä se tekee(What it Does)

Phrozen RunPE Detector skannaa PE-otsikot jokaiselle prosessille ja vertaa sitten muistissa olevia PE-otsikoita prosessikuvapolun PE-otsikoihin. Kehittäjien mukaan tämä on erittäin yksinkertainen ja tehokas menetelmä. Saatavilla on monia kaupallisia virustentorjuntaohjelmia, jotka pystyvät suorittamaan tällaisen tarkistuksen, mutta Phrozenin RunPE Detector on erillinen työkalu tällaisten tarkistusten suorittamiseen manuaalisesti. Tämä suojausohjelma on testattu lukuisia yleisesti käytettyjä haittaohjelmia vastaan, ja havaitsemisnopeudet ovat olleet erittäin tarkkoja.

  1. Voidaanko sitä käyttää haittaohjelmien poistamiseen?(Can it be used to remove malware?)

Tämä ohjelma tarjoaa käyttäjille mahdollisuuden poistaa havaitsemansa haittaohjelmat. Vaikka on suositeltavaa olla luottamatta siihen täysin. Jos löydät ongelman, täysivoimaisen virustentorjuntamoottorin käyttäminen olisi hyvä idea. Se voi olla erittäin hyödyllinen muistissa olevien haittaohjelmien, kuten Fileless-haittaohjelmien(Fileless malware) , havaitsemisessa .

  1. Mitä se ei tee(What it does not do)

RunPE Detector tunnistaa helposti kaapatut prosessit skannaamalla kaikki järjestelmän sovellustiedostot ja vertaamalla niiden PE-otsikoita käynnissä olevaan prosessiin tartuntakohdan havaitsemiseksi. Mutta se ei tunnista isäntäsijainteja, kun haitallinen koodi on ladattu haittaohjelmien pakkaajalla tai salausohjelmalla. Tämä on yksi syy, miksi Phrozen-kehittäjät ovat suositelleet kaupallisen virustorjuntaratkaisun käyttöä haittaohjelmien poistamiseen.

Lopullinen tuomio(Final Verdict)

Koska RunPE- tekniikkaa käytetään niin yleisesti RAT(RATs) :iden , troijalaisten(Trojans) , Backdoors-salausten(Backdoors Crypters) ja pakkaajien kanssa käyttämällä RunPE Detectoria(RunPE Detector) , se on älykäs tapa varmistaa, että järjestelmässäsi ei ole tuhoisimpia haittaohjelmia.

RunPE on edelleen yleinen hyökkäystyyppi, ja Phrozen RunPE Detector on kompakti, kannettava ja ilman merkkijonoja. Joten suosittelemme, että hankit kopion tästä suojaustyökalupaketista osoitteesta www.phrozen.io .

Phrozen RunPE Detector havaitsee RunPE:n vaarantuneet prosessit vain, jos ne ovat 32-bittisiä. Se on yhteensopiva 64-bittisten järjestelmien kanssa, mutta se ei voi suorittaa tarkistuksia tällä hetkellä, ilmeisesti 64-bittinen tarkistus tulee pian käyttöön.



About the author

Olen ammatillinen tietokoneteknikko ja minulla on yli 10 vuoden kokemus alalta. Olen erikoistunut Windows 7:n ja Windows Apps -kehitykseen sekä Cool Websites -suunnitteluun. Olen alalta erittäin asiantunteva ja kokenut, ja olisin arvokas voimavara kaikille organisaatioille, jotka haluavat kasvattaa liiketoimintaansa.



Related posts