Как маскируют себя компьютерные вирусы
Обновлено: 21.11.2024
Ученые, использующие усовершенствованный источник фотонов, обнаружили новое понимание того, как вирус SARS-CoV-2 маскируется внутри человеческого тела.
Вирус SARS-CoV-2, вызывающий COVID-19, плавает в клетке-хозяине. Исследователи раскрыли детали того, как вирус маскирует себя внутри клетки, уклоняясь от обнаружения иммунной системой. (Изображение Nhemz / Shutterstock.)
Ученые всего мира уже несколько месяцев работают над идентификацией и разработкой методов лечения SARS-CoV-2, вируса, вызывающего COVID-19. Важной частью этого процесса является понимание того, как вирус избегает обнаружения внутри человеческого тела, маскируя себя, чтобы скрыться от иммунной системы организма.
Группа исследователей, использующих усовершенствованный источник фотонов (APS) Министерства энергетики США (DOE) в Аргоннской национальной лаборатории Министерства энергетики США, поделилась информацией о механизме, который вирус использует, чтобы ускользнуть от вируса. иммунная система. Это ключевое открытие было опубликовано в Nature Communications.
«Вирус использует классический механизм маскировки и использования механизма хозяина для синтеза собственного белка. Он проникает внутрь клетки-хозяина, и его информационная РНК выглядит так же, как и информационная РНК хозяина». — Йогеш Гупта, доцент Центра здоровья Техасского университета в Сан-Антонио
"Многие исследователи изучают, как вирус проникает в клетку, – говорит Йогеш Гупта, доцент Центра медицинских наук Техасского университета в Сан-Антонио и автор статьи. «Мы хотели посмотреть, что происходит, когда он находится внутри клетки. Как вирус выживает и уклоняется от иммунных механизмов?»
Для этого Гупта и его команда исследовали два белка SARS-CoV-2, известные как неструктурные белки 10 и 16, с помощью сверхярких рентгеновских лучей, генерируемых APS. Работа проводилась на линии луча Северо-восточной группы совместного доступа (NE-CAT) под номером 24-ID, которой управляет Корнельский университет.
Иллюстрация структуры двух неструктурных белков (10 и 16) вируса SARS-CoV-2, проанализированных для этого исследования. Аналог кэпа РНК и присутствие S-аденозилметионина отмечены красным и синим соответственно. (Изображение предоставлено Йогешем Гуптой.)
Они обнаружили, что вирус SARS-CoV-2 использует некоторые уникальные способы маскировки своей информационной рибонуклеиновой кислоты (РНК), одноцепочечной молекулы, несущей генетический код для синтеза белков, чтобы имитировать код клетки-хозяина. Иммунная система не может отличить его от собственной матричной РНК организма, поэтому она не борется с вирусом.
Это все равно, что надеть рубашку с синим воротничком в магазине Best Buy. Вы можете там не работать, но люди будут относиться к вам так же, как иммунная система клетки-хозяина относится к вирусу как к родному.
«Вирус использует классический механизм маскировки и использования механизмов хозяина для синтеза собственного белка», — сказал он. «Он проникает внутрь клетки-хозяина, и его информационная РНК выглядит так же, как информационная РНК хозяина».
Гупта сказал, что этот процесс считался похожим на те, которые наблюдались при предыдущих коронавирусах, но его команда обнаружила некоторые уникальные особенности белка SARS-CoV-2. Понимание того, как этот конкретный вирус использует этот белок, чтобы избежать обнаружения, поможет в разработке новых методов лечения. По его словам, необходимо лекарство, нацеленное на вирус, а не на хозяина, и знание механизма маскировки поможет разработать его.
Исследовательская группа также обнаружила уникальный карман в структуре белков, которого не было в предыдущих коронавирусах. Этот карман, по словам Гупты, может стать сильной мишенью для разработки противовирусных препаратов.
NE-CAT – это одна из 16 лучевых линий в APS, на которых значительная часть времени луча была выделена на исследования COVID-19 с использованием метода, называемого макромолекулярной кристаллографией. Это включает в себя дифракцию рентгеновских лучей от кристаллов, выращенных из синтетических белков — ученые APS не работают с живым вирусом — для точного определения их структуры, часто в комплексе с кандидатами в лекарства или другими химическими веществами.
Исследовательская группа получила удаленный доступ к линии луча NE-CAT, управляя ею через компьютерный интерфейс. Удаленные эксперименты и эксперименты по почте были в центре внимания APS с марта в результате пандемии COVID-19. Но ученые, использующие NE-CAT, скорее всего, уже привыкли к этому интерфейсу, поскольку 95 % исследований, проводимых с помощью луча, проводятся удаленно, по словам Фрэнка Мерфи, заместителя директора NE-CAT и старшего научного сотрудника Корнеллского университета.
«АФС — отличное место для изучения фотонов, — сказал Мерфи, — и это лучшее место в мире для изучения кристаллографии макромолекул. У нас так много хороших людей и хороших каналов связи».
Команда Гупты использует APS с 2007 года, применяя различные рентгеновские методы для получения информации о биологических структурах.
«APS — это уникальная установка, которая позволяет нам точно и быстро измерять данные рентгеновской дифракции», — сказал он. «Нам повезло, что у нас есть отношения с APS, и это позволило нам расширить наши знания об основных механизмах этого вируса».
Усовершенствованный источник фотонов – это пользовательский объект Управления науки Министерства энергетики США (DOE), управляемый для Управления науки DOE Аргоннской национальной лабораторией. Дополнительное финансирование для каналов, используемых для исследований COVID-19 в APS, предоставляется Национальными институтами здравоохранения (NIH) и Управлением биологических и экологических исследований Министерства энергетики США. В этом году APS работала на 10% больше часов, чем обычно, для поддержки исследований COVID-19, при этом дополнительное время поддерживалось Управлением науки Министерства энергетики США через Национальную виртуальную биотехнологическую лабораторию при финансировании, предоставленном Законом Coronavirus CARES Act.
О расширенном источнике фотонов
Усовершенствованный источник фотонов (APS) Управления науки Министерства энергетики США в Аргоннской национальной лаборатории является одним из самых производительных в мире источников рентгеновского излучения. APS обеспечивает рентгеновские лучи высокой яркости для разнообразного сообщества исследователей в области материаловедения, химии, физики конденсированных сред, наук о жизни и окружающей среде, а также прикладных исследований. Эти рентгеновские лучи идеально подходят для исследования материалов и биологических структур; элементарное распределение; химические, магнитные, электронные состояния; и широкий спектр технологически важных инженерных систем от аккумуляторов до распылителей топливных форсунок, которые являются основой экономического, технологического и физического благополучия нашей страны. Каждый год более 5000 исследователей используют APS для выпуска более 2000 публикаций с подробным описанием важных открытий и решения более важных структур биологических белков, чем пользователи любого другого исследовательского центра рентгеновского излучения. Ученые и инженеры APS внедряют инновационные технологии, лежащие в основе совершенствования операций с ускорителями и источниками света. Это включает в себя устройства для ввода, которые производят рентгеновские лучи чрезвычайной яркости, которые ценятся исследователями, линзы, которые фокусируют рентгеновские лучи до нескольких нанометров, инструменты, которые максимизируют способ взаимодействия рентгеновских лучей с изучаемыми образцами, и программное обеспечение, которое собирает и управляет огромным количеством данных, полученных в результате научных исследований в APS .
В этом исследовании использовались ресурсы Advanced Photon Source, пользовательского центра Управления науки Министерства энергетики США, управляемого для Управления науки Министерства энергетики Аргоннской национальной лабораторией по контракту № DE-AC02-06CH11357 .
Аргоннская национальная лаборатория занимается поиском решений насущных национальных проблем в области науки и техники. Первая в стране национальная лаборатория, Аргонн, проводит передовые фундаментальные и прикладные научные исследования практически во всех научных дисциплинах. Исследователи Аргонны тесно сотрудничают с исследователями из сотен компаний, университетов, а также федеральных, государственных и муниципальных учреждений, чтобы помочь им решить их конкретные проблемы, укрепить научное лидерство Америки и подготовить нацию к лучшему будущему. Компания Argonne, в которой работают сотрудники из более чем 60 стран, управляется компанией UChicago Argonne, LLC для Управления науки Министерства энергетики США.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .
Когда сканеры были менее совершенными, вирус мог проникнуть внутрь, поскольку сканеры иногда не отображали некоторые предупреждения, зная, что они ложные. Вирусы такого типа было бы крайне сложно написать сегодня.
Вы мало что слышали об этом типе вируса. К счастью, это случается редко, и из-за эволюции антивирусных программ вряд ли произойдет в будущем.
Когда антивирусные сканеры полностью основывались на сигнатурах, всегда существовала вероятность ложного срабатывания при обнаружении сигнатуры в каком-нибудь незараженном файле (статистическая вероятность). Кроме того, при наличии нескольких циркулирующих сканеров каждый из них имел свою собственную базу данных сигнатур, и при сканировании другим продуктом может указывать на заражение там, где его не было, просто из-за включения строки идентификации вируса. Если бы это происходило часто, публика по понятным причинам раздражалась бы (и пугалась). Поэтому в ответ сканер может реализовать логику, которая при определенных обстоятельствах будет игнорировать сигнатуру вируса и не выдавать сигнал тревоги.
Хотя эта логика «пропустить это» предотвратила бы ложные срабатывания, она дала вирусописателям возможность попытаться замаскировать свои вирусы, чтобы они включали определенные характеристики, которые проверяются антивирусными программами, и, таким образом, вирусная программа игнорирует этот конкретный вирус. К счастью, это так и не стало серьезной угрозой; но такая возможность существовала.
Сегодняшние сканеры делают гораздо больше, чем просто ищут строку сигнатуры вируса. Чтобы идентифицировать конкретный вариант вируса, они также проверяют код вируса и даже вычисляют контрольную сумму кода вируса, чтобы идентифицировать его. При таких перекрестных проверках вирусу будет крайне сложно замаскировать себя и обмануть сканер.
Однако следует понимать, что даже при соблюдении этих мер предосторожности время от времени продолжают возникать ложные срабатывания. Однако антивирусные исправления, когда это происходит, таковы, что вирус не должен иметь возможности использовать исправление ложной тревоги.
Обзор
сообщить об этом объявлении
Камуфляж вредоносного ПО — серьезная проблема для антивирусных экспертов и аналитиков кода. Вредоносные программы используют различные методы, чтобы замаскировать их, чтобы они не были легко видны, и сделать их жизнь как можно дольше. Хотя подходы к маскировке не могут полностью остановить анализ и борьбу с вредоносным ПО, но они удлиняют процесс анализа и обнаружения, поэтому вредоносное ПО может получить больше времени для широкого распространения. Для антивирусных технологий очень важно совершенствовать свои продукты, сокращая процедуру обнаружения не только при первом столкновении с новой угрозой, но и при последующих обнаружениях. В этой статье мы намерены рассмотреть концепцию маскировки вредоносных программ и ее эволюцию от отсутствия скрытности до современных метаморфизмов. Кроме того, мы изучаем методы запутывания, используемые метаморфизмом, новейшим методом маскировки вредоносного ПО.
Откройте для себя мировые исследования
- 20 миллионов участников
- 135 миллионов публикаций
- Более 700 тыс. исследовательских проектов
W32.Evol — совершенно разные образы, но их поведение похоже. Оба они перемещают константу
<р>. Несмотря на то, что существует несколько методов обнаружения вредоносных программ, основанных на визуализации, злоумышленники по-прежнему могут использовать различные методы, такие как шифрование и обфускация, чтобы скрыть свои вредоносные программы в коде целевого программного обеспечения и противодействовать статическим методам обнаружения вредоносных программ [7, 27, 34]. . <р>. Защита на основе визуализации может быть даже лучше при обнаружении шифрования вредоносных программ, поскольку она может извлекать особенности местоположения, характерные для подозрительных циклов дешифрования вредоносного ПО. Даже более сложная техника шифрования вредоносных программ, которая выбирает разные дешифраторы для разных вредоносных программ (т. е. олигоморфизм), только продлевает время обнаружения [34]. Полиморфизм — это более сложный метод сокрытия вредоносной полезной нагрузки на основе шифрования вредоносных программ (рис. 4). . <р>. Он использует несколько типов преобразований в дешифраторе, таких как изменение порядка инструкций с помощью дополнительных инструкций перехода для сохранения исходной семантики и перестановка распределения регистров для обмана антивирусного программного обеспечения [7]. Он также обычно вводит ненужные или мертвые коды для дальнейшей мутации дешифратора, чтобы его было трудно распознать [34]. Однако после достаточного количества эмуляции и простого алгоритма сопоставления строк основные зашифрованные разделы вредоносного ПО все еще могут быть обнаружены [34]. .С быстрым развитием машинного обучения для классификации изображений исследователи нашли новые применения методов визуализации для обнаружения вредоносных программ. Преобразовав двоичный код в изображения, исследователи продемонстрировали удовлетворительные результаты применения машинного обучения для извлечения признаков, которые трудно обнаружить вручную. Такие методы обнаружения вредоносных программ на основе визуализации могут фиксировать шаблоны вредоносных программ из множества различных семейств вредоносных программ и повышать скорость обнаружения вредоносных программ. С другой стороны, недавние исследования также показали атаки злоумышленников на такое обнаружение вредоносных программ на основе визуализации. Злоумышленники могут генерировать враждебные примеры, искажая двоичный файл вредоносного ПО в недоступных областях, таких как заполнение в конце двоичного файла. В качестве альтернативы злоумышленники могут нарушить встраивание образа вредоносного ПО, а затем проверить исполняемость вредоносного ПО после преобразования. Одним из основных ограничений первого сценария атаки является то, что простой этап предварительной обработки может устранить возмущения перед классификацией. Для второго сценария атаки трудно поддерживать исполняемость и функциональность оригинальной вредоносной программы. В этой работе мы предоставляем обзор литературы по существующим методам визуализации вредоносных программ и атакам на них. Мы обобщаем ограничения предыдущей работы и разрабатываем новый пример состязательной атаки против обнаружения вредоносного ПО на основе визуализации, который может обойти предварительную фильтрацию и сохранить исходную функциональность вредоносного ПО. Мы тестируем нашу атаку на общедоступном наборе данных вредоносных программ и добиваемся успеха в 98 %.
<р>. Как только олигоморфный генератор исчерпан, вся его возможная изменчивость поколений также исчерпана и понята. Естественным расширением этой проблемы является введение обфускации в саму подпрограмму дешифратора, что приводит к бесконечному количеству возможных подпрограмм дешифрования [58]. Это привело к появлению первого поколения полиморфных вирусов, таких как 1260, и популярных генераторов, таких как Phalcon/Skism Mass-Produced Code Generator (PS-MPC) и Virus Creation Lab (VCL), которые используются до сих пор. . <р>. Кроме того, реестры переназначаются, а переменные перевыбираются в соответствии с фиксированными вероятностями с использованием таблиц замещения [63], [67]. Добавляется мусор и другой ничего не делающий код, а функции встраиваются/обрисовываются [68], [69]. В метаморфных вирусах W32/Etap и W32/Zmist этапы Permutor и Exander довольно сложны [58]. Ассемблер реструктурирует поток управления и преобразует ассемблерный код обратно в машинный двоичный код, где он снова может стать работоспособным. . <р>.Kötücül yazılımlarının amacı Hedef Sistemleri manipüle etmek olduğundan бушель amacın önündeki ан büyük engellerden Biri konumunda Olan АНТИВИРУСНОЕ yazılımlarının atlatılması için birçok yöntem geliştirilmiş ве бунун neticesinde kötücül yazılımlar günümüze çok büyük бир Evrim geçirerek ulaşmıştır. [İlk yıllarda masum amaçlarla geliştirilen kötücül yazılımlar, zamanla daha sofistike yöntemlerin kullanılmasıyla günümüzde bilgisayar kullanıcılarını çok farklı şekillerde tehdit eder hâle. Kötücül yazılımlarda güvenlik çözümlerini atlatmaya dönük iki temel yöntem bulunmaktadır: Şifreleme (шифрование) ve karıştırma (обфускация). . <р>. Сам код дешифрования запутывается с помощью методов преобразования кода, таких как выравнивание потока управления и подстановка инструкций (You and Yim 2010). Другим методом запутывания, обычно используемым вредоносным ПО, является метаморфизм (You and Yim 2010; Rad et al. 2012; Basya et al. 2013), при котором вредоносное ПО перекодирует себя каждый раз, когда ему необходимо распространиться. Для этого метаморфное вредоносное ПО также может использовать методы преобразования кода, но с большей степенью детализации, чем полиморфное вредоносное ПО (например, путем преобразования всего исполняемого кода). .Анализ вредоносного ПО – важнейшая задача кибербезопасности. Существует два подхода к анализу вредоносных программ: статический и динамический. Современное вредоносное ПО использует множество приемов для обхода как инструментов динамического, так и статического анализа. Текущие решения для динамического анализа либо вносят изменения в запущенное вредоносное ПО, либо используют компонент с более высокими привилегиями, который выполняет фактический анализ. Первые могут быть легко обнаружены сложными вредоносными программами, в то время как вторые часто приводят к значительным потерям производительности. Мы предлагаем метод, который выполняет анализ вредоносных программ в контексте самой ОС. Кроме того, компонент анализа замаскирован гипервизором, что делает его полностью прозрачным для работающей ОС и ее приложений. Оценка эффективности системы показывает, что вызванное снижение производительности незначительно.
В последние годы значительно участились случаи атак программ-вымогателей, которые наносят большой ущерб критически важным системам и бизнес-операциям. Злоумышленники неизменно находят инновационные способы обхода механизмов обнаружения, что способствовало внедрению искусственного интеллекта. Тем не менее, большинство исследований обобщают общие черты ИИ и вызывают множество ложных срабатываний, поскольку поведение программ-вымогателей постоянно отличается от обхода обнаружения. Сосредоточение внимания на ключевых признаках программ-вымогателей становится жизненно важным, поскольку это помогает исследователю понять внутреннюю работу и основную функцию самой программы-вымогателя. Используя привилегии доступа к памяти процесса, основная функция программы-вымогателя может быть обнаружена более легко и точно. Кроме того, можно идентифицировать новые сигнатуры и отпечатки пальцев семейств программ-вымогателей, чтобы правильно классифицировать новые атаки программ-вымогателей. В текущем исследовании использовались привилегии доступа к памяти процесса различных областей памяти поведения исполняемого файла, чтобы быстро определить его намерение до того, как может быть нанесен серьезный вред. Для достижения этой цели было исследовано несколько известных алгоритмов машинного обучения с диапазоном точности от 81,38% до 96,28%. Таким образом, исследование подтверждает возможность использования памяти процессов в качестве механизма обнаружения программ-вымогателей.
С быстрым развитием машинного обучения для классификации изображений исследователи нашли новые применения методов визуализации для обнаружения вредоносных программ. Преобразовав двоичный код в изображения, исследователи продемонстрировали удовлетворительные результаты применения машинного обучения для извлечения признаков, которые трудно обнаружить вручную. Такие методы обнаружения вредоносных программ на основе визуализации могут фиксировать шаблоны вредоносных программ из множества различных семейств вредоносных программ и повышать скорость обнаружения вредоносных программ. С другой стороны, недавние исследования также показали атаки злоумышленников на такое обнаружение вредоносных программ на основе визуализации. Злоумышленники могут генерировать враждебные примеры, искажая двоичный файл вредоносного ПО в недоступных областях, таких как заполнение в конце двоичного файла. В качестве альтернативы злоумышленники могут нарушить встраивание образа вредоносного ПО, а затем проверить исполняемость вредоносного ПО после преобразования. Одним из основных ограничений первого сценария атаки является то, что простой этап предварительной обработки может устранить возмущения перед классификацией. Для второго сценария атаки сложно сохранить исполняемость и функциональность оригинальной вредоносной программы. В этой работе мы предоставляем обзор литературы по существующим методам визуализации вредоносных программ и атакам на них. Мы обобщаем ограничения предыдущей работы и разрабатываем новый пример состязательной атаки против обнаружения вредоносного ПО на основе визуализации, который может обойти предварительную фильтрацию и сохранить исходную функциональность вредоносного ПО. Мы тестируем нашу атаку на общедоступном наборе данных вредоносных программ и добиваемся успеха в 98 %.
В этой статье мы представляем основанную на графе структуру, которая, используя связи между группами системных вызовов, определяет, является ли образец неизвестного программного обеспечения вредоносным или безобидным, и классифицирует вредоносное программное обеспечение как одно из набора известных семейств вредоносных программ. В нашем подходе мы предлагаем новое графическое представление графов зависимостей, фиксируя их структурную эволюцию во времени, создавая последовательные экземпляры графа, так называемые временные графы. Разделы временной эволюции графа, определяемые конкретными временными интервалами, приводят к различным типам представлений графов на основе информации, которую мы собираем при захвате его эволюции. Предлагаемая структура на основе графов использует предложенные типы временных графов, вычисляя метрики сходства по различным характеристикам графа, чтобы проводить процедуры обнаружения и классификации вредоносных программ. Наконец, мы оцениваем уровень обнаружения и классификационную способность предложенной нами графовой структуры, проводя серию экспериментов над набором известных образцов вредоносных программ, предварительно классифицированных по семействам вредоносных программ.
Рассматривается процесс обнаружения вредоносного кода антивирусными системами. Основной частью этого процесса является процедура анализа файла или процесса. В качестве метода анализа предлагается использовать искусственные нейронные сети, основанные на теории адаптивного резонанса. Для представления анализируемых программных кодов в числовом формате используется алгоритм векторизации graph2vec. Несмотря на то, что использование данного метода векторизации игнорирует смысловые связи между последовательностями исполняемых команд, он позволяет сократить время анализа без существенной потери точности. Использование искусственной нейронной сети АРТ-2м с иерархической структурой памяти позволило сократить время классификации вредоносного файла. Сокращение времени классификации позволяет задать больше уровней памяти и увеличить параметр сходства, что приводит к повышению качества классификации. Эксперименты показывают, что при таком подходе к обнаружению вредоносного ПО похожие файлы можно распознать как по размеру, так и по поведению.
В промышленном Интернете вещей (IIoT) безопасная передача, вычисление и обработка данных имеют решающее значение для разработки автоматизированных сред, таких как умные заводы, умные аэропорты и умные системы здравоохранения, для обеспечения высокого качества обслуживания. Таким образом, как в полной мере использовать огромные промышленные данные в IIoT, предотвращая вторжение вредоносного ПО и не допуская утечки конфиденциальной информации, является ведущей и многообещающей работой. В этой статье мы сосредоточимся на исследовании обнаружения вредоносных программ и предложим архитектуру модели интеллектуального обнаружения атак вредоносных программ на основе классифицированного графа поведения, которая может не только избежать высоких затрат на сопоставление графов, но и достичь высокой точности обнаружения вредоносных программ. Эксперименты над семействами вредоносных программ Delf, Ob-fuscated, Small и Zlob, каждое из которых содержит 880 образцов, показывают, что максимальная точность TPR может достигать 99,9%.
Метаморфические вирусы обладают кажущейся непобедимостью, потому что вирусописатель имеет преимущество в том, что знает слабые места антивирусных технологий. Мы могли бы изменить ситуацию, если бы смогли определить подобные слабые места в метаморфическом вирусе. Действительно, Лакотия и Сингх завершают свою мрачную статью одним ярким моментом: «Хорошая новость заключается в том, что вирусописатели сталкиваются с теми же теоретическими ограничениями, что и антивирусные технологии… Возможно, стоит подумать, как это можно использовать во благо». антивирусных технологий». РЕЗЮМЕ В игре «прятки», когда вирус пытается спрятаться, а антивирусные сканеры пытаются искать, побеждает тот, кто может воспользоваться слабым местом другого. До сих пор вирусописатель имел преимущество, поскольку мог использовать ограничения антивирусных технологий. Метаморфические вирусы особенно коварны в использовании такого преимущества. Метаморфический вирус препятствует обнаружению сигнатурными (статическими) антивирусными технологиями, изменяя свой код по мере распространения. Вирус также может помешать обнаружению с помощью технологий, основанных на эмуляции (динамических). Для этого ему необходимо определить, работает ли он в эмуляторе, и изменить его поведение. Итак, метаморфические вирусы непобедимы? В этой статье исследуется приведенное выше замечание и определяется то, что обещает стать ахиллесовой пятой метаморфического вируса. Ключевое наблюдение заключается в том, что для того, чтобы мутировать свой код, поколение за поколением, метаморфический вирус должен анализировать свой собственный код. Таким образом, он также должен столкнуться с ограничениями статического и динамического анализа. Кроме того, у метаморфического вируса есть еще одно ограничение: он должен иметь возможность повторно анализировать мутировавший код, который он генерирует. Таким образом, анализ внутри вируса того, как преобразовать код в текущем поколении, зависит от сложности преобразований в предыдущем поколении.Для преодоления трудностей статического и динамического анализа у вируса есть следующие опции: не обфусцировать преобразованный код ни в одном поколении; использовать некоторые соглашения о кодировании, которые могут помочь ему в обнаружении собственных обфускаций; или разработайте интеллектуальные алгоритмы для обнаружения его специфических обфускаций. В этой статье раскрывается ахиллесова пята метаморфического вируса.
Эта статья посвящена способам защиты компьютера от вирусов, которые могут вывести его из строя или позволить преступникам украсть ваши данные, личную информацию или деньги.
Используйте приложение для защиты от вредоносных программ. Установите приложение для защиты от вредоносных программ и регулярно обновляйте его, чтобы защитить компьютер от вирусов и других вредоносных программ (вредоносных программ).
Microsoft Defender — это бесплатное программное обеспечение для защиты от вредоносных программ, входящее в состав Windows, которое автоматически обновляется через Центр обновления Windows. Вы также можете выбрать продукты для защиты от вредоносных программ, созданные другими компаниями.
Больше не всегда лучше
Одновременный запуск нескольких приложений для защиты от вредоносных программ может привести к замедлению или нестабильности работы вашей системы. Если вы устанавливаете приложение для защиты от вредоносных программ от другой компании, Microsoft Defender автоматически отключится. Однако если вы установите два приложения для защиты от вредоносных программ от других компаний, они оба могут попытаться запуститься одновременно.
Не открывайте сообщения электронной почты от незнакомых отправителей или вложения электронной почты, которые вы не знаете. Многие вирусы прикрепляются к сообщениям электронной почты и распространяются, как только вы открываете вложение. Лучше не открывать никаких вложений, если вы этого не ожидаете. Дополнительную информацию см. в статье Защититесь от фишинга.
Используйте блокировщик всплывающих окон в своем интернет-браузере. Всплывающие окна – это небольшие окна браузера, которые появляются поверх просматриваемого вами веб-сайта. Хотя большинство из них создаются рекламодателями, они также могут содержать вредоносный или небезопасный код. Блокировщик всплывающих окон может предотвратить появление некоторых или всех этих окон. Блокировщик всплывающих окон в Microsoft Edge включен по умолчанию.
Если вы используете Microsoft Edge, убедитесь, что SmartScreen включен. SmartScreen в Microsoft Edge помогает защитить вас от фишинговых атак и атак вредоносного ПО, предупреждая вас, если веб-сайт или место загрузки были признаны небезопасными. Дополнительные сведения см. в статье Что такое SmartScreen и как он может меня защитить?
Обратите внимание на уведомления Windows SmartScreen. Будьте осторожны при запуске неопознанных приложений, загруженных из Интернета. Неопознанные приложения с большей вероятностью будут небезопасными. Когда вы загружаете и запускаете приложение из Интернета, SmartScreen использует информацию о репутации приложения, чтобы предупредить вас, если оно малоизвестно и может быть вредоносным.
Обновляйте Windows. Microsoft периодически выпускает специальные обновления для системы безопасности, которые помогают защитить ваш компьютер. Эти обновления помогают предотвратить атаки вирусов и других вредоносных программ, закрывая возможные бреши в системе безопасности.
Центр обновления Windows помогает убедиться, что ваш компьютер получает эти обновления автоматически, но вам, возможно, придется время от времени перезагружать компьютер для полной установки обновлений.
Используйте настройки конфиденциальности вашего интернет-браузера. Некоторые веб-сайты могут пытаться использовать вашу личную информацию для целевой рекламы, мошенничества и кражи личных данных. Во всех современных браузерах есть настройки конфиденциальности, которые вы можете включить, чтобы контролировать, что сайты могут видеть или делать.
Дополнительную информацию о настройке параметров конфиденциальности в Microsoft Edge см. в разделе Настройте параметры конфиденциальности так, чтобы они подходили именно вам.
Убедитесь, что контроль учетных записей пользователей (UAC) включен. Когда в ваш компьютер будут внесены изменения, требующие разрешения на уровне администратора, UAC уведомит вас и даст вам возможность одобрить изменение. UAC может помочь предотвратить нежелательные изменения вирусов. Чтобы открыть UAC, проведите пальцем от правого края экрана, а затем нажмите «Поиск». (Если вы используете мышь, наведите указатель мыши на правый верхний угол экрана, переместите указатель мыши вниз и нажмите «Поиск».) Введите uac в поле поиска, а затем коснитесь или щелкните «Изменить параметры контроля учетных записей».
Убедитесь, что защита от несанкционированного доступа включена. В Windows 10 и 11 у нас есть функция, называемая "Защита от несанкционированного доступа", которая предотвращает изменение параметров безопасности неавторизованными приложениями. Многие вирусы и вредоносные программы пытаются отключить антивирусное программное обеспечение или другие параметры безопасности, когда они установлены, чтобы избежать обнаружения. Информацию о том, как убедиться, что эта функция включена, см. в разделе Предотвращение изменения параметров безопасности с помощью защиты от несанкционированного доступа.
Как удалить антивирусные или антишпионские программы?
Если вы используете более одной антивирусной или антишпионской программы одновременно, производительность вашего ПК может снизиться, стать нестабильной или неожиданно перезагрузиться.
Предостережение. Когда вы удаляете установленные в настоящее время программы безопасности в Интернете, ваш компьютер остается незащищенным. Если вы не установили другую программу защиты от вредоносных программ, убедитесь, что антивирусная программа Microsoft Defender включена, а брандмауэр Windows включен.
Откройте "Пуск" > "Настройки" > "Приложения".
Найдите ненужное приложение или приложения и выберите их
Выберите Удалить
Вероятно, после удаления каждого приложения вам потребуется перезагрузить компьютер.
Примечание. Некоторое программное обеспечение для обеспечения безопасности может быть удалено не полностью. Если вам не удается полностью удалить приложение, перейдите на веб-сайт издателя или обратитесь за помощью в службу технической поддержки.
Читайте также: