目次:
RunPE は同じものの一般的な例の1つです。この手法は、基本的に既知の信頼できるプロセスを開始することを含み、 Explorer.exe はサスペンド状態です。次に、コードをマルウェア自身のコードに置き換えます。そして最後に、それを始める。プロセスエクスプローラのような実行ツールは、悪意のあるプロセスの検出に成功するとは限りません。腐食性RunPE検出器は、これらのような疑わしいプロセスを検出して敗北させるために特別に設計されたフリーソフトウェアです。 Windows用RunPE検出器
概要
- 簡単な言葉で言えば、 Windowsコンピュータ上のFilelessマルウェア、RAT、トロイの木馬、バックドアクリプタ、パッカ、メモリ常駐マルウェアを検出します。基本的には、プロセス内のヘッダーをメモリ上でスキャンし、ディスクイメージと比較します。このトリックは信じがたいほど簡単かもしれないが、うまくいく。
動作原理
- RunPE Detectorは、RunPEテクニックを使用するハッキング攻撃を検出して敗北させ、どちらかでシステムを感染させます
ファイアウォールバイパス:ファイアウォールまたはアプリケーションのファイアウォールルールをバイパスまたは無効にする
- マルウェアパッカーまたはクライター:この技術は、メモリ内のマルウェアを解凍または復号化し、それを本物のものにするために使用されます
- 動作原理
- 凍結されたRunPE検出器は、プロセスごとにPEヘッダーをスキャンし、メモリ内のPEヘッダーをプロセスのPEヘッダーと比較します画像パス。開発者によると、これは非常に簡単で効率的な方法です。この種のスキャンを実行する機能を備えた市販のウイルス対策プログラムが数多くありますが、PhrozenのRunPE Detectorはこのようなスキャンを手動で実行するスタンドアロンのツールです。このセキュリティプログラムは、一般的に使用されているマルウェアの多くに対してテストされており、検出率は非常に正確です。
マルウェアの削除に使用できますか?
- このプログラムは、マルウェアそれが検出されます。それに完全に頼るのはお勧めできませんが。問題が見つかった場合は、完全な強度のウイルス対策エンジンを使って調査することをお勧めします。
実行しないことRun99 Detectorは、システム内のすべてのアプリケーションファイルをスキャンしてハイジャックされたプロセスを簡単に識別し、そのPEヘッダーをaと比較します。感染点を検出するための実行中のプロセス。しかし、悪意のあるコードにマルウェアパッカーやクライターが搭載されている場合、ホストの場所を特定することはできません。これは、Phrozen開発者が市販のウイルス対策ソリューションを使用してマルウェアを削除することを推奨している理由の1つです。
- 最終判定
RunPE検出技術を使用するRAT、トロイの木馬、Backdoor Crypter、
RunPEは依然として一般的な攻撃タイプであり、Phrozen RunPE Detectorはコンパクトで移植性があり、文字列を含まないソリューションであるため、スマートなアプローチでシステムに最も破壊的なマルウェアが存在しないことを保証します。
このセキュリティツールキットのコピー
を取得することをお勧めします。 Phrozen RunPE Detectorは、RunPEに感染したプロセスが32ビットの場合にのみ検出します。これは64ビットシステムと互換性がありますが、現在スキャンを実行することはできませんが、64ビットスキャンがすぐに実行されるようです。