惡意軟體如何利用螢幕解析度來逃避偵測

惡意軟體如何利用螢幕解析度來逃避偵測

多年來,惡意軟體開發人員和網路安全專家一直存在著緊張的對抗。最近,惡意軟體開發社群實施了一項新策略來避免檢測:檢查螢幕解析度。

讓我們探討為什麼螢幕解析度對惡意軟體很重要以及它對您意味著什麼。

為什麼惡意軟體關心螢幕解析度?

要了解惡意軟體為何關心螢幕分辨率,請考慮惡意軟體的剋星之一:虛擬機器

虛擬機器對於病毒研究人員來說是一個有用的工具。它們的運作方式就像一台電腦裝在另一台電腦中,因此您可以使用不同的作業系統,而無需購買新電腦。

例如,如果您有一台 Windows 10 電腦但想使用 Linux,則可以在 Windows 10 內設定虛擬機器來運行 Linux。它的功能類似於 Linux 計算機,但在 Windows 10 的視窗中運行。

虛擬機器對於病毒研究人員來說非常有用,因為它們就像一個數位捕蠅器。如果研究人員認為某個程式或檔案包含病毒,他們可以透過在虛擬機器中執行它來對其進行測試。

如果該檔案包含病毒,它將開始感染虛擬機器。由於虛擬機器被設定為看起來像真實的機器,因此病毒認為它感染了真實的 PC,而不是虛擬機器。因此,它開始傳遞其有效負載並對虛擬機器造成損壞。幸運的是,該病毒不會對主電腦造成任何損害。它僅影響虛擬機器。

一旦病毒暴露,研究人員就可以了解其工作原理,然後重置虛擬機器。接下來,他們利用從虛擬機器中學到的知識來創建病毒定義,以保護真實電腦上的使用者。因此,虛擬機器對惡意軟體開發人員充滿敵意。

螢幕解析度在其中扮演什麼角色?

此應用程式測試方法有缺陷。當惡意軟體研究人員創建虛擬機器時,他們並不真正關心所有額外的功能。他們測試病毒所需的只是一個像普通計算機一樣運行的虛擬機,其他一切都是可選的。

因此,研究人員有時不會安裝虛擬機器的來賓軟體。該軟體啟用了額外的功能,例如更高的螢幕分辨率,但研究人員並不真正需要這些功能。如果使用者不使用用戶端軟體,VM 通常會將使用者鎖定為兩種低解析度之一:800x6001024x768。

這兩個解決方案對於惡意軟體開發人員來說非常重要。現代電腦和筆記型電腦通常不配備該解析度的螢幕。這個尺寸已經非常過時了。

流行的設備分辨率

惡意軟體如何使用這些數據來避開虛擬機器?

因此,當惡意軟體出現在主機上並且注意到它以 800×600 或 1024×768 的分辨率運行時,這意味著該惡意軟體可能在非常過時或可能有能力的硬體上運行。 。

如果病毒在這些條件下運行,它就會暴露。因此,為了保護自己,惡意軟體將自行終止並且不會造成任何損害。

從研究人員的角度來看,該程式運行並沒有感染PC,因此它不是病毒。然後,他們可能會對程式做出錯誤的假設,從而使惡意軟體在被發現之前傳播得更遠。

惡意軟體測試真實解析度的範例

Trickbot 就是這種策略的一個很好的例子。研究人員最近成功破解了一行 TrickBot 程式碼並分析了其工作原理。一位名為 Mak (@maciekkotowicz) 的 Twitter 用戶在 TrickBot 中發現了一個可以掃描 800×600 或 1024×768 解析度的程式碼。

惡意軟體如何利用螢幕解析度來逃避偵測

TrickBot 中的代碼以 800×600 或 1024×768 解析度掃描

在這段程式碼中,病毒會取得電腦解析度的X和Y值,然後將它們組合起來查看結果。如果結果是800×600或1024×768,程式碼將回傳0。這表示惡意軟體在虛擬機器中運行。

一旦惡意軟體知道它位於虛擬機器中,它就會自毀以避免被發現。因此,任何在虛擬機器中檢查病毒的人都會認為它是安全的。

這個策略對你來說意味著什麼?

當然,這意味著如果您使用 1024x768 或 800x600 分辨率,您將免受某些類型的惡意軟體的侵害。一旦他們到達系統,他們就會注意到你的決心並在造成任何傷害之前自毀。然而,要獲得這種保護,您必須使用解析度非常小的電腦!

因此,對抗這種新型惡意軟體的最佳方法是更新您的防毒軟體。現在這種反虛擬機器的伎倆已經眾所周知,因此高端安全公司不太可能再次被愚弄。

但是,如果您傾向於檢查自己的虛擬機器中的文件,請記住這一點尤其重要。如果您的虛擬機器以 800×600 或 1024×768 運行,則可能值得將其設定為更常見的解析度。如果不這樣做,則無法確定您正在檢查的檔案是否安裝了此反虛擬機器預防措施。


什麼是惡意軟體 HackTool:Win32/Keygen?如何去除?

什麼是惡意軟體 HackTool:Win32/Keygen?如何去除?

您是否掃描過您的設備並發現它感染了 HackTool:Win32/Keygen?在您使用破解或金鑰產生器啟動進階軟體後,Windows Defender 可能會自動警告您有關此惡意軟體的存在。

在 Windows 10 上建立備份和還原點(Restore Point)的說明

在 Windows 10 上建立備份和還原點(Restore Point)的說明

探索如何在Windows 10上建立和管理還原點,這是一項有效的系統保護功能,可以讓您快速還原系統至先前狀態。

在 Windows 10 中開啟裝置管理員的 15 種方法

在 Windows 10 中開啟裝置管理員的 15 種方法

您可以使用以下 15 種方法輕鬆在 Windows 10 中開啟<strong>裝置管理員</strong>,包括使用命令、捷徑和搜尋。

Windows「顯示桌面」的 10 種超快速方法

Windows「顯示桌面」的 10 種超快速方法

很多人不知道如何快速顯示桌面,只好將各個視窗一一最小化。這種方法對於用戶來說非常耗時且令人沮喪。因此,本文將向您介紹Windows中快速顯示桌面的十種超快速方法。

如何使用 Windows Repair 修復 Windows 錯誤

如何使用 Windows Repair 修復 Windows 錯誤

Windows Repair 是一款有效的 Windows 錯誤修復工具,幫助使用者修復與 Internet Explorer、Windows Update 和其他重要程式相關的錯誤。

如何在 Windows 10 中開啟資料夾選項或檔案總管選項

如何在 Windows 10 中開啟資料夾選項或檔案總管選項

您可以使用檔案總管選項來變更檔案和資料夾的工作方式並控制顯示。掌握如何在 Windows 10 中開啟資料夾選項的多種方法。

有關在 Windows 10 上刪除使用者帳戶的 5 種方法的說明

有關在 Windows 10 上刪除使用者帳戶的 5 種方法的說明

刪除不使用的使用者帳戶可以顯著釋放記憶體空間,並讓您的電腦運行得更流暢。了解如何刪除 Windows 10 使用者帳戶的最佳方法。

如何使用Bootsect /nt60將VBC更新為BOOTMGR

如何使用Bootsect /nt60將VBC更新為BOOTMGR

使用 bootsect 命令能夠輕鬆修復磁碟區引導程式碼錯誤,確保系統正常啟動,避免 hal.dll 錯誤及其他啟動問題。

Windows 11 中的存檔應用程式功能是什麼?應該啟用還是停用它?

Windows 11 中的存檔應用程式功能是什麼?應該啟用還是停用它?

存檔應用程式是一項功能,可以自動卸載您很少使用的應用程序,同時保留其關聯的檔案和設定。了解如何有效利用 Windows 11 中的存檔應用程式功能。

如何在 Windows 10 上為 BlueStacks 5 啟用虛擬化 (VT)

如何在 Windows 10 上為 BlueStacks 5 啟用虛擬化 (VT)

要啟用虛擬化,您必須先進入 BIOS 並從 BIOS 設定中啟用虛擬化,這將顯著提升在 BlueStacks 5 上的效能和遊戲體驗。