Ανιχνευτής RunPE: Ανίχνευση κακόβουλου λογισμικού που κατοικεί στη μνήμη, RATs, κρυπτογράφηση Backdoors, Packers

Το κακόβουλο λογισμικό(Malware) χρησιμοποιεί μια σειρά από κόλπα για να κρύψει τη διαδικασία του, το RunPE είναι ένα από τα κοινά παραδείγματα του ίδιου. Η τεχνική βασικά περιλαμβάνει την έναρξη μιας γνωστής και αξιόπιστης διαδικασίας μπορεί να είναι το Explorer.exe σε κατάσταση αναστολής. Στη συνέχεια, αντικαθιστά τον κωδικό του με τον κωδικό του ίδιου του κακόβουλου λογισμικού. Και τέλος, το ξεκινάει. Τα εργαλεία που εκτελούνται όπως το Process Explorer μπορεί να μην είναι πάντα επιτυχή στον εντοπισμό της κακόβουλης διαδικασίας. Το Phrozen RunPE Detector(Phrozen RunPE Detector) είναι ένα δωρεάν λογισμικό που έχει σχεδιαστεί ειδικά για να ανιχνεύει και να αποτρέπει ορισμένες ύποπτες διαδικασίες όπως αυτές.

RunPE Detector για Windows

Ανιχνευτής RunPE

  1. Τι είναι(What it is)

Με απλά λόγια, ο ανιχνευτής Phrozen RunPE(Phrozen RunPE Detector) μπορεί να χρησιμοποιηθεί για τον εντοπισμό κακόβουλου λογισμικού χωρίς αρχεία(Fileless) , RAT(RATs) , Trojans , κρυπτογράφησης Backdoors(Backdoors Crypters) , Packers και κακόβουλου λογισμικού που εδρεύει στη μνήμη σε υπολογιστές με Windows . Βασικά σαρώνει τις κεφαλίδες των διαδικασιών σας στη μνήμη και στη συνέχεια τις συγκρίνει με τις εικόνες του δίσκου τους. Το κόλπο μπορεί να ακούγεται πολύ απλό για να το πιστέψετε, αλλά λειτουργεί. Εάν μια διεργασία έχει γίνει αντικείμενο εκμετάλλευσης από το RunPE , τότε θα πρέπει να υπάρχει διαφορά και θα δείτε μια ειδοποίηση.

  1. Πως δουλεύει(How it works)

Ο ανιχνευτής RunPE(RunPE Detector) εντοπίζει και αποτρέπει επιθέσεις εισβολής που χρησιμοποιούν τις τεχνικές RunPE για να μολύνουν το σύστημά σας με έναν από τους παρακάτω τρόπους:

  • Παράκαμψη τείχους προστασίας: Αυτή η τεχνική παρακάμπτει ή απενεργοποιεί τους κανόνες του τείχους προστασίας ή της εφαρμογής σας.
  • Συσκευαστής ή κρυπτογράφησης κακόβουλου(Malware) λογισμικού: Αυτή η τεχνική χρησιμοποιείται για την αποσυσκευασία ή την αποκρυπτογράφηση του κακόβουλου λογισμικού στη μνήμη και για την τοποθέτησή του σε μια γνήσια διαδικασία χωρίς εγγραφή στο δίσκο, όπου μπορεί να εντοπιστεί και να αποκλειστεί.
  1. Τι κάνει(What it Does)

Ο ανιχνευτής Phrozen RunPE(Phrozen RunPE Detector) σαρώνει τις κεφαλίδες PE για κάθε διεργασία και στη συνέχεια συγκρίνει τις κεφαλίδες PE στη μνήμη με τις κεφαλίδες PE στη διαδρομή εικόνας διεργασίας. Σύμφωνα με τους προγραμματιστές, αυτή είναι μια πολύ απλή και αποτελεσματική μέθοδος. Υπάρχουν πολλά εμπορικά διαθέσιμα προγράμματα προστασίας από ιούς, τα οποία έχουν τη δυνατότητα να εκτελούν αυτό το είδος σάρωσης, αλλά ο ανιχνευτής RunPE του Phrozen(RunPE Detector) είναι ένα αυτόνομο εργαλείο για την εκτέλεση τέτοιων σαρώσεων με μη αυτόματο τρόπο. Αυτό το πρόγραμμα ασφαλείας έχει δοκιμαστεί έναντι πολλών κοινώς χρησιμοποιούμενων τύπων κακόβουλου λογισμικού και τα ποσοστά ανίχνευσης ήταν εξαιρετικά ακριβή.

  1. Μπορεί να χρησιμοποιηθεί για την αφαίρεση κακόβουλου λογισμικού;(Can it be used to remove malware?)

Αυτό το πρόγραμμα παρέχει στους χρήστες την επιλογή να αφαιρέσουν οποιοδήποτε κακόβουλο λογισμικό εντοπίζει. Παρόλο που καλό είναι να μην βασίζεστε πλήρως σε αυτό. Εάν εντοπίσετε κάποιο πρόβλημα, θα ήταν καλή ιδέα να χρησιμοποιήσετε μια μηχανή προστασίας από ιούς πλήρους ισχύος για διερεύνηση. Θα μπορούσε να είναι πολύ χρήσιμο για τον εντοπισμό κακόβουλου λογισμικού που εδρεύει στη μνήμη, όπως το κακόβουλο λογισμικό Fileless(Fileless malware) .

  1. Τι δεν κάνει(What it does not do)

Το RunPE Detector(RunPE Detector) εντοπίζει εύκολα τις διεργασίες που έχουν παραβιαστεί σαρώνοντας όλα τα αρχεία εφαρμογών στο σύστημα και στη συνέχεια συγκρίνει τις κεφαλίδες PE τους με μια εκτελούμενη διαδικασία για να ανιχνεύσει το σημείο μόλυνσης. Ωστόσο, δεν προσδιορίζει τις τοποθεσίες κεντρικού υπολογιστή όταν ο κακόβουλος κώδικας φορτώνεται με συσκευή συσκευασίας κακόβουλου λογισμικού ή κρυπτογράφηση. Αυτός είναι ένας λόγος για τον οποίο οι προγραμματιστές του Phrozen συνέστησαν τη χρήση μιας εμπορικής λύσης προστασίας από ιούς για την αφαίρεση του κακόβουλου λογισμικού.

Τελική ετυμηγορία(Final Verdict)

Επειδή η τεχνική RunPE χρησιμοποιείται τόσο συχνά με RAT(RATs) , Trojans , Backdoors Crypters και Packers που χρησιμοποιούν το RunPE Detector(RunPE Detector) είναι μια έξυπνη προσέγγιση για να διασφαλίσετε ότι το σύστημά σας είναι απαλλαγμένο από τους πιο καταστροφικούς τύπους κακόβουλου λογισμικού.

Το RunPE(RunPE) εξακολουθεί να είναι ένας κοινός τύπος επίθεσης και, καθώς ο ανιχνευτής Phrozen RunPE(Phrozen RunPE Detector) είναι μια συμπαγής, φορητή λύση χωρίς συμβολοσειρές. Επομένως, θα σας συνιστούσαμε να πάρετε ένα αντίγραφο αυτής της εργαλειοθήκης ασφαλείας από το www.phrozen.io .

Ο ανιχνευτής Phrozen RunPE(Phrozen RunPE Detector) ανιχνεύει διεργασίες σε κίνδυνο RunPE μόνο εάν είναι 32-bit. Είναι συμβατό με συστήματα 64 bit, αλλά δεν μπορεί να εκτελέσει σαρώσεις αυτήν τη στιγμή, προφανώς η σάρωση 64 bit πρόκειται να έρθει σύντομα.



About the author

Είμαι μηχανικός υλικού και προγραμματιστής λογισμικού με πάνω από 10 χρόνια εμπειρίας στις πλατφόρμες Apple και Google. Οι δεξιότητές μου έγκεινται στην ανάπτυξη αποτελεσματικών, φιλικών προς τον χρήστη λύσεων σε δύσκολα προβλήματα μηχανικής. Είχα εμπειρία με συσκευές MacOS και iOS, καθώς και με χειριστήρια πληκτρολογίου και ποντικιού. Στον ελεύθερο χρόνο μου, μου αρέσει να κολυμπάω, να παρακολουθώ τένις και να ακούω μουσική.



Related posts