RunPE-detektor Detekterer malware, der er bosiddende i hukommelsen, RATS, Bagdørskryptere, Packere

Malware bruger et antal tricks til at skjule dens proces, RunPE er et af de almindelige eksempler på det samme. Teknikken involverer dybest set start af en kendt og pålidelig proces kan være Explorer.exe i suspenderet tilstand. Derefter erstatter den sin kode med malware's egen kode. Og til sidst starter det op. At køre værktøjer som Process Explorer har muligvis ikke altid succes med at opdage den ondsindede proces. Phrozen RunPE Detector er en gratis software, der er specielt designet til at registrere og besejre nogle mistænkelige processer som disse.

RunPE-detektor til Windows

1. Hvad er det

I enkle ord, Phrozen RunPE-detektor kan bruges til at opdage filløs malware, RATs, trojanske heste, bagdørskryptere, pakker og malware-resident malware på Windows-computere. Grundlæggende scanner det overskrifterne på dine processer i hukommelsen og sammenligner dem derefter med deres diskbilleder. Tricket lyder måske for simpelt til at tro, men det fungerer. Hvis en proces er blevet udnyttet af RunPE, skal der være en forskel, og du vil se en advarsel.

2. Hvordan det virker

RunPE-detektor registrerer og besejrer hackingangreb, der bruger RunPE-teknikker til at inficere dit system på en af ​​følgende måder:

• Firewall-bypass: Denne teknik omgår eller deaktiverer din firewall- eller applikations-firewall-regler.
• Malware-pakker eller crypter: Denne teknik bruges til at pakke ud eller dekryptere malware i hukommelsen og placere den i en ægte proces uden at skrive den til disken, hvor den kan opdages og blokeres.

3. Hvad det gør

Phrozen RunPE-detektor scanner PE-headere for hver proces og sammenligner derefter PE-headere i hukommelsen med PE-headere i procesbilledstien. Ifølge udviklerne er dette en meget enkel og effektiv metode. Der er mange kommercielle antivirusprogrammer tilgængelige, som har kapaciteten til at udføre denne form for scanning, men Phrozens RunPE Detector er et selvstændigt værktøj til at udføre sådanne scanninger manuelt. Dette sikkerhedsprogram er testet mod adskillige almindeligt anvendte typer malware, og detekteringshastighederne har været meget nøjagtige.

4. Kan det bruges til at fjerne malware?

Dette program giver brugerne mulighed for at fjerne al malware, som det registrerer. Selvom det tilrådes at ikke stole helt på det. Hvis du finder et problem, ville det være en god ide at bruge en fuldstyrke antivirusmotor til at undersøge. Det kan være meget nyttigt til at opdage hukommelsesresident malware som Fileless malware.

5. Hvad det ikke gør

RunPE-detektor identificerer let de kaprede processer ved at scanne alle applikationsfiler i systemet og sammenligne derefter deres PE-headere med en kørende proces for at registrere infektionspunktet. Men det identificerer ikke værtsplaceringerne, når den ondsindede kode er indlæst med en malware-pakker eller krypter. Dette er en af ​​grundene til, at Phrozen-udviklerne har anbefalet at bruge en kommerciel antivirusløsning til at fjerne malware.

Endelig dom

Fordi RunPE-teknikken så ofte bruges sammen med RATs, trojanske heste, bagdørskryptere og pakker, der bruger RunPE-detektor, er en smart tilgang til at sikre, at dit system er fri for de mest destruktive typer malware.

RunPE er stadig en almindelig angrebstype, og som Phrozen RunPE-detektor er en kompakt, bærbar og fri streng uden løsning. Så vi vil anbefale dig tag en kopi af dette sikkerhedsværktøjssæt.

Phrozen RunPE-detektor registrerer kun RunPE-kompromitterede processer, hvis de er 32-bit. Det er kompatibelt med 64-bit-systemer, men det kan ikke køre scanninger i øjeblikket, tilsyneladende kommer 64-bit scanning snart ind.