Bugi - ja miten se debuggataan
- Suurimmassa osassa haittaohjelmista on nykyään jonkinnäköistä "antikoodia", jolla pyritään tunnistamaan debuggerit sekä analysointiohjelmistot, kertoo Toni Koivunen Viestintäviraston CERT-FI-yksiköstä.
Kuva: Mikko Stig/Lehtikuva
4.10.2007 09:13 Entistä useampi haittaohjelma käyttää jonkinlaisia menetelmiä, joilla tunnistaa virustutkijoiden debuggerit ja monitorointiohjelmat.
Bugi on ohjelmassa oleva virhe, jonka takia ohjelma ei toimi toivotulla tavalla. Virheiden etsiminen ja poistaminen on debuggausta, ohjelman tarkkaa seurantaa, joka auttaa näkemään, toimiiko ohjelma niin kuin pitääkin.
Pääasiallisesti debuggausta käytetään vieläkin ohjelmistojen virheiden etsimiseen, mutta se käy myös haittaohjelmien tutkimiseen.
Miksei tehdä alun perin bugittomia ohjelmia, järjestelmiä ja palveluja?
- Debuggausta tarvitaan, koska erehtyminen on inhimillistä. Ihmiset eivät pysty luomaan luotettavasti bugittomia ohjelmistoja. Tästä syystä debuggauksen tarve ei koskaan katoa, sanoo tietoturva-asiantuntija Toni Koivunen Viestintäviraston CERT-FI-yksiköstä.
Debuggerien tunnistamisominaisuus tekee haittaohjelmista entistä tehokkaampia. Haittaohjelmat pysyvät jossain tapauksissa hieman kauemmin pimennossa tunnisteiden suhteen, jos ne onnistuvat hyvin tunnistamaan debuggerin tai jonkin muun analysoinnissa yleisesti käytetyn ohjelmiston.
- Suurimmassa osassa haittaohjelmista on nykyään jonkinnäköistä "antikoodia", jolla pyritään tunnistamaan mahdolliset virtuaalikoneet, debuggerit sekä analysointi- tai sandbox-ohjelmistot. Myös haittaohjelmien pakkaamiseen ja suojaamiseen käytetyissä ohjelmissa on entistä enemmän tällaista koodia.
Debuggaus tehdään yleensä tarkoitukseen tehdyllä ohjelmistolla, joita on saatavilla ilmaiseksi. Monitorointiohjelma-termillä tarkoitetaan haittaohjelmatutkimuksessa yleisimmin käytettyjä ohjelmistotyökaluja.
Haittaohjelmien tekijät pyrkivät estämään debuggereiden käytön virustutkimuksessa, koska debuggerin avulla haittaohjelman koodia voidaan suorittaa hallitusti ja samalla tarkastella, miten se toimii. Tämä taas johtaa haittaohjelman nopeampaan tunnistumiseen ja torjuntakeinojen leviämiseen, ja sitä virusmaakarit eivät halua.
Debuggereiden tunnistamiseen haittaohjelmien tekijöillä on Koivusen mukaan kymmeniä erilaisia tapoja. Osa tunnistustavoista liittyy debuggerin aiheuttamaan koodin suorituksen hidastumiseen, osa taas siihen, millä tavoin aktiivisena oleva debuggeri käyttäytyy ja miten se muuttaa haittaohjelman muistiympäristöä.
Haittaohjelmien toimintaa tutkivan työtä voidaan hankaloittaa monin tavoin. Yleisimmin haittaohjelma, joka tunnistaa debuggerin, tyytyy vain sammuttamaan itsensä.
Tutkijan kannalta on kuitenkin hankalampaa, jos haittaohjelma muokkaa käytöstään sen sijaan, että se vain tyytyisi sammuttamaan itsensä. Jos haittaohjelma muokkaa käyttäytymistään riittävän hienovaraisesti, voi tutkijalta jäädä huomaamatta tärkeä osa sen toiminnasta.
Tutkijan työtä hankaloittavia menetelmiä voidaan kiertää. Parhaiten se onnistuu tunnistamalla ennalta haittaohjelmasta ne koodinpätkät, jotka etsivät debuggereita.
- Kun koodin sijainti on selvillä, sen muokkaaminen tai ohittaminen on hyvin nopeaa ja yksinkertaista, Koivunen sanoo.
ITviikko 4.10.2007
Antti Kirves toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 11:02 Angry Birds laskeutui Helsinki-Vantaalle
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 09:46 Apple myy vihdoin iPhone 4S:ää Kiinassa
- 09:11 Sadan tonnin sakot kuluttajien harhauttamisesta
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 00:22 Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Konesalihaaveri heikensi Tiedon kannattavuutta
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 6.2. Nokia Lumia saa valkoisen värin
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Yhdysvaltain lääkevirastoa syytetään Gmail-vakoilusta 13:36
- Lisää
Digiyesterday
Viisi vuotta sitten
Kodak leikkaa yli 30000 työpaikkaa
09.02.2007 Valokuvajätti Eastman Kodak ilmoitti torstaina irtisanovansa vielä 5000 henkeä aiemmin ilmoittamiensa lisäksi. Yhtiö on päättämässä mittavaa kamppanjaa, jonka on tarkoitus muuttaa perinteinen valokuvafilmin valmistaja digikuvauksen jättiläiseksi.
Kolme vuotta sitten
Saksalaisfirmalta Apple-yhteensopiva PearC
09.02.2009 Piskuinen saksalaisfirma HyperMegaNet on rohjennut ryhtyä valmistamaan Apple-yhteensopivaa henkilökohtaista tietokonetta. PearC ei ole sisäisesti eikä ulkoisesti Mac-kone, mutta pystyy emulaatio-ohjelmalla käynnistämään OS X:n.
Taloussanomat
- Asunnon ostaja, älä luule – yritä selvittää 06:01
- Finnair suunnittelee yhteisyritystä 10:05
- M-realin ja Metsäliiton nimet muuttuvat 10:20
- Kreikassa vielä kiistaa eläkkeistä – neuvottelut jatkuvat 08:34
- Stockmann myynti kasvoi Venäjällä – tulos parani 08:49
- Danske Bankin Ilkka Hallavo jättää tehtävänsä 11:08
- Louis Vuitton -kondomeja myydään 68 dollarin hintaan 11:44
- IS: Huijaus Otto-automaateilla – tässä oikea ja väärä automaatti 11:00
- Kreikalla 15 päivää aikaa etsiä 300 miljoonan euron säästöt 07:59
- Nämä olisivat parhaat syyt jatkaa työelämässä 09:30
- » Taloussanomat.fi
-
-355 e
-
-260 e
LG A520 (Core i7-2630QM, 6 GB, 15,6", Win 7 Home Premium), kannettava tietokone
-
-238 e
-
-238 e
-
-211 e
Kommentit (4)
Olen samaa mieltä, Tarmo.
Tätä juttua ei ole alun perin kirjoitettu sähköiseen mediaan. Juttu on julkaistu tämän päivän ITviikko-lehdessä, siinä paperiversiossa, ja sieltä se on lainattu tänne. Jostakin syystä se, joka on jutun tänne siirtänyt, on päättänyt poistaa alkuperäisessä jutussani olleen ingressin ja nostaa tilalle yhden jutun kappaleista. Syytä tähän en tiedä.
Lisäsin juttuun sen oikean ingressin.
Maininta tuosta julkaisusta ITviikossa on jutun alla.