RunPe-ilmaisin: Tunnista muistiin jääneet haittaohjelmat, RATit, Backdoors Crypters, Packers

Haittaohjelmat käyttävät useita temppuja piilottaakseen sen prosessin, RunPE on yksi tavallisimmista esimerkkeistä samasta tietokoneesta. Tekniikka pohjimmiltaan edellyttää tunnetun ja luotettavan prosessin käynnistämistä keskeytettynä Explorer.exe. Sitten se korvaa koodin haittaohjelmien omista koodilla. Ja lopuksi, käynnistää sen. Kehitystyökalujen, kuten Process Explorerin, käyttäminen ei välttämättä aina onnistu havaitsemaan haitallista prosessia.

RunPE-detektori Windowsille

1. Mikä se on

Yksinkertaisilla sanoilla, Phried RunPE -ilmaisinta voidaan käyttää havaita Fileless-haittaohjelmia, RAT-, Troijans-, Backdoors Crypters-, Packers- ja muistinmuotoisia haittaohjelmia Windows-tietokoneissa. Se skannaa prosessiesi otsikot muistissa ja vertailee niitä levykuvillesi. Tämä temppu saattaa kuulostaa liian yksinkertaiselta uskoa, mutta se toimii. Jos RunPE on hyödyntänyt prosessin, niin pitäisi olla eroa, ja näet hälytyksen.

1. Miten se toimii

RunPE-detektori havaitsee ja hävittää RunPe-tekniikoita käyttävät hakkerointipisteet, jotka tartuttavat järjestelmääsi joko seuraavista tavoista:

• Palomuurin ohitus: Tämä tekniikka ohittaa tai estää palomuurin tai sovelluksen palomuurisäännöt.
• Haittaohjelmien pakkaaja tai crypter: Tätä tekniikkaa käytetään purkamaan tai purkamaan haittaohjelmat muistiin ja asettamaan se aitoiksi prosessi kirjoittamatta sitä levylle, jossa se voidaan havaita ja estää.

1. Mitä se tekee

Phried RunPE -ilmaisin etsii PE-otsakkeita jokaiselle prosessille ja sitten vertaile PE-otsakkeita muistiin prosessin PE-otsikoihin kuvan polku. Kehittäjien mukaan tämä on hyvin yksinkertainen ja tehokas menetelmä. On olemassa monia kaupallisia virustentorjuntaohjelmia, joilla on kyky suorittaa tällainen skannaus, mutta Phrozenin RunPE-ilmaisin on itsenäinen työkalu tällaisten skannausten suorittamiseen manuaalisesti. Tämä suojausohjelma on testattu lukuisia yleisesti käytettyjä haittaohjelmia vastaan, ja tunnistusnopeudet ovat olleet erittäin tarkkoja.

1. Voidaanko käyttää haittaohjelman poistamiseen?

Tämä ohjelma tarjoaa käyttäjille mahdollisuuden poistaa mitä haittaohjelmia se havaitsee. Vaikka onkin suositeltavaa luottaa siihen kokonaan. Jos ongelma ilmenee, käytä täydellistä antivirus-moottoria tutkittavaksi, olisi hyvä idea. Se voi olla erittäin hyödyllinen havaitsemaan muistiin jääneitä haittaohjelmia, kuten Fileless-haittaohjelmia.

1. Mitä se ei tee

RunPE-tunnistin tunnistaa helposti kaapatut prosessit skannaamalla järjestelmän kaikki sovellustiedostot ja vertaamalla niiden PE-otsikoita käynnissä olevan prosessin infektiopisteen havaitsemiseksi. Mutta se ei tunnista isäntäpaikkoja, kun haittaohjelmakoodilla on haittaohjelmien pakkaaja tai krypter. Tämä on yksi syy siihen, miksi Phrozen-kehittäjät ovat suositelleet kaupallisen virustorjuntaohjelman käyttämistä haittaohjelmien poistamiseksi.

Final Verdict

Koska RunPE-tekniikkaa käytetään niin yleisesti RAT-, Troijans-, Backdoors Crypters- ja Packers- älykäs lähestymistapa sen varmistamiseksi, että järjestelmässäsi ei ole kaikkein tuhoisimpia haittaohjelmia.

RunPE on edelleen yleinen hyökkäystyyppi, ja Phried RunPE -ilmaisin on yksi kompakti, kannettava ja ei-joustava ratkaisu. Joten, suosittelemme napauttaa tämän suojaustyökalun kopion .

Phried RunPE -anturi tunnistaa RunPe-kompromisseja vain, jos ne ovat 32-bittisiä. Se on yhteensopiva 64-bittisten järjestelmien kanssa, mutta se ei pysty suorittamaan skannauksia tällä hetkellä. Ilmeisesti 64-bittinen skannaus tulee pian.