Вредоносная программа использует ряд трюков, чтобы скрыть свой процесс, RunPE является одним из распространенных примеров того же самого. Этот метод в основном предполагает запуск известного, и надежный процесс может быть Explorer.exe в приостановленном состоянии. Затем он заменяет свой код собственным кодом вредоносного ПО. И, наконец, начинает его. Запуск таких инструментов, как Process Explorer, не всегда может быть успешным при обнаружении вредоносного процесса. Phrozen RunPE Detector - это бесплатное программное обеспечение, специально разработанное для обнаружения и устранения некоторых подозрительных процессов, подобных этим.
Детектор RunPE для Windows
Что это
Вводя простыми словами, Phrozen RunPE Detector может быть использован для обнаружения вредоносных программ с файловыми файлами, RAT, троянов, Backdoor Crypters, Packers и памяти на компьютерах Windows. Он в основном сканирует заголовки ваших процессов в памяти, а затем сравнивает их с образами на диске. Уловка может показаться слишком простой, чтобы верить, но она работает. Если процесс был использован RunPE, тогда должна быть разница, и вы увидите предупреждение.
Как это устроено
Детектор RunPE обнаруживает и разбивает атаки хакеров, которые используют методы RunPE для заражения вашей системы одним из следующих способов:
- Обход брандмауэра: этот метод обходит или отключает правила брандмауэра брандмауэра или приложения.
- Пакер-упаковщик вредоносных программ или криптер: этот метод используется для распаковки или дешифрования вредоносного ПО в памяти и помещения его в подлинный процесс без записи на диск, где его можно обнаружить и заблокировать.
Что оно делает
Phrozen RunPE Detector сканирует заголовки PE для каждого процесса, а затем сравнивает заголовки PE в памяти с заголовками PE в пути образа процесса. По словам разработчиков, это очень простой и эффективный метод. Существует множество коммерческих антивирусных программ, которые имеют возможность выполнять этот вид сканирования, но Frozen's RunPE Detector является автономным инструментом для выполнения таких сканирований вручную. Эта программа безопасности была протестирована против множества распространенных типов вредоносных программ, а показатели обнаружения были очень точными.
Может ли он использоваться для удаления вредоносного ПО?
Эта программа предоставляет пользователям возможность удалить все обнаруженные вредоносные программы. Несмотря на то, что желательно не полагаться на него полностью. Если вы обнаружите проблему, использование полнофункционального антивирусного ядра для исследования будет хорошей идеей. Это может быть очень полезно при обнаружении вредоносных программ, таких как Fileless malware.
Что это не делает
RunPE Detector легко идентифицирует захваченные процессы, сканируя все файлы приложений в системе, а затем сравнивает их заголовки PE с текущим процессом, чтобы обнаружить точку заражения. Но он не идентифицирует местоположения хоста, когда вредоносный код загружается пакетом вредоносных программ или криптером. Это одна из причин, почему разработчики Phrozen рекомендовали использовать коммерческое антивирусное решение для удаления вредоносного ПО.
Окончательный вердикт
Поскольку метод RunPE обычно используется с RAT, троянами, бэкдорами Crypters и упаковщиками с использованием RunPE Detector является разумным подходом, гарантирующим, что ваша система не содержит самых разрушительных типов вредоносных программ.
RunPE по-прежнему является распространенным типом атаки, и поскольку Frozen RunPE Detector - это одно компактное, портативное и безстрочное решение. Итак, мы рекомендуем вам захватить копию этого инструментария безопасности.
Замороженный детектор RunPE обнаруживает процессы, подверженные риску RunPE, только если они 32-разрядные. Он совместим с 64-битными системами, но в настоящий момент он не может выполнять сканирование, очевидно, что скоро будет установлено 64-битное сканирование.
