"د دوامداره فایلونو پرته مالویر" څه شی دی او څنګه یې د وړیا وسیلو سره کشف کړئ

د مالویر پرته له دوامداره فایلونو دا د امنیتي ټیمونو لپاره یو ریښتینی سر درد و. موږ د هغه عادي ویروس سره معامله نه کوو چې تاسو یې د ډیسک څخه د اجرا وړ فایل حذف کولو پرمهال "نیسي"، مګر د هغو ګواښونو سره چې په حافظه کې ژوند کوي، د قانوني سیسټم وسیلو څخه ناوړه ګټه پورته کوي، او په ډیری مواردو کې، په سختۍ سره د کارولو وړ عدلي نښې پریږدي.

دا ډول برید په ځانګړي ډول د پرمختللو ډلو او سایبري مجرمینو ترمنځ مشهور شوی دی چې غواړي د دودیز انټي ویروس سافټویر څخه ډډه وکړئ، معلومات غلا کړئ، او پټ پاتې شئ تر هغه چې امکان ولري. د دوی د کار کولو څرنګوالي، د دوی د تخنیکونو او د دوی د کشفولو څرنګوالي پوهیدل د هر هغه سازمان لپاره کلیدي دي چې غواړي نن ورځ د سایبر امنیت جدي ونیسي.

بې فایل مالویر څه شی دی او ولې دومره اندیښنه ده؟

کله چې موږ خبرې کوو بې فایله مالویر موږ دا نه وایو چې یو بایټ هم پکې شامل نه دی، مګر دا چې ناوړه کوډ دا په ډیسک کې د کلاسیک اجرایوي فایل په توګه نه ساتل کیږي. د پای ټکی څخه. پرځای یې، دا په مستقیم ډول په حافظه کې چلیږي یا په لږ لیدل کیدونکي کانټینرونو لکه راجسټری، WMI، یا مهالویش شوي دندو کې کوربه کیږي.

په ډیری سناریوګانو کې، بریدګر په سیسټم کې دمخه موجود وسیلو - پاورشیل، WMI، سکریپټونه، لاسلیک شوي وینډوز بائنری - تکیه کوي ترڅو په مستقیم ډول په RAM کې د پایلوډونو بارول، ډیکریپټ کول، یا اجرا کولپه دې توګه، دا د ښکاره اجرا وړ فایلونو پریښودو څخه مخنیوی کوي چې د لاسلیک پر بنسټ انټي ویروس کولی شي په عادي سکین کې کشف کړي.

سربیره پردې، د برید سلسلې یوه برخه "بې فایله" کیدی شي او بله برخه یې د فایل سیسټم کارولی شي، نو موږ د یو څخه ډیرو په اړه خبرې کوو. د بې فایله تخنیکونو لړۍ هغه د مالویر د یوې واحدې کورنۍ. له همدې امله یو واحد، تړلی تعریف نشته، بلکې څو کټګورۍ د هغه اغیزې درجې پورې اړه لري چې دوی یې په ماشین پریږدي.

د دوامداره فایلونو پرته د مالویر اصلي ځانګړتیاوې

د دې ګواښونو یوه مهمه ځانګړتیا دا ده چې د دوی د حافظې پر بنسټ اجرا کولناوړه کوډ په RAM کې بار کیږي او په قانوني پروسو کې اجرا کیږي، پرته له دې چې په هارډ ډرایو کې یو باثباته ناوړه بائنری ته اړتیا ولري. په ځینو مواردو کې، دا حتی د ښه کیموفلاج لپاره د سیسټم مهمو پروسو ته داخلیږي.

بله مهمه ځانګړنه ده غیر معمولي دوامډیری بې فایل کمپاینونه په بشپړ ډول بې ثباته دي او د ریبوټ وروسته ورک کیږي، مګر نور یې د راجسټری آټورون کیلي، WMI ګډون، مهالویش شوي دندې، یا BITS په کارولو سره بیا فعالولو اداره کوي، ترڅو "لیدونکې" اثار لږترلږه وي او ریښتیني تادیه هر ځل په حافظه کې ژوند کوي.

دا طریقه د اغیزمنتوب خورا کموي د لاسلیک پر بنسټ کشفڅرنګه چې د تحلیل لپاره کوم ثابت اجرایوي وړ نشته، هغه څه چې تاسو ډیری وخت ګورئ هغه یو بشپړ قانوني PowerShell.exe، wscript.exe، یا mshta.exe دی، چې د شکمنو پیرامیټرو یا د پټو منځپانګو بارولو سره پیل شوی.

په پای کې، ډیری لوبغاړي د فایل پرته تخنیکونه د نورو سره یوځای کوي د مالویر ډولونه لکه ټروجن، رینسم ویئر، یا اډویر، چې د هایبرډ کمپاینونو پایله لري چې د دواړو نړۍ غوره (او بدترین) سره یوځای کوي: دوام او پټوالی.

د بې فایل ګواښونو ډولونه په سیسټم کې د دوی د پښو نښې سره سم

څو امنیتي جوړونکي دوی "بې فایله" ګواښونه د هغه نښې له مخې طبقه بندي کوي چې دوی په کمپیوټر کې پریږدي. دا کټګوري موږ سره مرسته کوي چې پوه شو چې موږ څه ګورو او څنګه یې وڅیړو.

ډول I: د لیدلو وړ فایل فعالیت نشته

په خورا پټه پای کې موږ مالویر پیدا کوو چې دا د فایل سیسټم ته په بشپړ ډول هیڅ نه لیکيکوډ د مثال په توګه، د شبکې پاکټونو له لارې راځي چې د زیان مننې څخه ګټه پورته کوي (لکه ایټرنل بلو)، په مستقیم ډول حافظې ته داخلیږي، او ساتل کیږي، د مثال په توګه، په کرنل کې د شا دروازې په توګه (ډبل پلسر یوه سمبولیک قضیه وه).

په نورو سناریوګانو کې، انتان په کې پاتې کیږي د BIOS فرم ویئر، د شبکې کارتونه، USB وسایل، یا حتی د CPU دننه فرعي سیسټمونهدا ډول ګواښ د عملیاتي سیسټم بیا نصبولو، د ډیسک فارمیټ کولو، او حتی د ځینې بشپړ ریبوټ کولو څخه ژوندی پاتې کیدی شي.

ستونزه دا ده چې ډیری امنیتي حل لارې دوی فرم ویئر یا مایکرو کوډ نه معاینه کوياو حتی که دوی دا کار وکړي، بیا هم د درملنې پروسه پیچلې ده. له نېکه مرغه، دا تخنیکونه معمولا د خورا پیچلو لوبغاړو لپاره ساتل کیږي او په ډله ایزو بریدونو کې نورم نه دي.

دوهم ډول: د فایلونو غیر مستقیم استعمال

دوهمه ډله پر بنسټ ولاړه ده په ډیسک کې زیرمه شوي جوړښتونو کې ناوړه کوډ لريخو د دودیزو اجرایوي موادو په توګه نه، بلکې په هغو زیرمو کې چې مشروع او ناوړه معلومات سره ګډوي، د سیسټم زیان رسولو پرته پاکول ستونزمن دي.

عادي مثالونه هغه سکرېپټونه دي چې په کې زیرمه شوي دي د WMI ذخیره، پټې زنځیرونه په د راجستر کیلي یا مهالویش شوي دندې چې خطرناک قوماندې پرته له واضح ناوړه بائنری څخه پیل کوي. مالویر کولی شي دا ننوتنې مستقیم د قوماندې لاین یا سکریپټ څخه نصب کړي او بیا په حقیقت کې پټ پاتې شي.

که څه هم په تخنیکي توګه فایلونه شامل دي (هغه فزیکي فایل چیرې چې وینډوز د WMI ذخیره یا د راجسټری هایو ذخیره کوي)، د عملي موخو لپاره موږ د دې په اړه خبرې کوو. بې فایله فعالیت ځکه چې داسې کوم څرګند اجرایوي شی نشته چې په ساده ډول قرنطین شي.

دریم ډول: د فعالیت لپاره فایلونو ته اړتیا لري

دریم ډول هغه ګواښونه شامل دي چې دوی فایلونه کاروي، مګر په داسې طریقه چې د کشف لپاره خورا ګټور نه وي.یو مشهور مثال Kovter دی، کوم چې په راجسټری کې تصادفي توسیعونه ثبتوي نو کله چې د دې توسیع سره فایل پرانستل شي، نو سکریپټ د mshta.exe یا ورته اصلي بائنری له لارې اجرا کیږي.

دا ډیکوی فایلونه غیر اړونده معلومات او اصلي ناوړه کوډ لري دا د نورو راجسټری کیلي ګانو څخه ترلاسه کیږي یا داخلي زیرمې. که څه هم په ډیسک کې "یو څه" شتون لري، دا د جوړجاړي د باوري شاخص په توګه کارول اسانه ندي، د مستقیم پاکولو میکانیزم په توګه ډیر لږ.

د انتان تر ټولو عام داخلیدونکي ویکتورونه او نقطې

د پښو د نښې طبقه بندي هاخوا، دا مهمه ده چې پوه شو چې څنګه دا هغه ځای دی چې د دوامداره فایلونو پرته مالویر په کې راځي. په ورځني ژوند کې، برید کوونکي اکثرا د چاپیریال او هدف پورې اړه لري څو ویکتورونه سره یوځای کوي.

ګټې او زیان مننې

یو له خورا مستقیمو لارو څخه ناوړه ګټه اخیستنه ده د ریموټ کوډ اجرا کولو (RCE) زیانونه په براوزرونو، پلگ انونو (لکه د ورځې په اوږدو کې فلش بیک)، ویب غوښتنلیکونو، یا د شبکې خدماتو (SMB، RDP، او داسې نورو) کې. استحصال شیل کوډ داخلوي چې په مستقیم ډول ناوړه پیلوډ په حافظه کې ډاونلوډ یا ډیکوډ کوي.

په دې ماډل کې، لومړنۍ فایل په شبکه کې کیدی شي (د استحصال ډول) WannaCryیا په هغه سند کې چې کاروونکی یې پرانیزي، مګر پېلوډ هیڅکله د ډیسک لپاره د اجرا وړ په توګه نه لیکل کیږي: دا ډیکریپټ کیږي او په چټکۍ سره د RAM څخه اجرا کیږي.

ناوړه اسناد او میکرو

یوه بله ډیره ګټه اخیستنه شوې لاره ده د دفتر اسناد د میکرو یا DDE سرههمدارنګه د PDF فایلونه چې د لوستونکو د زیانونو څخه د ګټې اخیستنې لپاره ډیزاین شوي دي. یو ظاهرا بې ضرره ورډ یا ایکسل فایل ممکن د VBA کوډ ولري چې د کوډ ډاونلوډ کولو، امرونو اجرا کولو، یا باوري پروسو ته د شیل کوډ داخلولو لپاره پاور شیل، WMI، یا نور ژباړونکي پیلوي.

دلته په ډیسک کې فایل "یوازې" د معلوماتو کانټینر دی، پداسې حال کې چې اصلي ویکتور دی د اپلیکیشن داخلي سکریپټینګ انجنپه حقیقت کې، ډیری ډله ایز سپیم کمپاینونو د دې تاکتیک څخه ناوړه ګټه پورته کړې ترڅو په شرکتونو شبکو کې د فایل پرته بریدونه ځای په ځای کړي.

قانوني سکرېپټونه او بائنري (له ځمکې څخه ژوند کول)

برید کوونکي هغه وسایل خوښوي چې وینډوز یې دمخه چمتو کوي: پاورشیل، wscript، cscript، mshta، rundll32، regsvr32د وینډوز مدیریت وسایل، BITS، او داسې نور. دا لاسلیک شوي او باوري بائنری کولی شي سکریپټونه، DLLs، یا لیرې مینځپانګې د شکمن "virus.exe" اړتیا پرته اجرا کړي.

د ناوړه کوډ په لیږدولو سره لکه څنګه چې د قوماندې کرښې پیرامیټرېپه انځورونو کې یې ځای پر ځای کول، په حافظه کې یې کوډ کول او کوډ کول، یا یې په راجسټری کې ذخیره کول، دا ډاډ ورکوي چې انټي ویروس یوازې د مشروع پروسو فعالیت ګوري، چې یوازې د فایلونو پراساس کشف کول خورا ستونزمن کوي.

زیانمن شوي هارډویر او فرم ویئر

په حتی ټیټه کچه، پرمختللي بریدګر کولی شي نفوذ وکړي د BIOS فرم ویئر، د شبکې کارتونه، هارډ ډرایوونه، یا حتی د CPU مدیریت فرعي سیسټمونه (لکه Intel ME یا AMT). دا ډول مالویر د عملیاتي سیسټم لاندې کار کوي او کولی شي ټرافیک ودروي یا تعدیل کړي پرته لدې چې عملیاتي سیسټم یې خبر شي.

که څه هم دا یوه سخته سناریو ده، دا هغه کچه ښیي چې تر کومه حده د فایل پرته ګواښ کولی شي د OS فایل سیسټم ته له لمس کولو پرته دوام وساتئاو ولې په دې قضیو کې د کلاسیک پای ټکي وسایل کم راځي.

د دوامداره فایلونو پرته د مالویر برید څنګه کار کوي

د جریان په کچه، د فایل پرته برید د فایل پر بنسټ برید ته ورته دی، مګر سره اړونده توپیرونه په دې کې چې د پیسو بار څنګه پلي کیږي او لاسرسی څنګه ساتل کیږي.

۱. سیسټم ته لومړنی لاسرسی

دا ټول هغه وخت پیل کیږي کله چې بریدګر لومړی ځای ترلاسه کړي: a د ناوړه لینک یا ضمیمې سره د فشینګ بریښنالیک، د زیان منونکي غوښتنلیک په وړاندې استحصال، د RDP یا VPN لپاره غلا شوي اسناد، یا حتی یو لاسوهنه شوی USB وسیله.

پدې مرحله کې، لاندې کارول کیږي: ټولنیزه انجنیريناوړه لارښوونې، د ناوړه اعلاناتو کمپاینونه، یا ناوړه وای فای بریدونه ترڅو کاروونکي وهڅوي چې هغه ځای کلیک کړي چیرې چې دوی باید ونه کړي یا په انټرنیټ کې ښکاره شوي خدماتو څخه ګټه پورته کړي.

۲. په حافظه کې د ناوړه کوډ اجرا کول

یوځل چې دا لومړۍ ننوتنه ترلاسه شي، بې فایله برخه پیل کیږي: د دفتر میکرو پاور شیل پیلوي، یو استحصال شیل کوډ داخلوي، د WMI ګډون سکریپټ پیلوي، او داسې نور. هدف دا دی ناوړه کوډ مستقیم په RAM کې پورته کړئیا یې له انټرنیټ څخه ډاونلوډ کولو سره یا یې د ایمبیډ شوي معلوماتو څخه بیا رغولو سره.

له هغه ځایه، مالویر کولی شي امتیازات زیات کړئ، په اړخ کې حرکت وکړئ، اسناد غلا کړئ، ویب شیلونه ځای پر ځای کړئ، RATs نصب کړئ، یا ډاټا کوډ کړئدا ټول د شور کمولو لپاره د قانوني پروسو لخوا ملاتړ کیږي.

۳. د دوام رامنځته کول

د معمول تخنیکونو په منځ کې دوی دا دي:

• د اتومات چلولو کیلي په راجستر کې چې د ننوتلو پر مهال امرونه یا سکریپټونه اجرا کوي.
• مهالویش شوي دندې چې سکرېپټونه، د پیرامیټرو سره قانوني بائنریونه، یا لیرې قوماندې پیلوي.
• د WMI ګډونونه هغه کوډ چې د سیسټم ځینې پیښې رامینځته کیدو پر مهال محرک کوي.
• د BITS کارول د قوماندې او کنټرول سرورونو څخه د پیلوډونو دوره ای ډاونلوډونو لپاره.

په قضیو کې، دوامداره برخه لږ تر لږه ده او یوازې د دې لپاره کار کوي مالویر په حافظه کې بیا داخل کړئ هرکله چې سیسټم پیل شي یا یو ځانګړی شرط پوره شي.

۴. د هدفونو او اخراج په اړه اقدامات

د ډاډمن دوام سره، بریدګر په هغه څه تمرکز کوي چې واقعیا یې علاقه لري: د معلوماتو غلا کول، کوډ کول، د سیسټمونو سره لاسوهنه کول، یا د میاشتو لپاره جاسوسي کولد افشا کولو پروسه د HTTPS، DNS، پټو چینلونو، یا قانوني خدماتو له لارې ترسره کیدی شي. په حقیقي نړۍ پیښو کې، پوهیدل د هیک کولو وروسته په لومړیو ۲۴ ساعتونو کې څه وکړئ دا ټول توپیر راوستلی شي.

په APT بریدونو کې، دا معمول دی چې مالویر پاتې شي د اوږدې مودې لپاره خاموش او پټ، د اضافي شاته دروازو جوړول ترڅو لاسرسی ډاډمن شي حتی که د زیربنا یوه برخه کشف او پاکه شي.

د مالویر وړتیاوې او ډولونه چې بې فایل کیدی شي

په حقیقت کې هر ډول ناوړه فعالیت چې کلاسیک مالویر یې ترسره کولی شي د دې طریقې په تعقیب سره پلي کیدی شي. بې فایله یا نیمه بې فایلههغه څه چې بدلون مومي هغه هدف نه دی، بلکې هغه لاره ده چې کوډ پلي کیږي.

مالویر یوازې په حافظه کې پاتې کیږي

په دې کټګورۍ کې هغه بارونه شامل دي چې دوی یوازې د پروسې یا اصلي په حافظه کې ژوند کوي.عصري روټ کټونه، پرمختللي شاته دروازې، یا سپایویر کولی شي د یوې مشروع پروسې حافظې ځای ته پورته شي او تر هغه وخته پورې هلته پاتې شي چې سیسټم بیا پیل شي.

دا اجزا په ځانګړي ډول د ډیسک پر بنسټ وسیلو سره لیدل ګران دي، او د کارولو مجبوروي ژوندۍ حافظه تحلیل، د ریښتیني وخت تفتیش یا پرمختللي عدلي وړتیاو سره EDR.

د وینډوز راجسټری پر بنسټ مالویر

بله تکراري تخنیک د ذخیره کولو لپاره دی په راجسټری کیلي کې کوډ شوی یا پټ کوډ او په حافظه کې د لوستلو، ډیکوډ کولو او اجرا کولو لپاره یو قانوني بائنری (لکه PowerShell، MSHTA، یا rundll32) وکاروئ.

لومړنی ډراپر کولی شي د راجسټری ته د لیکلو وروسته ځان ویجاړ کړي، نو ټول هغه څه چې پاتې دي د ظاهرا بې ضرره معلوماتو مخلوط دی چې دوی هرکله چې سیسټم پیل شي ګواښ فعالوي یا هرکله چې یو ځانګړی فایل پرانیستل شي.

رینسم ویئر او بې فایل ټروجنونه

د فایل پرته طریقه د ډیر تیریدونکي بارولو میتودونو سره مطابقت نلري لکه ransomwareداسې کمپاینونه شتون لري چې د پاورشیل یا WMI په کارولو سره په حافظه کې ټول کوډ کول ډاونلوډ، ډیکریپټ او اجرا کوي، پرته له دې چې د رینسم ویئر اجرا وړ په ډیسک کې پریږدي.

په ورته ډول، د لرې لاسرسي ټروجنونه (RATs)کیلاګرز یا د اسنادو غله کولی شي په نیمه فایل پرته ډول کار وکړي، د غوښتنې سره سم ماډلونه باروي او د مشروع سیسټم پروسو کې اصلي منطق کوربه کوي.

د استحصال کټونه او غلا شوي اسناد

د ویب استحصال کټونه د معما یوه بله برخه ده: دوی نصب شوي سافټویر کشفوي، دوی مناسب استحصال غوره کوي او تادیه په مستقیم ډول حافظې ته داخلوي.، ډیری وختونه پرته له دې چې هیڅ شی په ډیسک کې خوندي کړي.

له بلې خوا، د کارولو غلا شوي اسناد دا یو ویکتور دی چې د فایل پرته تخنیکونو سره خورا ښه مناسب دی: بریدګر د یو مشروع کارونکي په توګه تصدیق کوي او له هغه ځایه، د اصلي اداري وسیلو (PowerShell Remoting، WMI، PsExec) څخه ناوړه ګټه پورته کوي ترڅو سکریپټونه او قوماندې ځای په ځای کړي چې د مالویر هیڅ کلاسیک نښې نه پریږدي.

ولې بې فایله مالویر کشف کول دومره ستونزمن دي؟

اصلي دلیل دا دی چې دا ډول ګواښ په ځانګړي ډول د دې لپاره ډیزاین شوی چې د دفاع دودیزې طبقې له پامه غورځولد لاسلیکونو، سپین لیستونو، او دوراني فایل سکینونو پراساس.

که چیرې ناوړه کوډ هیڅکله په ډیسک کې د اجرا وړ په توګه خوندي نشي، یا که دا په مخلوط کانټینرونو لکه WMI، راجسټری، یا فرم ویئر کې پټ شي، دودیز انټي ویروس سافټویر د تحلیل لپاره خورا لږ لري. د "شکمن فایل" پرځای، هغه څه چې تاسو یې لرئ هغه دي مشروع پروسې چې غیر عادي چلند کوي.

سربیره پردې، دا په بنسټیز ډول وسایل لکه پاورشیل، آفس میکرو، یا WMI بندوي. دا په ډیری سازمانونو کې د اعتبار وړ نه دیځکه چې دوی د ادارې، اتومات کولو او ورځني عملیاتو لپاره اړین دي. دا مدافعین دې ته اړ باسي چې په ډیر احتیاط سره کار وکړي.

ځینو پلورونکو هڅه کړې چې د چټکو اصلاحاتو (جنریک پاورشیل بلاک کول، د میکرو بشپړ غیر فعال کول، یوازې کلاوډ کشف، او نور) سره جبران کړي، مګر دا اقدامات معمولا دي ناکافي یا ډیر ګډوډونکی د سوداګرۍ لپاره.

د بې فایل مالویر کشف او بندولو لپاره عصري ستراتیژۍ

د دې ګواښونو سره د مقابلې لپاره، دا اړینه ده چې د ساده فایلونو سکین کولو هاخوا لاړ شئ او متمرکز چلند غوره کړئ. چلند، ریښتیني وخت ټیلی میټري، او ژور لید د وروستي ټکي څخه.

د چلند او حافظې څارنه

یوه اغیزمنه طریقه د دې مشاهده کول دي چې پروسې په حقیقت کې څه کوي: کوم حکمونه دوی اجرا کوي، کومو سرچینو ته لاسرسی لري، کوم اړیکې رامینځته کويڅنګه دوی یو بل سره تړاو لري، او داسې نور. که څه هم په زرګونو مالویر ډولونه شتون لري، د ناوړه چلند نمونې خورا محدودې دي. دا د د YARA سره پرمختللې کشف.

عصري حلونه دا ټیلی میټري د حافظې دننه تحلیلونو، پرمختللي هوریسټیکونو، او سره یوځای کوي ماشین زده کړه د برید زنځیرونه پیژندلو لپاره، حتی کله چې کوډ په کلکه مبهم وي یا مخکې هیڅکله نه وي لیدل شوی.

د سیسټم انٹرفیسونو لکه AMSI او ETW کارول

وینډوز ټیکنالوژي وړاندې کوي لکه د مالویر ضد سکین انٹرفیس (AMSI) y د وینډوز (ETW) لپاره د پیښو تعقیب دا سرچینې د سیسټم سکریپټونو او پیښو تفتیش ته په خورا ټیټه کچه اجازه ورکوي. د امنیتي حلونو سره د دې سرچینو یوځای کول کشف اسانه کوي. ناوړه کوډ د اجرا کولو دمخه یا په جریان کې.

برسېره پردې، د مهمو برخو تحلیل - مهالویش شوي دندې، د WMI ګډونونه، د بوټ راجسټری کیلي، او نور - د پیژندلو کې مرسته کوي پټ فایل بې پایښت چې د ساده فایل سکین سره له پامه غورځول کیدی شي.

د ګواښ لټون او د برید شاخصونه (IoA)

څرنګه چې کلاسیک شاخصونه (هیشونه، د فایل لارې) لنډې دي، نو دا مشوره ورکول کیږي چې تکیه وکړئ د برید شاخصونه (IoA)، کوم چې شکمن چلندونه او د کړنو لړۍ تشریح کوي چې د پیژندل شوي تاکتیکونو سره سمون لري.

د ګواښ لټون ټیمونه - داخلي یا د مدیریت شویو خدماتو له لارې - کولی شي په فعاله توګه لټون وکړي د اړخي حرکت نمونې، د اصلي وسیلو ناوړه ګټه اخیستنه، د پاورشیل په کارولو کې بې نظمۍ یا حساس معلوماتو ته غیر مجاز لاسرسی، د فایل پرته ګواښونه کشف کول مخکې لدې چې دوی ناورین رامینځته کړي.

EDR، XDR او SOC ۲۴/۷

د عصري پلیټ فارمونو EDR او XDR (د پای ټکي کشف او ځواب په پراخه کچه) د پیښې بشپړ تاریخ بیارغونې لپاره اړین لید او اړیکه چمتو کوي، د لومړي فشینګ بریښنالیک څخه تر وروستي افشا کیدو پورې.

سره یوځای شوی ۲۴/۷ عملیاتي ټولنیز عملیاتي مرکزدوی نه یوازې کشف ته اجازه ورکوي، بلکې په اتوماتيک ډول ساتل او درملنه ناوړه فعالیت: کمپیوټرونه جلا کړئ، پروسې بندې کړئ، په راجسټری کې بدلونونه بیرته راوباسئ، یا کله چې امکان ولري کوډ کول بیرته راوباسئ.

د فایل پرته مالویر تخنیکونو لوبه بدله کړې ده: یوازې د انټي ویروس سکین چلول او د شکمن اجرایوي وړ حذف کول نور کافي ندي. نن ورځ، دفاع پدې پوهیدل دي چې برید کونکي څنګه په حافظه، راجسټری، WMI، یا فرم ویئر کې د کوډ پټولو سره زیان منونکي ګټه پورته کوي، او د چلند څارنې، په حافظه کې تحلیل، EDR/XDR، د ګواښ لټون، او غوره کړنو ترکیب ځای په ځای کوي. په حقیقت کې اغیز کم کړئ هغه بریدونه چې، په ډیزاین سره، هڅه کوي چې هیڅ نښه پریږدي چیرې چې ډیر دودیز حلونه ښکاري، یو جامع او دوامداره ستراتیژۍ ته اړتیا لري. د جوړجاړي په صورت کې، پوهیدل د جدي ویروس وروسته وینډوز ترمیم کړئ اړین دی.