Phần mềm độc hại sử dụng một số thủ thuật để ẩn quy trình của nó, RunPE là một trong những ví dụ phổ biến giống nhau. Kỹ thuật cơ bản liên quan đến việc bắt đầu một quy trình đã biết và đáng tin cậy có thể là Explorer.exe trong trạng thái treo. Sau đó, nó thay thế mã của nó bằng mã riêng của phần mềm độc hại. Và cuối cùng, bắt đầu nó lên. Các công cụ chạy như Process Explorer có thể không phải lúc nào cũng thành công trong việc phát hiện quá trình độc hại. Phrozen RunPE Detector là một phần mềm miễn phí được thiết kế đặc biệt để phát hiện và đánh bại một số quy trình đáng ngờ như thế này.
Trình dò tìm RunPE cho Windows
Nó là gì
Nói một cách đơn giản, Phrozen RunPE Detector có thể được sử dụng để phát hiện phần mềm độc hại Fileless, RAT, Trojans, Backdoors Crypters, Packers và phần mềm độc hại bộ nhớ trên máy tính Windows. Về cơ bản nó quét các tiêu đề của các tiến trình của bạn trong bộ nhớ và sau đó so sánh chúng với các ảnh đĩa của chúng. Bí quyết có vẻ quá đơn giản để tin, nhưng nó hoạt động. Nếu một quá trình đã được khai thác bởi RunPE, thì sẽ có sự khác biệt và bạn sẽ thấy một cảnh báo.
Làm thế nào nó hoạt động
RunPE Detector phát hiện và đánh bại các cuộc tấn công hacking sử dụng các kỹ thuật RunPE để lây nhiễm hệ thống của bạn theo một trong các cách sau:
- Tường lửa bỏ qua: Kỹ thuật này bỏ qua hoặc vô hiệu hóa tường lửa hoặc quy tắc tường lửa ứng dụng của bạn.
- Trình đóng gói phần mềm độc hại hoặc crypter: Kỹ thuật này được sử dụng để giải nén hoặc giải mã phần mềm độc hại trong bộ nhớ và đặt nó vào một quy trình chính hãng mà không cần ghi nó vào đĩa, nơi nó có thể được phát hiện và chặn.
Những gì nó làm
Đầu dò Phrozen RunPE quét các tiêu đề PE cho mọi quá trình và sau đó so sánh các tiêu đề PE trong bộ nhớ với các tiêu đề PE trong đường dẫn hình ảnh quá trình. Theo các nhà phát triển, đây là một phương pháp rất đơn giản và hiệu quả. Có rất nhiều chương trình chống vi-rút thương mại có sẵn, có khả năng thực hiện loại quét này, nhưng Trình phát hiện RunPE của Phrozen là một công cụ độc lập để thực hiện quét theo cách thủ công. Chương trình bảo mật này đã được thử nghiệm chống lại nhiều loại phần mềm độc hại thường được sử dụng và tỷ lệ phát hiện đã rất chính xác.
Nó có thể được sử dụng để loại bỏ phần mềm độc hại?
Chương trình này cung cấp cho người dùng tùy chọn loại bỏ bất kỳ phần mềm độc hại nào mà nó phát hiện. Mặc dù nó được khuyến khích không dựa hoàn toàn vào nó. Nếu bạn tìm thấy một vấn đề, sử dụng một công cụ chống virus đầy đủ để điều tra, sẽ là một ý tưởng tốt. Nó có thể rất hữu ích trong việc phát hiện phần mềm độc hại bộ nhớ cư trú như phần mềm độc hại Fileless.
Những gì nó không làm
RunPE Detector dễ dàng xác định các quá trình bị tấn công bằng cách quét tất cả các tệp ứng dụng trong hệ thống và sau đó so sánh các tiêu đề PE của chúng với một quá trình đang chạy để phát hiện điểm lây nhiễm. Nhưng nó không xác định vị trí máy chủ lưu trữ khi mã độc hại được tải bằng trình đóng gói phần mềm độc hại hoặc crypter. Đây là một trong những lý do tại sao các nhà phát triển Phrozen đã đề nghị sử dụng một giải pháp chống virus thương mại để loại bỏ phần mềm độc hại.
Bản án cuối cùng
Bởi vì kỹ thuật RunPE thường được sử dụng với RAT, Trojans, Backdoors Crypters và Packers sử dụng RunPE Detector là một cách tiếp cận thông minh để đảm bảo rằng hệ thống của bạn không có các loại phần mềm độc hại phá hoại nhất.
RunPE vẫn là một kiểu tấn công phổ biến, và như Phrozen RunPE Detector là một giải pháp miễn phí nhỏ gọn, di động và không có dây. Vì vậy, chúng tôi muốn giới thiệu bạn lấy một bản sao bộ công cụ bảo mật này.
Trình phát hiện RunPE bị đóng băng chỉ phát hiện các quy trình bị xâm phạm RunPE nếu chúng là 32 bit. Nó tương thích với các hệ thống 64-bit, nhưng hiện tại nó không thể quét được, rõ ràng việc quét 64-bit sẽ sớm ra mắt.
