Lue uutinen mobiilisivustolla

Bugi - ja miten se debuggataan

- Suurimmassa osassa haittaohjelmista on nykyään jonkinnäköistä "antikoodia", jolla pyritään tunnistamaan debuggerit sekä analysointiohjelmistot, kertoo Toni Koivunen Viestintäviraston CERT-FI-yksiköstä.
Kuva: Mikko Stig/Lehtikuva

4.10.2007 09:13 Entistä useampi haittaohjelma käyttää jonkinlaisia menetelmiä, joilla tunnistaa virustutkijoiden debuggerit ja monitorointiohjelmat.

Bugi on ohjelmassa oleva virhe, jonka takia ohjelma ei toimi toivotulla tavalla. Virheiden etsiminen ja poistaminen on debuggausta, ohjelman tarkkaa seurantaa, joka auttaa näkemään, toimiiko ohjelma niin kuin pitääkin.

Pääasiallisesti debuggausta käytetään vieläkin ohjelmistojen virheiden etsimiseen, mutta se käy myös haittaohjelmien tutkimiseen.

Miksei tehdä alun perin bugittomia ohjelmia, järjestelmiä ja palveluja?

- Debuggausta tarvitaan, koska erehtyminen on inhimillistä. Ihmiset eivät pysty luomaan luotettavasti bugittomia ohjelmistoja. Tästä syystä debuggauksen tarve ei koskaan katoa, sanoo tietoturva-asiantuntija Toni Koivunen Viestintäviraston CERT-FI-yksiköstä.

Debuggerien tunnistamisominaisuus tekee haittaohjelmista entistä tehokkaampia. Haittaohjelmat pysyvät jossain tapauksissa hieman kauemmin pimennossa tunnisteiden suhteen, jos ne onnistuvat hyvin tunnistamaan debuggerin tai jonkin muun analysoinnissa yleisesti käytetyn ohjelmiston.

- Suurimmassa osassa haittaohjelmista on nykyään jonkinnäköistä "antikoodia", jolla pyritään tunnistamaan mahdolliset virtuaalikoneet, debuggerit sekä analysointi- tai sandbox-ohjelmistot. Myös haittaohjelmien pakkaamiseen ja suojaamiseen käytetyissä ohjelmissa on entistä enemmän tällaista koodia.

Debuggaus tehdään yleensä tarkoitukseen tehdyllä ohjelmistolla, joita on saatavilla ilmaiseksi. Monitorointiohjelma-termillä tarkoitetaan haittaohjelmatutkimuksessa yleisimmin käytettyjä ohjelmistotyökaluja.

Haittaohjelmien tekijät pyrkivät estämään debuggereiden käytön virustutkimuksessa, koska debuggerin avulla haittaohjelman koodia voidaan suorittaa hallitusti ja samalla tarkastella, miten se toimii. Tämä taas johtaa haittaohjelman nopeampaan tunnistumiseen ja torjuntakeinojen leviämiseen, ja sitä virusmaakarit eivät halua.

Debuggereiden tunnistamiseen haittaohjelmien tekijöillä on Koivusen mukaan kymmeniä erilaisia tapoja. Osa tunnistustavoista liittyy debuggerin aiheuttamaan koodin suorituksen hidastumiseen, osa taas siihen, millä tavoin aktiivisena oleva debuggeri käyttäytyy ja miten se muuttaa haittaohjelman muistiympäristöä.

Haittaohjelmien toimintaa tutkivan työtä voidaan hankaloittaa monin tavoin. Yleisimmin haittaohjelma, joka tunnistaa debuggerin, tyytyy vain sammuttamaan itsensä.

Tutkijan kannalta on kuitenkin hankalampaa, jos haittaohjelma muokkaa käytöstään sen sijaan, että se vain tyytyisi sammuttamaan itsensä. Jos haittaohjelma muokkaa käyttäytymistään riittävän hienovaraisesti, voi tutkijalta jäädä huomaamatta tärkeä osa sen toiminnasta.

Tutkijan työtä hankaloittavia menetelmiä voidaan kiertää. Parhaiten se onnistuu tunnistamalla ennalta haittaohjelmasta ne koodinpätkät, jotka etsivät debuggereita.

- Kun koodin sijainti on selvillä, sen muokkaaminen tai ohittaminen on hyvin nopeaa ja yksinkertaista, Koivunen sanoo.

ITviikko 4.10.2007

Antti Kirves toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (4)

0

0

Bugi on ohjelmassa oleva virhe, jonka takia ohjelma ei toimi toivotulla tavalla. Virheiden etsiminen ja poistaminen on debuggausta, ohjelman tarkkaa seurantaa, joka auttaa näkemään, toimiiko ohjelma niin kuin pitääkin.

Digitoday

Lainaa Ilmoita asiaton viesti

# 4.10.2007 13:13

1

0

Oliko uutinen nyt yleistä kansansivistämistä bugeista ja debuggereista, vai käsittelikö uutinen haittaohjelmien uusia ominaisuuksia, joilla ne vaikeuttavat tietoturvayhtiöiden työtä? Jotenkin jälkimmäinen tuntui järkevämmältä, mutta eipä otsikko tahi ingressi viitannut siihen mitenkään. Toimittajan luulisi tietävän, että otsikko ja inkku ovat ne tärkeimmät elementit (kuvien jälkeen) uutisessa (rss-feedissä ehkä kuvan arvo laskee) ja ne pitäisi tehdä huolella.

Tarmo Toikkanen

Lainaa Ilmoita asiaton viesti

# 4.10.2007 13:13

1

0

Allekirjoitan edellisen kommentin, aikas harhaanjohtava otsikointi. Mutta ei ollut eka kerta digitodayssa. Monta kertaa olen huomannut, että otsikko johtaa ihan väärille raiteille ja vasta tekstistä huomaa mihin juttu liittyy. Tulee monesti turhaan alettua lukemaan juttua, jonka olisi voinut sivuuttaa pelkän otsikon perusteella kiinnostamattomana.

Jopu

Lainaa Ilmoita asiaton viesti

# 4.10.2007 15:59

1

0

Oliko uutinen nyt yleistä kansansivistämistä bugeista ja debuggereista, vai käsittelikö uutinen haittaohjelmien uusia ominaisuuksia, joilla ne vaikeuttavat tietoturvayhtiöiden työtä? Jotenkin jälkimmäinen tuntui järkevämmältä, mutta eipä otsikko tahi ingressi viitannut siihen mitenkään. Toimittajan luulisi tietävän, että otsikko ja inkku ovat ne tärkeimmät elementit (kuvien jälkeen) uutisessa (rss-feedissä ehkä kuvan arvo laskee) ja ne pitäisi tehdä huolella.

Olen samaa mieltä, Tarmo.

Tätä juttua ei ole alun perin kirjoitettu sähköiseen mediaan. Juttu on julkaistu tämän päivän ITviikko-lehdessä, siinä paperiversiossa, ja sieltä se on lainattu tänne. Jostakin syystä se, joka on jutun tänne siirtänyt, on päättänyt poistaa alkuperäisessä jutussani olleen ingressin ja nostaa tilalle yhden jutun kappaleista. Syytä tähän en tiedä.

Lisäsin juttuun sen oikean ingressin.

Maininta tuosta julkaisusta ITviikossa on jutun alla.

Antti Kirves

Lainaa Ilmoita asiaton viesti

# 4.10.2007 16:47

Sivut: 1 Edellinen Seuraava

Teemu Selänne rikkoi 600 maalin rajan!
Toinen uhri oli täpärällä Sastamalassa
Obaman historiallinen terveydenhuoltouudistus läpi
Nelosen uutisankkuri Mikko Hirvonen kummissa kulisseissa
Suomalaismies putosi virolaishotellin 19. kerroksesta

SÄÄRESEPTITAUTOTVANCOUVERPERHETV