كاشف RunPE: كشف البرامج الضارة المقيمة في الذاكرة ، RATs ، أجهزة تشفير الأبواب الخلفية ، الحزم

تستخدم البرامج الضارة(Malware) عددًا من الحيل لإخفاء عمليتها ، ويعتبر RunPE(RunPE) أحد الأمثلة الشائعة على ذلك. تتضمن التقنية بشكل أساسي بدء عملية معروفة وموثوقة قد تكون Explorer.exe في حالة تعليق. ثم يستبدل الكود الخاص به برمز البرنامج الضار الخاص. وأخيرًا ، ابدأ. قد لا تنجح أدوات التشغيل مثل Process Explorer دائمًا في اكتشاف العملية الضارة. Phrozen RunPE Detector هو برنامج مجاني تم تصميمه خصيصًا لاكتشاف بعض العمليات المشبوهة مثل هذه والتغلب عليها.

كاشف RunPE لنظام التشغيل Windows

كاشف RunPE

  1. ما هذا(What it is)

بكلمات بسيطة ، يمكن استخدام كاشف Phrozen RunPE للكشف (Phrozen RunPE Detector)عن(Packers) البرامج الضارة المليئة بالملف ، و (Fileless)RATs ، وأحصنة طروادة(Trojans) ، والتشفير الخلفي ، والرازم(Backdoors Crypters) والبرامج الضارة المقيمة في الذاكرة على أجهزة الكمبيوتر التي تعمل بنظام Windows(Windows) . يقوم بشكل أساسي بمسح رؤوس العمليات في الذاكرة ثم مقارنتها بصور القرص الخاصة بهم. قد تبدو الحيلة بسيطة للغاية بحيث لا يمكن تصديقها ، لكنها تعمل. إذا تم استغلال إحدى العمليات بواسطة RunPE ، فيجب أن يكون هناك اختلاف ، وسترى تنبيهًا.

  1. كيف تعمل(How it works)

يكتشف RunPE Detector ويقضي(RunPE Detector) على هجمات القرصنة التي تستخدم تقنيات RunPE لإصابة نظامك بإحدى الطرق التالية:

  • تجاوز جدار الحماية: تتجاوز هذه التقنية أو تعطل قواعد جدار الحماية أو جدار حماية التطبيق.
  • أداة حزم البرامج الضارة(Malware) أو برنامج التشفير: تُستخدم هذه التقنية لفك تشفير البرامج الضارة الموجودة في الذاكرة أو فك تشفيرها ووضعها في عملية أصلية دون كتابتها على القرص ، حيث يمكن اكتشافها وحظرها.
  1. ماذا يفعل(What it Does)

يقوم كاشف Phrozen RunPE(Phrozen RunPE Detector) بمسح رؤوس PE لكل عملية ثم يقارن رؤوس PE في الذاكرة برؤوس PE في مسار صورة العملية. وفقًا للمطورين ، هذه طريقة بسيطة للغاية وفعالة. هناك العديد من برامج مكافحة الفيروسات التجارية المتاحة ، والتي لديها القدرة على إجراء هذا النوع من الفحص ، ولكن Phrozen's RunPE Detector هو أداة قائمة بذاتها لإجراء عمليات المسح هذه يدويًا. تم اختبار برنامج الأمان هذا ضد العديد من أنواع البرامج الضارة الشائعة الاستخدام ، وكانت معدلات الكشف دقيقة للغاية.

  1. هل يمكن استخدامه لإزالة البرامج الضارة؟(Can it be used to remove malware?)

يوفر هذا البرنامج للمستخدمين خيار إزالة البرامج الضارة التي يكتشفها. على الرغم من أنه من المستحسن عدم الاعتماد عليها بشكل كامل. إذا وجدت مشكلة ، فسيكون استخدام محرك مكافحة فيروسات كامل القوة لفحصها فكرة جيدة. يمكن أن يكون مفيدًا جدًا في اكتشاف البرامج الضارة المقيمة في الذاكرة مثل البرامج الضارة الخالية(Fileless malware) من الملفات .

  1. ما لا تفعله(What it does not do)

يتعرف RunPE Detector(RunPE Detector) بسهولة على العمليات التي تم الاستيلاء عليها عن طريق مسح جميع ملفات التطبيق في النظام ثم يقارن رؤوس PE الخاصة بهم بالعملية الجارية لاكتشاف نقطة الإصابة. لكنه لا يحدد مواقع المضيف عندما يتم تحميل الشفرة الضارة باستخدام أداة حزم برامج ضارة أو برنامج تشفير. هذا هو أحد الأسباب التي جعلت مطوري Phrozen يوصون باستخدام حل تجاري لمكافحة الفيروسات لإزالة البرامج الضارة.

الحكم النهائي(Final Verdict)

نظرًا لاستخدام تقنية RunPE بشكل شائع مع RATs و Trojans و Backdoors Crypters و Packers باستخدام RunPE Detector ، فهي طريقة ذكية لضمان خلو نظامك من أكثر أنواع البرامج الضارة تدميراً.

لا يزال RunPE(RunPE) نوعًا شائعًا للهجوم ، وبما أن كاشف Phrozen RunPE(Phrozen RunPE Detector) هو حل واحد مضغوط ومحمول وخالي من السلاسل. لذلك ، نوصيك بالحصول على نسخة من مجموعة أدوات الأمان هذه من www.phrozen.io .

لا يكتشف كاشف Phrozen RunPE(Phrozen RunPE Detector) العمليات المخترقة RunPE إلا إذا كانت 32 بت. إنه متوافق مع أنظمة 64 بت ، لكن لا يمكنه إجراء عمليات المسح حاليًا ، ومن الواضح أن المسح 64 بت سيأتي قريبًا.



اسامة باكثير

About the author

أنا مهندس أجهزة متخصص في تصميم وتطوير منتجات Apple مثل iPhone و iPad. لدي خبرة في كل من أجهزة iOS و edge ، بالإضافة إلى أدوات تطوير البرامج مثل Git و Swift. تمنحني مهاراتي في كلا المجالين فهمًا قويًا لكيفية تفاعل نظام تشغيل أجهزة Apple (OS) مع التطبيقات ومصادر البيانات. بالإضافة إلى ذلك ، تمكنني تجربتي مع Git من العمل على أنظمة التحكم في إصدار الكود ، والتي يمكن أن تساعد في تحسين الكفاءة والإنتاجية عند تطوير البرامج.


Related posts