От години разработчиците на зловреден софтуер и експертите по киберсигурност са имали напрегнати конфронтации. Наскоро общността на разработчиците на зловреден софтуер внедри нова стратегия за избягване на откриването: Проверете разделителната способност на екрана.
Нека проучим защо разделителната способност на екрана има значение за злонамерения софтуер и какво означава това за вас.
Защо зловреден софтуер се интересува от разделителната способност на екрана?
За да разберете защо зловреден софтуер се интересува от разделителната способност на екрана, помислете за един от враговете на зловреден софтуер: виртуални машини .
Виртуалните машини са полезен инструмент за изследователите на вируси. Те работят като един компютър в друг, така че можете да използвате различна операционна система, без да имате нужда от нов компютър.
Например, ако имате компютър с Windows 10, но искате да използвате Linux, можете да настроите виртуална машина в Windows 10, за да работи с Linux. Той ще функционира като компютър с Linux, но ще работи в прозорец на Windows 10.
Виртуалните машини са много полезни за изследователите на вируси, защото действат като дигитален капан за мухи. Ако изследовател смята, че програма или файл съдържа вирус, той може да го тества, като го стартира във виртуална машина.
Ако файлът съдържа вирус, той ще започне да заразява виртуалната машина. Тъй като виртуалната машина е настроена да изглежда като истинска машина, вирусът вярва, че е заразил истински компютър, а не виртуална машина. Като такъв, той започва да доставя своя полезен товар и да причинява щети на виртуалната машина. За щастие вирусът не може да навреди на основния компютър. Засяга само виртуални машини.
След като вирусът бъде разкрит, изследователите могат да научат как работи, след което да нулират виртуалната машина. След това те взеха наученото от виртуалната машина и го използваха, за да създадат вирусни дефиниции, за да защитят потребителите на реални компютри. Поради това виртуалните машини са враждебни към разработчиците на зловреден софтуер.
Каква роля играе разделителната способност на екрана в това?
Има недостатък в този метод за тестване на приложението. Когато изследователите на зловреден софтуер създават виртуална машина, те всъщност не се интересуват от всички допълнителни функции. Всичко, от което се нуждаят, за да тестват за вируси, е виртуална машина, която действа като нормален компютър, всичко останало е само по избор.
В резултат на това изследователите понякога не инсталират гост софтуера на VM. Този софтуер активира допълнителни функции като по-висока разделителна способност на екрана, от които изследователят всъщност не се нуждаеше. Ако потребителят не използва ��лиентски софтуер, виртуалната машина обикновено заключва потребителя в една от двете ниски разделителни способности: 800x600 и 1024x768.
Тези две резолюции са много важни за разработчика на зловреден софтуер. Съвременните компютри и лаптопи не идват често с екрани с тази резолюция. Този размер е много остарял.
Популярни разделителни способности на устройството
Как злонамереният софтуер използва тези данни, за да избегне виртуални машини?
По този начин, когато зловреден софтуер се появи на хост компютър и се забележи, че той работи с разделителна способност 800 × 600 или 1024 × 768, това означава, че злонамереният софтуер вероятно работи на много остарял или потенциално способен хардуер. .
Ако вирусът работи при тези условия, той ще бъде изложен. По този начин, за да се защитите, злонамереният софтуер ще се прекрати сам и няма да причини щети.
От гледна точка на изследователя програмата работи и не заразява компютъра, така че не е вирус. След това те могат да направят грешни предположения за програмата, позволявайки на злонамерения софтуер да пътува по-далеч, преди да бъде открит.
Пример за тестване на злонамерен софтуер в реални условия
Trickbot е чудесен пример за тази тактика в действие. Изследователите наскоро успяха да проникнат в ред от код на TrickBot и да анализират как работи. Потребител на Twitter на име Мак (@maciekkotowicz) намери код в TrickBot, който сканира разделителна способност 800×600 или 1024×768.
Кодът в TrickBot сканира с резолюция 800×600 или 1024×768
В този код вирусът взема стойностите X и Y на разделителната способност на компютъра, след което ги комбинира, за да види резултата. Ако резултатът е 800 × 600 или 1024 × 768, кодът ще върне 0. Това показва злонамерен софтуер, работещ във виртуална машина.
След като зловредният софтуер разбере, че е във виртуална машина, той се самоунищожава, за да избегне откриването. В резултат на това всеки, който проверява за вируси във виртуална машина, ще я счита за безопасна.
Какво означава тази стратегия за вас?
Разбира се, това означава, че ако използвате резолюция 1024x768 или 800x600, ще бъдете защитени от някои видове зловреден софтуер. Веднага щом стигнат до системата, те ще отбележат вашата резолюция и ще се самоунищожат, преди да причинят щети. За да получите тази защита обаче, ще трябва да използвате компютър с много малка резолюция!
Като такъв, най-добрият начин за борба с този нов тип зловреден софтуер е да актуализирате своя антивирусен софтуер . Сега този анти-VM трик е публично известен, така че е много малко вероятно компаниите за сигурност от висок клас да бъдат измамени отново.
Това обаче е особено важно да имате предвид, ако сте склонни да проверявате файлове във вашите собствени виртуални машини. Ако вашата виртуална машина работи на 800 × 600 или 1024 × 768, може да си струва да я настроите на по-често срещаната разделителна способност. Ако не го направите, е невъзможно да сте сигурни дали файлът, който проверявате, има инсталирана тази анти-VM предпазна мярка.
Когато Windows покаже грешката „Нямате разрешение да записвате в това местоположение“, това ще ви попречи да записвате файлове в желани папки.
Syslog Server е важна част от арсенала на ИТ администратора, особено когато става въпрос за управление на регистрационни файлове на събития в централизирано местоположение.
Грешка 524: Възникна изчакване е специфичен за Cloudflare HTTP статус код, който показва, че връзката със сървъра е затворена поради изчакване.
Кодът за грешка 0x80070570 е често срещано съобщение за грешка на компютри, лаптопи и таблети, работещи с операционна система Windows 10. Той обаче се появява и на компютри, работещи под Windows 8.1, Windows 8, Windows 7 или по-стари версии.
Грешка в син екран на смърт BSOD PAGE_FAULT_IN_NONPAGED_AREA или STOP 0x00000050 е грешка, която често възниква след инсталиране на драйвер на хардуерно устройство или след инсталиране или актуализиране на нов софтуер и в някои случаи причината е, че грешката се дължи на повреден NTFS дял.
Вътрешната грешка на Video Scheduler също е смъртоносна грешка на синия екран, тази грешка често се появява в Windows 10 и Windows 8.1. Тази статия ще ви покаже някои начини за отстраняване на тази грешка.
За да направите Windows 10 зареждане по-бързо и да намалите времето за зареждане, по-долу са стъпките, които трябва да следвате, за да премахнете Epic от Windows Startup и да предотвратите стартирането на Epic Launcher с Windows 10.
Не трябва да записвате файлове на работния плот. Има по-добри начини да съхранявате компютърни файлове и да поддържате работния си плот подреден. Следващата статия ще ви покаже по-ефективни места за запазване на файлове в Windows 10.
Каквато и да е причината, понякога ще трябва да регулирате яркостта на екрана, за да отговаря на различни условия на осветление и цели. Ако трябва да наблюдавате детайлите на изображение или да гледате филм, трябва да увеличите яркостта. Обратно, може също да искате да намалите яркостта, за да защитите батерията на вашия лаптоп.
Компютърът ви произволно се събужда и изскача ли прозорец с надпис „Проверка за актуализации“? Обикновено това се дължи на програмата MoUSOCoreWorker.exe - задача на Microsoft, която помага да се координира инсталирането на актуализации на Windows.
