RunPE Detector: Phát hiện phần mềm độc hại thường trú trong bộ nhớ, RAT, Chương trình Backdoor, Trình đóng gói

Phần mềm độc hại(Malware) sử dụng một số thủ thuật để che giấu quy trình của nó, RunPE là một trong những ví dụ phổ biến về điều tương tự. Về cơ bản, kỹ thuật này liên quan đến việc bắt đầu một quy trình đã biết và đáng tin cậy có thể là Explorer.exe ở trạng thái bị treo. Sau đó, nó thay thế mã của nó bằng mã của chính phần mềm độc hại. Và cuối cùng, khởi động nó. Các công cụ đang chạy như Process Explorer có thể không phải lúc nào cũng thành công trong việc phát hiện quá trình độc hại. Phrozen RunPE Detector là một phần mềm miễn phí được thiết kế đặc biệt để phát hiện và đánh bại một số quy trình đáng ngờ như thế này.

RunPE Detector dành cho Windows

Máy dò RunPE

  1. Nó là gì(What it is)

Nói một cách dễ hiểu, Phrozen RunPE Detector có thể được sử dụng để phát hiện phần mềm độc hại Fileless , RAT(RATs) , Trojan(Trojans) , Backdoor Cry Chapter(Backdoors Crypters) , Packers & phần mềm độc hại thường trú trong bộ nhớ trên máy tính Windows . Về cơ bản, nó quét các tiêu đề của các quy trình của bạn trong bộ nhớ và sau đó so sánh chúng với hình ảnh đĩa của chúng. Thủ thuật nghe có vẻ đơn giản đến khó tin, nhưng nó thực sự hiệu quả. Nếu một quá trình đã được RunPE khai thác , thì sẽ có sự khác biệt và bạn sẽ thấy một cảnh báo.

  1. Làm thế nào nó hoạt động(How it works)

RunPE Detector phát hiện và đánh bại các cuộc tấn công hack sử dụng các kỹ thuật RunPE để lây nhiễm hệ thống của bạn theo một trong các cách sau:

  • Bỏ qua tường lửa: Kỹ thuật này bỏ qua hoặc vô hiệu hóa các quy tắc tường lửa của ứng dụng hoặc tường lửa của bạn.
  • Trình đóng gói phần mềm độc hại(Malware) hoặc crypter: Kỹ thuật này được sử dụng để giải nén hoặc giải mã phần mềm độc hại trong bộ nhớ và đặt nó vào một quy trình chính hãng mà không cần ghi vào đĩa, nơi nó có thể bị phát hiện và bị chặn.
  1. Những gì nó làm(What it Does)

Phrozen RunPE Detector quét các tiêu đề PE cho mọi quy trình và sau đó so sánh các tiêu đề PE trong bộ nhớ với các tiêu đề PE trong đường dẫn hình ảnh quy trình. Theo các nhà phát triển, đây là một phương pháp rất đơn giản và hiệu quả. Có rất nhiều chương trình chống vi-rút thương mại có sẵn, có khả năng thực hiện kiểu quét này, nhưng RunPE Detector của Phrozen là một công cụ độc lập để thực hiện việc quét như vậy theo cách thủ công. Chương trình bảo mật này đã được thử nghiệm chống lại nhiều loại phần mềm độc hại thường được sử dụng và tỷ lệ phát hiện có độ chính xác cao.

  1. Nó có thể được sử dụng để loại bỏ phần mềm độc hại không?(Can it be used to remove malware?)

Chương trình này cung cấp cho người dùng tùy chọn để loại bỏ bất kỳ phần mềm độc hại nào mà nó phát hiện được. Mặc dù nó được khuyến khích là không nên dựa hoàn toàn vào nó. Nếu bạn phát hiện ra vấn đề, sử dụng một công cụ chống vi-rút mạnh mẽ để điều tra, sẽ là một ý tưởng hay. Nó có thể rất hữu ích trong việc phát hiện phần mềm độc hại thường trú trong bộ nhớ như phần mềm độc hại Fileless(Fileless malware) .

  1. Những gì nó không làm(What it does not do)

RunPE Detector dễ dàng xác định các quy trình bị tấn công bằng cách quét tất cả các tệp ứng dụng trong hệ thống và sau đó so sánh tiêu đề PE của chúng với một quy trình đang chạy để phát hiện điểm lây nhiễm. Nhưng nó không xác định được vị trí máy chủ lưu trữ khi mã độc được tải bằng một trình đóng gói phần mềm độc hại hoặc crypter. Đây là một lý do tại sao các nhà phát triển Phrozen đã khuyến nghị sử dụng giải pháp chống vi-rút thương mại để loại bỏ phần mềm độc hại.

Bản án cuối cùng(Final Verdict)

Vì kỹ thuật RunPE rất thường được sử dụng với RAT(RATs) , Trojan(Trojans) , Backdoor Cry Chapter(Backdoors Crypters) và Packers nên sử dụng RunPE Detector là một cách tiếp cận thông minh để đảm bảo rằng hệ thống của bạn không có các loại phần mềm độc hại phá hoại nhất.

RunPE vẫn là một kiểu tấn công phổ biến và vì Phrozen RunPE Detector là một giải pháp nhỏ gọn, di động và không có chuỗi. Vì vậy, chúng tôi khuyên bạn nên lấy một bản sao của bộ công cụ bảo mật này từ www.phrozen.io .

Phrozen RunPE Detector chỉ(Phrozen RunPE Detector) phát hiện các quy trình bị xâm nhập RunPE nếu chúng là 32 bit. Nó tương thích với các hệ thống 64 bit, nhưng nó không thể chạy quét hiện tại, có vẻ như tính năng quét 64 bit sẽ sớm ra mắt.



About the author

Tôi có hơn 10 năm kinh nghiệm trong ngành phát triển ứng dụng iOS và Windows Phone. Các kỹ năng của tôi bao gồm phát triển các ứng dụng di động cho cả App Store của Apple và nền tảng Windows 7 của Microsoft. Tôi là chuyên gia trong việc tạo giao diện người dùng đơn giản, nhanh nhạy và dễ sử dụng. Tôi cũng có kinh nghiệm làm việc với các framework front-end như React Native và HTML5.



Related posts