Aastate jooksul on õelvara arendajad ja küberturvalisuse eksperdid üksteist üksmeelele seadnud. Hiljuti võttis pahavara arendajate kogukond kasutusele uue strateegia, mis aitab tuvastamist vältida: kontrollida ekraani eraldusvõimet.

Uurime, miks on ekraani eraldusvõime pahavara jaoks oluline ja mida see teie jaoks tähendab.

Miks hoolib pahavara ekraani eraldusvõimest?

Et teada saada, miks pahavara ekraani eraldusvõimest hoolib, peame tutvuma selle ühe halvima vaenlasega; Virtuaalne masin Mis on virtuaalne masin? Kõik, mida peate teadmaVirtuaalsed masinad võimaldavad teil praeguses arvutis käivitada muid opsüsteeme. Siit saate teada, mida peaksite nende kohta teadma. Loe rohkem .

Virtuaalsed masinad on viiruste uurijatele kasulik tööriist. Need toimivad kui "arvuti sees olev arvuti", nii et saate kasutada mõnda muud opsüsteemi ilma uut arvutit vajamata.

Näiteks kui teil on Windows 10 arvuti, kuid soovite kasutada Linuxi, saate Linuxi käitamiseks seadistada virtuaalse masina Windows 10 sees. See toimib täpselt nagu Linuxi masin, kuid töötab Windows 10 aknas.

instagram viewer

Virtuaalsed masinad on viiruseuurijatele väga kasulikud, kuna need toimivad digitaalse veenuse kärbsepüüdjana. Kui teadlane usub, et programm või fail sisaldab viirust, saavad nad seda testida, käivitades selle virtuaalmasinas.

Kui fail sisaldab viirust, hakkab see virtuaalset masinat nakatama. Kuna virtuaalne masin on üles seatud nagu päris, usub viirus, et see nakatab päris arvutit, mitte virtuaalset. Sellisena hakkab ta toimetama oma koormat ja tegema virtuaalmasinale kahju. Õnneks ei kanna ükski viiruse kahjustusi peaarvutisse üle; see mõjutab ainult virtuaalset.

Kui viirus on mängu ära andnud, saab teadlane uurida, kuidas see töötab, ja lähtestada virtuaalmasin. Seejärel võtavad nad virtuaalsest masinast õpitu kokku ja kasutavad seda viiruse määratluste loomiseks, et kaitsta inimeste reaalseid arvuteid.

Seetõttu on virtuaalsed masinad pahavara arendajate pettuseks. Kui keegi kahtlustab, et mõni programm sisaldab pahavara, saab ta selle virtuaalsesse masinasse käivitada ja halva juhtimise korral maha koorida.

Kuhu tuleb ekraani eraldusvõime?

Sellel rakenduste testimismeetodil on üks puudus. Kui pahavara uurija loob virtuaalse masina, ei huvita nad tegelikult kõiki lisafunktsioone. Viiruste testimiseks on vaja vaid virtuaalset masinat, mis töötab nagu tavaline arvuti - kõik muu on valikuline.

Seetõttu ei installeeri teadlased mõnikord VM-i külalistarkvara. See tarkvara võimaldab lisafunktsioone, näiteks kõrgemat ekraani eraldusvõimet, mida uurijal tegelikult pole vaja. Kui kasutaja ei kasuta külalistarkvara, lukustab VM kasutaja tavaliselt ühe kahest eraldusvõimest: 800 × 600 ja 1024 × 768.

Need kaks resolutsiooni on pahavara arendaja jaoks olulised. Tänapäevastel arvutitel ja sülearvutitel pole tavaliselt selle eraldusvõimega ekraane; see on väga aegunud.

Statcounteri graafik, mis näitab resolutsiooni populaarsust

Tegelikult näete, kui aegunud see on Riigihange, mis kogub teavet enim kasutatud resolutsioonide kohta. Kirjutamise ajal kipuvad resolutsioonid olema kas suuremad või väiksemad kui ülaltoodud VM-i näited.

Spektri ühel küljel on teil sülearvutite jaoks standardne eraldusvõime 1366 × 768 ja arvutimonitoride jaoks 1920 × 1080. Teiselt poolt leiate pisikesed kasutatavad ekraanid 360 × 640 - need on nutitelefonid.

800 × 600 ja 1024 × 768 ei kuvata üldse. Viimane, 768 × 1024, on olemas; see on iPadi eraldusvõime. Kuid isegi see võtab vaid 2,6 protsenti, mis tähendab, et 97,4 protsenti seadmetest kasutab erinevaid eraldusvõimeid.

Kuidas pahavara neid andmeid kasutab, et vältida VM-e

Kui pahavara maandub arvutisse ja märgib, et see töötab kas 800 × 600 või 1024 × 768, see on kas väga vananenud riistvaraga või - mis on tõenäolisem - neid jälgitakse virtuaalses ruumis masin.

Kui viirus töötab sellises olukorras, annab see mängu otse viiruseuurija silme all. Sellisena lõpetab pahavara oma saladuste kaitsmise iseenesest ja ei kahjusta.

Teadlase vaatenurgast programm jooksis ja ei nakatanud arvutit, seega peab see olema healoomuline. Seejärel võivad nad programmi jaoks määrata valenegatiivse aruande, lubades pahavaral edasi liikuda, enne kui see lõpuks kinni püütakse.

Näited eraldusvõime kontrollimise pahavara kohta reaalses maailmas

Trickbot on suurepärane näide sellest looduses välja mõeldud taktikast. Teadlastel õnnestus tungida TrickBoti koodi hiljutisse tüve ja analüüsiti, kuidas see töötab. Üks Twitteri kasutaja, keda tuntakse nimega Mak (@maciekkotowicz), leidis TrickBotist koodipaki, mis skaneerib eraldusvõimet 800 × 600 või 1024 × 768.

Tänane #Trickbot ekraani eraldusvõimega laadurid #antivm trikk, kui teil on eraldusvõime 800 × 600 või 1024 × 768 - olete kindel! ;] koopia @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0

- mak (@maciekkotowicz) 30. juuni 2020

Selles koodiribas haarab viirus arvuti eraldusvõime X ja Y väärtused ning ühendab need tulemuse nägemiseks. Kui tulemus võrdub kas 800 × 600 või 1024 × 768, tagastab kood arvu 0. See ütleb pahavarale, et see töötab virtuaalses automaadis.

Kui pahavara teab, et see asub virtuaalmasinas, hävitab see tuvastamise vältimiseks ise. Selle tulemusel peab igaüks, kes kontrollib virtuaalmasinas viirusi, seda valesti turvaliseks.

Mida see taktika teie jaoks tähendab

Muidugi tähendab see, et kui kasutasite eraldusvõimet 1024 × 768 või 800 × 600, on teil kaitse pahavara tüvede eest. Niipea kui nad kohale jõuavad, panevad nad teie lahenduse tähele ja lõhkevad enne, kui nad mingit kahju teevad. Kuid selle, mida kaitse saate, kaotate oma mõistuse, kui kasutate sellise krampliku eraldusvõimega arvutit!

Seega on teie parim valik selle uue pahavara tüve vastu võitlemiseks viirusetõrje värskendamine. Nüüd, kui see VM-vastane trikk on üldsusele teada, on ebatõenäoline, et tipptasemel turvaettevõtteid uuesti lollitatakse.

Seda on aga oluline tähele panna, kui teil on kalduvus katsetada faile oma virtuaalsetes masinates. Kui teie VM töötab suurusega 800 × 600 või 1024 × 768, tasub see seada populaarsemale eraldusvõimele. Kui te seda ei tee, ei saa te olla kindel, kas testitavas failis on see VM-vastane ettevaatusabinõu installitud.

Hoides alatuid viirusi

Kuna küberturvalisusest on saanud tohutu tööstusharu, peavad pahavaraarendajad kohanema, et sammu võrra edasi püsida. Uued pahavara tüved väldivad püüdmist, kui neid töödeldakse ettevalmistamata VM-is, nii et kui kasutate viiruse testimiseks VM-e, pidage seda kindlasti meeles.

Parim viirusetõrje on terve mõistus, nii et miks mitte seda õppida lihtsad viisid viiruse mitte kunagi saamiseks 10 lihtsat viisi viiruse saamiseks kunagi varemVäikese põhikoolituse abil saate täielikult vältida arvutites ja mobiilseadmetes esinevate viiruste ja pahavara probleemide tekkimist. Nüüd saate rahuneda ja Internetti nautida! Loe rohkem ?

Sidusettevõtte avalikustamine: Meie soovitatud toodete ostmisega aitate saiti elus hoida. Loe rohkem.

Infotehnoloogia bakalaureuseõppe lõpetanud inimene on sügava kirega turvalisuse vastu. Pärast tööd indie-mängustuudios leidis ta kirgliku kirglikkuse ja otsustas kasutada oma oskuste komplekti kõigi asjade kirjutamiseks.