Я заставил свою виртуальную машину думать, что у нее есть вентилятор ЦП=news.ycombinator.com=

Я заставил свою виртуальную машину думать, что у нее есть вентилятор ЦП ( wbenny.github.io )

wkat4242 5 минут назад | следующий [–]
О, это новая тактика защиты от вредоносных программ: купите ПК с пассивным охлаждением 🙂

А также настроить русскую клавиатуру: https://krebsonsecurity.com/2021/05/try-this-one-weird-trick…

отвечать

AshamedCaptain 5 минут назад | предыдущая | следующая [–]
Я еще не видел _ни одной_ потребительской материнской платы, где описания SMBIOS имели бы хотя бы мимолетное отношение к реальному оборудованию. Я бы не удивился, если бы эта вредоносная программа также дала сбой на 50% реального оборудования. Но я также предполагаю, что вредоносная программа может позволить себе такую частоту сбоев; пока она гарантирует, что она также даст сбой на 100% виртуальных машин/отладчиков, она того стоит.

Но если эти предположения верны, то я бы предположил, что авторы вредоносного ПО будут проводить проверки синхронизации, а не тривиально «эмулируемый» SMBIOS.

отвечать

lpapez 26 минут назад | предыдущая [–]
Использование таких трюков может показаться милым способом для вредоносного ПО затруднить анализ, но часто вызов этих неясных системных API может быть обнаружен статически, и вы можете быть уверены, что он будет помечен как подозрительный антивирусным ПО. Если двоичный файл вредоносного ПО не запутан, чтобы скрыть такие вызовы, я бы даже назвал их «контрпродуктивными» для авторов вредоносного ПО!

Легальные программы, заинтересованные в этих API, почти всегда представляют собой двоичные файлы, подписанные известными (и доверенными) центрами сертификации, что делает разумным анализ, сообщающий о подозрительном поведении.

Я работал младшим в этой области, и одной из моих задач было реализовать сопоставление шаблонов регулярных выражений для обнаружения использования похожих API. Удивительно эффективно для поимки низко висящих фруктов, распределенных в массовом порядке.

отвечать

амелиус 14 минут назад | родитель [–]
Так, с точки зрения безопасности, может быть, нам следует запускать все программное обеспечение внутри виртуальной машины?

отвечать

boricj 5 минут назад | корень | родитель | следующий [–]
Нам бы это не понадобилось, если бы мы использовали операционные системы, основанные на возможностях.

отвечать

jbverschoor 7 минут назад | корень | родитель | предыдущий | следующий [–]
Вот так же работает и Xbox.

отвечать

неоромантический 13 минут назад | корень | родитель | предыдущий [–]
Qubes OS существует

отвечать

Рассмотрите возможность подачи заявки на набор в YC на осень 2025 года! Заявки принимаются до 4 августа

Source: news.ycombinator.com