A rosszindulatú programok fejlesztői és a kiberbiztonsági szakértők évek óta feszült összetűzésekkel küzdenek. A közelmúltban a kártevő-fejlesztő közösség új stratégiát vezetett be az észlelés elkerülésére: Ellenőrizze a képernyő felbontását.
Fedezzük fel, miért számít a képernyőfelbontás a rosszindulatú programok esetében , és mit jelent ez az Ön számára.
Miért törődik a rosszindulatú programokkal a képernyőfelbontás?
Annak megértéséhez, hogy a rosszindulatú programok miért törődnek a képernyőfelbontással, vegyük figyelembe a rosszindulatú programok egyik ellenségét: a virtuális gépeket .
A virtuális gépek a víruskutatók hasznos eszközei. Úgy működnek, mint az egyik számítógép a másikban, így egy másik operációs rendszert használhat anélkül, hogy új számítógépre lenne szüksége.
Ha például Windows 10 rendszerű számítógépe van, de Linuxot szeretne használni, beállíthat egy virtuális gépet a Windows 10 rendszeren belül a Linux futtatásához. Úgy fog működni, mint egy Linuxos számítógép, de Windows 10 rendszeren ablakban fut.
A virtuális gépek nagyon hasznosak a víruskutatók számára, mert digitális légycsapdaként működnek. Ha a kutató úgy véli, hogy egy program vagy fájl vírust tartalmaz, akkor virtuális gépen futtatva tesztelheti azt.
Ha a fájl vírust tartalmaz, akkor elkezdi megfertőzni a virtuális gépet. Mivel a virtuális gép úgy van beállítva, hogy úgy nézzen ki, mint egy valódi gép, a vírus azt hiszi, hogy valódi számítógépet fertőzött meg, nem pedig virtuális gépet. Mint ilyen, elkezdi szállítani a hasznos terhet, és kárt okoz a virtuális gépben. Szerencsére a vírus semmilyen kárt nem okozhat a fő számítógépben. Csak a virtuális gépeket érinti.
Amint a vírus lelepleződik, a kutatók megtanulhatják, hogyan működik, majd visszaállíthatják a virtuális gépet. Ezután átvették a virtuális gépből tanultakat, és ezek alapján vírusleírásokat készítettek, hogy megvédjék a felhasználókat a valódi számítógépeken. Emiatt a virtuális gépek ellenségesek a rosszindulatú programok fejlesztőivel szemben.
Milyen szerepe van ebben a képernyő felbontásának?
Ennek az alkalmazástesztelési módszernek egy hibája van. Amikor a rosszindulatú programok kutatói létrehoznak egy virtuális gépet, nem igazán törődnek az összes extra funkcióval. A vírusok teszteléséhez csak egy virtuális gépre van szükségük, amely úgy működik, mint egy normál számítógép, minden más csak opcionális.
Ennek eredményeként a kutatók néha nem telepítik a virtuális gép vendégszoftverét. Ez a szoftver további funkciókat is lehetővé tett, például nagyobb képernyőfelbontást, amire a kutatónak nem igazán volt szüksége. Ha a felhasználó nem használ kliensszoftvert, a virtuális gép általában két alacsony felbontás egyikébe zárja a felhasználót: 800x600 és 1024x768.
Ez a két felbontás nagyon fontos egy rosszindulatú programfejlesztő számára. A modern számítógépek és laptopok gyakran nem rendelkeznek ilyen felbontású képernyővel. Ez a méret már nagyon elavult.
Népszerű készülékfelbontások
Hogyan használja fel a rosszindulatú program ezeket az adatokat a virtuális gépek elkerülésére?
Így, ha rosszindulatú program jelenik meg a gazdagépen, és azt észlelik, hogy 800 × 600 vagy 1024 × 768 felbontással fut, az azt jelenti, hogy a kártevő valószínűleg nagyon elavult vagy potenciálisan alkalmas hardveren fut. Felügyelt képességek egy virtuális gépben .
Ha a vírus ilyen körülmények között működik, akkor ki lesz téve. Így önvédelme érdekében a rosszindulatú programok magától megszűnnek, és nem okoznak kárt.
A kutató szemszögéből a program futott és nem fertőzte meg a PC-t, tehát nem vírusról van szó. Ezután hamis feltételezéseket fogalmazhatnak meg a programmal kapcsolatban, lehetővé téve a rosszindulatú program továbbjutását, mielőtt észlelnék.
Példa a rosszindulatú programok valós felbontásának tesztelésére
A Trickbot remek példája ennek a taktikának a gyakorlatban. A kutatóknak a közelmúltban sikerült betörniük a TrickBot kód egy sorába, és elemezniük annak működését. Egy Mak nevű Twitter-felhasználó (@maciekkotowicz) talált egy kódot a TrickBotban, amely 800×600 vagy 1024×768 felbontást szkennel.
A kód a TrickBotban 800×600 vagy 1024×768 felbontásban szkennel
Ebben a kódban a vírus felveszi a számítógép felbontásának X és Y értékeit, majd ezeket kombinálja az eredmény megtekintéséhez. Ha az eredmény 800×600 vagy 1024×768, a kód 0-t ad vissza. Ez egy virtuális gépen futó rosszindulatú programot jelez.
Amint a rosszindulatú program tudja, hogy egy virtuális gépben van, önmegsemmisíti, hogy elkerülje az észlelést. Ennek eredményeként bárki, aki vírusokat keres egy virtuális gépen, biztonságosnak fogja tekinteni.
Mit jelent számodra ez a stratégia?
Ez természetesen azt jelenti, hogy ha 1024x768-as vagy 800x600-as felbontást használ, akkor bizonyos típusú rosszindulatú programok ellen védett lesz. Amint elérik a rendszert, feljegyzik az állásfoglalásodat, és önmegsemmisítik, mielőtt bármilyen kárt okoznának. Ennek a védelemnek a megszerzéséhez azonban nagyon kis felbontású számítógépet kell használnia!
Mint ilyen, az új típusú rosszindulatú programok elleni küzdelem legjobb módja a víruskereső szoftver frissítése . Ez a virtuálisgép-ellenes trükk ma már köztudott, így nagyon valószínűtlen, hogy a csúcskategóriás biztonsági cégeket ismét becsapják.
Ezt azonban különösen fontos szem előtt tartani, ha hajlamos a saját virtuális gépein lévő fájlok ellenőrzésére. Ha a virtuális géped 800×600-as vagy 1024×768-as felbontáson fut, érdemes lehet a gyakoribb felbontásra állítani. Ha nem így tesz, nem lehet biztos abban, hogy az ellenőrzött fájlban telepítve van-e ez a virtuálisgép-ellenes óvintézkedés.
A statikus IP-cím a számítógép vagy az útválasztó beállításaiban konfigurált rögzített IP-cím. Egyes internetszolgáltatók (ISP) megkövetelik, hogy statikus IP-címet adjon meg a számítógépén vagy az útválasztó TCP/IP-beállításaiban, hogy csatlakozhasson az internethez.
A fertőzés módja szerint a PublicBoardSearch a böngésző-gépeltérítő kategóriába tartozik. Ez egy olyan típusú rosszindulatú program, amelyet arra terveztek, hogy átvegye egy ismerős böngésző beállításait.
Nagy felbontású háttérképek gyűjteménye számítógép- és laptopfelhasználók számára teljes felbontásban Full HD-tól 4K-ig.
A Unix rendszer, más néven „visszacsatolás”, képes hálózati kommunikációt küldeni és fogadni magának egy virtuális hálózati eszközön keresztül. A számítógép képes üzeneteket küldeni magának, lehetővé téve a kommunikációt aktív hálózat nélkül.
Biztosan hallottad már azt a mondást, hogy azt kapod, amiért fizetsz, de mi a helyzet a víruskereső szoftverrel? Vásároljon szoftvercsomagokat az ingyenes védelmi megoldások helyett? Talán nem ez a helyzet, és itt van az ok!
A mai cikkben a Quantrimang összefoglalja a piacon lévő népszerű víruskereső szoftvermárkákat, és megnézi, miben különböznek a Windows PC-k és a macOS között.
Nem világos, hogy a Sun Valley mit hoz a legfelső szintű felhasználói felület változtatásokon és fejlesztéseken túl. Tehát íme, amit a felhasználók látni fognak a Windows 10 nagy Sun Valley frissítésétől, amikor az jövőre indul.
A Windows a Futtatás rendszergazdaként lehetőséget biztosít, amely lehetővé teszi a felhasználók számára, hogy rendszergazdai jogosultságokkal futtassák az alkalmazásokat és programokat. Használhatja számítógépe hibaelhárítására is. De mi van, ha ez a funkció hibásan működik, és elveszi a rendszergazdai jogokat?
A számítógép meghajtójával kapcsolatos hibák megakadályozhatják a rendszer megfelelő indítását, és korlátozhatják a hozzáférést a fájlokhoz és az alkalmazásokhoz.
Egyes rosszindulatú programváltozatok különböző modulokat használhatnak a célrendszerre gyakorolt hatásuk megváltoztatására. Tehát mi az a moduláris kártevő, és hogyan működik?
