惡意軟體如何利用螢幕解析度來逃避偵測

惡意軟體如何利用螢幕解析度來逃避偵測

多年來,惡意軟體開發人員和網路安全專家一直存在著緊張的對抗。最近,惡意軟體開發社群實施了一項新策略來避免檢測:檢查螢幕解析度。

讓我們探討為什麼螢幕解析度對惡意軟體很重要以及它對您意味著什麼。

為什麼惡意軟體關心螢幕解析度?

要了解惡意軟體為何關心螢幕分辨率,請考慮惡意軟體的剋星之一:虛擬機器

虛擬機器對於病毒研究人員來說是一個有用的工具。它們的運作方式就像一台電腦裝在另一台電腦中,因此您可以使用不同的作業系統,而無需購買新電腦。

例如,如果您有一台 Windows 10 電腦但想使用 Linux,則可以在 Windows 10 內設定虛擬機器來運行 Linux。它的功能類似於 Linux 計算機,但在 Windows 10 的視窗中運行。

虛擬機器對於病毒研究人員來說非常有用,因為它們就像一個數位捕蠅器。如果研究人員認為某個程式或檔案包含病毒,他們可以透過在虛擬機器中執行它來對其進行測試。

如果該檔案包含病毒,它將開始感染虛擬機器。由於虛擬機器被設定為看起來像真實的機器,因此病毒認為它感染了真實的 PC,而不是虛擬機器。因此,它開始傳遞其有效負載並對虛擬機器造成損壞。幸運的是,該病毒不會對主電腦造成任何損害。它僅影響虛擬機器。

一旦病毒暴露,研究人員就可以了解其工作原理,然後重置虛擬機器。接下來,他們利用從虛擬機器中學到的知識來創建病毒定義,以保護真實電腦上的使用者。因此,虛擬機器對惡意軟體開發人員充滿敵意。

螢幕解析度在其中扮演什麼角色?

此應用程式測試方法有缺陷。當惡意軟體研究人員創建虛擬機器時,他們並不真正關心所有額外的功能。他們測試病毒所需的只是一個像普通計算機一樣運行的虛擬機,其他一切都是可選的。

因此,研究人員有時不會安裝虛擬機器的來賓軟體。該軟體啟用了額外的功能,例如更高的螢幕分辨率,但研究人員並不真正需要這些功能。如果使用者不使用用戶端軟體,VM 通常會將使用者鎖定為兩種低解析度之一:800x6001024x768。

這兩個解決方案對於惡意軟體開發人員來說非常重要。現代電腦和筆記型電腦通常不配備該解析度的螢幕。這個尺寸已經非常過時了。

流行的設備分辨率

惡意軟體如何使用這些數據來避開虛擬機器?

因此,當惡意軟體出現在主機上並且注意到它以 800×600 或 1024×768 的分辨率運行時,這意味著該惡意軟體可能在非常過時或可能有能力的硬體上運行。 。

如果病毒在這些條件下運行,它就會暴露。因此,為了保護自己,惡意軟體將自行終止並且不會造成任何損害。

從研究人員的角度來看,該程式運行並沒有感染PC,因此它不是病毒。然後,他們可能會對程式做出錯誤的假設,從而使惡意軟體在被發現之前傳播得更遠。

惡意軟體測試真實解析度的範例

Trickbot 就是這種策略的一個很好的例子。研究人員最近成功破解了一行 TrickBot 程式碼並分析了其工作原理。一位名為 Mak (@maciekkotowicz) 的 Twitter 用戶在 TrickBot 中發現了一個可以掃描 800×600 或 1024×768 解析度的程式碼。

惡意軟體如何利用螢幕解析度來逃避偵測

TrickBot 中的代碼以 800×600 或 1024×768 解析度掃描

在這段程式碼中,病毒會取得電腦解析度的X和Y值,然後將它們組合起來查看結果。如果結果是800×600或1024×768,程式碼將回傳0。這表示惡意軟體在虛擬機器中運行。

一旦惡意軟體知道它位於虛擬機器中,它就會自毀以避免被發現。因此,任何在虛擬機器中檢查病毒的人都會認為它是安全的。

這個策略對你來說意味著什麼?

當然,這意味著如果您使用 1024x768 或 800x600 分辨率,您將免受某些類型的惡意軟體的侵害。一旦他們到達系統,他們就會注意到你的決心並在造成任何傷害之前自毀。然而,要獲得這種保護,您必須使用解析度非常小的電腦!

因此,對抗這種新型惡意軟體的最佳方法是更新您的防毒軟體。現在這種反虛擬機器的伎倆已經眾所周知,因此高端安全公司不太可能再次被愚弄。

但是,如果您傾向於檢查自己的虛擬機器中的文件,請記住這一點尤其重要。如果您的虛擬機器以 800×600 或 1024×768 運行,則可能值得將其設定為更常見的解析度。如果不這樣做,則無法確定您正在檢查的檔案是否安裝了此反虛擬機器預防措施。


在 Windows 10 上開啟進階啟動選項的 8 種方法

在 Windows 10 上開啟進階啟動選項的 8 種方法

透過導覽至進階啟動選項,您可以重設 Windows 10、還原 Windows 10、從先前建立的映像檔還原 Windows 10、修復啟動錯誤、開啟命令提示字元以執行選項選擇不同、開啟 UEFI 設定、變更啟動設定。 ..

為什麼在使用社群網路帳號登入之前應該仔細考慮?

為什麼在使用社群網路帳號登入之前應該仔細考慮?

每次註冊新服務時,您都可以選擇使用者名稱和密碼,或直接使用 Facebook 或 Twitter 登入。但你應該這樣做嗎?

更改 Google DNS 8.8.8.8 和 8.8.4.4 的說明

更改 Google DNS 8.8.8.8 和 8.8.4.4 的說明

DNS Google 8.8.8.8 8.8.4.4是許多使用者選擇使用的DNS之一,特別是為了加速網路存取或存取被封鎖的Facebook。

如何在 Windows 10 上始終以 InPrivate 模式啟動 Microsoft Edge

如何在 Windows 10 上始終以 InPrivate 模式啟動 Microsoft Edge

如果你在共用的 Windows 10 電腦上使用 Microsoft Edge 並且希望將瀏覽記錄保密,則可以讓 Edge 始終以 InPrivate 模式啟動。

探討對稱加密和非對稱加密的差異

探討對稱加密和非對稱加密的差異

目前普遍部署的加密有兩種類型:對稱加密和非對稱加密。這兩種類型的加密之間的基本區別在於,對稱加密使用單一金鑰進行加密和解密操作。

如何在 Windows 上退出全螢幕模式

如何在 Windows 上退出全螢幕模式

電腦上的全螢幕模式將刪除不必要的內容。那麼如何退出Windows全螢幕模式呢?

如何將 USB 隨身碟變成電腦和筆記型電腦的 RAM。你知道了嗎?

如何將 USB 隨身碟變成電腦和筆記型電腦的 RAM。你知道了嗎?

當您開始看到電腦運作緩慢,或出現其他症狀,例如溫度升高、頻繁死機...很可能是因為電腦已用完電腦上的所有 RAM...

如何設定 BIOS 從 USB/CD/DVD、外部硬碟啟動

如何設定 BIOS 從 USB/CD/DVD、外部硬碟啟動

安裝新電腦或重新安裝 Windows 時,需要將 BIOS 設定為選擇從支援工具啟動。如果使用者使用 USB/CD/DVD 或外部硬碟等裝置安裝 Windows,則需要設定 BIOS 以使用相應的啟動裝置運作。

Avira 免費安全評論:出色的免費防毒工具

Avira 免費安全評論:出色的免費防毒工具

Avira Free Security 是最好的免費防毒軟體程式之一,原因有很多(其中最重要的是因為它是免費的)。

什麼是資料庫伺服器?

什麼是資料庫伺服器?

資料庫伺服器是一個電腦系統,它為其他電腦提供與存取資料庫和檢索資料庫資訊相關的服務。