Haittaohjelma käyttää useita temppuja piilottaa prosessinsa, RunPE on yksi niistä yleisistä esimerkkeistä. Tekniikka edellyttää periaatteessa tunnetun ja luotettavan prosessin aloittamista explorer.exe keskeytettynä. Sitten se korvaa koodin haittaohjelmien omista koodilla. Ja lopuksi, käynnistää sen. Kehitystyökalujen, kuten Process Explorerin, käyttäminen ei välttämättä aina onnistu havaitsemaan haitallista prosessia. Phrozen RunPE Detector on ilmainen ohjelmisto, joka on erityisesti suunniteltu havaitsemaan ja torjumaan joitain epäilyttäviä prosesseja.
RunPE-tunnistin Windowsille
Mikä se on
Yksinkertaisilla sanoilla Phrozen RunPE -ilmaisinta voidaan käyttää FILENNETin haittaohjelmien, RAT-, Troijans-, Backdoors Crypters-, Packers- ja muistikorttien haittaohjelmien havaitsemiseen Windows-tietokoneissa. Se skannaa prosessiesi otsikot muistissa ja vertailee niitä levykuvillesi. Tämä temppu saattaa kuulostaa liian yksinkertaiselta uskoa, mutta se toimii. Jos RunPE on käyttänyt prosessia, niin pitäisi olla eroa, ja näet hälytyksen.
Kuinka se toimii
RunPE-tunnistin havaitsee ja tappelee hakkeroitavat hyökkäykset, jotka käyttävät RunPe-tekniikoita, tartuttavat järjestelmääsi jommallakummalla seuraavista tavoista:
- Palomuurin ohitus: Tämä tekniikka ohittaa tai estää palomuurin tai sovelluksen palomuurisäännöt.
- Haittaohjelmien pakkaaja tai crypter: Tätä tekniikkaa käytetään purkamaan tai purkamaan haittaohjelmat muistiin ja sijoittamaan se aitoon prosessiin kirjoittamatta sitä levylle, jossa se voidaan löytää ja estää.
Mitä se tekee
Jäähdytetty RunPE-detektori etsii PE-otsakkeita jokaiselle prosessille ja vertailee PE-otsakkeita muistiin prosessikuva-polun PE-otsikoihin. Kehittäjien mukaan tämä on hyvin yksinkertainen ja tehokas menetelmä. On olemassa monia kaupallisia virustentorjuntaohjelmia, joilla on kyky suorittaa tällainen skannaus, mutta Phrozenin RunPE-ilmaisin on itsenäinen työkalu tällaisten skannausten suorittamiseen manuaalisesti. Tämä suojausohjelma on testattu lukuisia yleisesti käytettyjä haittaohjelmia vastaan, ja havaitsemisnopeudet ovat olleet erittäin tarkkoja.
Voiko sitä käyttää haittaohjelmien poistamiseen?
Tämä ohjelma tarjoaa käyttäjille mahdollisuuden poistaa mitä haittaohjelmia se havaitsee. Vaikka onkin suositeltavaa luottaa siihen kokonaan. Jos et löydä ongelmaa, käytä täydellistä antivirus-moottoria tutkittavaksi, olisi hyvä idea. Se voi olla erittäin hyödyllinen havaitsemaan muistiin jääneitä haittaohjelmia, kuten Fileless-haittaohjelmia.
Mitä se ei tee
RunPE-tunnistin tunnistaa helposti kaapatut prosessit skannaamalla järjestelmän kaikki sovellustiedostot ja vertaamalla niiden PE-otsikoita käynnissä olevaan prosessiin infektion pisteen havaitsemiseksi. Mutta se ei tunnista isäntäpaikkoja, kun haittaohjelmakoodilla on haittaohjelmien pakkaaja tai krypter. Tämä on yksi syy siihen, miksi Phrozen-kehittäjät ovat suositelleet kaupallisen virustorjuntaohjelman käyttämistä haittaohjelmien poistamiseksi.
Lopullinen tuomio
Koska RunPE-tekniikka on niin yleisesti käytössä RAT-, Troijans-, Backdoors Crypters- ja Packers -ohjelmien avulla, RunPE-ilmaisin on järkevä tapa varmistaa, että järjestelmässäsi ei ole kaikkein tuhoisimpia haittaohjelmia.
RunPE on edelleen yleinen hyökkäystyyppi, ja Phried RunPE -ilmaisin on yksi kompakti, kannettava ja ei-joustava ratkaisu. Joten, suosittelemme sinua nappaa kopio tämän turva-työkalupaketin.
Phried RunPE -anturi havaitsee RunPe-kompromisseja vain, jos ne ovat 32-bittisiä. Se on yhteensopiva 64-bittisten järjestelmien kanssa, mutta se ei voi suorittaa skannauksia tällä hetkellä, ilmeisesti 64-bittinen skannaus tulee tulemaan pian.
