Hvernig spilliforrit nýtir sér skjáupplausn til að forðast uppgötvun

Í mörg ár hafa forritarar fyrir spilliforrit og netöryggissérfræðingar átt í erfiðum árekstrum. Nýlega hefur malware þróunarsamfélagið innleitt nýja stefnu til að forðast uppgötvun: Athugaðu skjáupplausn.

Við skulum kanna hvers vegna skjáupplausn skiptir máli fyrir spilliforrit og hvað það þýðir fyrir þig.

Af hverju er malware sama um skjáupplausn?

Til að skilja hvers vegna spilliforrit er sama um skjáupplausn skaltu íhuga einn af óvini spilliforrita: sýndarvélar .

Sýndarvélar eru gagnlegt tæki fyrir vírusrannsakendur. Þeir virka eins og ein tölva inni í annarri, þannig að þú getur notað annað stýrikerfi án þess að þurfa nýja tölvu.

Til dæmis, ef þú ert með Windows 10 tölvu en vilt nota Linux, geturðu sett upp sýndarvél inni í Windows 10 til að keyra Linux. Það mun virka eins og Linux tölva en keyra í glugga á Windows 10.

• 7 leiðir til að hjálpa til við að keyra Linux hugbúnað á Windows

Sýndarvélar eru mjög gagnlegar fyrir vírusrannsakendur, því þær virka eins og stafræn flugugildra. Ef rannsakandi telur að forrit eða skrá innihaldi vírus getur hann prófað það með því að keyra það í sýndarvél.

Ef skráin inniheldur vírus mun hún byrja að smita sýndarvélina. Vegna þess að sýndarvél er sett upp þannig að hún lítur út eins og raunveruleg vél, telur vírusinn að hún hafi sýkt alvöru tölvu, ekki sýndarvél. Sem slík byrjar það að skila farmi sínu og valda skemmdum á sýndarvélinni. Sem betur fer er enginn skaði sem vírusinn getur valdið aðaltölvunni. Það hefur aðeins áhrif á sýndarvélar.

Þegar vírusinn hefur verið afhjúpaður geta vísindamenn lært hvernig hann virkar og síðan endurstillt sýndarvélina. Næst tóku þeir það sem þeir lærðu af sýndarvélinni og notuðu þær til að búa til vírusskilgreiningar til að vernda notendur á raunverulegum tölvum. Vegna þessa eru sýndarvélar fjandsamlegar forriturum spilliforrita.

Hvaða hlutverki gegnir skjáupplausn í þessu?

Það er galli við þessa umsóknarprófunaraðferð. Þegar rannsakendur spilliforrita búa til sýndarvél er þeim alveg sama um alla aukaeiginleikana. Allt sem þeir þurfa til að prófa fyrir vírusa er sýndarvél sem virkar eins og venjuleg tölva, allt annað er bara valfrjálst.

Þess vegna setja vísindamenn stundum ekki upp gestahugbúnað VM. Þessi hugbúnaður gerði viðbótareiginleika kleift eins og hærri skjáupplausn, sem rannsakandinn þurfti í raun ekki á að halda. Ef notandinn notar ekki biðlarahugbúnað læsir VM notandanum venjulega í eina af tveimur lágum upplausnum: 800x600 og 1024x768.

Þessar tvær ályktanir eru mjög mikilvægar fyrir forritara fyrir spilliforrit. Nútíma tölvur og fartölvur koma ekki oft með skjái í þeirri upplausn. Sú stærð er mjög úrelt.

Vinsælar upplausnir tæki

Hvernig notar spilliforrit þessi gögn til að forðast VMs?

Þannig að þegar spilliforrit birtist á hýsingartölvu og það er tekið eftir því að það keyrir á upplausninni 800×600 eða 1024×768 þýðir það að spilliforritið er líklega keyrt á mjög úreltum eða hugsanlega hæfum vélbúnaði. .

Ef vírusinn virkar við þessar aðstæður verður hann afhjúpaður. Þannig, til að vernda sjálfan þig, mun spilliforrit hætta af sjálfu sér og valda engu tjóni.

Frá sjónarhóli rannsakandans keyrði forritið og smitaði ekki tölvuna, svo þetta var ekki vírus. Þeir geta síðan gefið rangar forsendur um forritið, sem gerir spilliforritinu kleift að ferðast lengra áður en það uppgötvast.

Dæmi um spilliforrit sem prófar raunverulegan upplausn

Trickbot er frábært dæmi um þessa taktík í verki. Vísindamönnum tókst nýlega að brjótast inn í línu af TrickBot kóða og greina hvernig það virkar. Twitter notandi að nafni Mak (@maciekkotowicz) fann kóða í TrickBot sem skannar 800×600 eða 1024×768 upplausn.

Kóði í TrickBot skannar í 800×600 eða 1024×768 upplausn

Í þessum kóða tekur vírusinn X og Y gildi upplausnar tölvunnar og sameinar þau síðan til að sjá niðurstöðuna. Ef niðurstaðan er 800×600 eða 1024×768 mun kóðinn skila 0. Þetta gefur til kynna spilliforrit sem keyrir í sýndarvél.

Þegar spilliforritið veit að það er í sýndarvél eyðir það sjálft til að forðast uppgötvun. Þar af leiðandi munu allir sem leita að vírusum í sýndarvél telja það öruggt.

Hvað þýðir þessi stefna fyrir þig?

Auðvitað þýðir þetta að ef þú notar 1024x768 eða 800x600 upplausn verðurðu varinn gegn sumum tegundum spilliforrita. Um leið og þeir ná kerfinu munu þeir taka eftir upplausn þinni og sjálfseyðingu áður en þeir valda skaða. Hins vegar, til að fá þessa vernd, verður þú að nota tölvu með mjög lítilli upplausn!

Sem slík er besta leiðin til að berjast gegn þessari nýju tegund spilliforrita að uppfæra vírusvarnarforritið þitt . Nú er þetta and-VM bragð almenningsþekking, svo það er mjög ólíklegt að hágæða öryggisfyrirtæki verði aftur blekkt.

Þetta er þó sérstaklega mikilvægt að hafa í huga ef þú hefur tilhneigingu til að athuga skrár í eigin sýndarvélum. Ef sýndarvélin þín er í gangi á 800×600 eða 1024×768, gæti verið þess virði að stilla hana á algengari upplausn. Ef þú gerir það ekki er ómögulegt að vera viss um hvort skráin sem þú ert að skoða hafi þessa varúðarráðstöfun gegn VM uppsettri.