Gadiem ilgi ļaunprogrammatūras izstrādātāji un kiberdrošības eksperti ir piedzīvojuši saspringtas konfrontācijas. Nesen ļaunprātīgas programmatūras izstrādes kopiena ir ieviesusi jaunu stratēģiju, lai izvairītos no atklāšanas: pārbaudiet ekrāna izšķirtspēju.
Izpētīsim, kāpēc ekrāna izšķirtspēja ir svarīga ļaunprātīgai programmatūrai un ko tā nozīmē jums.
Kāpēc ļaunprātīgai programmatūrai rūp ekrāna izšķirtspēja?
Lai saprastu, kāpēc ļaunprogrammatūra rūpējas par ekrāna izšķirtspēju, apsveriet vienu no ļaunprogrammatūras ienaidniekiem: virtuālās mašīnas .
Virtuālās mašīnas ir noderīgs rīks vīrusu pētniekiem. Tie darbojas kā viens dators otrā, tāpēc varat izmantot citu operētājsistēmu, neprasot jaunu datoru.
Piemēram, ja jums ir Windows 10 dators, bet vēlaties izmantot Linux, varat iestatīt virtuālo mašīnu operētājsistēmā Windows 10, lai palaistu Linux. Tas darbosies kā Linux dators, bet darbosies logā operētājsistēmā Windows 10.
Virtuālās mašīnas ir ļoti noderīgas vīrusu pētniekiem, jo tās darbojas kā digitāls mušu slazds. Ja pētnieks uzskata, ka programmā vai failā ir vīruss, viņš var to pārbaudīt, palaižot to virtuālajā mašīnā.
Ja failā ir vīruss, tas sāks inficēt virtuālo mašīnu. Tā kā virtuālā mašīna ir iestatīta tā, lai tā izskatītos kā īsta mašīna, vīruss uzskata, ka tas ir inficējis īstu datoru, nevis virtuālo mašīnu. Tādējādi tas sāk piegādāt savu kravnesību un nodarīt bojājumus virtuālajai mašīnai. Par laimi, vīruss nevar nodarīt nekādus bojājumus galvenajam datoram. Tas ietekmē tikai virtuālās mašīnas.
Kad vīruss ir atklāts, pētnieki var uzzināt, kā tas darbojas, un pēc tam atiestatīt virtuālo mašīnu. Pēc tam viņi izmantoja to, ko viņi uzzināja no virtuālās mašīnas, un izmantoja tos, lai izveidotu vīrusu definīcijas, lai aizsargātu lietotājus reālos datoros. Šī iemesla dēļ virtuālās mašīnas ir naidīgas pret ļaunprātīgas programmatūras izstrādātājiem.
Kāda loma šajā gadījumā ir ekrāna izšķirtspējai?
Šai lietojumprogrammas pārbaudes metodei ir trūkums. Kad ļaunprogrammatūras pētnieki izveido virtuālo mašīnu, viņiem nerūp visas papildu funkcijas. Viss, kas viņiem nepieciešams, lai pārbaudītu vīrusus, ir virtuālā mašīna, kas darbojas kā parasts dators, viss pārējais ir tikai neobligāts.
Tā rezultātā pētnieki dažkārt neinstalē virtuālās mašīnas viesprogrammatūru. Šī programmatūra iespējoja papildu funkcijas, piemēram, augstāku ekrāna izšķirtspēju, kas pētniekam nebija īsti vajadzīga. Ja lietotājs neizmanto klienta programmatūru, virtuālā mašīna parasti bloķē lietotāju vienā no divām zemām izšķirtspējām: 800x600 un 1024x768.
Šīs divas izšķirtspējas ir ļoti svarīgas ļaunprātīgas programmatūras izstrādātājam. Mūsdienu datori un klēpjdatori bieži netiek aprīkoti ar ekrāniem ar šādu izšķirtspēju. Šis izmērs ir ļoti novecojis.
Populāras ierīču izšķirtspējas
Kā ļaunprātīga programmatūra izmanto šos datus, lai izvairītos no virtuālās mašīnas?
Tādējādi, ja resursdatorā parādās ļaunprātīga programmatūra un tiek pamanīts, ka tā darbojas ar izšķirtspēju 800 × 600 vai 1024 × 768, tas nozīmē, ka ļaunprātīga programmatūra, iespējams, darbojas ar ļoti novecojušu vai potenciāli spējīgu aparatūru. uzrauga iespējas virtuālajā mašīnā .
Ja vīruss darbojas šādos apstākļos, tas tiks pakļauts. Tādējādi, lai aizsargātu sevi, ļaunprātīga programmatūra tiks pārtraukta pati un neradīs kaitējumu.
No pētnieka viedokļa programma darbojās un neinficēja datoru, tāpēc tas nebija vīruss. Pēc tam viņi var izdarīt nepareizus pieņēmumus par programmu, ļaujot ļaunprātīgajai programmatūrai pārvietoties tālāk, pirms tā tiek atklāta.
Ļaunprātīgas programmatūras reālās izšķirtspējas testēšanas piemērs
Trickbot ir lielisks šīs taktikas piemērs darbībā. Pētniekiem nesen izdevās ielauzties TrickBot koda rindā un analizēt, kā tas darbojas. Kāds Twitter lietotājs Maks (@maciekkotowicz) vietnē TrickBot atrada kodu, kas skenē 800×600 vai 1024×768 izšķirtspēju.
Kods TrickBot skenē ar izšķirtspēju 800 × 600 vai 1024 × 768
Šajā kodā vīruss ņem datora izšķirtspējas X un Y vērtības, pēc tam tās apvieno, lai redzētu rezultātu. Ja rezultāts ir 800 × 600 vai 1024 × 768, kods atgriezīs 0. Tas norāda uz ļaunprātīgu programmatūru, kas darbojas virtuālajā mašīnā.
Kad ļaunprogrammatūra uzzina, ka tā atrodas virtuālajā mašīnā, tā pašiznīcinās, lai izvairītos no atklāšanas. Rezultātā ikviens, kurš pārbauda vīrusus virtuālajā mašīnā, uzskatīs to par drošu.
Ko šī stratēģija jums nozīmē?
Protams, tas nozīmē, ka, izmantojot 1024x768 vai 800x600 izšķirtspēju, jūs būsiet pasargāts no dažiem ļaunprātīgas programmatūras veidiem. Tiklīdz viņi sasniegs sistēmu, viņi atzīmēs jūsu risinājumu un pašiznīcināsies, pirms radīs jebkādus bojājumus. Taču, lai iegūtu šo aizsardzību, būs jāizmanto dators ar ļoti mazu izšķirtspēju!
Labākais veids, kā apkarot šo jauno ļaunprātīgas programmatūras veidu, ir atjaunināt pretvīrusu programmatūru . Tagad šis anti-VM triks ir publiski zināms, tāpēc ir maz ticams, ka augstas klases drošības uzņēmumi atkal tiks apmānīti.
Tomēr tas ir īpaši svarīgi paturēt prātā, ja mēdzat pārbaudīt failus savās virtuālajās mašīnās. Ja jūsu virtuālā mašīna darbojas ar izšķirtspēju 800 × 600 vai 1024 × 768, iespējams, ir vērts to iestatīt uz biežāk izmantoto izšķirtspēju. Ja jūs to nedarīsiet, nebūs iespējams pārliecināties, vai pārbaudāmajā failā ir instalēts šis pret VM piesardzības pasākums.
Windows ugunsmūris ar papildu drošību ir ugunsmūris, kas darbojas sistēmā Windows Server 2012 un ir iespējots pēc noklusējuma. Ugunsmūra iestatījumi operētājsistēmā Windows Server 2012 tiek pārvaldīti Windows ugunsmūra Microsoft pārvaldības konsolē.
Mainot Vigor Draytek modema un maršrutētāja pieteikšanās administratora lapas paroli, lietotāji ierobežos nesankcionētu piekļuvi modema paroles maiņai, nodrošinot svarīgu tīkla informāciju.
Par laimi, Windows datoru lietotāji, kuros darbojas AMD Ryzen procesori, var izmantot Ryzen Master, lai viegli pārspīlēti RAM, nepieskaroties BIOS.
USB-C ports ir kļuvis par datu pārsūtīšanas, video izvades un uzlādes standartu mūsdienu Windows klēpjdatoros. Lai gan tas ir ērti, tas var būt kaitinoši, ja pievienojat klēpjdatoru USB-C lādētājam un tas netiek uzlādēts.
Kļūda nevar izveidot pakalpojumu Ultraviewer rodas, kad mēs instalējam programmatūru ar kļūdas kodu 1072.
Kļūda, ja Ultraviewer netiek rādīts ID, ietekmēs attālo datora savienojumu.
Ultraviewer kontrolē datoru attālināti, un tam ir režīms failu nosūtīšanai un saņemšanai.
Parasti, dzēšot failu operētājsistēmā Windows, fails netiek dzēsts uzreiz, bet gan tiks saglabāts atkritnē. Pēc tam jums būs jāveic vēl viena darbība: iztukšojiet miskasti. Bet, ja nevēlaties veikt šo otro darbību, tālāk esošajā rakstā mēs parādīsim, kā neatgriezeniski izdzēst failu.
Tumšais tīmeklis ir noslēpumaina vieta ar izcilu reputāciju. Tumšā tīmekļa atrašana nav grūta. Tomēr mācīšanās, kā tajā droši orientēties, ir cits jautājums, it īpaši, ja nezināt, ko darāt vai ko gaidīt.
Tehniski Adrozeks nav vīruss. Tas ir pārlūkprogrammas nolaupītājs, kas pazīstams arī kā pārlūkprogrammas modifikators. Tas nozīmē, ka jūsu datorā tika instalēta ļaunprātīga programmatūra bez jūsu ziņas.
