RunPE Detector: 메모리 상주 악성코드, RAT, 백도어 크립터, 패커 탐지

맬웨어(Malware) 는 프로세스를 숨기기 위해 여러 가지 트릭을 사용합니다. RunPE 는 동일한 방법의 일반적인 예 중 하나입니다. 이 기술은 기본적으로 알려진 시작을 포함하며 신뢰할 수 있는 프로세스는 일시 중단된 상태의 Explorer.exe 일 수 있습니다. (Explorer.exe)그런 다음 자신의 코드를 맬웨어의 자체 코드로 바꿉니다. 그리고 마침내, 그것을 시작합니다. Process Explorer 와 같은 도구를 실행 해도 악성 프로세스를 탐지하는 데 항상 성공하는 것은 아닙니다. Phrozen RunPE Detector 는 이와 같은 의심스러운 프로세스를 탐지하고 물리칠 수 있도록 특별히 설계된 무료 소프트웨어입니다.

Windows용 RunPE 감지기

RunPE 검출기

  1. 그것은 무엇입니까(What it is)

간단히 말해서, Phrozen RunPE Detector 는 (Phrozen RunPE Detector)Windows 컴퓨터 에서 Fileless 맬웨어, RAT(RATs) , 트로이 목마(Trojans) , Backdoors Crypters , Packers 및 메모리 상주 맬웨어 를 탐지하는 데 사용할 수 있습니다 . 기본적으로 메모리에 있는 프로세스의 헤더를 스캔한 다음 디스크 이미지와 비교합니다. 트릭은 믿기에 너무 간단하게 들릴지 모르지만 효과가 있습니다. 프로세스가 RunPE(RunPE) 에 의해 악용된 경우 차이가 있어야 하며 경고가 표시됩니다.

  1. 작동 원리(How it works)

RunPE Detector 는 (RunPE Detector)RunPE 기술을 사용하여 다음 방법 중 하나로 시스템을 감염시키는 해킹 공격을 탐지하고 무력화합니다.

  • 방화벽 우회: 이 기술은 방화벽 또는 애플리케이션 방화벽 규칙을 우회하거나 비활성화합니다.
  • 맬웨어(Malware) 패커 또는 크립터: 이 기술은 메모리에서 맬웨어의 압축을 풀거나 해독하고 디스크에 기록하지 않고 실제 프로세스에 배치하여 발견 및 차단할 수 있도록 하는 데 사용됩니다.
  1. 그것이 하는 일(What it Does)

Phrozen RunPE Detector 는 모든 프로세스의 PE 헤더를 스캔한 다음 메모리의 PE 헤더를 프로세스 이미지 경로의 PE 헤더와 비교합니다. 개발자에 따르면 이것은 매우 간단하고 효율적인 방법입니다. 이러한 종류의 검사를 수행할 수 있는 상용 바이러스 백신 프로그램이 많이 있지만 Phrozen의 RunPE Detector 는 이러한 검사를 수동으로 수행하기 위한 독립 실행형 도구입니다. 이 보안 프로그램은 일반적으로 사용되는 수많은 유형의 맬웨어에 대해 테스트되었으며 탐지율이 매우 정확합니다.

  1. 맬웨어를 제거하는 데 사용할 수 있습니까?(Can it be used to remove malware?)

이 프로그램은 사용자에게 탐지된 모든 맬웨어를 제거할 수 있는 옵션을 제공합니다. 완전히 의존하지 않는 것이 좋습니다. 문제가 발견되면 강력한 바이러스 백신 엔진을 사용하여 조사하는 것이 좋습니다. Fileless 맬웨어(Fileless malware) 와 같은 메모리 상주 맬웨어를 탐지하는 데 매우 유용할 수 있습니다 .

  1. 하지 않는 일(What it does not do)

RunPE Detector 는 시스템의 모든 애플리케이션 파일을 스캔하여 하이재킹된 프로세스를 쉽게 식별한 다음 해당 PE 헤더를 실행 중인 프로세스와 비교하여 감염 지점을 감지합니다. 그러나 악성코드가 악성코드 패커나 크립터와 함께 로드되는 경우 호스트 위치를 식별하지 않습니다. 이것이 Phrozen 개발자가 맬웨어를 제거하기 위해 상용 바이러스 백신 솔루션을 사용하도록 권장한 이유 중 하나입니다.

최종 평결(Final Verdict)

RunPE 기술은 (RunPE)RAT(RATs) , 트로이 목마(Trojans) , 백도어 크립터(Backdoors Crypters) 및 패커 와 함께 매우 일반적으로 사용 되기 때문에 RunPE Detector 를 사용하는 패커는 시스템에 가장 파괴적인 유형의 맬웨어가 없는지 확인하는 현명한 접근 방식입니다.

RunPE 는 여전히 일반적인 공격 유형이며, Phrozen RunPE Detector 는 하나의 컴팩트하고 휴대 가능하며 문자열이 없는 솔루션입니다. 따라서 www.phrozen.io(www.phrozen.io) 에서 이 보안 툴킷의 사본을 가져오는 것이 좋습니다 .

Phrozen RunPE Detector 는 RunPE로 손상된 프로세스가 32비트인 경우에만 탐지합니다. 64비트 시스템과 호환되지만 현재 스캔을 실행할 수 없습니다. 분명히 64비트 스캔이 곧 제공될 것입니다.



경석 공

About the author

저는 12년 이상의 경험을 가진 숙련된 iOS 개발자입니다. 저는 iPhone과 iPad 플랫폼 모두에서 일해 왔으며 최신 Apple 기술을 사용하여 앱을 만들고 사용자화하는 방법을 알고 있습니다. aiOS 개발자로서의 기술 외에도 Adobe Photoshop 및 Illustrator 사용과 WordPress 및 Laravel과 같은 프레임워크를 통한 웹 개발에 대한 강력한 경험이 있습니다.


Related posts