Показано с 1 по 4 из 4.

Хакеры встраивают в злонамеренный код детекторы виртуальных машин

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731

    Хакеры встраивают в злонамеренный код детекторы виртуальных машин

    Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

    Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.

    «Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.

    Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.

    В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут.

    securitylab.ru
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Совершенно верно - именно поэтому мой анализатор вирусов является аппаратным ... причем это появилось не сейчас, а существует уже давно, 2-3 года точно. Мне известно не менее десятка методов детектирования запуска кода на виртуальном ПК
    Продолжая идею авторов этой заметки я могу заметить, что примерно в одном образце на 10-20 фиксируется та или иная методика антиэмуляции - для борьбы с Norman Sandbox и аналогами. Простейшая форма защиты - просто таймер, реализующий задержку выполнения вредоносного кода, или некое длительное вычисление/расшифровка, которое невозможно проэмулировать за разумное время или обойти. Другое направление антиэмуляции - взаимодействие с пользователем, например отображение диалогового окна с лицензионным соглашением или чего-то подобного.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    еще встречаются модифицированные навесные защиты, которые пытаются уйти из-под распаковки и запустить код файла.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от MOCT
    еще встречаются модифицированные навесные защиты, которые пытаются уйти из-под распаковки и запустить код файла.
    Да, есть такое дело. И еще интересная тенденция - распаковать свой код и внедрить этот кусок кода в другой процесс. В этом случае эмуляция такого кода антивирусом или анализатором становится крайне сложной задачей (заренее ведь неизвестно, в какой процесс будет внедряться код и каким методом).

Похожие темы

  1. Обсуждение виртуальных машин
    От Shadow[13] в разделе Microsoft Windows
    Ответов: 17
    Последнее сообщение: 14.12.2007, 02:15
  2. Создан прототип руткита для виртуальных машин
    От Shu_b в разделе Новости компьютерной безопасности
    Ответов: 14
    Последнее сообщение: 16.03.2006, 02:38

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00506 seconds with 17 queries