目录:
恶意软件使用一些技巧来隐藏其进程, RunPE 是相同的常见示例之一。该技术基本上涉及启动一个已知的,受信任的进程可能是 Explorer.exe 处于挂起状态。然后用恶意代码自己的代码替换它的代码。最后,启动它。像Process Explorer这样的运行工具可能并不总是成功地检测到恶意进程。冻结RunPE检测器是一款免费软件,专门用于检测和打败类似这样的可疑进程。
适用于Windows的RunPE检测器
- 它是什么
简单地说,可以使用冻结RunPE检测器检测Windows计算机上的无文件恶意软件,RAT,木马,后门程序Crypters,打包程序和内存驻留恶意软件。它基本上扫描内存中进程的标题,然后将它们与磁盘映像进行比较。这个把戏听起来太简单了,但它确实有用。如果一个进程已被RunPE利用,那么应该有所不同,并且你会看到一个警报。
- 工作原理
RunPE Detector检测并破坏使用RunPE技术感染系统的黑客攻击以下方式:
- 防火墙旁路:此技术绕过或禁用您的防火墙或应用程序防火墙规则。
- 恶意软件打包程序或解密程序:此技术用于解压缩或解密内存中的恶意软件,并将其放入真品中过程而不写入光盘,在光盘上可以发现和阻止它。
- 功能
冻结RunPE检测器扫描每个进程的PE头,然后将内存中的PE头与进程中的PE头进行比较图像路径。据开发人员介绍,这是一种非常简单而有效的方法。有许多商业防病毒程序可用于执行此类扫描,但Phrozen的RunPE检测程序是手动执行此类扫描的独立工具。此安全程序已针对许多常用类型的恶意软件进行了测试,并且检测率非常准确。
- 它可用于删除恶意软件吗?
该程序可让用户选择删除任何恶意软件它检测到。尽管完全不依赖它是明智的。如果您发现问题,使用全功能防病毒引擎进行调查将是一个不错的主意。它可以非常有用地检测内存驻留的恶意软件,如无文件恶意软件。
- 不能做什么
RunPE Detector通过扫描系统中的所有应用程序文件,然后将它们的PE头与一个运行过程来检测感染点。但是当恶意代码加载了恶意软件打包程序或加密程序时,它不能识别主机位置。这是为什么Phrozen开发人员推荐使用商业防病毒解决方案来移除恶意软件的原因之一。
Final Verdict
由于RunPE技术通常与RAT,Trojan,Backdoors Crypters和使用RunPE Detector的Packers一起使用,因此这是一种智能的方法,可确保您的系统不存在最具破坏性的恶意软件类型。
RunPE仍然是一种常见的攻击类型,而“冻结RunPE检测器”则是一种紧凑,便携且无串行的免费解决方案。因此,我们建议您 获取此安全工具包的副本 。
冻结的RunPE检测程序只检测RunPE受感染的进程是否为32位。它与64位系统兼容,但目前无法运行扫描,显然64位扫描即将进入。
NoBot将检测BOT,RAT,键盘记录器,矿工和其他恶意软件
NoBot是一款用于Windows的便携式免费软件, ,RAT,键盘记录器,矿工和其他恶意软件。很好,可以用它作为第二方面的防病毒扫描器。