Током година, програмери злонамјерног софтвера и стручњаци за кибернетичку сигурност ратовали су покушавајући да се усавршавају. Недавно је заједница програмера за злонамјерни софтвер имплементирала нову стратегију за откривање избјегавања: провјеру резолуције екрана.
Истражимо зашто је резолуција екрана важна за злонамјерни софтвер и шта то значи за вас.
Зашто се малваре брине о резолуцији екрана
Да бисмо сазнали зашто се злонамерни софтвер брине о резолуцији екрана, морамо погледати једног од његових најгорих непријатеља; тхе тхе Виртуелна машина Шта је виртуелна машина? Све што треба да знатеВиртуелне машине омогућавају вам покретање других оперативних система на вашем тренутном рачунару. Ево шта бисте требали знати о њима. Опширније .
Виртуелне машине су корисно средство за истраживаче вируса. Они дјелују као „рачунар у рачунару“, тако да можете користити други оперативни систем без потребе за новим рачунаром.
На пример, ако имате Виндовс 10 рачунар, али желите да користите Линук, можете да поставите виртуелну машину у систему Виндовс 10 за покретање Линука. Понашати ће се попут Линук машине, али покреће се у прозору у Виндовсу 10.
Виртуелне машине су веома корисне истраживачима вируса, јер делују као замка за дигиталну летеће Венере. Ако истраживач верује да програм или датотека садржи вирус, могу га тестирати тако да га покрену у виртуелној машини.
Ако датотека садржи вирус, почет ће заразити виртуелну машину. Пошто је виртуелна машина постављена попут праве, вирус верује да инфицира прави ПЦ, а не виртуелни. Као такав, он почиње да испоручује свој терет и прави штету виртуелној машини. Срећом, ниједно оштећење које вирус не нанесе на главни рачунар; он утиче само на виртуелни.
Једном када је вирус поклонио игру, истраживач може да проучи како то ради, а затим ресетује виртуелну машину. Затим узимају оно што су научили на виртуелној машини и користе је за креирање дефиниција вируса како би заштитили стварне рачунаре људи.
Због тога су виртуелне машине прави програмери злонамерног софтвера. Ако неко посумња да неки програм има злонамерни софтвер, може га покренути на виртуелној машини и очистити га ако је лоше.
Где долази резолуција екрана у ово?
Постоји једна мана ове методе тестирања апликација. Када истраживач злонамерног софтвера створи виртуелну машину, они их уопште не занимају све додатне функције. Све што је потребно за тестирање на вирусе јесте виртуелна машина која делује као уобичајени рачунар - све остало је опционо.
Као резултат, истраживачи понекад не инсталирају софтвер за госте ВМ-а. Овај софтвер омогућава додатне функције као што су веће резолуције екрана, које истраживачу заиста нису потребне. Ако корисник не користи гостујући софтвер, ВМ обично закључава корисника у једној од две ниске резолуције: 800 × 600 и 1024 × 768.
Ове две резолуције важне су програмеру злонамерног софтвера. Рачунари и лаптопи модерног времена обично не долазе са екранима по тој резолуцији; веома је застарела
У ствари, можете видети колико је застарио Статцоунтер, који прикупља информације о најчешће коришћеним резолуцијама. У време писања, резолуције су обично веће или мање од горњих примера ВМ.
Са једне стране спектра имате стандардну резолуцију 1366 × 768 за лаптопове и 1920 × 1080 за ПЦ мониторе. С друге стране, наћи ћете мале корисне екране од 360 × 640 - то су паметни телефони.
800 × 600 и 1024 × 768 се уопште не појављују. Реверза потоњег, 768 × 1024, постоји; ово је иПад резолуција. Међутим, чак и то заузима само 2,6 посто, што значи да 97,4 посто уређаја користи различите резолуције.
Како злонамјерни софтвер користи ове податке за избјегавање ВМ-ова
Као такав, када злонамерни софтвер слети на хост рачунар и напомиње да се покреће или 800 × 600 или 1024 × 768, или на веома застарелом хардверу или - што је вероватније - гледају их виртуелно машина.
Ако вирус делује под овим условима, игра ће дати одмах под очима истраживача вируса. Као такав, у циљу заштите својих тајни, злоупотреба софтвера се уместо тога самоактива и не наноси штету.
Из перспективе истраживача, програм се покренуо и није заразио рачунар, тако да мора бити бениган. Затим могу доделити лажни негативан извештај за програм, омогућавајући злонамјерном софтверу да путује даље пре него што га коначно ухвате.
Примјери провјере резолуције злонамјерног софтвера у стварном свијету
Трицкбот је одличан пример ове тактике у дивљини. Истраживачи су успели да се пробију на недавни низ ТрицкБот-овог кода и анализирали су како то функционише. Један корисник Твиттера познат као Мак (@мациеккотовицз) пронашао је комад кода унутар ТрицкБот-а који скенира у резолуцији 800 × 600 или 1024 × 768.
Данашњи #Трицкбот утоваривачи с резолуцијом екрана #антивм трик, ако имате резолуцију 800 × 600 или 1024 × 768 - сигурни сте! ;] цц @ВК_Интел@Јамес_интхе_бок@ЈАМЕСВТ_МХТ@абусе_цхпиц.твиттер.цом/мбГЕ5ИвЛХ0
- мак (@мациеккотовицз) 30. јуна 2020
У овом комаду кода, вирус хвата Кс и И вредности резолуције рачунара, а затим их комбинује да би видео резултат. Ако је резултат једнак или 800 × 600 или 1024 × 768, код враћа број 0. Ово говори злонамерном софтверу да се покреће у ВМ-у.
Једном када злонамерни софтвер зна да се налази унутар виртуелне машине, он се самоуништава како би избегао откривање. Као резултат, свако ко проверава вирусе у виртуелној машини погрешно ће то сматрати безбедним.
Шта ова тактика значи за вас
Наравно, то значи да ако сте користили резолуцију 1024 × 768 или 800 × 600, имаћете заштиту од неких врста штетног софтвера. Чим стигну, приметиће вашу резолуцију и детонирати се пре него што направе било какву штету. Међутим, оно што стекнете у заштити изгубићете здрав разум користећи рачунар са тако скученом резолуцијом!
Као такав, ваша најбоља опклада за борбу против овог новог обима злонамјерног софтвера је ажурирање вашег антивируса. Сада када је овај анти-ВМ трик јавно сазнање, мало је вероватно да ће се хигх-енд компаније за сигурност поново заварати.
Међутим, ово је важно имати на уму ако имате тенденцију да тестирате датотеке на сопственим виртуелним машинама. Ако ваш ВМ ради на 800 × 600 или 1024 × 768, вреди га подесити на популарнију резолуцију. Ако немате, не можете бити сигурни да ли је у датотеци коју тестирате инсталирана та анти-ВМ предострожност.
Останите сигурни од подмуклих вируса
Будући да цибер-сигурност постаје велика индустрија каква јест, програмери злонамјерног софтвера морају се прилагодити да остану корак испред. Нови сојеви злонамјерног софтвера избјећи ће снимање ако се покрену у неприпремљеном ВМ-у, тако да ако користите ВМ-ове за тестирање вируса, имајте на уму то.
Најбољи је антивирус здрав разум, па зашто не научити једноставни начини да никад не добијете вирус 10 лаких начина да никад не набавите вирусУз мало основне обуке, у потпуности можете избјећи проблем вируса и злонамјерног софтвера на рачунарима и мобилним уређајима. Сада се можете смирити и уживати у интернету! Опширније ?
Откривање партнера Куповином производа које препоручујемо помажете у одржавању веб локације. Опширније.
Дипломирани инжењер информатике, дубок страст за свим стварима сигурности. Након што је радио у студију за индие игре, пронашао је страст према писању и одлучио је да искористи свој сет вештина за писање о свим техничким стварима.
