A rosszindulatú program számos trükköt használ a folyamat elrejtésére, RunPE az egyik gyakori példa az azonos. A technika lényegében egy ismert és megbízható folyamat indítását jelenti explorer.exe felfüggesztett állapotban. Ezután helyettesíti a kódot a kártevő saját kódjával. És végül elindítja. A futási eszközök, például a Process Explorer nem mindig sikeresek a rosszindulatú folyamat észlelésében. A fagyasztott RunPE detektor egy szabad szoftver, amelyet kifejezetten olyan gyanús folyamatok észlelésére és legyőzésére terveztek, amilyenek ezek.
RunPE detektor Windows alatt
Ami
Egyszerűen megfogalmazva, a Phrozen RunPE detektort fel lehet használni a Fájl nélküli malware, RAT, Trojans, Backdoors Crypters, Packers és memóriakártya-rosszindulatú programok észlelésére Windows számítógépeken. Alapjában véve beolvassa a folyamatok fejlécét a memóriában, majd összehasonlítja őket a lemezképekkel. A trükk talán túl egyszerűnek tűnik ahhoz, hogy elhiggyezhesse, de működik. Ha a RunPE kihasználta a folyamatot, akkor különbséget kell tennünk, és figyelmeztetést észlelnénk.
Hogyan működik
A RunPE detektor észleli és megsemmisíti a RunPe technikákat használó hacker támadásokkal a rendszer megfertőzését az alábbi módokon:
- Tűzfal áthidalás: Ez a technika megkerüli vagy letiltja a tűzfal vagy az alkalmazás tűzfal szabályait.
- Malware csomagoló vagy crypter: Ezt a technikát használják a kártevők kicsomagolására vagy visszafejtésére a memóriában, és valódi folyamatba helyezzük, anélkül, hogy a lemezre írnánk, ahol felfedezhetjük és blokkolhatjuk.
Mit csinál
A fagyasztott RunPE érzékelő minden folyamathoz beolvassa a PE fejléceket, majd összehasonlítja a PE-fejléceket a memóriában a folyamat képpálya PE-fejlécével. A fejlesztők szerint ez egy nagyon egyszerű és hatékony módszer. Számos kereskedelmi víruskereső program áll rendelkezésre, amelyek képesek ilyen típusú beolvasást végrehajtani, de a Phrozen RunPE detektor önálló eszköz az ilyen beolvasások kézzel történő végrehajtásához. Ezt a biztonsági programot számos általánosan használt kártevõtípus ellen tesztelték, és az észlelési arány nagyon pontos volt.
Használható a rosszindulatú programok eltávolítására?
Ez a program lehetővé teszi a felhasználók számára, hogy eltávolítsák az általa észlelt rosszindulatú programokat. Bár tanácsos nem támaszkodni rá teljesen. Ha problémát észlel, egy teljes erősségű víruskereső motor segítségével vizsgálja meg, jó ötlet lenne. Nagyon hasznos lehet a memória-rezidens rosszindulatú programok észlelésére, mint például a Fileless malware.
Amit nem tesz
A RunPE detektor könnyen azonosítja az eltérített folyamatokat a rendszer összes alkalmazásfájljának szkennelésével, majd összehasonlítja a PE fejléceket egy futó folyamattal a fertőzés pontjának észlelése érdekében. De nem azonosítja a befogadó helyeket, ha a rosszindulatú kódot rosszindulatú csomagolóval vagy kriptográfussal tölti be. Ez az oka annak, hogy a Phrozen fejlesztők egy kereskedelmi víruskereső megoldást ajánlottak a rosszindulatú programok eltávolítására.
Végső ítélet
Mivel a RunPE-technikát olyan általánosan használják a RAT-ok, a trójaiak, a Backdoor Crypters és a Packers a RunPE detektor használatával, az intelligens megközelítés annak biztosítására, hogy a rendszer mentes a leginkább destruktív rosszindulatú programoktól.
A RunPE még mindig gyakori támadási típus, és a Phrozen RunPE detektor egy kompakt, hordozható és nem húrmentes megoldás. Tehát javasolnánk megragad egy példányt e biztonsági eszköztárat.
A fagyasztott RunPE detektor csak akkor észleli a RunPE-kompromittált eljárásokat, ha azok 32 bitesek. Kompatibilis a 64 bites rendszerekkel, de jelenleg nem tudja futtatni a beolvasásokat, úgy tűnik, hogy a 64 bites szkennelés hamarosan megjelenik.
