Processo Hollowing (RunPE); O conceito ou malware técnico é a técnica de trabalhar ativamente em um processo de serviço do sistema ou malware de arquivo é injetado no processo do sistema de destino (memória) e o malware de destino começa a funcionar no sistema com o nome desse processo.
Em malware moderno e avançado, especialmente Rookit e worms protegem indetectáveis injetando-se no serviço do sistema ou arquivos / RunPe Graças ao Técnica de antivírus, etc., a detecção desses malwares por firewalls dificulta. Graças a essa técnica, o malware aparece como um processo do sistema por um longo tempo nos sistemas infectados, e o usuário ou os antivírus não suspeitam desses arquivos - eles fazem não diagnosticar nocivo, suspeito, perigoso
Existem muitas extensões de malware usando a técnica RunPE e descobertas antes. Algumas delas são;
1 - Revenge RAT - Trojan de Acesso Remoto (Rat)
2 - Win32/Stuxnet - Worm-Rootkit
3 - Win32/Duqu - Trojan
4 - Emotet - Trojan
5 - Samurai - Backdoor
VS....
-------- --------------------
Exemplo de operações do sistema RunPE =
1 - Svchost
2 - Runtime Broker
3 - Ntoskrnl.exe
VS.....
------- --------------------
Detecção de Malware RunPE =
Você pode detectar um malware usando a técnica RunPe, se estiver no modo oculto ou se não houver processo de injeção direta, poderá detectar fatores de monitoramento de processos em segundo plano, controle de inicialização, etc., por meio de programas de monitoramento. Localização do arquivo, nome do processo, ícone, processos em execução no VS...
Como programas de monitoramento; Você pode usar 1-Process Monitor, 2-Process Hacker, 3-System Explorer Software como + RunPE Detector Tool.
--------------