RunPE Detector: شناسایی بدافزارهای مقیم حافظه، RATها، رمزارزهای Backdoors، Packers

بدافزار(Malware) از تعدادی ترفند برای پنهان کردن فرآیند خود استفاده می کند، RunPE یکی از نمونه های رایج آن است. این تکنیک اساساً شامل شروع یک فرآیند شناخته شده و قابل اعتماد ممکن است Explorer.exe در حالت تعلیق باشد. سپس کد خود را با کد خود بدافزار جایگزین می کند. و در نهایت آن را راه اندازی می کند. ابزارهای در حال اجرا مانند Process Explorer ممکن است همیشه در شناسایی فرآیند مخرب موفق نباشند. Phrozen RunPE Detector یک نرم افزار رایگان است که به طور ویژه برای شناسایی و شکست برخی از فرآیندهای مشکوک مانند این طراحی شده است.

RunPE Detector برای ویندوز

آشکارساز RunPE

  1. آنچه هست(What it is)

به عبارت ساده تر، آشکارساز RunPE Phrozen(Phrozen RunPE Detector) را می توان برای شناسایی بدافزارهای بدون فایل(Fileless) ، RAT(RATs) ها ، تروجان ها(Trojans) ، رمزارزهای Backdoors(Backdoors Crypters) ، Packers و بدافزارهای مقیم حافظه در رایانه های ویندوزی(Windows) استفاده کرد. اساساً هدرهای فرآیندهای شما را در حافظه اسکن می کند و سپس آنها را با تصاویر دیسک خود مقایسه می کند. ممکن است این ترفند خیلی ساده به نظر برسد، اما کار می کند. اگر یک فرآیند توسط RunPE مورد سوء استفاده قرار گرفته باشد ، باید تفاوتی وجود داشته باشد و شما یک هشدار را مشاهده خواهید کرد.

  1. چگونه کار می کند(How it works)

RunPE Detector حملات هک‌هایی را که از تکنیک‌های RunPE برای آلوده کردن سیستم شما به یکی از روش‌های زیر استفاده می‌کنند، شناسایی و شکست می‌دهد:

  • دور زدن فایروال: این تکنیک قوانین فایروال یا برنامه کاربردی شما را دور زده یا غیرفعال می کند.
  • بسته‌کننده بدافزار(Malware) یا رمزگذار: این تکنیک برای بازکردن یا رمزگشایی بدافزار در حافظه و قرار دادن آن در یک فرآیند واقعی بدون نوشتن روی دیسک، جایی که می‌توان آن را کشف و مسدود کرد، استفاده می‌شود.
  1. چکار میکند(What it Does)

آشکارساز Phrozen RunPE(Phrozen RunPE Detector) سرصفحه های PE را برای هر فرآیند اسکن می کند و سپس هدرهای PE موجود در حافظه را با هدرهای PE در مسیر تصویر فرآیند مقایسه می کند. به گفته توسعه دهندگان، این یک روش بسیار ساده و کارآمد است. آنتی ویروس های تجاری زیادی وجود دارند که توانایی انجام این نوع اسکن را دارند، اما آشکارساز RunPE(RunPE Detector) Phrozen یک ابزار مستقل برای انجام این گونه اسکن ها به صورت دستی است. این برنامه امنیتی در برابر انواع مختلفی از بدافزارهای رایج مورد استفاده قرار گرفته است و نرخ تشخیص بسیار دقیق بوده است.

  1. آیا می توان از آن برای حذف بدافزار استفاده کرد؟(Can it be used to remove malware?)

این برنامه به کاربران این امکان را می دهد که هر بدافزاری را که شناسایی می کند حذف کنند. اگرچه توصیه می شود به طور کامل به آن اعتماد نکنید. اگر مشکلی پیدا کردید، استفاده از یک موتور آنتی ویروس با قدرت کامل برای بررسی، ایده خوبی خواهد بود. این می تواند در شناسایی بدافزارهای مقیم حافظه مانند بدافزار Fileless(Fileless malware) بسیار مفید باشد .

  1. کاری که انجام نمی دهد(What it does not do)

RunPE Detector به راحتی فرآیندهای ربوده شده را با اسکن تمام فایل های برنامه در سیستم شناسایی می کند و سپس هدرهای PE آنها را با یک فرآیند در حال اجرا برای تشخیص نقطه آلودگی مقایسه می کند. اما وقتی کد مخرب با بسته‌کننده بدافزار یا رمزگذار بارگیری می‌شود، مکان‌های میزبان را شناسایی نمی‌کند. این یکی از دلایلی است که توسعه دهندگان Phrozen استفاده از یک راه حل آنتی ویروس تجاری را برای حذف بدافزار توصیه کرده اند.

حکم نهایی(Final Verdict)

از آنجایی که تکنیک RunPE معمولاً با RAT(RATs) ها ، تروجان‌ها(Trojans) ، کریپترهای Backdoors(Backdoors Crypters) و Packerهایی که از RunPE Detector استفاده می‌کنند، استفاده می‌شود ، یک رویکرد هوشمندانه برای اطمینان از اینکه سیستم شما عاری از مخرب‌ترین انواع بدافزار است.

RunPE هنوز یک نوع حمله رایج است و به عنوان آشکارساز Phrozen RunPE(Phrozen RunPE Detector) یک راه حل فشرده، قابل حمل و بدون رشته است. بنابراین، توصیه می کنیم یک کپی از این جعبه ابزار امنیتی را از www.phrozen.io تهیه(www.phrozen.io) کنید.

آشکارساز Phrozen RunPE(Phrozen RunPE Detector) فرآیندهای در معرض خطر RunPE را تنها در صورتی تشخیص می دهد که 32 بیتی باشند. با سیستم های 64 بیتی سازگار است، اما در حال حاضر نمی تواند اسکن ها را اجرا کند، ظاهراً اسکن 64 بیتی قرار است به زودی وارد شود.



قلندر حیاتی

About the author

من یک توسعه دهنده ماهر iOS با بیش از دوازده سال تجربه هستم. من روی هر دو پلتفرم iPhone و iPad کار کرده‌ام و می‌دانم چگونه برنامه‌ها را با استفاده از آخرین فناوری‌های اپل ایجاد و سفارشی‌سازی کنم. علاوه بر مهارت‌هایم به‌عنوان توسعه‌دهنده aiOS، تجربه قوی در استفاده از Adobe Photoshop و Illustrator و همچنین توسعه وب از طریق چارچوب‌هایی مانند WordPress و Laravel دارم.


Related posts