Az évek során a rosszindulatú programok fejlesztői és a kiberbiztonsági szakértők háborúban próbálták egymást egyesíteni. A közelmúltban a rosszindulatú programok fejlesztői közössége új stratégiát telepített, amely elkerüli az észlelést: ellenőrzi a képernyő felbontását.
Vizsgáljuk meg, miért fontos a képernyőfelbontás a rosszindulatú programok számára, és mit jelent ez az Ön számára.
Miért érdekli a rosszindulatú program a képernyőfelbontást?
Ahhoz, hogy megtudja, miért érdekli a rosszindulatú program a képernyő felbontását, át kell vetnünk annak egyik legrosszabb ellenségét; a Virtuális gép Mi az a virtuális gép? Minden, amit tudnod kellA virtuális gépek lehetővé teszik más operációs rendszerek futtatását a jelenlegi számítógépen. Itt van, amit tudnia kell róluk. Olvass tovább .
A virtuális gépek hasznos eszköz a víruskutatók számára. Úgy működnek, mint egy "számítógép a számítógép belsejében", tehát egy másik operációs rendszer nélkül is használhat új számítógépet.
Például, ha van egy Windows 10 számítógép, de Linuxot akar használni, beállíthat egy virtuális gépet a Windows 10 rendszerben a Linux futtatásához. Úgy viselkedik, mint egy Linux, de Windows 10-ben egy ablakban fut.
A virtuális gépek nagyon hasznosak a víruskutatók számára, mivel digitális vénusz légycsapdaként működnek. Ha egy kutató úgy véli, hogy egy program vagy fájl vírust tartalmaz, akkor kipróbálhatják egy virtuális gépen futtatva.
Ha a fájl vírust tartalmaz, akkor megkezdi a virtuális gép megfertőzését. Mivel a virtuális gép úgy van beállítva, mint egy valódi, a vírus úgy véli, hogy valódi számítógépet fertőz, nem pedig virtuális. Mint ilyen, elkezdi kiszállítani a hasznos teherét, és kárt okoz a virtuális gépen. Szerencsére a vírusok egyik károsodása sem terheli a fő számítógépet; csak a virtuálisra vonatkozik.
Miután a vírus elidegenítette a játékot, a kutató megvizsgálhatja annak működését, majd visszaállíthatja a virtuális gépet. Ezután átveszik azt, amit megtanultak a virtuális gépről, és felhasználják vírusdefiníciók létrehozására az emberek valódi számítógépének védelme érdekében.
Emiatt a virtuális gépek megsértik a rosszindulatú programok fejlesztőit. Ha valaki azt gyanítja, hogy egy program rosszindulatú szoftvereket tartalmaz, akkor elindíthatják egy virtuális gépen, és rosszul távolíthatják el.
Hol kerül bele a képernyőfelbontás?
Van egy hiba az alkalmazások tesztelésének ezen módszerével. Amikor egy rosszindulatú programok kutatója létrehoz egy virtuális gépet, őket nem igazán érdekli az összes kiegészítő szolgáltatás. A vírusok vizsgálatához csak egy virtuális gépet kell használni, amely úgy működik, mint egy normál számítógép - minden más választható.
Ennek eredményeként a kutatók néha nem telepítik a virtuális gép vendég szoftvert. Ez a szoftver olyan kiegészítő funkciókat tesz lehetővé, mint például a nagyobb képernyőfelbontás, amelyeket a kutatónak valójában nem kell. Ha a felhasználó nem használja a vendégszoftvert, akkor a virtuális gép általában két alacsony felbontás egyikébe zárja a felhasználót: 800 × 600 és 1024 × 768.
Ez a két felbontás fontos a rosszindulatú programok fejlesztője számára. A modern számítógépek és laptopok általában nem olyan képernyővel vannak ellátva, amely ilyen felbontású; nagyon elavult.
Valójában láthatja, hogy elavult StatCounter, amely információkat gyűjt a leggyakrabban használt felbontásokról. Az írás idején a felbontás nagyobb vagy kisebb, mint a fenti virtuális gép példák.
A spektrum egyik oldalán a szabvány 1366 × 768 felbontás van a laptopok és az 1920 × 1080 felbontás a PC-monitorok esetében. A másik oldalon apró, használatban lévő 360 × 640 képernyők találhatók - ezek okostelefonok.
A 800 × 600 és az 1024 × 768 egyáltalán nem jelennek meg. Utóbbi fordítottja, 768 × 1024, létezik; ez egy iPad felbontás. Ennek ellenére még csak 2,6 százalékot igényel, azaz az eszközök 97,4 százaléka eltérő felbontást használ.
Hogyan használja a rosszindulatú programok ezeket az adatokat a virtuális gépek elkerülése érdekében
Mint ilyen, ha a rosszindulatú program a gazdagépen fut, és megjegyzi, hogy 800x600 vagy 600-as verzióban fut 1024 × 768, vagy nagyon elavult hardveren, vagy - ami valószínűbb - virtuálisan figyeli őket gép.
Ha a vírus ilyen körülmények között működik, akkor közvetlenül a víruskutató szemében eljuttatja a vadot. Mint ilyen, titkai védelme érdekében a rosszindulatú program önmagában véget vet, és nem okoz kárt.
A kutató szempontjából a program futott és nem fertőzte meg a számítógépet, tehát jóindulatúnak kell lennie. Ezután hamis negatív jelentést rendelhetnek a programhoz, lehetővé téve a rosszindulatú programok továbblépését, mielőtt végül elkapnák őket.
Példák a felbontás-ellenőrző malware-re a való világban
A Trickbot kiváló példa erre a vadon élő taktikára. A kutatóknak sikerült behatolniuk a TrickBot kódjának legutóbbi törzsébe, és elemezték annak működését. Az egyik Twitter-felhasználó Mak (@maciekkotowicz) néven egy kódrészletet talált a TrickBot-ban, amely 800 × 600 vagy 1024 × 768 felbontást keres.
Mai #Trickbot homlokrakodók képernyőfelbontással #antivm trükk, ha 800 × 600 vagy 1024 × 768 felbontása van - biztonságban vagy! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 2020. június 30
Ebben a kódrészletben a vírus megragadja a számítógép felbontásának X és Y értékeit, majd egyesíti azokat az eredmény megjelenítéséhez. Ha az eredmény 800 × 600 vagy 1024 × 768, akkor a kód 0 értéket ad vissza. Ez azt jelenti, hogy a rosszindulatú program egy virtuális gépben fut.
Amint a rosszindulatú program megtudja, hogy egy virtuális gépen belül van, önmegsemmisül, hogy elkerülje az észlelést. Ennek eredményeként bárki, aki virtuális gépen víruskeresést keres, helytelenül biztonságosnak tekinti.
Mit jelent ez a taktika az Ön számára
Ez természetesen azt jelenti, hogy ha 1024 × 768 vagy 800 × 600 felbontást használ, akkor védelmet élvez a rosszindulatú programok egyes törzsei ellen. Amint megérkeznek, észreveszik az Ön felbontását és öndetonálnak, mielőtt bármilyen kárt okoznak. Mindazonáltal, amit megszerez a védelemben, elveszíti a józanságát, ha ilyen szűk felbontású számítógépet használ!
Mint ilyen, a rosszindulatú programok új törzsének leküzdésére a legjobb megoldás az, hogy frissítse víruskeresőjét. Most, hogy ez a VM-ellenes trükk közismert, valószínűtlen, hogy a csúcskategóriás biztonsági cégeket ismét becsapják.
Fontos azonban ezt megjegyezni, ha hajlamos a fájlokat kipróbálni a saját virtuális gépeiben. Ha a virtuális gép 800 × 600 vagy 1024 × 768 formátumban működik, érdemes beállítani egy népszerűbb felbontásra. Ha nem, akkor nem lehet biztos abban, hogy a tesztelt fájlba telepítve van-e ez a VM-ellenes óvintézkedés.
Biztonságosak a alattomos vírusoktól
Mivel a kiberbiztonság hatalmas iparává vált, a rosszindulatú programok fejlesztõinek alkalmazkodniuk kell ahhoz, hogy egy lépéssel elõre maradjanak. Az új rosszindulatú programok törzsei elkerülhetik a rögzítést, ha egy fel nem készített virtuális gépben futtatják, tehát ha a virtuális gépeket vírusvizsgálathoz használja, ügyeljen erre.
A legjobb antivírus a józan ész, tehát miért nem tanulja meg a egyszerű módja annak, hogy soha ne szerezzen vírust 10 egyszerű módszer, hogy soha ne szerezzen vírustEgy kis alapképzéssel teljesen elkerülheti a vírusok és a rosszindulatú programok problémáját a számítógépeken és a mobil eszközökön. Most megnyugodhat és élvezheti az internetet! Olvass tovább ?
Affiliate nyilvánosságra hozatal: Az általunk ajánlott termékek megvásárlásával elősegíti az oldal életben tartását. Olvass tovább.
Számítástechnikai BSc végzettséggel rendelkezik, mindegyik biztonság iránti mély szenvedélye van. Miután indie játékstúdióban dolgozott, felfedezte az iránti szenvedélyét az írás iránt, és úgy döntött, hogy készségkészletével minden dolgot techre ír.
