Tecniche Di Conservazione Di Auto Di Malware
Abbiamo discusso una varietà di tecniche difensive per combattere i virus. Tuttavia, i produttori del virus sono informati delle nostre difese ed attivamente stanno lavorando ad insidiarle. Un esemplare del malware può impiegare parecchie tecniche nel tentativo d'evitare la rilevazione e l'eliminazione, compreso stealthing, il polimorfismo, il metamorphism e la disattivazione di antivirus. Diamo una breve occhiata a queste tecniche una di self-preservation alla volta. StealthingStealthing si riferisce al processo di dissimulazione della presenza di malware sul sistema infettato. Un metodo stealthing primitivo che è usato spesso dai virus del compagno coinvolge semplicemente regolare l'attributo "nascosto" della lima del virus per farla meno probabilmente che la vittima scoprirà la lima in un elenco dell'indice. I virus del compagno del flusso hanno un componente stealthing più potente—quando fissano ad un ospite, nessun nuove lime sono generati e la maggior parte dei attrezzi segnaleranno che il formato della lima originale non è cambiato. Su una macchina di Windows che usa il sistema di lima di NTFS, questi virus sono inclusi in un flusso di dati alternato connesso con un certo schedario diretto sul sistema. Un altro senso in cui un virus può cammuffarsi è intercettando il tentativo del programma di antivirus di leggere una lima e presentando una versione pulita della lima al dispositivo d'esplorazione. Quando il dispositivo d'esplorazione guarda la lima infettata, la lima infettata presenta un'immagine sana al dispositivo d'esplorazione. In ancora un altro piano d'azione stealthing, un virus potrebbe rallentare il tasso a cui infetta o danneggia le lime, di modo che occorre all'utente molto tempo realizzare che cosa sta accendendo. Polimorfismo e metamorphismIl polimorfismo è il processo con cui il codice cattivo modifica la relativa apparenza per contrastare la rilevazione senza realmente cambiare la relativa funzionalità di fondo. Il termine polimorfico indica che il codice può presupporre molte forme, tutti con la stessa funzione. Usando questa tecnica, il codice del virus si cambia dinamicamente ogni volta funziona. Il virus ancora ha lo stesso scopo, ma una base molto differente di codice. Tutte le firme hanno messo a fuoco sulla forma più in anticipo del codice più non rileveranno il nuovo, morphed le versioni. Forse uno dei sensi più semplici effettuare questa tecnica in virus scritto-basati deve fare modificare all'esemplare i nomi delle relativi variabili e sottoprogrammi interni prima dell'infezione dell'ospite nuovo. Questi nomi sono scelti tipicamente a caso per complicare l'operazione di generazione della firma per l'esemplare. Un altro senso di realizzare il polimorfismo coinvolge cambiare l'ordine in cui le istruzioni sono incluse nel corpo del virus. Ciò potrebbe essere ingannevole effettuare, perché l'esemplare deve assicurarsi che il nuovo ordine non cambia la funzionalità del codice. I virus possono anche modificare la loro firma inserendo le istruzioni nel loro codice che non fanno nulla, come sottrarre ed allora aggiunta del 1 ad un valore. Queste istruzioni dal punto di vista funzionale inerti permettono che il codice effettui la relativa funzione originale, ma che eludono una certa rilevazione firma-basata. In ancora un altra tecnica polimorfica, un virus cifra la maggior parte del relativo codice, lasciando in testo libero soltanto le istruzioni necessarie per decrypt automaticamente nella memoria durante il tempo di esecuzione. Il virus userebbe tipicamente una chiave a caso generata differente per cifrare il relativo corpo, includere la chiave in qualche luogo nel relativo codice e variare lo sguardo della procedura di decryption per confondere firma-ha basato i dispositivi d'esplorazione. Il motore di mutazione di MtE, liberato intorno 1992, era il primo attrezzo per facilmente la aggiunta delle possibilità polimorfiche al codice cattivo arbitrario mentre morphing il decryptor. Il metamorphism prende il processo di mutating l'esemplare un punto più ulteriormente un po'cambiando la funzionalità del virus mentre si sparge. Ciò è fatta spesso nei sensi sottili accertarsi che il virus eluda la rilevazione senza perdere la relativa potenza. I virus metamorfici cambiano spesso la struttura delle loro lime variando la posizione delle procedure mutating e di cifrature. Ulteriormente, gli esemplari metamorfici quale Simile hanno la capacità di smontarsi dinamicamente, cambiano il loro codice ed allora si riuniscono nella forma eseguibile. Disattivazione Di AntivirusUno dei sensi in cui il codice cattivo tenta di proteggere il relativo tappeto erboso è inabilitando i meccanismi di protezione del virus sulla macchina di obiettivo. I candidati più prominenti per disattivazione sono i processi che appartengono al software di antivirus che funziona sul sistema infettato. I virus più riusciti che impiegano questa tecnica potrebbero ottenere sul sistema non riconosciuto ed allora affrettano per inabilitare il software di antivirus prima che il malware ottenesse rilevato o prima degli aggiornamenti dell'utente la base di dati delle firme del virus. Il ProcKill Trojan è un esempio di un esemplare del malware che contiene una lista di più di 200 nomi trattati che appartengono solitamente al antivirus ed ai programmi personali della parete refrattaria. Installato una volta sul sistema, ProcKill cerca la lista dei processi correnti e termina quelli che riconosce. Senza il antivirus adatto ed i processi personali della parete refrattaria che funzionano sulla macchina, il virus ha regno libero per infettare ed alterare il sistema. Un'estensione interessante di questa tecnica è stata effettuata dal MTX virus/worm che si è sparso in 2000. Dopo l'infezione del sistema, MTX ha controllato i tentativi della vittima di accedere al Internet ed ha ostruito l'accesso ai dominii che erano probabili appartenere ai fornitori di antivirus. Un metodo come questo impedisce all'utente facilmente l'installazione del software di antivirus o di aggiornare le relative firme, un metodo intelligente tuttavia nasty per i tipi difettosi. Se non potete surf alla caratteristica dell'aggiornamento della base di dati della firma del virus, non potrete rilevare il nuovo malware sulla vostra scatola. Alcuni virus inoltre tentano di escludere le limitazioni di sicurezza imposte da Microsoft Office che abbiamo esaminato più presto. Potreste ricordare che l'ufficio del Microsoft permette che noi ostruiamo l'accesso all'oggetto di VBProject che contiene gli ordini usati frequentemente dai virus a macroistruzione per infettare i nuovi documenti. Questa limitazione è controllata da una regolazione di registrazione che un virus potrebbe maneggiare. Se l'utente permettesse che le macro nel documento infettato eseguissero, il virus potrebbe allora cambiare questa regolazione di registrazione per rimuovere le limitazioni su accesso all'oggetto di VBProject. Questa tecnica è stata effettuata dal virus di Listi (anche conosciuto come Kallisti). Listi comincia questo segmento di codice controllando il valore della chiave AccessVBOM di registrazione. Se è regolato a 1, quindi l'accesso a VBProject non è limitato ed il virus può continuare con l'infezione. Se l'accesso a VBProject è ostruito (cioè, il relativo valore è più grande di o più meno di 1), quindi Listi regola la chiave di registrazione a 1 e rimuove la parola del Microsoft via la chiamata di WordBasic.FileExit. La parola deve essere ricominciata per i cambiamenti alla chiave di AccessVBOM ad effetto dell'introito. La prossima volta l'utente apre il documento infettato, l'accesso a VBProject più non sarà limitato ed il virus può continuare a propagarsi. Tecniche Di Auto-Conservazione Contrastare MalwareCome potete vedere, ci sono alcune misure che il codice cattivo può approntare nel tentativo d'escludere i nostri meccanismi di sicurezza. Per ogni misura ci è contromisure, che ha relativo proprio counter-countermeasure e così via. Rimanere efficaci in un tal ambiente, vi assicurate capire le minacce e come si applicano al vostro ambiente e non contate su un singolo strato difensivo per proteggersi dalle infezioni del malware. Ciascuna di queste tecniche di self-preservation può essere contrastata dall'applicazione diligente del software di antivirus, di indurimento di configurazione e di formazione dell'utente. Le soluzioni del software di Antivirus si sono sviluppate sempre più intelligenti nelle loro capacità di macchiare il codice polimorfico stealthy e sopravvivere disattivazione semplice tenta. Mantenendo le vostre firme di antivirus ed esplorando il motore aggiornato, trarrete beneficio da questi avanzamenti. Ulteriormente, con formazione sana dell'utente, persino il codice cattivo molto sottile sarà meno probabile riuscire a penetrare relativo i vostri sistemi in primo luogo. ciò è un articolo aggiunto da Levi D. Johnson
|
|||||
|