RunPE Detector: Erkennung von speicherresidenter Malware, RATs, Backdoors Crypters, Packers

Inhaltsverzeichnis:

Video: RunPE Detector: Erkennung von speicherresidenter Malware, RATs, Backdoors Crypters, Packers

Video: RunPE Detector: Erkennung von speicherresidenter Malware, RATs, Backdoors Crypters, Packers
Video: JD16AT - Responsive Webdesign mit Joomla! 2024, März
RunPE Detector: Erkennung von speicherresidenter Malware, RATs, Backdoors Crypters, Packers
RunPE Detector: Erkennung von speicherresidenter Malware, RATs, Backdoors Crypters, Packers
Anonim

Malware verwendet eine Reihe von Tricks, um den Prozess zu verbergen, RunPE ist eines der häufigsten Beispiele dafür. Die Technik beinhaltet grundsätzlich das Starten eines bekannten und vertrauenswürdigen Prozesses Explorer.exe in einem suspendierten Zustand. Dann ersetzt es seinen Code durch den eigenen Code der Malware. Und zum Schluss geht es los. Das Ausführen von Tools wie Process Explorer ist möglicherweise nicht immer erfolgreich, um den schädlichen Prozess zu erkennen. Der Phrozen RunPE Detector ist eine kostenlose Software, die speziell dazu entwickelt wurde, um verdächtige Prozesse wie diese zu erkennen und zu beseitigen.

RunPE Detector für Windows

Image
Image

Was es ist

Mit einfachen Worten ausgedrückt, kann der Phrozen RunPE Detector verwendet werden, um Fileless Malware, RATs, Trojaner, Backdoors Crypters, Packers und speicherresidente Malware auf Windows-Computern zu erkennen. Im Wesentlichen werden die Kopfzeilen Ihrer Prozesse im Arbeitsspeicher gescannt und dann mit ihren Festplattenimages verglichen. Der Trick klingt vielleicht zu einfach, aber es funktioniert. Wenn ein Prozess von RunPE ausgenutzt wurde, sollte es einen Unterschied geben, und Sie würden eine Warnung sehen.

Wie es funktioniert

RunPE Detector erkennt und besiegt Hacking-Angriffe, die die RunPE-Techniken verwenden, um Ihr System auf eine der folgenden Arten zu infizieren:

  • Firewall-Bypass: Diese Technik umgeht oder deaktiviert Ihre Firewall- oder Anwendungs-Firewall-Regeln.
  • Malware Packer oder Crypter: Diese Technik wird verwendet, um die Malware aus dem Speicher zu entpacken oder zu entschlüsseln und sie in einen echten Prozess einzufügen, ohne sie auf die Disc zu schreiben, wo sie entdeckt und blockiert werden kann.

Was es macht

Der Phrozen RunPE Detector durchsucht die PE-Header für jeden Prozess und vergleicht dann die im Arbeitsspeicher befindlichen PE-Header mit den PE-Headern im Prozessabbildpfad. Nach Angaben der Entwickler ist dies eine sehr einfache und effiziente Methode. Es gibt viele kommerzielle Antivirenprogramme, die diese Art von Scans ausführen können. Der RunPE-Detector von Phrozen ist jedoch ein eigenständiges Tool für die manuelle Durchführung solcher Scans. Dieses Sicherheitsprogramm wurde gegen zahlreiche häufig verwendete Malware-Typen getestet und die Erkennungsraten waren sehr genau.

Kann es zum Entfernen von Malware verwendet werden?

Dieses Programm bietet den Benutzern die Möglichkeit, die erkannte Malware zu entfernen. Obwohl es ratsam ist, sich nicht vollständig darauf zu verlassen. Wenn Sie ein Problem feststellen, ist es eine gute Idee, eine vollständige Antivirus-Engine zur Untersuchung zu verwenden. Es kann sehr nützlich sein, um speicherresidente Malware wie Fileless-Malware zu erkennen.

Was es nicht macht

Der RunPE-Detektor erkennt die entführten Prozesse auf einfache Weise, indem alle Anwendungsdateien im System gescannt werden. Anschließend werden die PE-Header mit einem laufenden Prozess verglichen, um den Infektionspunkt zu ermitteln. Die Hostspeicherorte werden jedoch nicht identifiziert, wenn der Schadcode mit einem Malware-Packer oder Crypter geladen wird. Dies ist ein Grund, warum die Phrozen-Entwickler die Verwendung einer kommerziellen Antivirenlösung empfohlen haben, um die Malware zu entfernen.

Endgültiges Urteil

Da die RunPE-Technik bei RATs, Trojanern, Backdoors Crypters und Packers mit RunPE Detector so häufig verwendet wird, ist dies ein intelligenter Ansatz, um sicherzustellen, dass Ihr System keine schädlichen Malware-Typen enthält.

RunPE ist immer noch ein verbreiteter Angriffstyp und als Phrozen RunPE Detector eine kompakte, tragbare und stringfreie Lösung. Wir würden Sie also weiterempfehlen Nimm eine Kopie dieses Sicherheits-Toolkits.

Phrozen RunPE Detector erkennt RunPE-gefährdete Prozesse nur, wenn diese 32-Bit-Werte aufweisen. Es ist mit 64-Bit-Systemen kompatibel, kann aber derzeit keine Scans ausführen, anscheinend wird das 64-Bit-Scanning bald eintreffen.

Empfohlen: