Aeglane protsessor kaitseb viiruse eest

f-secure_2009_3dF-Secure turvalaborist käib ööpäevas läbi kümneid tuhandeid pahavaranäidiseid. Sellise suure hulga andmete töötluseks on lisaks piiratud hulgale inimestele kasutusel ka automaatne süsteem, mis on välja treenitud pahavara analüüsima ja kaitsemeetodeid (sh signatuure) välja töötama. Kõik pahavaranäidised käivad automaatsest süsteemist läbi, kus neid kontrollitakse, klassifitseeritakse ja käivitatakse.

 

Seda kõik muidugi virtuaalses süsteemis, sest muud moodi pole võimalik. Muidugi teavad seda ka pahavara tootjad (sellepärast nad toodavadki nii palju pahavara), kes teadlikult ehitavad pahavara üles viisil, et neid ei saaks virtuaalses süsteemis käivitada ja debuggida.

 

 

Mõnikord on aga võtted, mis kasutatakse, üsnagi segased. Viimasel nädalal analüüsitud ZeuS trooja käitub aga väga imelikult. Nimelt ei käivitata pahatahtliku koodi, kui arvuti protsessori võimsus jääb alla 2GHz. Seda arvatavasti sellepärast, et serverid, mis automaatselt pahavara analüüsivad, on väga võimsad. Lõpetuseks võib öelda, et targalt läbimõeldud plaan võib teinekord lähemaltvaadates üsnagi rumal olla. 

Jäta oma kommentaarid

Lisa kommentaar külalisena

0
kasutustingimustega.

Vestluses olevad inimesed

  • heip,<br /><br />Neid mis üritavad tuvastada seda millises keskkonnas ta jookseb on mitmeid-mitmeid. Samuti ka meetodeid selle tuvastamiseks millest võib-olla arukamad variandid kontrollisid virtuaalse protsessoriga seotuid arvutuslikke vigasid / käitumismudelit ja selle tuvastamisel lõpetasid käivitumise.<br /><br />Aga .. See variant millest hetkel juttu .. see on ju lihtsalt humaanne pahavara :) miks koormata kasutajat veel mingi lisaasjaga? Arvutuslik väärtus on ka minimaalne ju sellisel riistvaral :)<br /><br />pragmaatiline tüüp on selle asja kokku kirjutanud.<br /><br />Terv,<br />r

    0 Meeldib Lühike URL: