Детектор RunPE: обнаружение вредоносной программы с памятью, RAT, Backdoor Crypters, Packers

Вредоносная программа использует ряд трюков, чтобы скрыть свой процесс, RunPE - один из распространенных примеров того же, Этот метод в основном предполагает запуск известного, а доверенный процесс может быть Explorer.exe в приостановленном состоянии. Затем он заменяет свой код собственным кодом вредоносного ПО. И, наконец, начинает его. Запуск таких инструментов, как Process Explorer, не всегда может быть успешным при обнаружении вредоносного процесса. Phrozen RunPE Detector - это бесплатное программное обеспечение, специально разработанное для обнаружения и устранения некоторых подозрительных процессов, подобных этим.

Детектор RunPE для Windows

1. Что это такое

Вводя простые слова, Phrozen RunPE Detector можно использовать для обнаруживать вредоносное ПО без использования файловой системы, RAT, троянских программ, бэкдоровских шифровщиков, вредоносных программ для вредоносных программ и памяти на компьютерах Windows. Он в основном сканирует заголовки ваших процессов в памяти, а затем сравнивает их с образами на диске. Трюк может показаться слишком простым, чтобы верить, но он работает. Если процесс был использован RunPE, тогда должна быть разница, и вы увидите предупреждение.

1. Как это работает

Детектор RunPE обнаруживает и побеждает хакерские атаки, которые используют методы RunPE для заражения вашей системы в из следующих способов:

• Обход брандмауэра: этот метод обходит или отключает ваши брандмауэры или правила брандмауэра приложения.
• Пакет вредоносных программ или криптер: этот метод используется для распаковки или дешифрования вредоносного ПО в памяти и помещения его в подлинный процесс, не записывая его на диск, где его можно обнаружить и заблокировать.

1. Что он делает

Phrozen RunPE Detector сканирует заголовки PE для каждого процесса, а затем сравнивает заголовки PE в памяти с заголовками PE в процессе путь изображения. По словам разработчиков, это очень простой и эффективный метод. Существует множество коммерческих антивирусных программ, которые имеют возможность выполнять этот вид сканирования, но Frozen`s RunPE Detector является автономным инструментом для выполнения таких сканирований вручную. Эта программа безопасности была протестирована против множества распространенных типов вредоносных программ, а скорость обнаружения была очень точной.

1. Можно ли ее использовать для удаления вредоносных программ?

Эта программа предоставляет пользователям возможность удалять вредоносное ПО он обнаруживает. Несмотря на то, что желательно не полагаться на него полностью. Если вы обнаружите проблему, использование полнофункционального антивирусного ядра для исследования будет хорошей идеей. Это может быть очень полезно при обнаружении вредоносных программ, таких как Fileless malware.

1. Что он не делает

RunPE Detector легко идентифицирует захваченные процессы, сканируя все файлы приложений в системе, а затем сравнивает их заголовки PE с чтобы определить точку заражения. Но он не идентифицирует местоположения хоста, когда вредоносный код загружается пакетом вредоносных программ или криптером. Это одна из причин, по которой разработчики Phrozen рекомендовали использовать коммерческое антивирусное решение для удаления вредоносного ПО.

Окончательный вердикт

Поскольку метод RunPE обычно используется с RAT, троянами, бэкдорами Crypters и упаковщиками с использованием RunPE Detector является умный подход для обеспечения того, что ваша система не содержит самых разрушительных типов вредоносных программ.

RunPE по-прежнему является распространенным типом атаки, а Frozen RunPE Detector - это одно компактное, портативное и без строковое решение. Итак, мы рекомендуем вам захватить копию этого инструментария безопасности.

Phrozen RunPE Detector обнаруживает процессы, подверженные риску RunPE, только если они 32-разрядные. Он совместим с 64-битными системами, но в настоящее время он не может выполнять сканирование, очевидно, что скоро будет установлено 64-битное сканирование.