Kenkėjiška programa naudoja keletą gudrybių slėpti savo procesą, RunPE yra vienas iš tų pačių pavyzdžių. Technika iš esmės apima pradedant žinomą ir patikimą procesą Explorer.exe laikinai sustabdyta. Tada jis pakeičia savo kodą savo kenkėjiškos programos kodu. Ir pagaliau pradeda. Paleidus įrankius, tokius kaip "Process Explorer", ne visada galima sėkmingai nustatyti kenksmingą procesą. "Phrozen" "RunPE" detektorius yra nemokama programinė įranga, kuri specialiai sukurta aptikti ir nugalėti keletą įtartinų procesų, tokių kaip šie.
"RunPE" detektorius "Windows"
Kas tai yra
Paprastais žodžiais, "Phrozen RunPE" detektorius gali būti naudojamas "Windows" kompiuteriams aptikti "Fileless" kenkėjiškąsias programas, RAT, Trojos arklys, "Backdoors Crypters", "Packers" ir "memory encounters". Tai iš esmės nuskaito jūsų procesų antraštes atmintyje ir tada juos palygina su jų disko vaizdais. Apgaulė gali atrodyti pernelyg paprasta tikėti, bet tai veikia. Jei procesas buvo naudojamas "RunPE", tada turėtų būti skirtumas, ir jūs pamatysite perspėjimą.
Kaip tai veikia
"RunPE Detector" aptinka ir nugalėja įsilaužimo išpuolius, kurie naudoja "RunPE" metodus, kad užkrečia jūsų sistemą vienu iš šių būdų:
- Užkardos aplinkkelis: šis būdas apeina arba išjungia ugniasienės arba programų ugniasienės taisykles.
- Kenkėjiškų programų paketas arba kripteris: ši technika yra naudojama išparduoti arba iššifruoti kenkėjišką programą į atmintį ir įdėti ją į tikrąjį procesą, neprašant jo į diską, kur jį galima aptikti ir užblokuoti.
Ką tai daro
"Phrozen" "RunPE" detektorius nuskaito PE antraštes kiekvienam procesui, o tada atminties PE antraštes palygina su PE antraštes proceso vaizdo keliu. Pasak kūrėjų, tai yra labai paprastas ir veiksmingas metodas. Yra daugybė komercinių antivirusinių programų, kurios gali atlikti tokio tipo nuskaitymą, tačiau "Phrozen" "RunPE Detector" yra atskira priemonė tokiems nuskaitymams atlikti rankiniu būdu. Ši saugumo programa buvo išbandyta prieš daugelį dažniausiai naudojamų kenkėjiškų programų tipų, o aptikimo dažnis buvo labai tikslūs.
Ar galima jį pašalinti kenkėjišką programinę įrangą?
Ši programa suteikia vartotojams galimybę pašalinti bet kokią kenkėjišką programą, kurią ji aptinka. Nors patartina ne visiškai pasikliauti. Jei jums pavyks rasti problemą, naudokite visapusišką antivirusinę variklį, kad galėtumėte jį ištirti. Tai gali būti labai naudinga nustatant atminties kenksmingą programinę įrangą kaip "Fileless" kenkėjiškas programas.
Ką to nedaro
"RunPE Detector" lengvai atpažįsta pagrobtus procesus, nuskaito visus programos failus sistemoje, o tada jų PE antraštes palygina su veikiančiu procesu, kad nustatytų infekcijos tašką. Tačiau jame nenurodomos priimančiosios vietos, kai kenksmingas kodas yra įkeltas su kenkėjiškų programų pakuotoju ar kriptu. Tai yra viena iš priežasčių, kodėl "Phrozen" kūrėjai rekomendavo naudoti komercinį antivirusinį sprendimą, kad pašalintų kenkėjišką programinę įrangą.
Galutinis nuosprendis
Kadangi "RunPE" metodas yra toks dažnas naudojimas su RAT, Trojos arklys, "Backdoors Crypters" ir "Packers", naudojant "RunPE Detector", yra protingas būdas užtikrinti, kad jūsų sistemoje nebūtų labiausiai destruktyvių kenkėjiškų programų tipų.
"RunPE" vis dar yra įprastas atakos tipas, o "Phrozen RunPE" detektorius yra vienas kompaktiškas, nešiojamasis ir be strings nemokamas sprendimas. Taigi mes rekomenduotume jums paimti kopiją šio saugos priemonių rinkinio.
"Phrozen" "RunPE" detektorius aptinka "RunPE" sugadintus procesus tik tada, kai jie yra 32 bitų. Jis suderinamas su 64 bitų sistemomis, tačiau šiuo metu negalima paleisti nuskaitymo, tikriausiai 64 bitų nuskaitymas ateis netrukus.
