惡意軟體如何利用螢幕解析度來逃避偵測

多年來，惡意軟體開發人員和網路安全專家一直存在著緊張的對抗。最近，惡意軟體開發社群實施了一項新策略來避免檢測：檢查螢幕解析度。

讓我們探討為什麼螢幕解析度對惡意軟體很重要以及它對您意味著什麼。

為什麼惡意軟體關心螢幕解析度？

要了解惡意軟體為何關心螢幕分辨率，請考慮惡意軟體的剋星之一：虛擬機器。

虛擬機器對於病毒研究人員來說是一個有用的工具。它們的運作方式就像一台電腦裝在另一台電腦中，因此您可以使用不同的作業系統，而無需購買新電腦。

例如，如果您有一台 Windows 10 電腦但想使用 Linux，則可以在 Windows 10 內設定虛擬機器來運行 Linux。它的功能類似於 Linux 計算機，但在 Windows 10 的視窗中運行。

• 幫助在 Windows 上運行 Linux 軟體的 7 種方法

虛擬機器對於病毒研究人員來說非常有用，因為它們就像一個數位捕蠅器。如果研究人員認為某個程式或檔案包含病毒，他們可以透過在虛擬機器中執行它來對其進行測試。

如果該檔案包含病毒，它將開始感染虛擬機器。由於虛擬機器被設定為看起來像真實的機器，因此病毒認為它感染了真實的 PC，而不是虛擬機器。因此，它開始傳遞其有效負載並對虛擬機器造成損壞。幸運的是，該病毒不會對主電腦造成任何損害。它僅影響虛擬機器。

一旦病毒暴露，研究人員就可以了解其工作原理，然後重置虛擬機器。接下來，他們利用從虛擬機器中學到的知識來創建病毒定義，以保護真實電腦上的使用者。因此，虛擬機器對惡意軟體開發人員充滿敵意。

螢幕解析度在其中扮演什麼角色？

此應用程式測試方法有缺陷。當惡意軟體研究人員創建虛擬機器時，他們並不真正關心所有額外的功能。他們測試病毒所需的只是一個像普通計算機一樣運行的虛擬機，其他一切都是可選的。

因此，研究人員有時不會安裝虛擬機器的來賓軟體。該軟體啟用了額外的功能，例如更高的螢幕分辨率，但研究人員並不真正需要這些功能。如果使用者不使用用戶端軟體，VM 通常會將使用者鎖定為兩種低解析度之一：800x600和1024x768。

這兩個解決方案對於惡意軟體開發人員來說非常重要。現代電腦和筆記型電腦通常不配備該解析度的螢幕。這個尺寸已經非常過時了。

流行的設備分辨率

惡意軟體如何使用這些數據來避開虛擬機器？

因此，當惡意軟體出現在主機上並且注意到它以 800×600 或 1024×768 的分辨率運行時，這意味著該惡意軟體可能在非常過時或可能有能力的硬體上運行。 。

如果病毒在這些條件下運行，它就會暴露。因此，為了保護自己，惡意軟體將自行終止並且不會造成任何損害。

從研究人員的角度來看，該程式運行並沒有感染PC，因此它不是病毒。然後，他們可能會對程式做出錯誤的假設，從而使惡意軟體在被發現之前傳播得更遠。

惡意軟體測試真實解析度的範例

Trickbot 就是這種策略的一個很好的例子。研究人員最近成功破解了一行 TrickBot 程式碼並分析了其工作原理。一位名為 Mak (@maciekkotowicz) 的 Twitter 用戶在 TrickBot 中發現了一個可以掃描 800×600 或 1024×768 解析度的程式碼。

TrickBot 中的代碼以 800×600 或 1024×768 解析度掃描

在這段程式碼中，病毒會取得電腦解析度的X和Y值，然後將它們組合起來查看結果。如果結果是800×600或1024×768，程式碼將回傳0。這表示惡意軟體在虛擬機器中運行。

一旦惡意軟體知道它位於虛擬機器中，它就會自毀以避免被發現。因此，任何在虛擬機器中檢查病毒的人都會認為它是安全的。

這個策略對你來說意味著什麼？

當然，這意味著如果您使用 1024x768 或 800x600 分辨率，您將免受某些類型的惡意軟體的侵害。一旦他們到達系統，他們就會注意到你的決心並在造成任何傷害之前自毀。然而，要獲得這種保護，您必須使用解析度非常小的電腦！

因此，對抗這種新型惡意軟體的最佳方法是更新您的防毒軟體。現在這種反虛擬機器的伎倆已經眾所周知，因此高端安全公司不太可能再次被愚弄。

但是，如果您傾向於檢查自己的虛擬機器中的文件，請記住這一點尤其重要。如果您的虛擬機器以 800×600 或 1024×768 運行，則可能值得將其設定為更常見的解析度。如果不這樣做，則無法確定您正在檢查的檔案是否安裝了此反虛擬機器預防措施。