Pahavara kasutab mitmeid protsesse selle protsessi peitmiseks RunPE on üks neist ühistest näidetest. Meetod hõlmab põhimõtteliselt teadaoleva ja usaldusväärse protsessi alustamist Explorer.exe peatatud olekus. See asendab selle koodi pahavara enda koodiga. Ja lõpuks, see käivitub. Tööriistad nagu Process Explorer ei pruugi pahatahtliku protsessi tuvastamisel alati olla edukad. Phrozen RunPE Detector on tasuta tarkvara, mis on spetsiaalselt välja töötatud selliste kahtlaste protsesside tuvastamiseks ja nendest võitmiseks.
RunPE detektor Windowsile
Mis see on
Lihtsate sõnade sisestamisel saab Phrozen RunPE Detektorit Windowsi arvutitega tuvastada Fileless pahavara, RAT-id, Trooja hobused, Backdoors krüpteerijad, pakendajad ja mälukaitse. Põhimõtteliselt skannib teie protsesside päised mällu ja seejärel võrdleb neid oma kettakujutistega. Trikk võib tunduda liiga lihtne, et uskuda, kuid see töötab. Kui RunPE on protsessi ära kasutanud, siis peaks see olema erinev ja näed hoiatust.
Kuidas see töötab
RunPE Detector tuvastab ja hävitab häkkimise rünnakuid, mis kasutavad RunPE-i meetodeid teie süsteemi nakatamiseks ühel järgmistest viisidest:
- Tulemüüri ümbersõit: see tehnika välistab või keelab tulemüüri või rakenduse tulemüüri reeglid.
- Malware packer või krüpteerija: Seda tehnikat kasutatakse mäluseadmesse pahavara lahtipakkimiseks või dekrüpteerimiseks ja selle tegemiseks tõeliseks protsessiks, ilma ketta kirjutamata, kus seda saab avastada ja blokeerida.
Mida see teeb
Phrozeni RunPE-detektor skaneerib PE-i päised iga protsessi jaoks ja seejärel võrdleb PE-päise mälus PE-pealkirju protsessi pilditrassil. Arendaja sõnul on see väga lihtne ja tõhus meetod. On olemas palju turustatavaid viirusetõrjeprogramme, millel on selline skaneerimine, kuid Phrozeni RunPE Detector on iseseisev tööriist sellise skannimise käsitsi tegemiseks. Seda turvaprogrammi on testitud arvukate levinumaid pahavara tüüpe ning avastamise määr on olnud väga täpne.
Kas seda saab kasutada pahavara eemaldamiseks?
See programm pakub kasutajatele võimalust eemaldada kõik tuvastatud pahavara. Isegi kui soovitav pole sellele täielikult toetuda. Kui leiate probleeme, uurige täisvõimsusliku viirusetõrje mootorit, oleks hea mõte. See võiks olla väga kasulik mälupidajate pahavara tuvastamiseks, näiteks Fileless pahavara.
Mida ta ei tee
RunPE Detector tuvastab hõlpsasti tuvastatud protsessid, skannides süsteemis kõik rakendusfailid, ja seejärel võrdleb nende PE-päise tööprotsessiga infektsiooni tuvastamiseks. Kuid see ei määra hosti asukohti, kui pahatahtlik kood on laaditud pahavara pakendaja või krüpteerijaga. See on üks põhjus, miks Phrozeni arendajad soovitavad pahavara eemaldamiseks kaubanduslikku viirusetõrjetööd.
Lõplik kohtuotsus
Kuna RunPE-meetod on nii tihedalt kasutatav RAT-de, troojalaste, Backdoors Crypters-i ja Packerit kasutavate RunPE-detektorite jaoks, on arukas lähenemisviis tagamaks, et teie süsteem on vaba kõige pahavara tüüpi pahavara.
RunPE on endiselt tavaline rünnaku tüüp ja Phrozen RunPE Detector on üks kompaktne, kaasaskantav ja ükski strings-free lahendus. Nii et me soovitan teile haarake koopia sellest turvavarustuse komplektist.
Phrozen RunPE Detector tuvastab RunPE-ohustatud protsessid ainult siis, kui need on 32-bitised. See on ühilduv 64-bitiste süsteemidega, kuid praegu ei saa skaneerida, ilmselt hakkab 64-bitine skaneerimine kohe tulema.
