RunPE Detector: Detect Geheugen-resident malware, RAt`s, Backdoors Crypters, Packers

Malware gebruikt een aantal trucs om het proces te verbergen, RunPE is een van de meest voorkomende voorbeelden van hetzelfde. De techniek houdt in dat het starten van een bekend en vertrouwd proces mogelijk Explorer.exe in een onderbroken status is. Vervolgens wordt de code vervangen door de eigen code van de malware. En tot slot, start het op. Draaitools zoals de Process Explorer zijn mogelijk niet altijd succesvol in het detecteren van het schadelijke proces. Phrozen RunPE Detector is een gratis software die speciaal is ontworpen om sommige verdachte processen zoals deze te detecteren en te verslaan.

RunPE-detector voor Windows

1. Wat het is

Eenvoudig gezegd, Phrozen RunPE Detector kan worden gebruikt om detecteer Fileless-malware, RAt`s, Trojaanse paarden, Backdoors Crypters, Packers en interne geheugen-malware op Windows-computers. Het scant in feite de headers van uw processen in het geheugen en vergelijkt ze vervolgens met hun schijfimages. De truc klinkt misschien te simpel om te geloven, maar het werkt. Als een proces door RunPE is uitgebuit, zou er een verschil moeten zijn en zou u een waarschuwing zien.

1. Hoe het werkt

RunPE Detector detecteert en verslaat hack-aanvallen die de RunPE-technieken gebruiken om uw systeem in beide te infecteren op de volgende manieren:

• Firewall-bypass: deze techniek omzeilt of deactiveert firewall- of toepassingsfirewallregels.
• Malware-packer of crypter: deze techniek wordt gebruikt om de malware in het geheugen uit te pakken of te decoderen en om deze in een echte proces zonder het te schrijven naar de schijf, waar het kan worden ontdekt en geblokkeerd.

1. Wat het doet

Phrozen RunPE Detector scant de PE-headers voor elk proces en vergelijkt vervolgens de PE-headers in het geheugen met de PE-headers in het proces afbeeldingspad. Volgens de ontwikkelaars is dit een zeer eenvoudige en efficiënte methode. Er zijn veel commerciële antivirusprogramma`s beschikbaar die de mogelijkheid hebben om dit soort scan uit te voeren, maar de RunPE-detector van Phrozen is een op zichzelf staande tool voor het handmatig uitvoeren van dergelijke scans. Dit beveiligingsprogramma is getest op tal van veelgebruikte typen malware en de detectiepercentages zijn zeer nauwkeurig.

1. Kan het worden gebruikt om malware te verwijderen?

Dit programma biedt de gebruikers de mogelijkheid om welke malware dan ook te verwijderen het detecteert. Hoewel het raadzaam is om er niet volledig op te vertrouwen. Als u een probleem vindt, is het een goed idee om een ​​antivirusengine met volledige sterkte te gebruiken om te onderzoeken. Het kan erg handig zijn bij het detecteren van geheugen-residente malware zoals Fileless-malware.

1. Wat het niet doet

RunPE-detector identificeert eenvoudig de gekaapte processen door alle toepassingsbestanden in het systeem te scannen en vergelijkt vervolgens hun PE-headers met een draaiend proces om het punt van infectie te detecteren. Maar het identificeert de hostlocaties niet wanneer de schadelijke code is geladen met een malware-packer of crypter. Dit is een reden waarom de Phrozen-ontwikkelaars hebben aanbevolen om een ​​commerciële antivirusoplossing te gebruiken om de malware te verwijderen.

Final Vonnis

Omdat de RunPE-techniek zo vaak wordt gebruikt met RAt`s, Trojaanse paarden, Backdoors Crypters en Packers die RunPE Detector gebruiken is een slimme aanpak om ervoor te zorgen dat uw systeem vrij is van de meest destructieve soorten malware.

RunPE is nog steeds een veelvoorkomend aanvalstype en als Phrozen RunPE Detector is dit een compacte, draagbare en no-stringsvrije oplossing. We raden u dus aan een exemplaar van deze beveiligingstoolkit te nemen.

Phrozen RunPE Detector detecteert alleen processen met RunPE als deze 32-bits zijn. Het is compatibel met 64-bit systemen, maar het kan momenteel geen scans uitvoeren, blijkbaar gaat 64-bits scannen binnen.