RunPE Detector: Erkennung von speicherresidenten Malware, RATs, Backdoors Crypters, Packern

Malware verwendet eine Reihe von Tricks, um den Prozess zu verbergen, RunPE ist eines der üblichen Beispiele. Die Technik beinhaltet grundsätzlich das Starten eines bekannten und vertrauenswürdigen Prozesses Explorer.exe in einem suspendierten Zustand. Dann ersetzt es seinen Code durch den eigenen Code der Malware. Und schließlich, startet es. Laufende Tools wie der Process Explorer können den bösartigen Prozess möglicherweise nicht immer erfolgreich erkennen. Phrozen RunPE Detector ist eine kostenlose Software, die speziell entwickelt wurde, um einige verdächtige Prozesse wie diese zu erkennen und zu vereiteln.

RunPE Detector für Windows

1. Was es ist

Mit einfachen Worten kann der Phrozen RunPE Detector verwendet werden Erkennung von dateiloser Malware, RATs, Trojanern, Backdoors Crypters, Packern und speicherresidenter Malware auf Windows-Computern. Es scannt im Grunde die Header Ihrer Prozesse im Speicher und vergleicht sie dann mit ihren Festplattenabbildern. Der Trick klingt vielleicht zu einfach zu glauben, aber es funktioniert. Wenn ein Prozess von RunPE ausgenutzt wurde, sollte es einen Unterschied geben, und Sie würden eine Warnung sehen.

1. Funktionsweise

Der RunPE Detector erkennt und vereitelt Hacking-Angriffe, die die RunPE-Techniken verwenden, um Ihr System zu infizieren der folgenden Möglichkeiten:

• Firewall-Umgehung: Diese Technik umgeht oder deaktiviert Ihre Firewall- oder Anwendungs-Firewall-Regeln.
• Malware Packer oder Crypter: Diese Technik wird verwendet, um die Malware im Speicher zu entpacken oder zu entschlüsseln Prozess, ohne es auf die Disk zu schreiben, wo er entdeckt und blockiert werden kann

1. Was er tut

Der Phropen RunPE Detector durchsucht die PE-Header nach jedem Prozess und vergleicht dann die PE-Header im Speicher mit den PE-Headern im Prozess Bildpfad. Laut den Entwicklern ist dies eine sehr einfache und effiziente Methode. Es gibt viele kommerzielle Antivirus-Programme, die diese Art von Scan durchführen können, aber der RunPE-Detektor von Phrozen ist ein eigenständiges Tool, um solche Scans manuell durchzuführen. Dieses Sicherheitsprogramm wurde gegen zahlreiche häufig verwendete Arten von Malware getestet, und die Erkennungsraten waren sehr genau.

1. Kann es zum Entfernen von Malware verwendet werden?

Dieses Programm bietet den Benutzern die Möglichkeit, jegliche Malware zu entfernen es erkennt. Auch wenn es ratsam ist, sich nicht vollständig darauf zu verlassen. Wenn Sie ein Problem finden, wäre es eine gute Idee, eine Antiviren-Engine mit voller Stärke zur Untersuchung zu verwenden. Es kann sehr nützlich sein, um speicherresidente Malware wie dateilose Malware zu erkennen.

1. Was es nicht macht

RunPE Detector identifiziert die entführten Prozesse leicht, indem es alle Anwendungsdateien im System scannt und dann seine PE-Header mit einem vergleicht Laufender Prozess zur Erkennung des Infektionsortes. Aber es identifiziert die Host-Standorte nicht, wenn der bösartige Code mit einem Malware-Packer oder Crypter geladen wird. Dies ist ein Grund, warum die Phrozen-Entwickler empfohlen haben, eine kommerzielle Antivirus-Lösung zu verwenden, um die Malware zu entfernen.

Final Verdict

Weil die RunPE-Technik bei RATs, Trojanern, Backdoors Crypters und Packern mit RunPE Detector so gebräuchlich ist ein intelligenter Ansatz, um sicherzustellen, dass Ihr System frei von den schädlichsten Arten von Malware ist.

RunPE ist immer noch ein üblicher Angriffstyp, und als Phrozen RunPE Detector ist eine kompakte, portable und schnurlose Lösung. Wir empfehlen Ihnen daher, eine Kopie dieses Sicherheits-Toolkits zu verwenden.

Der Phrozen RunPE Detector erkennt Prozesse, die mit RunPE kompromittiert sind, nur, wenn sie 32-Bit-fähig sind. Es ist kompatibel mit 64-Bit-Systemen, kann aber derzeit keine Scans ausführen, anscheinend wird bald ein 64-Bit-Scan kommen.