Phrozen RunPE Detector 1.0.3

Naviga SWZ: Home Page » News
News del 23 Giugno 15 Autore: Pinter
Phrozen RunPE Detector 1.0.3
Phrozen RunPE Detector è un programma di sicurezza, appositamente progettato per rilevare e sconfiggere alcuni processi sospetti utilizzando un metodo generico.

Il RunPE è un metodo molto semplice ed efficace, la maggior parte delle scansioni euristiche commerciale antivirus rilevano questo trucco, ma non tutti pensa una buona soluzione antivirus commerciale è denaro ben speso. Quando si capisce davvero il metodo di iniezione RunPE, si può facilmente immaginare un modo per sbarazzarsi della maggior parte delle possibili esecuzioni utilizzando un intestazioni scansione di memoria PE di ogni processo e confrontando le intestazioni PE memoria al sito processo Percorso immagini Intestazione PE.

Dal momento che il malware Intestazione PE che ha dirottato un legittimo processo è molto diverso dal legittimo percorso di processo Immagine Intestazione PE, abbiamo rilevato la presenza di un processo dirottato.

RunPE è una tecnica che viene utilizzata in vari modi malevoli. I due più comuni sono:

FWB (Firewall Bypass): Come suggerisce il nome, questa tecnica viene implementato di bypassare o disattivare il firewall di applicazione o le regole del firewall. Poiché la maggior parte del malware ha bisogno di collegarsi a un comando-e-controllo remoto (C & C) server, ha bisogno di connettersi a Internet tramite il firewall.
Poiché la maggior parte degli utenti sono connessi a Internet da casa, normalmente il firewall installato impedirebbe il malware di connettersi a Internet. Utilizzando la tecnica RunPE di dirottare un legittimo processo che è autorizzato per raggiungere Internet, qualsiasi malware potrebbe successivamente collegarsi al C & C senza essere rilevato dal firewall.
Malware Packer o Crypter: Generalmente script kiddies - hacker immaturi - usano un tipo ben noto di malware che è già rilevato dalla maggior parte dei programmi anti-virus. Hanno quindi provare il Oscurazione questo malware per eludere i rilevamenti. Per raggiungere questo obiettivo, devono acquistare programmi come un software o un Crypter. Il prezzo dipende dalla sua capacità di eludere programmi anti-virus, gli intervalli di aggiornamento, il numero di funzioni aggiuntive, etc.

Un Crypter semplicemente offuscare o nascondere il codice dannoso e un programma anti-virus non riuscirà a rilevarlo. Un Packer aggiungerà un fase di compressione in più per rendere il malware più piccole dimensioni. È quindi più facile per trasferire o può essere virtualmente invisibile aggiunto un legittimo processo. Pertanto, sarà più difficile da rilevare quando viene scaricato nel computer della vittima. Qui, RunPE viene utilizzato per uncrypt malware nella memoria e per inserirlo in un legittimo processo senza essere scritta sul disco.
Tecniche più avanzate esiste per criptazione e malware imballaggio, ma poiché la maggior parte creatori di Crypters e / o Packers sviluppati da script kiddies comuni che hanno visitato gli stessi forum per avere una conoscenza di base, tutti hanno imparato a utilizzare il metodo RunPE.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Windows

Licenza: Freeware

Dimensioni: 2.50 MB

OS: Win 10 / 8 / 7 / Vista / XP

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE