Video: Темы для iPhone на iOS 14 - простая установка оформления! Прозрачные виджеты и скрытые фишки (Lapkritis 2024)
Kai kurios kenkėjiškų programų atakos yra tokios akivaizdžios, kad negalite praleisti progos, kad nukentėjote. „Ransomware“ programos užrakins visą prieigą prie jūsų kompiuterio, kol nemokėsite, kad jis būtų atrakintas. Socialinės žiniasklaidos užgrobėjai skelbia keistus būsenos atnaujinimus jūsų socialinės žiniasklaidos puslapiuose, užkrėsdami bet kurį asmenį, spustelėjusį jo nuodytas nuorodas. „Adware“ programos pakelia jūsų darbalaukį iššokančiaisiais skelbimais net tada, kai nė viena naršyklė nėra atidaryta. Taip, visi jie yra labai erzinantys, tačiau kadangi žinote, kad yra problema, galite dirbti ieškant antivirusinių sprendimų.
Visiškai nematomas kenkėjiškų programų užkrėtimas gali būti daug pavojingesnis. Jei antivirusinė priemonė „nemato“ jos ir jūs nepastebite jokio nepageidaujamo elgesio, kenkėjiška programinė įranga gali laisvai sekti jūsų internetinės bankininkystės veiklą arba naudoti kompiuterio galią klastingais tikslais. Kaip jie lieka nematomi? Čia yra keturi būdai, kuriais kenkėjiška programinė įranga gali paslėpti nuo jūsų, ir pateikiamos kelios idėjos, kaip pamatyti nematomą.
Operacinės sistemos subversija
Manome, kad „Windows Explorer“ gali išvardyti visas mūsų nuotraukas, dokumentus ir kitus failus, tačiau daug kas daroma užkulisiuose, kad tai įvyktų. Programinės įrangos tvarkyklė susisiekia su fiziniu kietuoju disku, kad gautų bitus ir baitus, o failų sistema tuos bitus ir baitus interpretuoja į operacinės sistemos failus ir aplankus. Kai programai reikia gauti failų ar aplankų sąrašą, ji paklausia operacinės sistemos. Tiesą sakant, bet kuri programa galėtų laisvai ieškoti užklausų failų sistemoje tiesiogiai ar net tiesiogiai bendrauti su aparatine įranga, tačiau tiesiog lengviau kreiptis į OS.
„Rootkit“ technologija leidžia kenkėjiškajai programai efektyviai ištrinti save iš žinios, sulaužant tuos skambučius į operacinę sistemą. Kai programa prašo failų sąrašo tam tikroje vietoje, šakninis rinkinys perduoda užklausą „Windows“, tada prieš grąžindamas sąrašą ištrina visas nuorodas į savo failus. Antivirusinė programa, kuri naudojasi „Windows“ informacija apie tai, kokie failai yra, niekada nematys „rootkit“. Kai kurie šaknies rinkiniai taiko panašią apgaulę, kad paslėptų savo registro parametrus.
Nėra failų kenkėjiškų programų
Įprastas antivirusas nuskaito visus diske esančius failus, patikrindamas, ar nė vienas nėra kenksmingas, taip pat nuskaito kiekvieną failą prieš leisdamas jį vykdyti. O kas, jei failo nėra? Prieš dešimt metų šlamšto kirminas sukėlė panieką viso pasaulio tinkluose. Jis išplito tiesiai atmintyje, naudodamas buferio viršijimo ataką savavališkam kodui vykdyti, ir niekada nerašė failo į diską.
Visai neseniai „Kaspersky“ tyrėjai pranešė apie „Java“ užkratą be bylos, puolančią Rusijos naujienų svetainių lankytojus. Išplatintas naudojant reklamjuostės skelbimus, panaudotas įšvirkštas kodas tiesiogiai į esminį „Java“ procesą. Jei pavyktų išjungti vartotojo abonemento valdymą, jis susisiektų su komandos ir valdymo serveriu, kad gautų instrukcijas, ką daryti toliau. Pagalvokite apie tai kaip bičiulio banko konsultantą, kuris įsiskverbia pro ventiliacijos kanalus ir išjungia saugos sistemą likusiai įgulai. Anot Kaspersky, vienas bendras veiksmas šiuo metu yra „Lurk Trojan“ įdiegimas.
Kenkėjišką programinę įrangą, kuri yra griežtai atmintyje, galima išvalyti tiesiog paleidus kompiuterį. Iš dalies tai, kaip jiems pavyko tą dieną sunaikinti „Slammer“. Bet jei jūs nežinote, kad yra problema, jūs taip pat nesužinosite, kad turite iš naujo paleisti.
Grįžęs orientuotas programavimas
Visi trys „Microsoft“ „BlueHat Prize“ saugumo tyrimų konkurso finalininkai dalyvavo „Grįžimo orientuoto programavimo“ (angl. ROP) programoje. Išpuolis, kuriame naudojama ROP, yra klastingas, nes jis neįdiegia vykdomojo kodo, o ne pats. Atvirkščiai, jis randa norimas instrukcijas kitose programose, net operacinės sistemos dalyse.
Tiksliau sakant, ROP ataka ieškoma kodų blokų (ekspertų vadinamų programėlėmis), kurie atlieka keletą naudingų funkcijų ir baigiasi RET (grąžinimo) instrukcija. Kai CPU pasiekia tą nurodymą, jis grąžina valdymą skambinimo procesui, šiuo atveju ROP kenkėjiškai programai, paleidžiančiai kitą nuskaitytą kodo bloką, galbūt iš kitos programos. Šis didelis įtaisų adresų sąrašas yra tik duomenys, todėl sunku nustatyti ROP pagrįstą kenkėjišką programą.
Frankenšteino kenkėjiška programa
Praėjusių metų „Usenix WOOT“ (seminaras apie įžeidžiančias technologijas) konferencijoje Teksaso universiteto tyrinėtojų pora pristatė idėją, panašią į grįžimo orientuotą programavimą. Straipsnyje pavadinimu „Frankenšteinas: kenkėjiškų programų susiuvimas iš gerybinių dvejetainių programų“ jie aprašė sunkiai aptinkamos kenkėjiškos programinės įrangos sukūrimo metodą, sujungiant kodo dalis iš žinomų ir patikimų programų.
"Sudarant naująją dvejetainę dalį iš visų baitų sekų, bendrų gerybinėms klasėms skirtiems dvejetainiams rinkmenoms, - aiškinama dokumente, - gaunami mutantai yra mažiau linkę sutapti su parašais, kuriuose yra dvejetainių elementų įtraukimas į baltąjį sąrašą ir juodasis sąrašas." Ši technika yra daug lankstesnė nei ROP, nes joje gali būti bet koks kodo fragmentas, o ne tik dalis, kuri baigiasi svarbiausia RET instrukcija.
Kaip pamatyti nematomą
Gerai tai, kad galite gauti pagalbos aptikti šias slaptas kenkėjiškas programas. Pvz., Antivirusinės programos gali aptikti pagrindinius rinkinius keliais būdais. Vienas lėtas, bet paprastas metodas apima visų diske esančių failų auditą, apie kurį pranešė „Windows“, kitą auditą, tiesiogiai užduodant užklausą failų sistemai, ir ieškant neatitikimų. Kadangi rootkit rinkiniai paverčia „Windows“, antivirusinė programa, paleidžianti ne „Windows“ OS, nebus apgauta.
Tik atminties, jokios bylos, grėsmė pasiduos antivirusinei apsaugai, kuri seka aktyvius procesus arba blokuoja jo atakos vektorių. Jūsų saugos programinė įranga gali užblokuoti prieigą prie užkrėstos svetainės, kurioje naudojama ši grėsmė, arba blokuoti jos įpurškimo techniką.
Frankenšteino technika gali klaidinti griežtai parašais pagrįstą antivirusinę programą, tačiau šiuolaikinės saugos priemonės viršija parašų ribas. Jei pataisytos kenkėjiškos programos iš tikrųjų daro ką nors kenksmingo, veikiausiai skaitytojas tikriausiai ją suras. Ir niekada to niekur nematydami, tokia sistema kaip Symantec Norton File Insight, kurioje atsižvelgiama į paplitimą, pažymės ją kaip pavojingą anomaliją.
Kalbant apie į grįžimą orientuoto programavimo atakų sušvelninimą, gerai, tai sudėtinga, tačiau jos sprendimui buvo skirta daug smegenų jėgos. Taip pat ekonominė galia - „Microsoft“ skyrė ketvirtadalį milijono dolerių aukščiausiems tyrėjams, dirbantiems su šia problema. Be to, kadangi ROP išpuoliai yra labai priklausomi nuo tam tikrų galiojančių programų buvimo, labiau tikėtina, kad jie bus naudojami prieš konkrečius taikinius, o ne plačiai paplitusioje kenkėjiškų programų kampanijoje. Jūsų namų kompiuteris tikriausiai yra saugus; jūsų biuro kompiuteris, ne tiek daug.
