RunPE Detector Rileva malware residenti in memoria, RAT, Crypters backdoor, Packer

Il malware utilizza una serie di trucchi per nascondere il proprio processo, RunPE è uno degli esempi comuni dello stesso. La tecnica consiste fondamentalmente nell'avvio di un processo noto e affidabile Explorer.exe in uno stato sospeso. Quindi sostituisce il suo codice con il codice del malware. E infine, lo avvia. L'esecuzione di strumenti come Process Explorer potrebbe non riuscire sempre a rilevare il processo dannoso. Phrozen RunPE Detector è un software gratuito appositamente progettato per rilevare e sconfiggere alcuni processi sospetti come questi.

RunPE Detector per Windows

1. Cos'è

In parole semplici, Phrozen RunPE Detector può essere utilizzato per rilevare malware senza file, RAT, Trojan, Crypters backdoor, packer e malware residenti in memoria su computer Windows. Fondamentalmente esegue la scansione delle intestazioni dei processi in memoria e quindi le confronta con le immagini del disco. Il trucco potrebbe sembrare troppo semplice da credere, ma funziona. Se un processo è stato sfruttato da RunPE, dovrebbe esserci una differenza e verrà visualizzato un avviso.

2. Come funziona

RunPE Detector rileva e sconfigge gli attacchi di hacking che utilizzano le tecniche RunPE per infettare il sistema in uno dei seguenti modi:

• Bypass del firewall: questa tecnica aggira o disabilita il firewall o le regole del firewall dell'applicazione.
• Malware packer o crypter: questa tecnica viene utilizzata per decomprimere o decrittografare il malware in memoria e per inserirlo in un processo autentico senza scriverlo sul disco, dove può essere scoperto e bloccato.

3. Cosa fa

Phrozen RunPE Detector analizza le intestazioni PE per ogni processo e quindi confronta le intestazioni PE in memoria con le intestazioni PE nel percorso dell'immagine del processo. Secondo gli sviluppatori, questo è un metodo molto semplice ed efficiente. Sono disponibili molti programmi antivirus commerciali, che hanno la capacità di eseguire questo tipo di scansione, ma RunPE Detector di Phrozen è uno strumento autonomo per eseguire manualmente tali scansioni. Questo programma di sicurezza è stato testato contro numerosi tipi di malware di uso comune e i tassi di rilevamento sono stati estremamente accurati.

4. Può essere utilizzato per rimuovere malware?

Questo programma offre agli utenti la possibilità di rimuovere qualsiasi malware rilevato. Anche se è consigliabile non fare affidamento su di esso completamente. Se trovi un problema, utilizzare un motore antivirus a piena potenza per indagare, sarebbe una buona idea. Potrebbe essere molto utile per rilevare malware residente in memoria come il malware senza file.

5. Cosa non fa

RunPE Detector identifica facilmente i processi dirottati analizzando tutti i file dell'applicazione nel sistema e quindi confronta le loro intestazioni PE con un processo in esecuzione per rilevare il punto di infezione. Ma non identifica le posizioni host quando il codice dannoso viene caricato con un malware packer o crypter. Questo è uno dei motivi per cui gli sviluppatori Phrozen hanno consigliato di utilizzare una soluzione antivirus commerciale per rimuovere il malware.

Verdetto finale

Poiché la tecnica RunPE è così comunemente utilizzata con RAT, Trojan, Backdoor Crypters e Packer che utilizzano RunPE Detector è un approccio intelligente per garantire che il tuo sistema sia privo dei tipi più distruttivi di malware.

RunPE è ancora un tipo di attacco comune e poiché Phrozen RunPE Detector è una soluzione compatta, portatile e senza stringhe. Quindi, ti consigliamo prendi una copia di questo toolkit per la sicurezza.

Phrozen RunPE Detector rileva i processi compromessi da RunPE solo se sono a 32 bit. È compatibile con i sistemi a 64 bit, ma attualmente non può eseguire scansioni, a quanto pare la scansione a 64 bit arriverà presto.