Detector RunPE: Detectar malware residente na memória, RATs, Crypters backdoors, Packers

O malware usa vários truques para ocultar seu processo, RunPE é um dos exemplos comuns do mesmo. A técnica envolve basicamente iniciar um processo conhecido e confiável pode ser Explorer.exe em um estado suspenso. Em seguida, substitui seu código pelo código do malware. E finalmente, inicia-se. A execução de ferramentas como o Process Explorer pode nem sempre ser bem-sucedida na detecção do processo mal-intencionado. Phrozen RunPE Detector é um software gratuito que foi especialmente projetado para detectar e derrotar alguns processos suspeitos como estes.

Detector RunPE para Windows

1. O que é

Colocando em palavras simples, Phrozen RunPE Detector pode ser usado para detectar malware sem arquivos, RATs, cavalos de Tróia, criptografia backdoors, packers e malware residente na memória em computadores Windows. Basicamente, escaneia os cabeçalhos dos seus processos na memória e compara-os às suas imagens de disco. O truque pode parecer simples demais para acreditar, mas funciona. Se um processo tiver sido explorado pelo RunPE, deverá haver uma diferença, e você verá um alerta

1. Como ele funciona

O RunPE Detector detecta e derrota ataques de hackers que usam as técnicas do RunPE para infectar o sistema em das seguintes maneiras:

• Ignorar o firewall: essa técnica ignora ou desabilita as regras do firewall ou do firewall do aplicativo
• Malware packer or crypter: Essa técnica é usada para descompactar ou descriptografar o malware na memória e colocá-lo em um arquivo genuíno. processo sem gravá-lo no disco, onde ele pode ser descoberto e bloqueado

1. O que ele faz

Phrozen RunPE Detector verifica os cabeçalhos PE em cada processo e compara os cabeçalhos PE na memória com os cabeçalhos PE no processo caminho da imagem. Segundo os desenvolvedores, esse é um método muito simples e eficiente. Existem muitos programas antivírus comerciais disponíveis, que têm a capacidade de realizar esse tipo de verificação, mas o RunPE Detector da Phrozen é uma ferramenta independente para executar tais varreduras manualmente. Este programa de segurança foi testado contra vários tipos de malware comumente usados, e as taxas de detecção foram altamente precisas.

1. Pode ser usado para remover malware?

Este programa oferece aos usuários a opção de remover qualquer malware ele detecta. Mesmo que seja aconselhável não confiar nele completamente. Se você encontrar um problema, usar um mecanismo antivírus completo para investigar seria uma boa ideia. Ele pode ser muito útil na detecção de malware residente na memória, como o malware Fileless.

1. O que ele não faz

O RunPE Detector identifica facilmente os processos seqüestrados, verificando todos os arquivos do aplicativo no sistema e comparando seus cabeçalhos PE com um. processo em execução para detectar o ponto de infecção. Mas ele não identifica os locais do host quando o código malicioso é carregado com um empacotador de malware ou crypter. Esse é um motivo pelo qual os desenvolvedores da Phrozen recomendaram o uso de uma solução antivírus comercial para remover o malware.

Veredicto final

Como a técnica RunPE é tão comumente usada com RATs, Cavalos de Tróia, Backdoors Crypters e Packers usando o RunPE Detector uma abordagem inteligente para garantir que seu sistema esteja livre dos tipos mais destrutivos de malware

O RunPE ainda é um tipo de ataque comum e, como Phrozen RunPE Detector, é uma solução compacta, portátil e sem sequências. Portanto, recomendamos que você obtenha uma cópia deste kit de ferramentas de segurança.

O Phrozen RunPE Detector detecta processos comprometidos com RunPE somente se eles forem de 32 bits. Ele é compatível com sistemas de 64 bits, mas não pode executar varreduras atualmente; aparentemente, a varredura de 64 bits virá em breve.