Компьютерын ертөнцөд бид файл шахах буюу compression, ZIP эсвэл RAR гэх мэт шахсан файлуудын тухай сайн мэддэг . Гэхдээ та Executable буюу ажилладаг файлыг шахаж багсгаад, түүнийгээ буцааж задлахгүйгээр шууд ажиллуулах боломжтой гэдгийг мэдэх үү?
Энэ удаад бид программ хангамжийн инженерчлэлийн хэрэгсэл болох UPX – Ultimate Packer for eXecutables-ийн тухай болон түүний ажиллах зарчмын хакерууд үүнийг хэрхэн ашигладаг талаар мэдэж авах болно.
UPX гэж юу вэ?
UPX нь executable файлуудыг (Windows дээр .exe, Linux дээрх binary, macOS дээрх программууд) шахаж, хэмжээг нь эрс багасгадаг үнэгүй, open-source хэрэгсэл юм.
Энэхүү хэрэгсэл нь 1998 оноос хойш хөгжүүлэгдэж ирсэн бөгөөд олон төрлийн үйлдлийн систем болон файлын форматыг дэмждэгээрээ алдартай. Энгийнээр хэлбэл, UPX нь таны бичсэн кодыг хэмжээг нь багасгадаг ч программын ажиллах чадварыг огт алдагдуулдаггүй технологи юм.
UPX хэрхэн ажилладаг вэ?
Энгийн ZIP файлаас ялгаатай нь UPX-ээр шахагдсан программыг ажиллуулахын тулд хэрэглэгч тусгай программ ашиглаж задлах шаардлагагүй. Тэгвэл яаж ажилладаг вэ?
UPX нь дараах үндсэн зарчмаар ажилладаг:
- Compression буюу шахах: UPX нь таны программын код болон өгөгдлийг шахаж, хэмжээг нь багасгана.
- Adding the Stub: Шахагдсан файл дээр “Decompression Stub” гэж нэрлэгдэх жижиг хэмжээний код нэмэгддэг. Энэ stub нь уг файлын салшгүй нэг хэсэг бөгөөд задлагч юм.
- Execution буюу Ажиллуулах: Таныг UPX-ээр шахагдсан .exe файлыг ажиллуулахад хамгийн түрүүнд Stub ажиллаж эхэлнэ. Энэ stub нь шахагдсан кодыг маш хурдан хугацаанд компьютерын санах ой дээр задалж, улмаар программын үндсэн кодыг ажиллуулдаг
Энэ бүх үйл явц хэрэглэгчид анзаарагдахгүйгээр, маш хурдан 1 секундийн дотор болж өнгөрдөг тул программ хэвийн ажиллаж байгаа мэт харагддаг.
Инженерүүд болон хөгжүүлэгчид яагаад энэ хэрэгслийг ашигладаг вэ?
- Файлын хэмжээг эрс багасгана: Программыг ихэвчлэн 50%-иас 70% хүртэл багасгаж чаддаг. Жишээ нь: 10 MB хэмжээтэй тоглоомыг 5 MB болгох боломжтой.
- Хадгалах зай болон интернэт хэмнэлт: Файлын хэмжээ багассанаар татах хугацаа богиносож, дискийн зай хэмнэнэ. Энэ нь интернэтийн хурд удаан эсвэл хадгалах багтаамж багатай төхөөрөмжүүдэд (жишээ нь IoT төхөөрөмж) маш хэрэгтэй.
- Нэмэлт хэрэгсэл шаардлагагүй: Шахагдсан файл өөрийгөө задлах чадвартай тул хэрэглэгч ямар нэгэн суулгах файл, задлагч хайх шаардлагагүй.
- Аюулгүй байдал: UPX нь open-source учир хэн ч кодыг нь шалгаж болно. Мөн файлын бүрэн бүтэн байдлыг шалгах checksum хадгалдаг тул файл гэмтсэн эсэхийг мэдэх боломжтой
UPX-ийн “Харанхуй тал”: Хакерууд яагаад үүнд дуртай вэ?
Технологийн ертөнцөд зарим хэрэгсэл нь “хоёр ирмэгтэй сэлэм” шиг байдаг. UPX нь инженерүүдэд дискийн зай хэмнэх гайхалтай хэрэгсэл болсон ч, хакеруудын гарт Antivirus-ийг хуурах зэвсэг болж хувирсан түүхтэй.
UPX-ийг анх бүтээхдээ кодын аюулгүй байдлыг хангах бус, зөвхөн хэмжээг багасгахыг зорьсон. Гэтэл энэхүү шахах үйл явц нь нэгэн дайвар үр дагаврыг бий болгосон нь кодыг далдлах явдал байв.
Antivirus программууд ихэвчлэн вирусийг танихдаа түүний Signature буюу кодын давтагдашгүй хээгээр нь хайдаг.
- Энгийн вирус: Antivirus түүний кодыг уншаад, Энэ бол вирус байна гэж шууд танина.
- UPX-ээр шахсан вирус: Хакерууд вирусээ UPX-ээр шахахад кодын бүтэц нь өөрчлөгдөж, шахсан өгөгдөл дотор нуугддаг. Ингэснээр Antivirus-ийн мэддэг давтагдашгүй хээ өөрчлөгдөж, вирус хамгаалалтын системийг нүднийх нь урдуур анзаарагдахгүйгээр өнгөрөх боломжтой болдог байв.
Энэ нь яг л гэмт хэрэгтэн цагдаагийн шалган нэвтрүүлэх цэгээр гарахдаа зүсээ хувиргаж, өөр хувцас өмсөж гарч байгаатай адил.
Хакерууд UPX-ийг ашиглан вирусээ нууж эхэлмэгц аюулгүй байдлын компаниуд хариу арга хэмжээ авч эхэлсэн. Орчин үеийн ухаалаг Antivirus-ууд зөвхөн гаднах файлыг хараад зогсохгүй, UPX-ээр шахагдсан файлыг таньж, түүнийг задалж, дотор нь юу байгааг шалгах чадвартай болсон бөгөөд үүнээс үүдэн False Positive буюу хуурамч илрүүлэлтийн асуудал үүссэн. Хэдийгээр таны бичсэн программ ямар ч вирусгүй, цэвэр байсан ч зүгээр л UPX ашиглаж шахсан гэдэг шалтгаанаар зарим Antivirus үүнийг сэжигтэй файл эсвэл Trojan гэж үзэн блок хийх болсон. Учир нь түүхэндээ UPX-ийг хортой код нуухад маш их ашиглаж байсан тул хамгаалалтын системүүд автоматаар болгоомжилдог болжээ.
