របៀបប្រើ YARA សម្រាប់ការរកឃើញមេរោគកម្រិតខ្ពស់

YARA អនុញ្ញាតឱ្យពិពណ៌នាអំពីគ្រួសារមេរោគដោយប្រើច្បាប់ដែលអាចបត់បែនបានដោយផ្អែកលើខ្សែអក្សរ លំនាំគោលពីរ និងលក្ខណៈសម្បត្តិឯកសារ។
ច្បាប់ដែលបានរចនាយ៉ាងល្អអាចរកឃើញអ្វីគ្រប់យ៉ាងពី ransomware និង APTs ដល់ webshells និងការកេងប្រវ័ញ្ចគ្មានថ្ងៃនៅទូទាំងបរិស្ថានជាច្រើន។
ការរួមបញ្ចូល YARA ចូលទៅក្នុងការបម្រុងទុក លំហូរការងារធ្វើកោសល្យវិច្ច័យ និងឧបករណ៍សាជីវកម្មពង្រឹងការការពារលើសពីកម្មវិធីកំចាត់មេរោគប្រពៃណី។
សហគមន៍ និងឃ្លាំងគ្រប់គ្រង YARA ធ្វើឱ្យវាងាយស្រួលក្នុងការចែករំលែកព័ត៌មានឆ្លាតវៃ និងបន្តកែលម្អការរកឃើញ។

¿តើធ្វើដូចម្តេចដើម្បីប្រើ YARA សម្រាប់ការរកឃើញមេរោគកម្រិតខ្ពស់? នៅពេលដែលកម្មវិធីកំចាត់មេរោគតាមបែបប្រពៃណីឈានដល់ដែនកំណត់របស់ពួកគេ ហើយអ្នកវាយប្រហារបានឆ្លងកាត់រាល់ការបង្ក្រាបដែលអាចកើតមាន ឧបករណ៍ដែលបានក្លាយទៅជាមិនអាចខ្វះបាននៅក្នុងមន្ទីរពិសោធន៍ឆ្លើយតបឧបទ្ទវហេតុចូលមកលេង៖ YARA ជា "កាំបិតស្វីស" សម្រាប់ប្រមាញ់មេរោគរចនាឡើងដើម្បីពិពណ៌នាអំពីក្រុមគ្រួសារនៃកម្មវិធីព្យាបាទដោយប្រើលំនាំអត្ថបទ និងប្រព័ន្ធគោលពីរ វាអនុញ្ញាតឱ្យលើសពីការផ្គូផ្គង hash សាមញ្ញ។

នៅក្នុងដៃស្តាំ YARA មិនត្រឹមតែសម្រាប់កំណត់ទីតាំងប៉ុណ្ណោះទេ មិនត្រឹមតែគំរូមេរោគដែលគេស្គាល់ប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានវ៉ារ្យ៉ង់ថ្មី ការកេងប្រវ័ញ្ចសូន្យថ្ងៃ និងសូម្បីតែឧបករណ៍វាយលុកពាណិជ្ជកម្មនៅក្នុងអត្ថបទនេះ យើងនឹងស្វែងយល់យ៉ាងស៊ីជម្រៅ និងអនុវត្តពីរបៀបប្រើប្រាស់ YARA សម្រាប់ការរកឃើញមេរោគកម្រិតខ្ពស់ របៀបសរសេរច្បាប់ដ៏រឹងមាំ របៀបសាកល្បងពួកវា របៀបបញ្ចូលពួកវាទៅក្នុងវេទិកាដូចជា Veeam ឬលំហូរការងារការវិភាគផ្ទាល់ខ្លួនរបស់អ្នក និងអ្វីដែលជាការអនុវត្តល្អបំផុតដែលសហគមន៍វិជ្ជាជីវៈអនុវត្តតាម។

តើ YARA ជាអ្វី ហើយហេតុអ្វីបានជាវាមានឥទ្ធិពលខ្លាំងក្នុងការស្វែងរកមេរោគ?

YARA តំណាងឱ្យ "Yet Another Recursive Acronym" ហើយបានក្លាយជាស្តង់ដារជាក់ស្តែងក្នុងការវិភាគការគំរាមកំហែងដោយសារតែ វាអនុញ្ញាតឱ្យពិពណ៌នាអំពីគ្រួសារមេរោគដោយប្រើច្បាប់ដែលអាចអានបាន ច្បាស់លាស់ និងអាចបត់បែនបានខ្ពស់។ជំនួសឱ្យការពឹងផ្អែកតែលើហត្ថលេខាកំចាត់មេរោគឋិតិវន្ត YARA ធ្វើការជាមួយលំនាំដែលអ្នកកំណត់ខ្លួនអ្នក។

គំនិតជាមូលដ្ឋានគឺសាមញ្ញ៖ ច្បាប់ YARA ពិនិត្យឯកសារ (ឬអង្គចងចាំ ឬស្ទ្រីមទិន្នន័យ) ហើយពិនិត្យមើលថាតើលក្ខខណ្ឌមួយចំនួនត្រូវបានបំពេញ។ លក្ខខណ្ឌផ្អែកលើខ្សែអក្សរ លំដាប់គោលដប់ប្រាំមួយ កន្សោមធម្មតា ឬលក្ខណៈសម្បត្តិឯកសារប្រសិនបើលក្ខខណ្ឌត្រូវបានបំពេញ នោះមាន "ការផ្គូផ្គង" ហើយអ្នកអាចដាស់តឿន ទប់ស្កាត់ ឬធ្វើការវិភាគស៊ីជម្រៅបន្ថែមទៀត។

វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យក្រុមសន្តិសុខ កំណត់អត្តសញ្ញាណ និងចាត់ថ្នាក់មេរោគគ្រប់ប្រភេទ៖ មេរោគបុរាណ, ដង្កូវ, Trojans, ransomware, webshells, cryptominers, ម៉ាក្រូព្យាបាទ និងច្រើនទៀតវាមិនត្រូវបានកំណត់ចំពោះផ្នែកបន្ថែមឯកសារ ឬទម្រង់ជាក់លាក់នោះទេ ដូច្នេះវាក៏រកឃើញការប្រតិបត្តិដែលអាចក្លែងបន្លំបានជាមួយនឹងផ្នែកបន្ថែម .pdf ឬឯកសារ HTML ដែលមាន webshell មួយ។

លើសពីនេះ YARA ត្រូវបានបញ្ចូលទៅក្នុងសេវាកម្ម និងឧបករណ៍សំខាន់ៗជាច្រើននៃប្រព័ន្ធអេកូសុវត្ថិភាពតាមអ៊ីនធឺណិត៖ VirusTotal, ប្រអប់ខ្សាច់ដូចជា Cuckoo, វេទិកាបម្រុងទុកដូចជា Veeam ឬដំណោះស្រាយការបរបាញ់គំរាមកំហែងពីក្រុមហ៊ុនផលិតលំដាប់កំពូលដូច្នេះ ការស្ទាត់ជំនាញ YARA ស្ទើរតែក្លាយជាតម្រូវការសម្រាប់អ្នកវិភាគ និងអ្នកស្រាវជ្រាវកម្រិតខ្ពស់។

ករណីប្រើប្រាស់កម្រិតខ្ពស់របស់ YARA ក្នុងការរកឃើញមេរោគ

ចំណុចខ្លាំងមួយរបស់ YARA គឺថាវាសម្របខ្លួនដូចជាស្រោមដៃទៅនឹងសេណារីយ៉ូសុវត្ថិភាពជាច្រើន ចាប់ពី SOC ទៅមន្ទីរពិសោធន៍មេរោគ។ ច្បាប់ដូចគ្នាអនុវត្តចំពោះទាំងការបរបាញ់តែម្តង និងការតាមដានជាបន្ត។.

ករណីផ្ទាល់បំផុតទាក់ទងនឹងការបង្កើត ច្បាប់ជាក់លាក់សម្រាប់មេរោគជាក់លាក់ ឬក្រុមគ្រួសារទាំងមូលប្រសិនបើស្ថាប័នរបស់អ្នកកំពុងត្រូវបានវាយប្រហារដោយយុទ្ធនាការដោយផ្អែកលើគ្រួសារដែលគេស្គាល់ (ឧទាហរណ៍ trojan ចូលប្រើពីចម្ងាយ ឬការគំរាមកំហែង APT) អ្នកអាចបង្ហាញខ្សែអក្សរ និងលំនាំលក្ខណៈ និងបង្កើតច្បាប់ដែលកំណត់អត្តសញ្ញាណគំរូដែលពាក់ព័ន្ធថ្មីៗបានយ៉ាងឆាប់រហ័ស។

ការប្រើប្រាស់បុរាណមួយទៀតគឺការផ្តោតអារម្មណ៍ YARA ផ្អែកលើហត្ថលេខាច្បាប់ទាំងនេះត្រូវបានរចនាឡើងដើម្បីកំណត់ទីតាំងហាស ខ្សែអក្សរជាក់លាក់ខ្លាំង អត្ថបទខ្លីៗនៃកូដ សោបញ្ជីឈ្មោះ ឬសូម្បីតែលំដាប់បៃជាក់លាក់ដែលត្រូវបានធ្វើម្តងទៀតនៅក្នុងវ៉ារ្យ៉ង់ជាច្រើននៃមេរោគដូចគ្នា។ ទោះជាយ៉ាងណាក៏ដោយ សូមចងចាំថា ប្រសិនបើអ្នកស្វែងរកតែខ្សែអក្សរតូចតាច នោះអ្នកនឹងប្រថុយនឹងបង្កើតភាពវិជ្ជមានមិនពិត។

YARA ក៏ភ្លឺនៅពេលដែលវាមកដល់តម្រងដោយ ប្រភេទឯកសារ ឬលក្ខណៈរចនាសម្ព័ន្ធវាអាចធ្វើទៅបានដើម្បីបង្កើតច្បាប់ដែលអនុវត្តចំពោះកម្មវិធី PE ដែលអាចប្រតិបត្តិបាន ឯកសារការិយាល័យ PDF ឬស្ទើរតែគ្រប់ទម្រង់ ដោយរួមបញ្ចូលគ្នានូវខ្សែអក្សរជាមួយនឹងលក្ខណៈសម្បត្តិដូចជាទំហំឯកសារ បឋមកថាជាក់លាក់ (ឧទាហរណ៍ 0x5A4D សម្រាប់ការប្រតិបត្តិ PE) ឬការនាំចូលមុខងារគួរឱ្យសង្ស័យ។

នៅក្នុងបរិយាកាសទំនើប ការប្រើប្រាស់របស់វាភ្ជាប់ទៅនឹង ស៊ើបការណ៍គំរាមកំហែងឃ្លាំងសាធារណៈ របាយការណ៍ស្រាវជ្រាវ និងព័ត៌មាន IOC ត្រូវបានបកប្រែទៅជាច្បាប់ YARA ដែលត្រូវបានដាក់បញ្ចូលទៅក្នុង SIEM, EDR, វេទិកាបម្រុងទុក ឬប្រអប់ខ្សាច់។ នេះអនុញ្ញាតឱ្យអង្គការ រកឃើញការគំរាមកំហែងដែលកំពុងកើតឡើងយ៉ាងឆាប់រហ័ស ដែលចែករំលែកលក្ខណៈជាមួយយុទ្ធនាការដែលបានវិភាគរួចហើយ.

ការយល់ដឹងអំពីវាក្យសម្ព័ន្ធនៃច្បាប់ YARA

វាក្យសម្ព័ន្ធរបស់ YARA គឺស្រដៀងទៅនឹង C ប៉ុន្តែតាមរបៀបសាមញ្ញ និងផ្តោតខ្លាំងជាង។ ច្បាប់នីមួយៗមានឈ្មោះ ផ្នែកទិន្នន័យមេតាស្រេចចិត្ត ផ្នែកខ្សែអក្សរ និងផ្នែកលក្ខខណ្ឌចាំបាច់។ចាប់ពីនេះតទៅ ថាមពលស្ថិតនៅលើរបៀបដែលអ្នកបញ្ចូលគ្នានូវអ្វីៗទាំងអស់នោះ។

ទីមួយគឺក ឈ្មោះក្បួនវាត្រូវតែទៅភ្លាមៗបន្ទាប់ពីពាក្យគន្លឹះ ច្បាប់ (o ច្បាប់ ប្រសិនបើអ្នកចងក្រងឯកសារជាភាសាអេស្ប៉ាញ ទោះបីពាក្យគន្លឹះក្នុងឯកសារនឹងមាន ច្បាប់ហើយត្រូវតែជាឧបករណ៍កំណត់អត្តសញ្ញាណត្រឹមត្រូវ៖ គ្មានដកឃ្លា គ្មានលេខ និងគ្មានសញ្ញាគូសក្រោម។ វាជាគំនិតល្អក្នុងការធ្វើតាមអនុសញ្ញាច្បាស់លាស់ ឧទាហរណ៍អ្វីមួយដូចជា Malware_Family_Variant o APT_Actor_Toolដែលអនុញ្ញាតឱ្យអ្នកកំណត់អត្តសញ្ញាណភ្លាមៗនូវអ្វីដែលវាមានបំណងស្វែងរក។

មាតិកាផ្តាច់មុខ - ចុចទីនេះ តើ Kaspersky Internet Security for Mac គ្រប់គ្រងដោយរបៀបណា?

បន្ទាប់មកផ្នែក ខ្សែអក្សរកន្លែងដែលអ្នកកំណត់លំនាំដែលអ្នកចង់ស្វែងរក។ នៅទីនេះអ្នកអាចប្រើបីប្រភេទសំខាន់ៗ៖ ខ្សែអក្សរ លំដាប់គោលដប់ប្រាំមួយ និងកន្សោមធម្មតា។ខ្សែអក្សរគឺល្អសម្រាប់អត្ថបទកូដដែលមនុស្សអាចអានបាន URLs សារខាងក្នុង ឈ្មោះផ្លូវ ឬ PDBs ។ គោលដប់ប្រាំមួយ អនុញ្ញាតឱ្យអ្នកចាប់យកលំនាំបៃបៃឆៅ ដែលមានប្រយោជន៍ខ្លាំងណាស់នៅពេលដែលកូដត្រូវបានបំភាន់ ប៉ុន្តែរក្សានូវលំដាប់ថេរមួយចំនួន។

កន្សោមធម្មតាផ្តល់នូវភាពបត់បែននៅពេលដែលអ្នកត្រូវការគ្របដណ្តប់ការប្រែប្រួលតូចៗនៅក្នុងខ្សែអក្សរ ដូចជាការផ្លាស់ប្តូរដែន ឬផ្នែកដែលបានផ្លាស់ប្តូរបន្តិចនៃកូដ។ លើសពីនេះ ទាំងខ្សែអក្សរ និង regex អនុញ្ញាតឱ្យគេចចេញតំណាងឱ្យបៃតាមអំពើចិត្តដែលបើកទ្វារទៅរកគំរូកូនកាត់យ៉ាងច្បាស់លាស់។

ផ្នែក ស្ថានភាព វាគឺជាកាតព្វកិច្ចតែមួយគត់ ហើយកំណត់នៅពេលដែលច្បាប់មួយត្រូវបានចាត់ទុកថា "ផ្គូផ្គង" ឯកសារ។ នៅទីនោះ អ្នកអាចប្រើប្រតិបត្តិការប៊ូលីន និងនព្វន្ធ (និង, ឬ, មិន, +, -, *, /, ណាមួយ, ទាំងអស់, មាន។ល។) ដើម្បីបង្ហាញតក្កវិជ្ជារកឃើញល្អជាងសាមញ្ញ "ប្រសិនបើខ្សែនេះលេចឡើង" ។

ជាឧទាហរណ៍ អ្នកអាចបញ្ជាក់បានថាច្បាប់មានសុពលភាពលុះត្រាតែឯកសារមានទំហំតូចជាងទំហំជាក់លាក់មួយ ប្រសិនបើខ្សែអក្សរសំខាន់ៗទាំងអស់លេចឡើង ឬយ៉ាងហោចណាស់មានខ្សែអក្សរមួយក្នុងចំណោមខ្សែអក្សរមួយចំនួន។ អ្នកក៏អាចផ្សំលក្ខខណ្ឌដូចជា ប្រវែងខ្សែអក្សរ ចំនួននៃការផ្គូផ្គង អុហ្វសិតជាក់លាក់នៅក្នុងឯកសារ ឬទំហំនៃឯកសារខ្លួនឯង។ការច្នៃប្រឌិតនៅទីនេះធ្វើឱ្យមានភាពខុសគ្នារវាងច្បាប់ទូទៅ និងការរកឃើញដោយការវះកាត់។

ចុងក្រោយ អ្នកមានផ្នែកស្រេចចិត្ត មេតាសមស្របសម្រាប់ការកត់ត្រារយៈពេល។ វាជារឿងធម្មតាក្នុងការរួមបញ្ចូល អ្នកនិពន្ធ កាលបរិច្ឆេទបង្កើត ការពិពណ៌នា កំណែខាងក្នុង យោងទៅរបាយការណ៍ ឬសំបុត្រ ហើយជាទូទៅ ព័ត៌មានណាដែលជួយរក្សាឃ្លាំងរៀបចំ និងអាចយល់បានសម្រាប់អ្នកវិភាគផ្សេងទៀត។

ឧទាហរណ៍ជាក់ស្តែងនៃច្បាប់ YARA កម្រិតខ្ពស់

ដើម្បីដាក់ទស្សនៈទាំងអស់ខាងលើ វាជាការមានប្រយោជន៍ក្នុងការមើលពីរបៀបដែលច្បាប់សាមញ្ញត្រូវបានរៀបចំឡើង និងរបៀបដែលវាកាន់តែស្មុគស្មាញនៅពេលដែលឯកសារដែលអាចប្រតិបត្តិបាន ការនាំចូលគួរឱ្យសង្ស័យ ឬលំដាប់នៃការណែនាំដដែលៗចូលមកលេង។ ចូរចាប់ផ្តើមជាមួយនឹងបន្ទាត់ប្រដាប់ក្មេងលេង ហើយបង្កើនទំហំបន្តិចម្តងៗ។.

ច្បាប់តិចតួចបំផុតអាចមានត្រឹមតែខ្សែអក្សរ និងលក្ខខណ្ឌដែលធ្វើឱ្យវាចាំបាច់។ ឧទាហរណ៍ អ្នកអាចស្វែងរកខ្សែអក្សរជាក់លាក់ ឬលំដាប់បៃតំណាងនៃបំណែកមេរោគ។ ក្នុងករណីនោះ លក្ខខណ្ឌនឹងបញ្ជាក់យ៉ាងសាមញ្ញថា ច្បាប់ត្រូវបានបំពេញ ប្រសិនបើខ្សែអក្សរ ឬលំនាំនោះលេចឡើង។ដោយគ្មានតម្រងបន្ថែម។

ទោះយ៉ាងណាក៏ដោយ នៅក្នុងការកំណត់ពិភពលោកពិត នេះគឺខ្លីណាស់ ដោយសារតែ ខ្សែសង្វាក់សាមញ្ញតែងតែបង្កើតផលវិជ្ជមានមិនពិតជាច្រើន។នោះហើយជាមូលហេតុដែលវាជារឿងធម្មតាក្នុងការបញ្ចូលគ្នានូវខ្សែអក្សរជាច្រើន (អត្ថបទ និងគោលដប់ប្រាំមួយ) ជាមួយនឹងការរឹតបន្តឹងបន្ថែម៖ ឯកសារមិនលើសពីទំហំជាក់លាក់ ដែលវាមានបឋមកថាជាក់លាក់ ឬថាវាត្រូវបានធ្វើឱ្យសកម្មតែប្រសិនបើយ៉ាងហោចណាស់ខ្សែអក្សរមួយពីក្រុមដែលបានកំណត់នីមួយៗត្រូវបានរកឃើញ។

ឧទាហរណ៍ធម្មតានៅក្នុងការវិភាគដែលអាចប្រតិបត្តិបាន PE ពាក់ព័ន្ធនឹងការនាំចូលម៉ូឌុល pe ពី YARA ដែលអនុញ្ញាតឱ្យអ្នកសួរលក្ខណៈសម្បត្តិខាងក្នុងរបស់ប្រព័ន្ធគោលពីរ៖ មុខងារដែលបាននាំចូល ផ្នែក ត្រាពេលវេលា។ល។ ច្បាប់កម្រិតខ្ពស់អាចតម្រូវឱ្យឯកសារនាំចូល ដំណើរការបង្កើត ពី Kernel32.dll និងមុខងារ HTTP មួយចំនួនពី wininet.dllបន្ថែមពីលើការមានខ្សែអក្សរជាក់លាក់ដែលបង្ហាញពីអាកប្បកិរិយាព្យាបាទ។

ប្រភេទនៃតក្កវិជ្ជានេះគឺល្អឥតខ្ចោះសម្រាប់កំណត់ទីតាំង Trojans ដែលមានការតភ្ជាប់ពីចម្ងាយ ឬសមត្ថភាពបណ្តេញចេញទោះបីជាឈ្មោះឯកសារ ឬផ្លូវផ្លាស់ប្តូរពីយុទ្ធនាការមួយទៅយុទ្ធនាការមួយទៀតក៏ដោយ។ រឿងសំខាន់គឺផ្តោតលើឥរិយាបថមូលដ្ឋាន៖ ការបង្កើតដំណើរការ សំណើ HTTP ការអ៊ិនគ្រីប ការបន្ត។ល។

បច្ចេកទេសដ៏មានប្រសិទ្ធភាពមួយទៀតគឺការមើល លំដាប់នៃការណែនាំដែលធ្វើម្តងទៀត រវាងគំរូពីគ្រួសារតែមួយ។ ទោះបីជាអ្នកវាយប្រហារខ្ចប់ ឬធ្វើឱ្យខូចប្រព័ន្ធគោលពីរក៏ដោយ ពួកគេតែងតែប្រើឡើងវិញនូវផ្នែកនៃកូដដែលពិបាកនឹងផ្លាស់ប្តូរ។ ប្រសិនបើបន្ទាប់ពីការវិភាគឋិតិវន្ត អ្នករកឃើញបណ្តុំនៃការណែនាំថេរ អ្នកអាចបង្កើតច្បាប់ជាមួយ អក្សរជំនួសនៅក្នុងខ្សែអក្សរគោលដប់ប្រាំមួយ។ ដែលចាប់យកគំរូនោះ ខណៈពេលដែលរក្សាការអត់ធ្មត់ជាក់លាក់។

ជាមួយនឹងច្បាប់ "ផ្អែកលើឥរិយាបថកូដ" ទាំងនេះវាអាចទៅរួច តាមដានយុទ្ធនាការមេរោគទាំងមូលដូចជា PlugX/Korplug ឬគ្រួសារ APT ផ្សេងទៀត។អ្នកមិនត្រឹមតែរកឃើញ hash ជាក់លាក់មួយប៉ុណ្ណោះទេ ប៉ុន្តែអ្នកធ្វើតាមទម្រង់នៃការអភិវឌ្ឍន៍ ដូច្នេះដើម្បីនិយាយអំពីអ្នកវាយប្រហារ។

ការប្រើប្រាស់ YARA ក្នុងយុទ្ធនាការពិតប្រាកដ និងការគំរាមកំហែងសូន្យថ្ងៃ

YARA បានបង្ហាញពីតម្លៃរបស់វា ជាពិសេសនៅក្នុងវិស័យនៃការគំរាមកំហែងកម្រិតខ្ពស់ និងការកេងប្រវ័ញ្ចគ្មានថ្ងៃ ដែលយន្តការការពារបុរាណមកដល់យឺតពេល។ ឧទាហរណ៍ដ៏ល្បីមួយគឺការប្រើប្រាស់ YARA ដើម្បីកំណត់ទីតាំងការកេងប្រវ័ញ្ចនៅក្នុង Silverlight ពីការលេចធ្លាយព័ត៌មានសម្ងាត់តិចតួចបំផុត។.

ក្នុងករណីនោះ ពីអ៊ីមែលដែលត្រូវបានលួចពីក្រុមហ៊ុនដែលឧទ្ទិសដល់ការអភិវឌ្ឍន៍ឧបករណ៍វាយលុក គំរូគ្រប់គ្រាន់ត្រូវបានកាត់ចេញដើម្បីបង្កើតច្បាប់តម្រង់ទៅរកការកេងប្រវ័ញ្ចជាក់លាក់មួយ។ ជាមួយនឹងច្បាប់តែមួយនោះ អ្នកស្រាវជ្រាវអាចតាមដានគំរូតាមរយៈសមុទ្រនៃឯកសារគួរឱ្យសង្ស័យ។កំណត់អត្តសញ្ញាណការកេងប្រវ័ញ្ច និងបង្ខំការបំណះរបស់វា ការពារការខូចខាតធ្ងន់ធ្ងរជាងនេះ។

ប្រភេទនៃរឿងទាំងនេះបង្ហាញពីរបៀបដែល YARA អាចដំណើរការជា សំណាញ់នេសាទនៅក្នុងសមុទ្រឯកសារស្រមៃមើលបណ្តាញសាជីវកម្មរបស់អ្នកជាមហាសមុទ្រដែលពោរពេញទៅដោយ "ត្រី" (ឯកសារ) គ្រប់ប្រភេទ។ ច្បាប់របស់អ្នកគឺដូចជាបន្ទប់នៅក្នុងសំណាញ់អួន៖ បន្ទប់នីមួយៗរក្សាត្រីដែលសមនឹងលក្ខណៈជាក់លាក់។

មាតិកាផ្តាច់មុខ - ចុចទីនេះ តើ KeePass ត្រូវបានប្រើប្រាស់យ៉ាងមានប្រសិទ្ធភាពយ៉ាងដូចម្តេច?

នៅពេលអ្នកបញ្ចប់ការអូស អ្នកមាន គំរូដែលដាក់ជាក្រុមដោយភាពស្រដៀងគ្នាទៅនឹងគ្រួសារជាក់លាក់ ឬក្រុមអ្នកវាយប្រហារ៖ “ស្រដៀងទៅនឹង Species X” “ស្រដៀងទៅនឹង Species Y” ជាដើម។ គំរូទាំងនេះខ្លះអាចថ្មីស្រឡាងសម្រាប់អ្នក (ប្រព័ន្ធគោលពីរថ្មី យុទ្ធនាការថ្មី) ប៉ុន្តែពួកវាសមនឹងលំនាំដែលគេស្គាល់ ដែលបង្កើនល្បឿនការចាត់ថ្នាក់ និងការឆ្លើយតបរបស់អ្នក។

ដើម្បីទទួលបានអត្ថប្រយោជន៍ច្រើនបំផុតពី YARA នៅក្នុងបរិបទនេះ អង្គការជាច្រើនរួមបញ្ចូលគ្នា ការបណ្តុះបណ្តាលកម្រិតខ្ពស់ មន្ទីរពិសោធន៍ជាក់ស្តែង និងបរិយាកាសពិសោធន៍ដែលបានគ្រប់គ្រងមានវគ្គសិក្សាឯកទេសខ្ពស់ដែលឧទ្ទិសទាំងស្រុងចំពោះសិល្បៈនៃការសរសេរច្បាប់ល្អ ដែលជារឿយៗផ្អែកលើករណីពិតនៃចារកម្មតាមអ៊ីនធឺណិត ដែលសិស្សអនុវត្តជាមួយគំរូពិតប្រាកដ និងរៀនស្វែងរក "អ្វីមួយ" ទោះបីជាពួកគេមិនដឹងច្បាស់ថាពួកគេកំពុងស្វែងរកអ្វីក៏ដោយ។

រួមបញ្ចូល YARA ទៅក្នុងវេទិកាបម្រុងទុក និងស្តារឡើងវិញ

តំបន់មួយដែល YARA ស័ក្តិសមឥតខ្ចោះ ហើយដែលជារឿយៗមិនមាននរណាកត់សម្គាល់នោះ គឺការការពារការបម្រុងទុក។ ប្រសិនបើការបម្រុងទុកត្រូវបានឆ្លងមេរោគ ឬមេរោគ ransomware ការស្តារអាចចាប់ផ្តើមយុទ្ធនាការទាំងមូលឡើងវិញ។នោះហើយជាមូលហេតុដែលក្រុមហ៊ុនផលិតមួយចំនួនបានបញ្ចូលម៉ាស៊ីន YARA ដោយផ្ទាល់ទៅក្នុងដំណោះស្រាយរបស់ពួកគេ។

វេទិកាបម្រុងទុកជំនាន់ក្រោយអាចត្រូវបានបើកដំណើរការ វគ្គការវិភាគផ្អែកលើច្បាប់ YARA លើចំណុចស្ដារគោលដៅគឺពីរដង៖ ដើម្បីកំណត់ទីតាំង "ស្អាត" ចុងក្រោយមុនពេលឧប្បត្តិហេតុមួយ និងដើម្បីស្វែងរកខ្លឹមសារព្យាបាទដែលលាក់នៅក្នុងឯកសារដែលប្រហែលជាមិនត្រូវបានបង្កឡើងដោយការត្រួតពិនិត្យផ្សេងទៀត។

នៅក្នុងបរិយាកាសទាំងនេះ ដំណើរការធម្មតាពាក់ព័ន្ធនឹងការជ្រើសរើសជម្រើសនៃ "ស្កែនចំណុចស្ដារដោយប្រើបន្ទាត់ YARA"កំឡុងពេលកំណត់រចនាសម្ព័ន្ធការងារវិភាគ។ បន្ទាប់មក ផ្លូវទៅកាន់ឯកសារច្បាប់ត្រូវបានបញ្ជាក់ (ជាធម្មតាមានផ្នែកបន្ថែម .yara ឬ .yar) ដែលជាធម្មតាត្រូវបានរក្សាទុកក្នុងថតកំណត់រចនាសម្ព័ន្ធជាក់លាក់ចំពោះដំណោះស្រាយបម្រុងទុក។"

កំឡុងពេលប្រតិបត្តិ ម៉ាស៊ីនធ្វើម្តងទៀតតាមរយៈវត្ថុដែលមាននៅក្នុងច្បាប់ចម្លង អនុវត្តច្បាប់ និង វាកត់ត្រាការប្រកួតទាំងអស់នៅក្នុងកំណត់ហេតុវិភាគ YARA ជាក់លាក់មួយ។អ្នកគ្រប់គ្រងអាចមើលកំណត់ហេតុទាំងនេះពីកុងសូល ពិនិត្យស្ថិតិ មើលថាតើឯកសារណាដែលបង្កឱ្យមានការជូនដំណឹង ហើយថែមទាំងតាមដានថាតើម៉ាស៊ីន និងកាលបរិច្ឆេទជាក់លាក់ណាមួយដែលត្រូវគ្នានឹងការប្រកួតនីមួយៗ។

សមាហរណកម្មនេះត្រូវបានបំពេញដោយយន្តការផ្សេងទៀតដូចជា ការរកឃើញភាពខុសប្រក្រតី ការត្រួតពិនិត្យទំហំបម្រុងទុក ការស្វែងរក IOCs ជាក់លាក់ ឬការវិភាគឧបករណ៍គួរឱ្យសង្ស័យប៉ុន្តែនៅពេលនិយាយអំពីច្បាប់ដែលស្របតាមគ្រួសារ ransomware ឬយុទ្ធនាការជាក់លាក់មួយ YARA គឺជាឧបករណ៍ដ៏ល្អបំផុតសម្រាប់កែលម្អការស្វែងរកនោះ។

របៀបសាកល្បង និងធ្វើឱ្យច្បាប់ YARA មានសុពលភាពដោយមិនចាំបាច់បំបែកបណ្តាញរបស់អ្នក។

មេរោគអេនដ្រយ

នៅពេលអ្នកចាប់ផ្តើមសរសេរច្បាប់ផ្ទាល់ខ្លួនរបស់អ្នក ជំហានសំខាន់បន្ទាប់គឺត្រូវសាកល្បងពួកវាឱ្យបានហ្មត់ចត់។ ច្បាប់ដែលឈ្លានពានខ្លាំងពេកអាចបង្កើតឱ្យមានការជន់លិចនៃផលវិជ្ជមានមិនពិត ខណៈពេលដែលការធូររលុងពេកអាចធ្វើឱ្យការគំរាមកំហែងពិតប្រាកដឆ្លងកាត់។នោះហើយជាមូលហេតុដែលដំណាក់កាលសាកល្បងគឺមានសារៈសំខាន់ដូចគ្នានឹងដំណាក់កាលសរសេរដែរ។

ដំណឹងល្អគឺថា អ្នកមិនចាំបាច់រៀបចំមន្ទីរពិសោធន៍ដែលពោរពេញដោយមេរោគដែលកំពុងដំណើរការ និងឆ្លងបណ្តាញពាក់កណ្តាលដើម្បីធ្វើកិច្ចការនេះ។ ឃ្លាំង និងសំណុំទិន្នន័យមានរួចហើយ ដែលផ្តល់ព័ត៌មាននេះ។ គំរូមេរោគដែលគេស្គាល់ និងគ្រប់គ្រងសម្រាប់គោលបំណងស្រាវជ្រាវអ្នកអាចទាញយកគំរូទាំងនោះទៅក្នុងបរិយាកាសដាច់ស្រយាល ហើយប្រើពួកវាជាកន្លែងសាកល្បងសម្រាប់ច្បាប់របស់អ្នក។

វិធីសាស្រ្តធម្មតាគឺត្រូវចាប់ផ្តើមដោយដំណើរការ YARA ក្នុងស្រុក ពីបន្ទាត់ពាក្យបញ្ជា ប្រឆាំងនឹងថតដែលមានឯកសារគួរឱ្យសង្ស័យ។ ប្រសិនបើច្បាប់របស់អ្នកត្រូវគ្នានឹងកន្លែងដែលពួកគេគួរតែ និងស្ទើរតែបំបែកនៅក្នុងឯកសារស្អាត អ្នកកំពុងដើរលើផ្លូវត្រូវហើយ។ប្រសិនបើពួកវាកំពុងកេះច្រើនពេក វាដល់ពេលដើម្បីពិនិត្យមើលខ្សែអក្សរ កែលម្អលក្ខខណ្ឌ ឬណែនាំការរឹតបន្តឹងបន្ថែម (ទំហំ ការនាំចូល អុហ្វសិត។ល។)។

ចំណុចសំខាន់មួយទៀតគឺត្រូវធានាថាច្បាប់របស់អ្នកមិនធ្វើឱ្យខូចដល់ការអនុវត្ត។ នៅពេលស្កេនថតឯកសារធំ ការបម្រុងទុកពេញលេញ ឬការប្រមូលគំរូដ៏ធំ។ ច្បាប់ដែលធ្វើឱ្យប្រសើរខ្សោយអាចធ្វើឱ្យការវិភាគយឺតយ៉ាវ ឬប្រើប្រាស់ធនធានច្រើនជាងការចង់បាន។ដូច្នេះ គួរតែវាស់ពេលវេលា សម្រួលកន្សោមស្មុគស្មាញ និងជៀសវាង regex ធ្ងន់ពេក។

បន្ទាប់ពីឆ្លងកាត់ដំណាក់កាលធ្វើតេស្តមន្ទីរពិសោធន៍នោះ អ្នកនឹងអាចធ្វើបាន។ ផ្សព្វផ្សាយច្បាប់ដល់បរិយាកាសផលិតកម្មថាតើវាស្ថិតនៅក្នុង SIEM របស់អ្នក ប្រព័ន្ធបម្រុងទុករបស់អ្នក ម៉ាស៊ីនមេអ៊ីមែល ឬកន្លែងណាដែលអ្នកចង់បញ្ចូលពួកវា។ ហើយកុំភ្លេចរក្សាវដ្តនៃការត្រួតពិនិត្យជាបន្ត៖ នៅពេលដែលយុទ្ធនាការវិវឌ្ឍន៍ ច្បាប់របស់អ្នកនឹងត្រូវការកែតម្រូវតាមកាលកំណត់។

ឧបករណ៍ កម្មវិធី និងដំណើរការការងារជាមួយ YARA

កំណត់អត្តសញ្ញាណឯកសារដែលគ្មានឯកសារ

លើសពីប្រព័ន្ធគោលពីរផ្លូវការ អ្នកជំនាញជាច្រើនបានបង្កើតកម្មវិធីតូចៗ និងស្គ្រីបជុំវិញ YARA ដើម្បីជួយសម្រួលដល់ការប្រើប្រាស់ប្រចាំថ្ងៃរបស់វា។ វិធីសាស្រ្តធម្មតាពាក់ព័ន្ធនឹងការបង្កើតកម្មវិធីសម្រាប់ ប្រមូលផ្តុំឧបករណ៍សុវត្ថិភាពផ្ទាល់ខ្លួនរបស់អ្នក។ ដែលអានច្បាប់ទាំងអស់ដោយស្វ័យប្រវត្តិនៅក្នុងថតឯកសារ ហើយអនុវត្តពួកវាទៅបញ្ជីវិភាគ.

ប្រភេទឧបករណ៍ផលិតនៅផ្ទះទាំងនេះជាធម្មតាដំណើរការជាមួយរចនាសម្ព័ន្ធថតសាមញ្ញមួយ៖ ថតឯកសារមួយសម្រាប់ ច្បាប់ទាញយកពីអ៊ីនធឺណិត (ឧទាហរណ៍ "rulesyar") និងថតមួយផ្សេងទៀតសម្រាប់ ឯកសារគួរឱ្យសង្ស័យដែលនឹងត្រូវបានវិភាគ (ឧទាហរណ៍ "មេរោគ") ។ នៅពេលដែលកម្មវិធីចាប់ផ្តើម វាពិនិត្យមើលថាមានថតឯកសារទាំងពីរ រាយបញ្ជីច្បាប់នៅលើអេក្រង់ និងរៀបចំសម្រាប់ប្រតិបត្តិ។

នៅពេលអ្នកចុចប៊ូតុងដូចជា "ចាប់ផ្តើមការផ្ទៀងផ្ទាត់បន្ទាប់មកកម្មវិធីនឹងបើកដំណើរការ YARA ដែលអាចប្រតិបត្តិបានជាមួយនឹងប៉ារ៉ាម៉ែត្រដែលចង់បាន៖ ការស្កែនឯកសារទាំងអស់នៅក្នុងថត ការវិភាគឡើងវិញនៃថតរង ស្ថិតិលទ្ធផល ការបោះពុម្ពទិន្នន័យមេតា។

មាតិកាផ្តាច់មុខ - ចុចទីនេះ AuthPass៖ ការពារលេខសម្ងាត់របស់អ្នកជាមួយកម្មវិធីប្រភពបើកចំហរនេះ

ជាឧទាហរណ៍ លំហូរការងារនេះអនុញ្ញាតឱ្យរកឃើញបញ្ហានៅក្នុងបណ្តុំនៃអ៊ីមែលដែលបាននាំចេញ។ រូបភាពបង្កប់ដោយព្យាបាទ ឯកសារភ្ជាប់ដែលមានគ្រោះថ្នាក់ ឬ webshells ដែលលាក់នៅក្នុងឯកសារដែលហាក់ដូចជាគ្មានកំហុសការស៊ើបអង្កេតកោសល្យវិច្ច័យជាច្រើននៅក្នុងបរិយាកាសសាជីវកម្មពឹងផ្អែកយ៉ាងជាក់លាក់លើយន្តការប្រភេទនេះ។

ទាក់ទងនឹងប៉ារ៉ាម៉ែត្រដែលមានប្រយោជន៍បំផុតនៅពេលហៅ YARA ជម្រើសដូចជាខាងក្រោមលេចធ្លោ៖ -r ដើម្បីស្វែងរកឡើងវិញ -S ដើម្បីបង្ហាញស្ថិតិ -m ដើម្បីស្រង់ទិន្នន័យមេតា និង -w ដើម្បីមិនអើពើការព្រមានដោយការរួមបញ្ចូលទង់ទាំងនេះ អ្នកអាចកែសម្រួលឥរិយាបថទៅនឹងករណីរបស់អ្នក៖ ពីការវិភាគរហ័សនៅក្នុងថតជាក់លាក់មួយ ដល់ការស្កេនពេញលេញនៃរចនាសម្ព័ន្ធថតស្មុគស្មាញ។

ការអនុវត្តល្អបំផុតនៅពេលសរសេរ និងរក្សាច្បាប់ YARA

ដើម្បីការពារឃ្លាំងច្បាប់របស់អ្នកពីការក្លាយជាភាពរញ៉េរញ៉ៃដែលមិនអាចគ្រប់គ្រងបាន វាត្រូវបានណែនាំឱ្យអនុវត្តជាស៊េរីនៃការអនុវត្តល្អបំផុត។ ទីមួយគឺត្រូវធ្វើការជាមួយគំរូស្របគ្នា និងអនុសញ្ញាដាក់ឈ្មោះដូច្នេះអ្នកវិភាគណាម្នាក់អាចយល់បានភ្លាមៗនូវអ្វីដែលច្បាប់នីមួយៗធ្វើ។

ក្រុមជាច្រើនទទួលយកទម្រង់ស្តង់ដារដែលរួមបញ្ចូល បឋមកថាជាមួយទិន្នន័យមេតា ស្លាកដែលបង្ហាញពីប្រភេទការគំរាមកំហែង តួអង្គ ឬវេទិកា និងការពិពណ៌នាច្បាស់លាស់អំពីអ្វីដែលត្រូវបានរកឃើញវាជួយមិនត្រឹមតែខាងក្នុងប៉ុណ្ណោះទេ ប៉ុន្តែក៏នៅពេលដែលអ្នកចែករំលែកច្បាប់ជាមួយសហគមន៍ ឬរួមចំណែកដល់ឃ្លាំងសាធារណៈផងដែរ។

អនុសាសន៍មួយទៀតគឺត្រូវចងចាំជានិច្ច YARA គ្រាន់តែជាស្រទាប់ការពារមួយទៀតប៉ុណ្ណោះ។វាមិនជំនួសកម្មវិធីកំចាត់មេរោគ ឬ EDR ទេ ប៉ុន្តែបំពេញបន្ថែមពួកវានៅក្នុងយុទ្ធសាស្រ្តសម្រាប់ ការពារកុំព្យូទ័រ Windows របស់អ្នក។តាមឧត្ដមគតិ YARA គួរសមនៅក្នុងក្របខ័ណ្ឌឯកសារយោងដ៏ទូលំទូលាយ ដូចជាក្របខ័ណ្ឌ NIST ដែលដោះស្រាយការកំណត់អត្តសញ្ញាណទ្រព្យសម្បត្តិ ការការពារ ការរកឃើញ ការឆ្លើយតប និងការស្ដារឡើងវិញផងដែរ។

តាមទស្សនៈបច្ចេកទេសវាមានតម្លៃលះបង់ពេលវេលា ជៀសវាងការវិជ្ជមានមិនពិតនេះពាក់ព័ន្ធនឹងការជៀសវាងខ្សែអក្សរទូទៅហួសហេតុ រួមបញ្ចូលគ្នានូវលក្ខខណ្ឌជាច្រើន និងការប្រើប្រាស់ប្រតិបត្តិករដូចជា ទាំងអស់ o ណាមួយ ប្រើក្បាលរបស់អ្នក ហើយទាញយកអត្ថប្រយោជន៍ពីលក្ខណៈសម្បត្តិរចនាសម្ព័ន្ធរបស់ឯកសារ។ តក្កវិជ្ជាកាន់តែជាក់លាក់ជុំវិញអាកប្បកិរិយារបស់មេរោគ នោះកាន់តែប្រសើរ។

ជាចុងក្រោយ រក្សាវិន័យ កំណែ និងការពិនិត្យឡើងវិញតាមកាលកំណត់ វាសំខាន់ណាស់។ គ្រួសារមេរោគមានការវិវឌ្ឍន៍ សូចនាករផ្លាស់ប្តូរ ហើយច្បាប់ដែលដំណើរការសព្វថ្ងៃនេះអាចមានរយៈពេលខ្លី ឬលែងប្រើ។ ការពិនិត្យមើល និងកែលម្អច្បាប់របស់អ្នកដែលបានកំណត់ជាទៀងទាត់គឺជាផ្នែកមួយនៃហ្គេមឆ្មា និងកណ្ដុរនៃសុវត្ថិភាពតាមអ៊ីនធឺណិត។

សហគមន៍ YARA និងធនធានដែលមាន

មូលហេតុចម្បងមួយដែល YARA មកដល់ពេលនេះ គឺភាពរឹងមាំនៃសហគមន៍របស់ខ្លួន។ អ្នកស្រាវជ្រាវ ក្រុមហ៊ុនសន្តិសុខ និងក្រុមឆ្លើយតបមកពីជុំវិញពិភពលោកបន្តចែករំលែកច្បាប់ គំរូ និងឯកសារ។បង្កើតប្រព័ន្ធអេកូឡូស៊ីដ៏សម្បូរបែប។

ចំណុចសំខាន់នៃឯកសារយោងគឺ ឃ្លាំងផ្លូវការរបស់ YARA នៅលើ GitHubនៅទីនោះ អ្នកនឹងឃើញកំណែចុងក្រោយបំផុតរបស់ឧបករណ៍ កូដប្រភព និងតំណភ្ជាប់ទៅកាន់ឯកសារ។ ពីទីនោះ អ្នកអាចតាមដានវឌ្ឍនភាពរបស់គម្រោង រាយការណ៍បញ្ហា ឬរួមចំណែកកែលម្អប្រសិនបើអ្នកចង់បាន។

ឯកសារផ្លូវការដែលមាននៅលើវេទិកាដូចជា ReadTheDocs ផ្តល់ជូន មគ្គុទ្ទេសក៍វាក្យសម្ព័ន្ធពេញលេញ ម៉ូឌុលដែលមាន គំរូច្បាប់ និងសេចក្តីយោងការប្រើប្រាស់វាគឺជាធនធានដ៏សំខាន់សម្រាប់ការទាញយកអត្ថប្រយោជន៍ពីមុខងារកម្រិតខ្ពស់បំផុត ដូចជាការត្រួតពិនិត្យ PE, ELF, ច្បាប់នៃការចងចាំ ឬការរួមបញ្ចូលជាមួយឧបករណ៍ផ្សេងទៀត។

លើសពីនេះទៀត មានឃ្លាំងសហគមន៍នៃច្បាប់ និងហត្ថលេខារបស់ YARA ដែលអ្នកវិភាគមកពីជុំវិញពិភពលោក ពួកគេបោះផ្សាយបណ្តុំ ឬបណ្តុំដែលត្រៀមរួចជាស្រេចសម្រាប់ប្រើប្រាស់ ដែលអាចប្រែប្រួលទៅតាមតម្រូវការរបស់អ្នក។ជាធម្មតា ឃ្លាំងទាំងនេះរួមបញ្ចូលច្បាប់សម្រាប់គ្រួសារមេរោគជាក់លាក់ ឧបករណ៍កេងប្រវ័ញ្ច ឧបករណ៍ pentesting ដែលបានប្រើដោយព្យាបាទ គេហទំព័រ webshells cryptominers និងច្រើនទៀត។

ស្របគ្នា ក្រុមហ៊ុនផលិត និងក្រុមស្រាវជ្រាវជាច្រើនផ្តល់ជូន ការបណ្តុះបណ្តាលជាក់លាក់នៅ YARA ចាប់ពីកម្រិតមូលដ្ឋានរហូតដល់វគ្គសិក្សាកម្រិតខ្ពស់បំផុត។គំនិតផ្តួចផ្តើមទាំងនេះច្រើនតែរួមបញ្ចូលបន្ទប់ពិសោធន៍និម្មិត និងលំហាត់ដោយដៃដោយផ្អែកលើសេណារីយ៉ូក្នុងពិភពពិត។ ខ្លះថែមទាំងត្រូវបានផ្តល់ជូនដោយមិនគិតថ្លៃដល់អង្គការ ឬអង្គភាពដែលមិនរកប្រាក់ចំណេញ ជាពិសេសងាយរងគ្រោះចំពោះការវាយប្រហារតាមគោលដៅ។

ប្រព័ន្ធអេកូឡូស៊ីទាំងមូលនេះមានន័យថា ដោយមានការយកចិត្តទុកដាក់តិចតួច អ្នកអាចទៅពីការសរសេរច្បាប់មូលដ្ឋានដំបូងរបស់អ្នកទៅ អភិវឌ្ឍឈុតស្មុគ្រស្មាញដែលមានសមត្ថភាពតាមដានយុទ្ធនាការស្មុគស្មាញ និងស្វែងរកការគំរាមកំហែងដែលមិនធ្លាប់មានពីមុនមកហើយដោយការរួមបញ្ចូល YARA ជាមួយនឹងកំចាត់មេរោគបែបប្រពៃណី ការបម្រុងទុកសុវត្ថិភាព និងការគំរាមកំហែងនៃការស៊ើបការណ៍សម្ងាត់ អ្នកធ្វើឱ្យរឿងកាន់តែពិបាកសម្រាប់តួអង្គព្យាបាទដែលកំពុងរ៉ូមីងអ៊ីនធឺណិត។

ជាមួយនឹងការទាំងអស់ខាងលើនេះ វាច្បាស់ណាស់ថា YARA គឺច្រើនជាងឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជាសាមញ្ញមួយ៖ វាគឺជា ដុំគន្លឹះ នៅក្នុងយុទ្ធសាស្ត្រស្វែងរកមេរោគកម្រិតខ្ពស់ណាមួយ ឧបករណ៍ដែលអាចបត់បែនបានដែលសម្របទៅនឹងវិធីនៃការគិតរបស់អ្នកជាអ្នកវិភាគ និងជា ភាសាទូទៅ ដែលភ្ជាប់មន្ទីរពិសោធន៍ SOCs និងសហគមន៍ស្រាវជ្រាវជុំវិញពិភពលោក ដែលអនុញ្ញាតឱ្យច្បាប់ថ្មីនីមួយៗបន្ថែមស្រទាប់ការពារមួយផ្សេងទៀតប្រឆាំងនឹងយុទ្ធនាការដែលកាន់តែទំនើប។

អត្ថបទទាក់ទង៖

វិធីស្វែងរកមេរោគគ្មានឯកសារគ្រោះថ្នាក់នៅក្នុង Windows 11

គ្រឹស្តសាសនា

ស្រលាញ់បច្ចេកវិទ្យាតាំងពីតូច។ ខ្ញុំចូលចិត្តធ្វើឱ្យទាន់សម័យនៅក្នុងវិស័យនេះ ហើយសំខាន់ជាងនេះទៅទៀតគឺការទំនាក់ទំនង។ នោះហើយជាមូលហេតុដែលខ្ញុំបានឧទ្ទិសដល់ការទំនាក់ទំនងនៅលើគេហទំព័របច្ចេកវិទ្យា និងវីដេអូហ្គេមអស់រយៈពេលជាច្រើនឆ្នាំ។ អ្នកអាចរកឃើញខ្ញុំសរសេរអំពី Android, Windows, MacOS, iOS, Nintendo ឬប្រធានបទពាក់ព័ន្ធផ្សេងទៀតដែលនឹកឃើញ។