ตัวตรวจจับ RunPE: ตรวจจับมัลแวร์ในหน่วยความจำ RATs, Backdoors Crypters, Packers

มัลแวร์(Malware)ใช้กลอุบายหลายอย่างเพื่อซ่อนกระบวนการRunPEเป็นหนึ่งในตัวอย่างทั่วไปของสิ่งเดียวกัน เทคนิคโดยทั่วไปเกี่ยวข้องกับการเริ่มต้นกระบวนการที่รู้จักและเชื่อถือได้อาจเป็นExplorer.exeในสถานะที่ถูกระงับ จากนั้นจะแทนที่โค้ดด้วยโค้ดของมัลแวร์เอง และในที่สุดก็เริ่มต้นขึ้น การเรียกใช้เครื่องมือเช่นProcess Explorerอาจไม่ประสบความสำเร็จในการตรวจจับกระบวนการที่เป็นอันตรายเสมอไป Phrozen RunPE Detectorเป็นซอฟต์แวร์ฟรีที่ออกแบบมาเป็นพิเศษเพื่อตรวจจับและกำจัดกระบวนการที่น่าสงสัยบางอย่างเช่นนี้

RunPE Detector สำหรับ Windows

เครื่องตรวจจับ RunPE

  1. มันคืออะไร(What it is)

พูดง่ายๆ ก็คือPhrozen RunPE Detectorสามารถใช้ตรวจจับ มัลแวร์ Fileless , RATs , โทรจัน(Trojans) , Backdoors Crypters , Packersและมัลแวร์ที่อยู่ในหน่วยความจำบนคอมพิวเตอร์Windows โดยทั่วไปจะสแกนส่วนหัวของกระบวนการของคุณในหน่วยความจำแล้วเปรียบเทียบกับภาพดิสก์ เคล็ดลับอาจฟังดูง่ายเกินไปที่จะเชื่อ แต่ก็ใช้ได้ผล หากRunPE ใช้ประโยชน์จากกระบวนการ ก็ควรมีความแตกต่าง และคุณจะเห็นการแจ้งเตือน

  1. มันทำงานอย่างไร(How it works)

RunPE Detectorตรวจจับและเอาชนะการโจมตีจากการแฮ็กที่ใช้ เทคนิค RunPEเพื่อแพร่ระบาดในระบบของคุณด้วยวิธีใดวิธีหนึ่งดังต่อไปนี้:

  • บายพาสไฟร์วอลล์: เทคนิคนี้จะข้ามหรือปิดใช้งานกฎไฟร์วอลล์หรือไฟร์วอลล์ของแอปพลิเคชันของคุณ
  • Malware packer หรือ crypter: เทคนิคนี้ใช้เพื่อแกะหรือถอดรหัสมัลแวร์ในหน่วยความจำและใส่ลงในกระบวนการของแท้โดยไม่ต้องเขียนลงในแผ่นดิสก์ ซึ่งสามารถค้นพบและบล็อกได้
  1. มันทำอะไร(What it Does)

Phrozen RunPE Detectorจะสแกนส่วนหัว PE สำหรับทุกกระบวนการ จากนั้นจึงเปรียบเทียบส่วนหัว PE ในหน่วยความจำกับส่วนหัว PE ในเส้นทางอิมเมจของกระบวนการ ตามที่นักพัฒนากล่าว นี่เป็นวิธีการที่ง่ายและมีประสิทธิภาพมาก มีโปรแกรมแอนตี้ไวรัสเชิงพาณิชย์มากมายที่มีความสามารถในการสแกนประเภทนี้ แต่RunPE Detector ของ Phrozen เป็นเครื่องมือแบบสแตนด์อโลนสำหรับการสแกนด้วยตนเอง โปรแกรมความปลอดภัยนี้ได้รับการทดสอบกับมัลแวร์ที่ใช้กันทั่วไปหลายประเภท และอัตราการตรวจจับมีความแม่นยำสูง

  1. สามารถใช้เพื่อลบมัลแวร์ได้หรือไม่?(Can it be used to remove malware?)

โปรแกรมนี้ให้ตัวเลือกแก่ผู้ใช้ในการลบมัลแวร์ที่ตรวจพบ แม้ว่าจะไม่แนะนำให้พึ่งพาอย่างสมบูรณ์ หากคุณพบปัญหา การใช้เอ็นจิ้นการป้องกันไวรัสแบบเต็มกำลังเพื่อตรวจสอบจะเป็นความคิดที่ดี อาจมีประโยชน์มากในการตรวจจับมัลแวร์ที่มีหน่วยความจำ เช่น มัลแว ร์Fileless(Fileless malware)

  1. มันไม่ได้ทำอะไร(What it does not do)

RunPE Detectorระบุกระบวนการที่ถูกแย่งชิงได้อย่างง่ายดายโดยการสแกนไฟล์แอปพลิเคชันทั้งหมดในระบบ จากนั้นจึงเปรียบเทียบส่วนหัว PE กับกระบวนการที่ทำงานอยู่เพื่อตรวจหาจุดติดไวรัส แต่ไม่ได้ระบุตำแหน่งของโฮสต์เมื่อโค้ดที่เป็นอันตรายถูกโหลดด้วยมัลแวร์แพ็คเกอร์หรือตัวเข้ารหัส นี่เป็นเหตุผลหนึ่งที่นักพัฒนา Phrozen แนะนำให้ใช้โซลูชันแอนตี้ไวรัสเชิงพาณิชย์เพื่อกำจัดมัลแวร์

คำตัดสินสุดท้าย(Final Verdict)

เนื่องจาก เทคนิค RunPEมักใช้กับRATs , โทรจัน(Trojans) , Backdoors Cryptersและ Packers โดยใช้RunPE Detectorเป็นวิธีที่ชาญฉลาดเพื่อให้แน่ใจว่าระบบของคุณปราศจากมัลแวร์ประเภทที่เป็นอันตรายที่สุด

RunPEยังคงเป็นประเภทการโจมตีทั่วไป และเนื่องจากPhrozen RunPE Detectorเป็นโซลูชันฟรีที่มีขนาดกะทัดรัด พกพาได้ และไม่มีข้อผูกมัด ดังนั้น เราขอแนะนำให้คุณหยิบสำเนาชุดเครื่องมือความปลอดภัยนี้จากwww.phrozen.io

Phrozen RunPE Detectorตรวจพบกระบวนการที่บุกรุก RunPE เฉพาะในกรณีที่เป็นแบบ 32 บิต มันเข้ากันได้กับระบบ 64 บิต แต่ไม่สามารถเรียกใช้การสแกนได้ในขณะนี้ เห็นได้ชัดว่าการสแกน 64 บิตกำลังจะมาในไม่ช้า



อดิเทพ ตะลุมพุก

About the author

ฉันเป็นผู้เชี่ยวชาญ Windows 10 ที่ได้รับการแนะนำเป็นอย่างยิ่ง และฉันเชี่ยวชาญในการช่วยเหลือผู้คนในการปรับแต่งรูปลักษณ์ของคอมพิวเตอร์และทำให้เครื่องมือ Office ของพวกเขาใช้งานง่ายขึ้น ฉันใช้ทักษะของฉันเพื่อช่วยให้ผู้อื่นค้นพบวิธีที่มีประสิทธิภาพที่สุดในการทำงานกับ Microsoft Office รวมถึงวิธีจัดรูปแบบข้อความและกราฟิกสำหรับการพิมพ์ออนไลน์ วิธีสร้างธีมที่กำหนดเองสำหรับ Outlook และแม้กระทั่งวิธีปรับแต่งรูปลักษณ์ของแถบงานบนเดสก์ท็อป คอมพิวเตอร์.


Related posts