Обнаружение резидентных вредоносных программ, RAT, бэкдоров, шифровальщиков

Вредоносное ПО использует ряд уловок, чтобы скрыть свой процесс, RunPE — один из распространенных примеров того же. Методика в основном включает запуск известного и надежного процесса, который может быть Explorer.exe в подвешенном состоянии. Затем он заменяет свой код собственным кодом вредоносной программы. И, наконец, запускает его. Запуск таких инструментов, как Process Explorer, не всегда может быть успешным в обнаружении вредоносного процесса. Phrozen RunPE Detector — это бесплатное программное обеспечение, специально разработанное для обнаружения и устранения некоторых подозрительных процессов, подобных этим.

Детектор RunPE для Windows

1. Что это

Проще говоря, Phrozen RunPE Detector может использоваться для обнаружения бесфайловых вредоносных программ, RAT, троянов, бэкдоров-шифровальщиков, упаковщиков и вредоносных программ, размещенных в памяти на компьютерах Windows. Он в основном сканирует заголовки ваших процессов в памяти, а затем сравнивает их с их образами дисков. Уловка может показаться слишком простой, чтобы поверить в нее, но она работает. Если процесс был использован RunPE, то должно быть различие, и вы увидите предупреждение.

2. Как это устроено

Детектор RunPE обнаруживает и блокирует атаки взлома, использующие методы RunPE для заражения вашей системы одним из следующих способов:

• Обход брандмауэра: этот метод обходит или отключает правила брандмауэра или брандмауэра приложений.
• Упаковщик вредоносных программ или шифровальщик: этот метод используется для распаковки или дешифрования вредоносного ПО в памяти и помещения его в подлинный процесс без записи на диск, где оно может быть обнаружено и заблокировано.

3. Что оно делает

Детектор Phrozen RunPE сканирует заголовки PE для каждого процесса, а затем сравнивает заголовки PE в памяти с заголовками PE в пути образа процесса. По словам разработчиков, это очень простой и эффективный способ. Доступно множество коммерческих антивирусных программ, которые могут выполнять такое сканирование, но Детектор RunPE от Phrozen — это автономный инструмент для выполнения таких сканирований вручную. Эта программа безопасности была протестирована против множества широко используемых типов вредоносных программ, и показатели обнаружения оказались очень точными.

4. Можно ли его использовать для удаления вредоносных программ?

Эта программа предоставляет пользователям возможность удалить все обнаруженные вредоносные программы. Хотя желательно не полагаться на это полностью. Если вы все же обнаружите проблему, использование полноценного антивирусного ядра для расследования будет хорошей идеей. Это может быть очень полезно при обнаружении резидентных вредоносных программ, таких как бесфайловые вредоносные программы.

5. Что он не делает

RunPE Detector легко определяет захваченные процессы, сканируя все файлы приложений в системе, а затем сравнивает их заголовки PE с запущенным процессом, чтобы определить точку заражения. Но он не определяет местоположение хоста, когда вредоносный код загружается с помощью упаковщика вредоносных программ или шифровальщика. Это одна из причин, по которой разработчики Phrozen рекомендовали использовать коммерческое антивирусное решение для удаления вредоносного ПО.

Окончательный вердикт

Поскольку метод RunPE так часто используется с RAT, троянами, шифровальщиками бэкдоров и упаковщиками, использование RunPE Detector является разумным подходом, гарантирующим, что ваша система свободна от самых разрушительных типов вредоносных программ.

RunPE по-прежнему является распространенным типом атак, и, поскольку Phrozen, RunPE Detector — это компактное, портативное решение без каких-либо строк. Итак, мы рекомендуем вам взять копию этого набора инструментов безопасности с www.phrozen.io.

Детектор Phrozen RunPE обнаруживает процессы, скомпрометированные RunPE, только если они 32-битные. Он совместим с 64-битными системами, но в настоящее время не может запускать сканирование, по-видимому, скоро появится 64-битное сканирование.

.