Bėgant metams kenkėjiškų programų kūrėjai ir kibernetinio saugumo ekspertai kariavo bandydami suvienyti vienas kitą. Neseniai kenkėjiškų programų kūrėjų bendruomenė įdiegė naują strategiją, leidžiančią išvengti aptikimo: patikrinti ekrano skiriamąją gebą.
Panagrinėkime, kodėl ekrano skiriamoji geba yra svarbi kenkėjiška programinei įrangai ir ką tai reiškia jums.
Kodėl kenkėjiška programa rūpinasi ekrano skiriamąja geba
Norėdami sužinoti, kodėl kenkėjiška programa rūpinasi ekrano skiriamąja geba, turime pažvelgti į vieną blogiausių jos priešų; Virtuali mašina Kas yra virtualioji mašina? Viskas, ką reikia žinotiVirtualios mašinos leidžia paleisti kitas operacines sistemas dabartiniame kompiuteryje. Štai ką turėtumėte žinoti apie juos. Skaityti daugiau .
Virtualios mašinos yra naudinga priemonė virusų tyrinėtojams. Jie veikia kaip „kompiuteris kompiuterio viduje“, todėl galite naudoti kitą operacinę sistemą nereikia naujo kompiuterio.
Pvz., Jei turite „Windows 10“ kompiuterį, bet norite naudoti „Linux“, „Windows 10“ viduje galite nustatyti virtualią mašiną, kad ji paleistų „Linux“. Jis veiks lygiai taip pat kaip „Linux“ įrenginys, bet veikia Windows 10 lange.
Virtualios mašinos yra labai naudingos virusų tyrinėtojams, nes jos veikia kaip skaitmeninė venos musės gaudyklė. Jei tyrėjas mano, kad programoje ar faile yra virusas, jie gali jį išbandyti paleisdami virtualioje mašinoje.
Jei faile yra virusas, jis pradės užkrėsti virtualią mašiną. Kadangi virtualioji mašina yra nustatyta kaip tikra, virusas mano, kad ji užkrečia tikrą kompiuterį, o ne virtualų. Taigi jis pradeda pristatyti savo naudingą krovinį ir daro žalą virtualiajai mašinai. Laimei, jokia žala, kurią virusas „neperkelia“ į pagrindinį kompiuterį; tai turi įtakos tik virtualiajam.
Kai virusas pašalins žaidimą, tyrėjas gali išsiaiškinti, kaip jis veikia, ir iš naujo nustatyti virtualiąją mašiną. Tada jie perima tai, ko išmoko iš virtualios mašinos, ir naudoja ją kurdami virusų apibrėžimus, kad apsaugotų žmonių tikruosius kompiuterius.
Dėl šios priežasties virtualios mašinos neleidžia kenkėjiškų programų kūrėjams. Jei kas nors įtaria, kad programoje yra kenkėjiškų programų, jis gali ją pakelti virtualioje mašinoje ir nubraukti, jei ji bloga.
Kur įeina ekrano skiriamoji geba?
Šis programų bandymo metodas turi vieną trūkumą. Kai kenkėjiškų programų tyrinėtojai sukuria virtualią mašiną, jiems nelabai rūpi visos papildomos funkcijos. Viskas, ko jiems reikia norint patikrinti virusus, yra virtualioji mašina, veikianti kaip normalus kompiuteris - visa kita yra pasirenkama.
Todėl tyrėjai kartais neįdiegia VM svečio programinės įrangos. Ši programinė įranga įgalina papildomas funkcijas, pvz., Didesnę ekrano skiriamąją gebą, kurių tyrėjui tikrai nereikia. Jei vartotojas nenaudoja svečio programinės įrangos, paprastai VM užrakina vartotoją viena iš dviejų mažų skiriamųjų gebų: 800 × 600 ir 1024 × 768.
Šios dvi rezoliucijos yra svarbios kenkėjiškų programų kūrėjui. Šiuolaikinių kompiuterių ir nešiojamųjų kompiuterių ekranai paprastai nėra tokios raiškos; jis labai pasenęs.
Tiesą sakant, jūs galite pamatyti, koks jis pasenęs Statcounter, kuriame renkama informacija apie dažniausiai naudojamas rezoliucijas. Rašymo metu skyros paprastai būna didesnės arba mažesnės nei aukščiau išvardyti VM pavyzdžiai.
Vienoje spektro pusėje turite standartinę 1366 × 768 skiriamąją gebą nešiojamuosiuose kompiuteriuose ir 1920 × 1080 - asmeninių kompiuterių monitoriuose. Kitoje pusėje rasite mažus naudojamus 360 × 640 ekranus - tai išmanieji telefonai.
800 × 600 ir 1024 × 768 visai nerodomi. Pastaroji atvirkštinė dalis, 768 × 1024, egzistuoja; tai „iPad“ skiriamoji geba. Tačiau net ir tai užtrunka tik 2,6 proc., Tai reiškia, kad 97,4 proc. Įrenginių naudoja skirtingas skiriamąsias gebas.
Kaip kenkėjiška programa naudoja šiuos duomenis, kad būtų išvengta VM
Iš esmės, kai kenkėjiška programa patenka į pagrindinį kompiuterį ir pastebi, kad ji veikia 800 × 600 arba 1024 × 768, tai yra labai pasenusi aparatinė įranga arba, labiau tikėtina, kad jie yra stebimi virtualiame mašina.
Jei virusas veikia esant tokioms sąlygoms, virusas tyrinėtojas jį atiduos žaidimui. Taigi kenkėjiška programinė įranga, norėdama apsaugoti savo paslaptis, nutraukia savo veiklą ir nedaro jokios žalos.
Tyrėjo požiūriu, programa vykdė ir neužkrėtė kompiuterio, todėl ji turi būti gerybinė. Tada jie programai gali priskirti klaidingą neigiamą ataskaitą, leisdami kenkėjiškajai programai keliauti toliau, kol ji pagaliau bus sugauta.
Patikimumo tikrinimo kenkėjiškų programų realiame pasaulyje pavyzdžiai
„Trickbot“ yra puikus šios taktikos pavyzdys. Tyrėjams pavyko įsijausti į naujausią „TrickBot“ kodo problemą ir išanalizavo, kaip jis veikia. Vienas „Twitter“ vartotojas, žinomas kaip Mak (@maciekkotowicz), „TrickBot“ rado kodo fragmentą, kuris nuskaito 800 × 600 arba 1024 × 768 skiriamąją gebą.
Šiandien #Trickbot krautuvai su ekrano skiriamąja geba #antivm triukas, jei turite 800 × 600 arba 1024 × 768 skiriamąją gebą - esate saugūs! ;] kopija @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 2020 m. Birželio 30 d
Šioje kodo dalyje virusas sugriebia kompiuterio skyros X ir Y reikšmes, o tada jas sujungia, kad pamatytų rezultatą. Jei rezultatas lygus 800 × 600 arba 1024 × 768, kodas grąžina skaičių 0. Tai praneša kenkėjiškajai programai, kad ji veikia VM.
Kai kenkėjiška programa sužino, kad ji yra virtualioje mašinoje, ji sunaikina save, kad išvengtų aptikimo. Dėl to kiekvienas, virtualioje mašinoje tikrinantis virusus, neteisingai laikys jį saugiu.
Ką tau reiškia ši taktika
Žinoma, tai reiškia, kad jei naudojote 1024 × 768 arba 800 × 600 skiriamąją gebą, turėsite apsaugą nuo kai kurių kenkėjiškų programų padermių. Kai tik jie atvyks, jie pastebės jūsų skiriamąją gebą ir susisprogdins prieš padarydami bet kokią žalą. Tačiau tai, ką įgyjate saugant, jūs prarasite savo nuovokumą naudodami kompiuterį su tokia ankšta skiriamąja geba!
Taigi geriausia kovoti su šia kenkėjiškos programinės įrangos rūšimi yra atnaujinti antivirusinę programą. Dabar, kai šis anti-VM triukas yra žinomas viešai, mažai tikėtina, kad aukštos klasės saugumo kompanijos vėl bus apgautos.
Tačiau tai svarbu atkreipti dėmesį, jei esate linkę išbandyti failus savo virtualiose mašinose. Jei jūsų VM veikia 800 × 600 arba 1024 × 768, verta nustatyti jį į populiaresnę skiriamąją gebą. Jei to nepadarėte, negalite būti tikri, ar jūsų bandomame faile yra įdiegta ši anti-VM atsargumo priemonė.
Apsaugokite nuo slaptų virusų
Kai kibernetinis saugumas tampa didžiule pramonės šaka, kenkėjiškų programų kūrėjai turi prisitaikyti, kad išliktų vienu žingsniu priekyje. Naujų kenkėjiškų programų štamų bus išvengta, jei jie bus naudojami neparengtame VM, taigi, jei virusams tikrinti naudojate VM, nepamirškite to atsiminti.
Geriausias antivirusas yra sveikas protas, tad kodėl neišmokus paprasti būdai niekada neužkrėsti virusu 10 paprastų būdų, kaip niekada negauti virusoTurėdami šiek tiek pagrindinio mokymo, galite visiškai išvengti virusų ir kenkėjiškų programų problemų savo kompiuteriuose ir mobiliuosiuose įrenginiuose. Dabar galite nusiraminti ir mėgautis internetu! Skaityti daugiau ?
Partnerių informacijos atskleidimas: Pirkdami produktus, kuriuos rekomenduojame, padėsite išlaikyti svetainę gyvą. Skaityti daugiau.
Kompiuterijos mokslų bakalauras yra giliai aistringas visų dalykų saugumui. Po darbo „indie“ žaidimų studijoje jis rado aistrą rašyti ir nusprendė panaudoti savo įgūdžių rinkinį rašyti apie visus dalykus.
