Android

Detector RunPE: Detectare malware rezidentă în memorie, RATs, criptare backdoor, Packers

Glorii din cer

Glorii din cer

Cuprins:

Anonim

Malware utilizează mai multe trucuri pentru a-și ascunde procesul, RunPE este unul dintre exemplele comune ale aceluiași. Tehnica implică în principiu pornirea unui proces cunoscut, iar procesul de încredere poate fi Explorer.exe într-o stare suspendată. Apoi înlocuiește codul său cu codul propriu-zis al malware-ului. Și în cele din urmă, o pornește. Instrumentele de rulare, cum ar fi Process Explorer, pot să nu aibă întotdeauna succes în detectarea procesului rău intenționat. Phicken RunPE Detector este un software gratuit care a fost special conceput pentru a detecta și a învinge unele procese suspecte ca acestea.

Detector RunPE pentru Windows

  1. Ce este

Cu cuvinte simple, detectorul RunPE poate fi utilizat pentru a detecta malware-ul fără fișiere, RAT-uri, troieni, criptatoare Backdoor, Packere și malware rezident de memorie pe computerele Windows. În principiu, scanează anteturile proceselor în memorie și apoi le compară cu imaginile lor pe disc. Trucul ar putea suna prea simplu pentru a crede, dar funcționează. Dacă un proces a fost exploatat de RunPE, atunci ar trebui să existe o diferență și veți vedea o alertă.

  1. Cum funcționează

Detectorul RunPE detectează și învinge atacurile de hacking care utilizează tehnicile RunPE pentru a infecta sistemul dvs. fie în din următoarele modalități:

  • Bypass firewall: Această tehnică ocolește sau dezactivează firewall-ul sau regulile de firewall pentru aplicații.
  • Malware-Packer sau crypter: Această tehnică este folosită pentru a dezambala sau decripta malware-ul din memorie și pentru ao plasa într- fără a fi scris pe disc, unde poate fi descoperit și blocat.
  1. Detectorul detectează că detectorul detectează anteturile PE pentru fiecare proces și apoi compară anteturile PE în memorie cu anteturile PE în proces calea imaginii. Potrivit dezvoltatorilor, aceasta este o metodă foarte simplă și eficientă. Există multe programe comerciale antivirus disponibile, care au capacitatea de a efectua acest tip de scanare, dar Detectorul RunPEFrog este un instrument independent pentru a efectua astfel de scanări manual. Acest program de securitate a fost testat împotriva numeroaselor tipuri de malware frecvent utilizate, iar ratele de detecție au fost foarte exacte.

Poate fi folosit pentru a elimina programele malware?

  1. Acest program oferă utilizatorilor opțiunea de a elimina orice program malware detectează. Chiar dacă este recomandabil să nu se bazeze complet pe el. Dacă găsiți o problemă, folosirea unui motor antivirus cu putere completă pentru a investiga, ar fi o idee bună. Aceasta ar putea fi foarte utilă în detectarea malware-ului rezident în memorie, cum ar fi malware-ul Fileless.

Ceea ce nu face

  1. Detectorul RunPE identifică cu ușurință procesele deturnate scanând toate fișierele aplicației din sistem și apoi compară anteturile lor PE pentru a detecta punctul de infectare. Dar nu identifică locațiile gazdă atunci când codul rău intenționat este încărcat cu un pachet de programe malware sau criptoare. Acesta este motivul pentru care dezvoltatorii Phrozen au recomandat utilizarea unei soluții comerciale antivirus pentru a elimina malware-ul.

Final Verdict

Deoarece tehnica RunPE este atât de frecvent utilizată cu RAT-urile, Trojans, Crypters backdoor și Packers folosind Detector RunPE este o abordare inteligentă pentru a vă asigura că sistemul dvs. este liber de cele mai distrugătoare tipuri de malware.

RunPE este încă un tip comun de atac, iar detectorul PhROP RunPE este o soluție gratuită compactă, portabilă și fără șir. Așadar, vă recomandăm să

apuca o copie a acestui set de instrumente de securitate. Detectorul detecției RunPE detectează procesele compromise RunPE numai dacă acestea sunt pe 32 de biți. Este compatibil cu sistemele pe 64 de biți, dar nu poate rula în prezent, scanarea aparentă pe 64 de biți va veni în curând.

Unități de stare sau SSD-uri sunt dispozitive de stocare care utilizează cipuri de memorie flash pentru a stoca date, în loc de plăcile magnetice găsite în unitățile de disc. Chipsurile de memorie flash oferă mai multe avantaje față de hard disk-urile; ei folosesc mai puțină putere și, deoarece nu au părți în mișcare, nu sunt predispuși la defecțiuni mecanice. Pe de altă parte, chips-urile flash sunt mai scumpe decât plăcile magnetice, ceea ce înseamnă că SSD-urile costă mai mult decât discurile

Unități de stare sau SSD-uri sunt dispozitive de stocare care utilizează cipuri de memorie flash pentru a stoca date, în loc de plăcile magnetice găsite în unitățile de disc. Chipsurile de memorie flash oferă mai multe avantaje față de hard disk-urile; ei folosesc mai puțină putere și, deoarece nu au părți în mișcare, nu sunt predispuși la defecțiuni mecanice. Pe de altă parte, chips-urile flash sunt mai scumpe decât plăcile magnetice, ceea ce înseamnă că SSD-urile costă mai mult decât discurile

SSD-urile 128G-byte și 64G-byte ale Samsung sunt disponibile în 1.8- inch care se potrivesc unei game de dispozitive. De asemenea, SSD-urile cu capacități de 32G octeți și 64G bytes.Pricing pentru unitățile de 128G-byte nu au fost disponibile imediat.

FeRAM este un tip relativ nou de memorie care combină viteza cipurilor DRAM, care sunt cel mai frecvent utilizate ca memorie principală în computere , și capacitatea de a păstra datele în timp ce alimentarea este oprită, cum ar fi cipurile de memorie flash utilizate în telefoanele mobile, camerele foto și alte dispozitive gadget. A fost dezvoltata de-a lungul anilor, dar nu a mai fost inca o productie la scara larga.

FeRAM este un tip relativ nou de memorie care combină viteza cipurilor DRAM, care sunt cel mai frecvent utilizate ca memorie principală în computere , și capacitatea de a păstra datele în timp ce alimentarea este oprită, cum ar fi cipurile de memorie flash utilizate în telefoanele mobile, camerele foto și alte dispozitive gadget. A fost dezvoltata de-a lungul anilor, dar nu a mai fost inca o productie la scara larga.

Noul cip, care va fi detaliat la Conferinta Internationala a Circuitelor Solid State State (ISSCC) din San Francisco, are o capacitate de 16MB si o citire / viteza de scriere de 1,6 GB pe secundă. Toshiba a detaliat ultimul său progres FeRAM în 2006, când a avut un cip de 4MB care a reușit transferul de date de 200MBps.

ÎN testele de detectare a malware-ului AV-Test.org, programul a blocat 98,2% din probele dintr-un malware "zoo" format din aproximativ jumătate de milion de fișiere. Avast nu a fost suficient pentru cei mai buni, Avira AntiVir Personal și Panda Cloud Antivirus, dar este încă o prezentare bună. Avast nu a procedat la fel de bine în testele de detecție proactivă, care simulează cât de bine ar fi un program împotriva malware-ului nou și necunoscut: ratele de captură de 46,1% (semnături ve

ÎN testele de detectare a malware-ului AV-Test.org, programul a blocat 98,2% din probele dintr-un malware "zoo" format din aproximativ jumătate de milion de fișiere. Avast nu a fost suficient pentru cei mai buni, Avira AntiVir Personal și Panda Cloud Antivirus, dar este încă o prezentare bună. Avast nu a procedat la fel de bine în testele de detecție proactivă, care simulează cât de bine ar fi un program împotriva malware-ului nou și necunoscut: ratele de captură de 46,1% (semnături ve

Aplicația a fost relativ agilă la scanările la cerere (pe care le porniți manual) și scanările la acces (care apar automat atunci când salvați sau utilizați un fișier), plasând al doilea în fiecare test (în spatele lui Avira în ambele cazuri). În cazul dezinfecției, Avast aproape a reușit să se potrivească cu performanții de top (Avira și Microsoft Security Essentials), detectând și dezactivând 90% din rootkiturile utilizate în testele noastre. Cu toate acestea, toate cele trei aplicații au lăsa