恶意软件如何使用屏幕分辨率来避免检测

这些年来,恶意软件开发人员和网络安全专家一直在互相争斗。最近,恶意软件开发者社区部署了一种逃避检测的新策略:检查屏幕分辨率。

让我们探究为什么屏幕分辨率对恶意软件很重要,以及这对您意味着什么。

为什么恶意软件关心屏幕分辨率

要了解恶意软件为何关心屏幕分辨率,我们必须看一下它的最大敌人之一。虚拟机。

虚拟机是病毒研究人员的有用工具。它们充当“计算机内部的计算机",因此您无需使用新PC即可使用其他操作系统。

例如,如果您有一台Windows 10计算机,但要使用Linux,则可以在Windows 10内设置虚拟机以运行Linux。它的行为就像Linux机器一样,但运行在Windows 10的窗口中。

虚拟机对病毒研究人员非常有用,因为它们充当了数字维纳斯捕蝇器。如果研究人员认为某个程序或文件包含病毒,则可以在虚拟机中运行该程序或文件进行测试。

如果文件包含病毒,它将开始感染该虚拟机。由于虚拟机的设置类似于真实的虚拟机,因此病毒认为它感染的是真实的PC,而不是虚拟的PC。因此,它开始交付其有效负载并对虚拟机造成损害。幸运的是,病毒不会对计算机造成“损害"。它只会影响虚拟机。

一旦病毒将游戏释放了,研究人员就可以研究其工作方式,然后重置虚拟机。然后,他们将从虚拟机中学到的知识用于虚拟机,以保护人们的真实计算机。

因此,虚拟机是恶意软件开发人员的祸根。如果有人怀疑某个程序包含恶意软件,则可以将其在虚拟机中启动,并在恶意软件损坏后将其清除。

屏幕分辨率在哪里出现?

这种测试应用程序的方法存在一个缺陷。当恶意软件研究人员创建虚拟机时,他们对所有其他功能并不真正感兴趣。他们所需的病毒测试只是一台虚拟机,其行为类似于普通计算机,其他所有东西都是可选的。

因此,研究人员有时不会安装VM的来宾软件。该软件可启用研究人员真正不需要的其他功能,例如更高的屏幕分辨率。如果用户不使用访客软件,则VM通常会将用户锁定为以下两种低分辨率之一:800×600和1024×768。

这两种分辨率对于恶意软件开发人员来说非常重要。当今的计算机和笔记本电脑通常不具备该分辨率的屏幕。

实际上,您可以在Statcounter上看到它已经过时了,该软件可以收集有关最常用分辨率的信息。在撰写本文时,分辨率往往大于或小于上述VM示例。

在频谱的一侧,您具有笔记本电脑的标准1366×768分辨率和PC的1920×1080显示器。另一方面,您会发现正在使用的360×640微小屏幕(即智能手机)。

800×600和1024×768根本不会出现。确实存在后者的768×1024的反面。这是iPad的分辨率。但是,即使这仅占2.6%,这意味着97.4%的设备使用不同的分辨率。

因此,当恶意软件降落在主机上并注意到其运行在800×600或1024×768上时,它要么在非常陈旧的硬件上运行,要么(很可能)在虚拟机中被监视。

如果病毒在这种情况下运行,它将在游戏者的视线范围内消失。病毒研究员。因此,为了保护其秘密,该恶意软件会自行终止并且不会造成损害。

从研究人员的角度来看,该程序已运行并且没有感染PC,因此它必须是良性的。然后,他们可能会为该程序分配错误的否定报告,从而允许恶意软件在最终被捕获之前继续传播。

在现实世界中解析解决方案检查恶意软件的示例

Trickbot是这种野外战术的一个很好的例子。研究人员设法破解了TrickBot的最新代码,并分析了其工作方式。一位名叫Mak(@maciekkotowicz)的Twitter用户在TrickBot中发现了一大堆代码,可扫描800×600或1024×768分辨率。

— mak(@maciekkotowicz)2020年6月30日

在这段代码中,病毒获取计算机分辨率的X和Y值,然后将它们组合以查看结果。如果结果等于800×600或1024×768,则代码返回数字0。这表明恶意软件正在VM中运行。

一旦恶意软件知道它在虚拟机中,它就会自我-销毁以避免检测。结果,任何在虚拟机中检查病毒的人都会错误地认为它是安全的。

此策略对您意味着什么

当然,这确实意味着如果您使用1024×768或800×600的分辨率,则可以抵御某些恶意软件的攻击。他们一到达,便会注意到您的决心并自爆,然后再造成任何伤害。但是,获得保护后,如果使用如此狭窄的分辨率的计算机,就会失去理智!

因此,抵御这种新型恶意软件的最佳选择是更新您的恶意软件。防病毒软件。现在,这种反虚拟机的技巧已为公众所知,高端安全公司不太可能再次被欺骗。

但是,请务必注意,如果您倾向于测试自己的文件,这一点很重要。自己的虚拟机。如果您的VM运行在800×600或1024×768,则值得将其设置为更常用的分辨率。如果不这样做,则无法确定要测试的文件是否已安装此防VM措施。

保持安全,防止偷偷摸摸的病毒

随着网络安全成为一个巨大的行业,恶意软件开发人员必须适应以保持领先地位。如果在未经准备的VM中运行新的恶意软件,就会逃避捕获,因此,如果您使用VM进行病毒测试,请记住这一点。

最好的防病毒是常识,所以为什么不学习它呢?永远不会感染病毒的简便方法?

标签: