Για χρόνια, οι προγραμματιστές κακόβουλου λογισμικού και οι ειδικοί στην ασφάλεια στον κυβερνοχώρο είχαν τεταμένες αντιπαραθέσεις. Πρόσφατα, η κοινότητα ανάπτυξης κακόβουλου λογισμικού έχει εφαρμόσει μια νέα στρατηγική για την αποφυγή εντοπισμού: Ελέγξτε την ανάλυση οθόνης.
Ας διερευνήσουμε γιατί η ανάλυση οθόνης έχει σημασία για κακόβουλο λογισμικό και τι σημαίνει για εσάς.
Γιατί το κακόβουλο λογισμικό ενδιαφέρεται για την ανάλυση οθόνης;
Για να κατανοήσετε γιατί το κακόβουλο λογισμικό ενδιαφέρεται για την ανάλυση οθόνης, σκεφτείτε ένα από τα εχθρικά του κακόβουλου λογισμικού: Εικονικές μηχανές .
Οι εικονικές μηχανές είναι ένα χρήσιμο εργαλείο για τους ερευνητές ιών. Λειτουργούν σαν ένας υπολογιστής μέσα σε έναν άλλο, ώστε να μπορείτε να χρησιμοποιείτε διαφορετικό λειτουργικό σύστημα χωρίς να χρειάζεστε νέο υπολογιστή.
Για παράδειγμα, εάν διαθέτετε υπολογιστή με Windows 10 αλλά θέλετε να χρησιμοποιήσετε Linux, μπορείτε να ρυθμίσετε μια εικονική μηχανή μέσα στα Windows 10 για να τρέχει το Linux. Θα λειτουργεί όπως ένας υπολογιστής Linux, αλλά θα εκτελείται σε ένα παράθυρο στα Windows 10.
Οι εικονικές μηχανές είναι πολύ χρήσιμες για τους ερευνητές ιών, επειδή λειτουργούν σαν ψηφιακή παγίδα μυγών. Εάν ένας ερευνητής πιστεύει ότι ένα πρόγραμμα ή ένα αρχείο περιέχει έναν ιό, μπορεί να το δοκιμάσει εκτελώντας το σε μια εικονική μηχανή.
Εάν το αρχείο περιέχει ιό, θα αρχίσει να μολύνει την εικονική μηχανή. Επειδή μια εικονική μηχανή έχει ρυθμιστεί ώστε να μοιάζει με πραγματική μηχανή, ο ιός πιστεύει ότι έχει μολύνει έναν πραγματικό υπολογιστή και όχι μια εικονική μηχανή. Ως εκ τούτου, αρχίζει να παραδίδει το ωφέλιμο φορτίο του και να προκαλεί ζημιά στην εικονική μηχανή. Ευτυχώς, δεν υπάρχει καμία ζημιά που μπορεί να προκαλέσει ο ιός στον κύριο υπολογιστή. Επηρεάζει μόνο εικονικές μηχανές.
Μόλις εκτεθεί ο ιός, οι ερευνητές μπορούν να μάθουν πώς λειτουργεί και στη συνέχεια να επαναφέρουν την εικονική μηχανή. Στη συνέχεια, πήραν ό,τι έμαθαν από την εικονική μηχανή και τα χρησιμοποίησαν για να δημιουργήσουν ορισμούς ιών για την προστασία των χρηστών σε πραγματικούς υπολογιστές. Εξαιτίας αυτού, οι εικονικές μηχανές είναι εχθρικές προς τους προγραμματιστές κακόβουλου λογισμικού.
Τι ρόλο παίζει η ανάλυση οθόνης σε αυτό;
Υπάρχει ένα ελάττωμα με αυτήν τη μέθοδο δοκιμής εφαρμογής. Όταν οι ερευνητές κακόβουλου λογισμικού δημιουργούν μια εικονική μηχανή, δεν ενδιαφέρονται πραγματικά για όλες τις επιπλέον δυνατότητες. Το μόνο που χρειάζονται για να δοκιμάσουν για ιούς είναι μια εικονική μηχανή που λειτουργεί όπως ένας κανονικός υπολογιστής, όλα τα άλλα είναι απλώς προαιρετικά.
Ως αποτέλεσμα, οι ερευνητές μερικές φορές δεν εγκαθιστούν το λογισμικό φιλοξενουμένων του VM. Αυτό το λογισμικό επέτρεψε πρόσθετες δυνατότητες, όπως υψηλότερη ανάλυση οθόνης, που ο ερευνητής δεν χρειαζόταν πραγματικά. Εάν ο χρήστης δεν χρησιμοποιεί λογισμικό πελάτη, το VM συνήθως κλειδώνει τον χρήστη σε μία από τις δύο χαμηλές αναλύσεις: 800x600 και 1024x768.
Αυτές οι δύο αναλύσεις είναι πολύ σημαντικές για έναν προγραμματιστή κακόβουλου λογισμικού. Οι σύγχρονοι υπολογιστές και φορητοί υπολογιστές δεν διαθέτουν συχνά οθόνες σε αυτή την ανάλυση. Αυτό το μέγεθος είναι πολύ ξεπερασμένο.
Δημοφιλείς αναλύσεις συσκευών
Πώς χρησιμοποιεί το κακόβουλο λογισμικό αυτά τα δεδομένα για να αποφύγει τα VM;
Έτσι, όταν εμφανίζεται κακόβουλο λογισμικό σε έναν κεντρικό υπολογιστή και παρατηρείται ότι εκτελείται σε ανάλυση 800×600 ή 1024×768, σημαίνει ότι το κακόβουλο λογισμικό εκτελείται πιθανώς σε πολύ παλιό ή δυνητικά ικανό υλικό. .
Εάν ο ιός λειτουργεί υπό αυτές τις συνθήκες, θα εκτεθεί. Έτσι, για να προστατευτείτε, το κακόβουλο λογισμικό θα τερματιστεί από μόνο του και δεν θα προκαλέσει ζημιά.
Από την πλευρά του ερευνητή, το πρόγραμμα έτρεξε και δεν μόλυναν τον υπολογιστή, επομένως δεν ήταν ιός. Στη συνέχεια, ενδέχεται να κάνουν ψευδείς υποθέσεις σχετικά με το πρόγραμμα, επιτρέποντας στο κακόβουλο λογισμικό να ταξιδέψει περαιτέρω πριν εντοπιστεί.
Παράδειγμα δοκιμής κακόβουλου λογισμικού ανάλυσης σε πραγματικό κόσμο
Το Trickbot είναι ένα εξαιρετικό παράδειγμα αυτής της τακτικής στη δράση. Οι ερευνητές κατάφεραν πρόσφατα να εισχωρήσουν σε μια σειρά κώδικα TrickBot και να αναλύσουν πώς λειτουργεί. Ένας χρήστης του Twitter με το όνομα Mak (@maciekkotowicz) βρήκε έναν κωδικό στο TrickBot που σαρώνει ανάλυση 800×600 ή 1024×768.
Ο κώδικας στο TrickBot σαρώνει σε ανάλυση 800×600 ή 1024×768
Σε αυτόν τον κώδικα, ο ιός παίρνει τις τιμές X και Y της ανάλυσης του υπολογιστή και στη συνέχεια τις συνδυάζει για να δει το αποτέλεσμα. Εάν το αποτέλεσμα είναι 800×600 ή 1024×768, ο κωδικός θα επιστρέψει 0. Αυτό υποδεικνύει κακόβουλο λογισμικό που εκτελείται σε μια εικονική μηχανή.
Μόλις το κακόβουλο λογισμικό καταλάβει ότι βρίσκεται σε μια εικονική μηχανή, αυτοκαταστρέφεται για να αποφύγει τον εντοπισμό. Ως αποτέλεσμα, όποιος ελέγχει για ιούς σε μια εικονική μηχανή θα το θεωρήσει ασφαλές.
Τι σημαίνει για εσάς αυτή η στρατηγική;
Φυσικά, αυτό σημαίνει ότι εάν χρησιμοποιείτε ανάλυση 1024x768 ή 800x600, θα προστατεύεστε από ορισμένους τύπους κακόβουλου λογισμικού. Μόλις φτάσουν στο σύστημα, θα σημειώσουν την επίλυσή σας και θα αυτοκαταστραφούν πριν προκαλέσουν οποιαδήποτε ζημιά. Ωστόσο, για να αποκτήσετε αυτή την προστασία, θα πρέπει να χρησιμοποιήσετε έναν υπολογιστή με πολύ μικρή ανάλυση!
Ως εκ τούτου, ο καλύτερος τρόπος για την καταπολέμηση αυτού του νέου τύπου κακόβουλου λογισμικού είναι να ενημερώσετε το λογισμικό προστασίας από ιούς . Τώρα αυτό το τέχνασμα κατά της εικονικής πραγματικότητας είναι γνωστό στο κοινό, επομένως είναι πολύ απίθανο οι εταιρείες ασφάλειας υψηλής τεχνολογίας να εξαπατηθούν ξανά.
Αυτό είναι ιδιαίτερα σημαντικό να το έχετε κατά νου, ωστόσο, εάν τείνετε να ελέγχετε αρχεία στις δικές σας εικονικές μηχανές. Εάν η εικονική σας μηχανή λειτουργεί με ανάλυση 800×600 ή 1024×768, ίσως αξίζει να τη ρυθμίσετε στην πιο κοινή ανάλυση. Εάν δεν το κάνετε, είναι αδύνατο να είστε βέβαιοι εάν το αρχείο που ελέγχετε έχει εγκατεστημένη αυτήν την προφύλαξη από το VM.
Όταν τα Windows εμφανίζουν το σφάλμα "Δεν έχετε άδεια αποθήκευσης σε αυτήν τη θέση", αυτό θα σας εμποδίσει να αποθηκεύσετε αρχεία στους επιθυμητούς φακέλους.
Ο διακομιστής Syslog είναι ένα σημαντικό μέρος του οπλοστασίου ενός διαχειριστή IT, ειδικά όταν πρόκειται για τη διαχείριση αρχείων καταγραφής συμβάντων σε μια κεντρική τοποθεσία.
Σφάλμα 524: Παρουσιάστηκε ένα χρονικό όριο λήξης είναι ένας κωδικός κατάστασης HTTP για το Cloudflare που υποδεικνύει ότι η σύνδεση με τον διακομιστή έκλεισε λόγω χρονικού ορίου.
Ο κωδικός σφάλματος 0x80070570 είναι ένα κοινό μήνυμα σφάλματος σε υπολογιστές, φορητούς υπολογιστές και tablet με λειτουργικό σύστημα Windows 10. Ωστόσο, εμφανίζεται επίσης σε υπολογιστές με Windows 8.1, Windows 8, Windows 7 ή παλαιότερες εκδόσεις.
Το σφάλμα μπλε οθόνης θανάτου BSOD PAGE_FAULT_IN_NONPAGED_AREA ή STOP 0x00000050 είναι ένα σφάλμα που εμφανίζεται συχνά μετά την εγκατάσταση ενός προγράμματος οδήγησης συσκευής υλικού ή μετά την εγκατάσταση ή την ενημέρωση ενός νέου λογισμικού και σε ορισμένες περιπτώσεις η αιτία είναι ότι το σφάλμα οφείλεται σε κατεστραμμένο διαμέρισμα NTFS.
Το εσωτερικό σφάλμα προγράμματος προγραμματισμού βίντεο είναι επίσης ένα θανατηφόρο σφάλμα μπλε οθόνης, αυτό το σφάλμα εμφανίζεται συχνά στα Windows 10 και στα Windows 8.1. Αυτό το άρθρο θα σας δείξει μερικούς τρόπους για να διορθώσετε αυτό το σφάλμα.
Για να κάνετε την εκκίνηση των Windows 10 πιο γρήγορη και να μειώσετε τον χρόνο εκκίνησης, ακολουθούν τα βήματα που πρέπει να ακολουθήσετε για να καταργήσετε το Epic από την εκκίνηση των Windows και να αποτρέψετε την εκκίνηση του Epic Launcher με τα Windows 10.
Δεν πρέπει να αποθηκεύετε αρχεία στην επιφάνεια εργασίας. Υπάρχουν καλύτεροι τρόποι για να αποθηκεύετε αρχεία υπολογιστή και να διατηρείτε την επιφάνεια εργασίας σας τακτοποιημένη. Το παρακάτω άρθρο θα σας δείξει πιο αποτελεσματικά μέρη για την αποθήκευση αρχείων στα Windows 10.
Όποιος κι αν είναι ο λόγος, μερικές φορές θα χρειαστεί να προσαρμόσετε τη φωτεινότητα της οθόνης ώστε να ταιριάζει σε διαφορετικές συνθήκες φωτισμού και σκοπούς. Εάν πρέπει να παρατηρήσετε τις λεπτομέρειες μιας εικόνας ή να παρακολουθήσετε μια ταινία, πρέπει να αυξήσετε τη φωτεινότητα. Αντίθετα, μπορεί επίσης να θέλετε να μειώσετε τη φωτεινότητα για να προστατεύσετε την μπαταρία του φορητού υπολογιστή σας.
Ο υπολογιστής σας ξυπνά τυχαία και εμφανίζεται ένα παράθυρο που λέει "Έλεγχος για ενημερώσεις"; Συνήθως, αυτό οφείλεται στο πρόγραμμα MoUSOCoreWorker.exe - μια εργασία της Microsoft που βοηθά στον συντονισμό της εγκατάστασης των ενημερώσεων των Windows.
