I årevis har utviklere av skadevare og cybersikkerhetseksperter hatt anspente konfrontasjoner. Nylig har utviklingsfellesskapet for skadevare implementert en ny strategi for å unngå oppdagelse: Sjekk skjermoppløsningen.
La oss utforske hvorfor skjermoppløsning er viktig for skadelig programvare og hva det betyr for deg.
Hvorfor bryr skadelig programvare seg om skjermoppløsning?
For å forstå hvorfor skadelig programvare bryr seg om skjermoppløsning, bør du vurdere en av skadevarenes nemesis: virtuelle maskiner .
Virtuelle maskiner er et nyttig verktøy for virusforskere. De fungerer som én datamaskin inne i en annen, slik at du kan bruke et annet operativsystem uten å trenge en ny PC.
For eksempel, hvis du har en Windows 10-datamaskin, men ønsker å bruke Linux, kan du sette opp en virtuell maskin inne i Windows 10 for å kjøre Linux. Den vil fungere som en Linux-datamaskin, men kjøres i et vindu på Windows 10.
Virtuelle maskiner er veldig nyttige for virusforskere, fordi de fungerer som en digital fluefelle. Hvis en forsker tror at et program eller en fil inneholder et virus, kan de teste det ved å kjøre det i en virtuell maskin.
Hvis filen inneholder et virus, vil den begynne å infisere den virtuelle maskinen. Fordi en virtuell maskin er satt opp til å se ut som en ekte maskin, tror viruset at den har infisert en ekte PC, ikke en virtuell maskin. Som sådan begynner den å levere nyttelasten og forårsake skade på den virtuelle maskinen. Heldigvis er det ingen skade viruset kan gjøre på hoveddatamaskinen. Det påvirker bare virtuelle maskiner.
Når viruset er avslørt, kan forskere lære hvordan det fungerer, og deretter tilbakestille den virtuelle maskinen. Deretter tok de det de lærte fra den virtuelle maskinen og brukte dem til å lage virusdefinisjoner for å beskytte brukere på ekte datamaskiner. På grunn av dette er virtuelle maskiner fiendtlige til skadevareutviklere.
Hvilken rolle spiller skjermoppløsningen i dette?
Det er en feil med denne applikasjonstestmetoden. Når skadevareforskere lager en virtuell maskin, bryr de seg egentlig ikke om alle ekstrafunksjonene. Alt de trenger for å teste for virus er en virtuell maskin som fungerer som en vanlig datamaskin, alt annet er bare valgfritt.
Som et resultat installerer forskere noen ganger ikke VMs gjesteprogramvare. Denne programvaren muliggjorde tilleggsfunksjoner som høyere skjermoppløsning, som forskeren egentlig ikke trengte. Hvis brukeren ikke bruker klientprogramvare, låser VM-en vanligvis brukeren til en av to lave oppløsninger: 800x600 og 1024x768.
Disse to oppløsningene er svært viktige for en skadevareutvikler. Moderne datamaskiner og bærbare datamaskiner kommer ikke ofte med skjermer med den oppløsningen. Den størrelsen er veldig utdatert.
Populære enhetsoppløsninger
Hvordan bruker skadelig programvare disse dataene for å unngå virtuelle datamaskiner?
Når skadelig programvare vises på en vertsdatamaskin og det blir lagt merke til at den kjører med en oppløsning på 800×600 eller 1024×768, betyr det at skadelig programvare sannsynligvis kjører på svært utdatert eller potensielt kapabel maskinvare. .
Hvis viruset opererer under disse forholdene, vil det bli eksponert. For å beskytte deg selv, vil skadelig programvare avsluttes av seg selv og ikke forårsake skade.
Fra forskerens perspektiv kjørte programmet og infiserte ikke PC-en, så det var ikke et virus. De kan da gjøre falske antagelser om programmet, slik at skadelig programvare kan reise videre før den oppdages.
Eksempel på skadelig programvare som tester oppløsning i den virkelige verden
Trickbot er et godt eksempel på denne taktikken i aksjon. Forskere klarte nylig å bryte seg inn i en linje med TrickBot-kode og analysere hvordan det fungerer. En Twitter-bruker ved navn Mak (@maciekkotowicz) fant en kode i TrickBot som skanner 800×600 eller 1024×768 oppløsning.
Kode i TrickBot skanner med 800×600 eller 1024×768 oppløsning
I denne koden tar viruset X- og Y-verdiene til datamaskinens oppløsning, og kombinerer dem deretter for å se resultatet. Hvis resultatet er 800×600 eller 1024×768, vil koden returnere 0. Dette indikerer skadelig programvare som kjører i en virtuell maskin.
Når skadelig programvare vet at den er i en virtuell maskin, ødelegger den seg selv for å unngå oppdagelse. Som et resultat vil alle som ser etter virus i en virtuell maskin vurdere det som trygt.
Hva betyr denne strategien for deg?
Selvfølgelig betyr dette at hvis du bruker 1024x768 eller 800x600 oppløsning, vil du være beskyttet mot noen typer skadelig programvare. Så snart de når systemet, vil de merke oppløsningen din og selvdestruere før de forårsaker skade. For å få denne beskyttelsen må du imidlertid bruke en datamaskin med veldig liten oppløsning!
Som sådan er den beste måten å bekjempe denne nye typen skadelig programvare å oppdatere antivirusprogramvaren . Nå er dette anti-VM-trikset offentlig kjent, så det er svært usannsynlig at high-end sikkerhetsselskaper vil bli lurt igjen.
Dette er imidlertid spesielt viktig å huske på hvis du har en tendens til å sjekke filer på dine egne virtuelle maskiner. Hvis den virtuelle maskinen din kjører på 800×600 eller 1024×768, kan det være verdt å sette den til den mer vanlige oppløsningen. Hvis du ikke gjør det, er det umulig å være sikker på om filen du sjekker har denne anti-VM-forholdsregelen installert.
Windows-brannmur med avansert sikkerhet er en brannmur som kjører på Windows Server 2012 og er aktivert som standard. Brannmurinnstillinger i Windows Server 2012 administreres i Windows Firewall Microsoft Management Console.
Når du endrer passordet for Vigor Draytek-modem og ruter-påloggingsadmin-siden, vil brukere begrense uautorisert tilgang til å endre modempassordet, og sikre viktig nettverksinformasjon.
Heldigvis kan brukere av Windows-datamaskiner som kjører AMD Ryzen-prosessorer bruke Ryzen Master for enkelt å overklokke RAM uten å berøre BIOS.
USB-C-porten har blitt standarden for dataoverføring, videoutgang og lading på moderne Windows-bærbare datamaskiner. Selv om dette er praktisk, kan det være frustrerende når du kobler den bærbare datamaskinen til en USB-C-lader og den ikke lader.
Feilen Kan ikke opprette tjeneste på Ultraviewer oppstår når vi installerer programvaren med feilkode 1072.
Feilen med å ikke vise ID på Ultraviewer vil påvirke ekstern datamaskintilkobling.
Ultraviewer fjernstyrer datamaskinen og har en modus for å sende og motta filer.
Hackere kan bruke Sniffer til å avlytte ukrypterte data og se informasjon som utveksles mellom de to partene. For bedre å forstå Packet Sniffer, så vel som Packet Sniffers handlingsmekanisme, kan du referere til artikkelen nedenfor av Wiki.SpaceDesktop.
Normalt, når du sletter en fil på Windows, slettes ikke filen umiddelbart, men lagres i papirkurven. Etter det må du gjøre ett trinn til: tømme søppelet. Men hvis du ikke vil måtte gjøre dette andre trinnet, vil vi vise deg hvordan du sletter en fil permanent i artikkelen nedenfor.
Det mørke nettet er et mystisk sted med et berømt rykte. Det er ikke vanskelig å finne det mørke nettet. Imidlertid er det en annen sak å lære hvordan du navigerer i den, spesielt hvis du ikke vet hva du gjør eller hva du kan forvente.
