RunPE Detector: обнаружение резидентных вредоносных программ, RAT, бэкдоров, шифровальщиков, упаковщиков

Вредоносное ПО(Malware) использует ряд уловок, чтобы скрыть свой процесс, RunPE — один из распространенных примеров того же. Этот метод в основном включает в себя запуск известного и доверенного процесса, который может быть Explorer.exe в приостановленном состоянии. Затем он заменяет свой код собственным кодом вредоносной программы. И, наконец, запускает его. Запуск таких инструментов, как Process Explorer , не всегда может быть успешным в обнаружении вредоносного процесса. Phrozen RunPE Detector — это бесплатное программное обеспечение, специально разработанное для обнаружения и подавления некоторых подозрительных процессов, подобных этим.

Детектор RunPE для Windows

Детектор RunPE

  1. Что это(What it is)

Проще говоря, Phrozen RunPE Detector можно использовать для обнаружения бесфайловых(Fileless) вредоносных программ, RAT(RATs) , троянов(Trojans) , бэкдоров, шифровальщиков(Backdoors Crypters) , упаковщиков(Packers) и резидентных вредоносных программ на компьютерах с Windows . Он в основном сканирует заголовки ваших процессов в памяти, а затем сравнивает их с их образами дисков. Уловка может показаться слишком простой, чтобы в нее поверить, но она действительно работает. Если процесс был использован RunPE , тогда должна быть разница, и вы увидите предупреждение.

  1. Как это устроено(How it works)

RunPE Detector обнаруживает и блокирует хакерские атаки, использующие методы RunPE для заражения вашей системы одним из следующих способов:

  • Обход брандмауэра: этот метод позволяет обойти или отключить правила брандмауэра или брандмауэра приложений.
  • Упаковщик или шифровальщик вредоносных программ(Malware) : этот метод используется для распаковки или расшифровки вредоносного ПО в памяти и помещения его в подлинный процесс без записи на диск, где его можно обнаружить и заблокировать.
  1. Что оно делает(What it Does)

Phrozen RunPE Detector сканирует PE-заголовки для каждого процесса, а затем сравнивает PE-заголовки в памяти с PE-заголовками в пути к образу процесса. По словам разработчиков, это очень простой и эффективный метод. Существует множество доступных коммерческих антивирусных программ, которые могут выполнять такое сканирование, но RunPE Detector(RunPE Detector) от Phrozen — это автономный инструмент для выполнения такого сканирования вручную. Эта программа безопасности была протестирована против многочисленных широко используемых типов вредоносных программ, и показатели обнаружения были очень точными.

  1. Можно ли его использовать для удаления вредоносных программ?(Can it be used to remove malware?)

Эта программа предоставляет пользователям возможность удалить любое обнаруженное вредоносное ПО. Хотя полностью полагаться на него не рекомендуется. Если вы обнаружите проблему, использование полнофункционального антивирусного ядра для расследования будет хорошей идеей. Это может быть очень полезно при обнаружении резидентных вредоносных программ, таких как бесфайловые вредоносные программы(Fileless malware) .

  1. Чего он не делает(What it does not do)

RunPE Detector легко идентифицирует захваченные процессы, сканируя все файлы приложений в системе, а затем сравнивает их PE-заголовки с запущенным процессом, чтобы обнаружить точку заражения. Но он не идентифицирует расположение узлов, когда вредоносный код загружается с помощью упаковщика вредоносных программ или шифровальщика. Это одна из причин, по которой разработчики Phrozen рекомендуют использовать коммерческое антивирусное решение для удаления вредоносного ПО.

Окончательный вердикт(Final Verdict)

Поскольку метод RunPE так часто используется с RAT(RATs) , троянами(Trojans) , бэкдорами(Backdoors Crypters) -шифровальщиками и упаковщиками, использование RunPE Detector является разумным подходом к обеспечению того, чтобы ваша система была свободна от наиболее разрушительных типов вредоносных программ.

RunPE по-прежнему является распространенным типом атаки, и, поскольку Phrozen RunPE Detector представляет собой одно компактное, портативное и бесплатное решение без строк. Поэтому мы рекомендуем вам получить копию этого инструментария безопасности с сайта www.phrozen.io(www.phrozen.io) .

Phrozen RunPE Detector обнаруживает процессы, скомпрометированные с помощью RunPE, только если они 32-разрядные. Он совместим с 64-битными системами, но в настоящее время не может запускать сканирование, очевидно, скоро появится 64-битное сканирование.



About the author

Я разработчик бесплатного программного обеспечения и сторонник Windows Vista/7. Я написал несколько сотен статей на различные темы, связанные с операционной системой, включая советы и рекомендации, руководства по ремонту и рекомендации. Я также предлагаю консультационные услуги, связанные с офисом, через мою компанию Help Desk Services. Я хорошо понимаю, как работает Office 365, его функции и способы их наиболее эффективного использования.



Related posts