ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VĂN THIẾT
XÂY DỰNG HỆ THỐNG PHÁT HIỆN, CẢNH BÁO,
NGĂN CHẶN MÃ ĐỘC DỰA TRÊN HÀNH VI
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội – 2014
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VĂN THIẾT
XÂY DỰNG HỆ THỐNG PHÁT HIỆN, CẢNH BÁO,
NGĂN CHẶN MÃ ĐỘC DỰA TRÊN HÀNH VI
Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. Nguyễn Văn Tam
Hà Nội - 2014
1
LỜI CAM ĐOAN
u ca bn thân. Các s liu,
kt qu trình bày trong luc ai
công b trong bt k công trình lu
Tác gi lu
Nguyt
2
LỜI MỞ ĐẦU
Trong thi k bùng n công ngh thông tin hin nay có rt nhiu v
c
luôn là m tài cp thit do nhng tác hi c gây ra rt nghiêm trng.
c có th bí mnh cp d liu, thu thp thông tin tài khoi dùng,
hoc có th can thip và làm sp các h thng thông tin quan tr
Hin nay có nhic s d phát hin và dit mã
c. Tuy nhiên mc có th s d t qua s
kim tra cc. c
hi phát hic nhng mc mi xut hin.
Mc tiêu ca lunghiên cu tng th n mã
c hin nay. Tác gi o sát hành vi t
trình lành tính và các loc trên h u hành Windows 7. Tác gi xây
dng n hành vi t sao chép c c và xây dng
ng phát hin, cnh báo và n c da trên vic
phát hin hành vi t sao chép cc. Qua th nghim cho th
pháp này phát hic phn ln nhng loc có hành vi sao chép và có
th phát hic nhng loc mi, nhng loc c gây ri.
B cc ca lu tuân theo mu c i hc Công Ngh -
n m u,
kt lun và tài liu tham kho. Phn kt lun nêu tóm tt các v
t qu t c. Nc tóm
t
Trình bày tng quan v n
c hin nay.
Trình bày các k thu
hin c hin nay.
Trình bày kt qu kho sát hành vi t
trình lành tính và mt s ng l c ho ng trên h u hành
Windows 7. Xây dng n hành vi t sao chép cc,
n hành vi cc và loi b c khi h thng. Xây
dng và thtrên các t
trình khác nhau.
3
Trong quá trình hoàn thành lua mình, tác gi t sc c gng,
song lun có th còn nhng hn ch nhnh, tác gi rt mong mun
nhn c nhng góp ý ca các th chnh sa cho hoàn thi
xin chân thành c PGS.TS Nguyi ý v
ng dn, ch bo tn tình và cung cp nhiu tài liu quý liên quan trong
quá trình tác gi thc hin lu
Th và truyn cm hng hc tp, nghiên cu trong sut
quá trình hc tp ti hc Công ngh - i hc Quc gia Hà Ni.
Xin trân trng c
Tác gi: Nguyt
4
MỤC LỤC
Trang bìa ph
L
Mc lc
Danh mc các ký hiu và và ch vit tt
Danh mc các bng
Danh mc các hình v th
M U
1. CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP
PHÁT HIỆN MÃ ĐỘC HIỆN NAY 11
1.1. c và phân loc 11
1.1.1. c (malware). 11
1.1.2. Phân loc 11
1.1.2.1. Virus 11
1.1.2.2. Worm 11
1.1.2.3. Trojan Horse 12
1.1.2.4. Malicious Mobile Code 12
1.1.2.5. Spyware 12
1.1.2.6. Logic Bomb 12
1.1.2.7. Tracking Cookie 12
1.1.2.8. Attacker Tool 13
1.1.2.9. Rootkits 13
1.1.3. ng lây nhim cc 14
1.1.4. Tác hi cc 16
1.2. c và phân lo
hin c hin nay 17
1.3. n c theo ch ký 19
1.3.1. N 19
5
1.3.1.1. 20
1.3.1.2. ng 21
1.3.2. Quy trình to ra ch c 22
1.3.3. S d liu ch c 24
1.3.4. m cc theo ch ký 25
1.4. c da vào hành vi 26
1.4.1. Tc da vào hành vi 26
1.4.2. n da trên mô phng (Simulation-based
verification) 27
1.4.3. n da trên kim tra hình thc (Formal
verification) 34
2. CHƯƠNG 2: CÁC KỸ THUẬT VƯỢT QUA CÁC CHƯƠNG TRÌNH
PHÁT HIỆN MÃ ĐỘC HIỆN NAY 40
2.1. Các k thut gây ri cc 40
2.1.1. 40
2.1.2. Nén và mã hóa (Compression & Encryption) 41
2.1.3. 42
2.1.4. i thanh ghi s dng (Register Reassignment) 47
2.1.5. Sp xp l 47
2.1.6. Thay th ch lnh 48
2.1.7. Hoán v mã lnh (Code Transposition) 49
2.1.8. Tích hp mã (Code Integration) 50
2.2. K thut phát hing o 50
2.2.1. K thut phát hing thc thi hp cát (Sandbox) 51
2.2.2. K thut phát hing thc thi máy o 54
3. CHƯƠNG 3: XÂY DỰNG PHƯƠNG PHÁP PHÁT HIỆN HÀNH VI TỰ
SAO CHÉP CỦA MÃ ĐỘC TRÊN HĐH WINDOWS 7 56
3.1. Xây dng phát hin hành vi t sao chép vào h thng ca
c 56
3.1.1. Kho sát hành vi t sao chép c 56
6
3.1.2. c thc hin hành vi t sao chép cc 60
3.2. n hành vi t sao chép cc 62
3.3. nghim và kt qu thc nghim 68
3.3.1. ng 68
3.3.2. Kt qu thc nghim 70
4. KẾT LUẬN 75
5. TÀI LIỆU THAM KHẢO 76
7
DANH MỤC CÁC KÝ HIỆU VÀ CÁC CHỮ VIẾT TẮT
Viết tắt
Tiếng Anh
Tiếng Việt
API
Application Program
Interface
Giao din lp trình ng dng
BIOS
Basic Input/Output System
H thng nhp xun
BIOS
Basic Input/Output System
H thng nhp xun
CFG
Control Flow Graph
th luu khin
DFG
Data Flow Graphs
th lung d liu
DLL
Dynamic Link Library
n liên kng
MBR
Master Boot Record
Bn ghi khng
MSDN
Microsoft Develop
Network
n bách khoa cho lp
trình ng dng trên Windows
SSDT
System Service Dispatch
Table
Bng dch v h thng
8
DANH MỤC CÁC BẢNG
Tên bảng
Trang
Bng 2.1: Tng hp mt s bi phát
hing thc thi o
51
Bng 3.1: Kt qu kho sát hành vi t sao chép c
trình lành tính
58
Bng 3.2: Kt qu kho sát hành vi t sao chép ca mt s mu
c
62
Bng 3.3: Kt qu ki
bi BMD
71
Bng 3.4: Kt qu ki tính thông
dng bi BMD
71
Bng 3.5: Kt qu th nghim vi BMD trên mt s mu mã
c
73
Bng 3.6: Kt qu kim tra các bin th mc gây
ri 1 (cp nht ngày 04/06/2014)
73
Bng 3.7: Kt qu kim tra các bin th mc gây
ri 2(cp nht ngày 04/06/2014)
73
Bng 3.8: Kt qu kim tra vi mc mi (cp nht ngày
04/06/2014)
74
9
DANH MỤC HÌNH VẼ VÀ ĐỒ THỊ
Tên hình, đồ thị
Trang
Hình 1.1: Phân loc
18
Hình 1.2: Quy trình dò quét ch
20
Hình 1.3: Ch ký cc Stoned
21
Hình 1.4: Phân lo c da vào
hành vi
27
Hình 1.5: Mô hình h n hành vi da trên
các lut
30
Hinh 1.6: Mô t hai thut toán phát hi c Greedy và
Taboo du các hành vi
32
th mô t hành vi lây nhim cc
33
Hình 1.8: c phát hic da trên hành vi
s dng vector
33
Hình 1.9: c phát hic da trên hành vi
s d th
34
Hình 1.10c
35
Hình 1.11 th ng cu vi ng
37
Hình 1.12 d th hành
phát hic
38
Hình 1.13 th
38
Hình 1.14: Tìm ki th th CFG
39
Hình 2.1: K thut gây ri bng cách thêm các lnh không có ý
40
Hình 2.2: Cc s dng k thut gây ri mã hóa
42
Hình 2.3: Cc s dng nhi
42
Hình 2.4: T l mã n nay
43
n thng
43
Hình 2.6: Cu trúc t
44
Hình 2.7: Quá trình gii nén c
44
Hình 2.8: Hình dc gii mã
45
Hình 2.9: K thut gây ri Shifting Decode Frame
46
o hóa ch lnh và và mô phng mã
c
46
Hình 2.11: K thut gây ri bc
47
10
s dng
Hình 2.12: K thut sp xp l
48
Hình 2.13: K thut gây ri bng cách thay th các ch lnh
48
Hình 2.14: K thut gây ri bng cách hoán v mã lnh
49
Hình 2.15: K thut gây rc Zperm
50
Hình 2.16 n mã ki ng thc thi
Sandbox cc Win32/Carberp
52
Hình 2.17n phát hing thc thi ca mã
c Win32/Caphaw
53
Hình 2.18: Kim tra cng o và t khóa phát
hing máy o VMware
54
Hình 3.1: Mô phng hành vi t sao chép
56
Hình 3.2: T l c có hành vi t sao chép trong các mu
c phân tích
58
Hình 3.3:Mi quan h cc tp tin
61
Hình 3.4:Mi quan h ca các hàm ghi tp tin
61
Hình 3.5: Giám sát quá trình khi to tin trình
63
c tp tin
64
Hình 3.7: Giám sát thao tác ghi tp tin
66
Hình 3.8: Thông báo ca BMD khi phát hin tin trình có hành
vi t sao chép vào h thng
67
ng BMD
68
Hình 3.10: Giao di
70
11
1. CHƯƠNG 1:
TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN
MÃ ĐỘC HIỆN NAY
1.1. Định nghĩa mã độc và phân loại mã độc
1.1.1. Định nghĩa mã độc (malware).
Hin nay có nhi
chung là:
c chèn mt cách bí mt vào
h thng vi mn hn tính bí mt, tính toàn vn hoc tính sn
sàng ca h th.
nh không ch nhng th loc nói
n nhic, mà c nhng công
c tn công h th
keylogger
1.1.2. Phân loại mã độc
c phân thành các losau:
1.1.2.1. Virus
Virus là mt loc hi mà có kh nhn bn và lây nhim
chính nó vào các tp tin trên máy tính. y, virus không tn tc lp
thành mt tp tin mà luôn bám vào mt t thc thi và lây lan.
1.1.2.2. Worm
c có hành vi ging virus là có th t nhân bn và t lây
nhim trong h thng, tuy nhiên khác vi virus, worm có th tn tc lp
thành mt tc khi lây nhim vào h thng. c lây
nhim vào h thng mà có th phân loi worm:
- Network Service Worm: là loi worm s dng các l hng bo mt ca
mng, ca h u hành hoc ca ng d lây nhim vào h thng.
- Mass Mailing Worm: là loi worm s d c lây lan qua
email. Khi worm lây nhim vào h thng a ch mail
và ga ch tip tc quá trình lây nhim. Vc
lây nhim này, worm có th lây lan rt nhanh trên h thng mng.
12
1.1.2.3. Trojan Horse
Trojan horse là lot theo câu chuy
Trojan horse không có hành vi t nhân bn mà nó xut hin trong h th
m i s dng. Tuy
nhiên Trojan horse có nhng hành vi gây hi ngm i dùng không d
dàng nhn bic.
1.1.2.4. Malicious Mobile Code
Malicious mobile code là mt dng mã phn mm có th c gi t xa
chy trên mt h thng mà không cn li gi thc hin ci
dùng trên h thCách tt nh chng li malicious mobile code là luôn
cp nht h thng và tt c .
1.1.2.5. Spyware
Spyware là phn mt trên h thng nhm mp
thông tin trên h tha ch ca k tn công. Các thông tin
quan trng mà spyware thu thp có th là: tài khon và mt khu ci s
dng, a ch email, tài khon ngân hàng
1.1.2.6. Logic Bomb
Là phn mt trên h thng và ch thc hin hành vi gây hi khi có
nhu kin nhng. Chng hn c hin xóa
mi d liu trên h thng vào mt tht nhnh. Cu trúc
lc phân làm hai phn:
- Payloadn mã thc hin các hành vi gây hi.
- Triggern mã kim tra nhu kin nhnh, nu kin
kích hon mã payload.
Logic Bomb là mt loc rt nguy him vì nó không th hin hành
vi gây hi ngay khi thâm nhp vào h thng. Vì vng không
nhp thành công vào h thng.
1.1.2.7. Tracking Cookie
Tracking Cookie là s d theo dõi mt s ng duyt
web ci s dng mt cách bt hp pháp. Cookie là mt tp tin d liu
13
thông tin v vic s dng mtính
lm d theo dõi và thu thp thông tin v i dùng.
1.1.2.8. Attacker Tool
Attacker Tool là nhng b công c tc s d y bí mt
các phn m c hi vào h th c phép c i dùng.
c chia thành nhiu loi khác nhau:
- Backdoor: là công c t trên h thng sau khi b xâm nhp bt
hp pháp nhm giúp k tn công quay li xâm nhp vào h thng mà không cn
phi qua các kim soát an ninh trên h thng.
- Zoombie: là công c t trên h thng sau khi b xâm nhp bt
hp pháp và ch i lnh t k tn công. Các nhim v ph bin nht cho
zombie là gc hin tn công t chi dch v quy mô ln.
- Keylogger: là công c t trên h thng nhm thu thp các
thông tin s kin gõ bàn phím ci s dng.
1.1.2.9. Rootkits
Rootkit c hiu là mt là công c t trên h thng
nh i các ho ng ca h thng nhm m t
nh. Chng hi hot ng ca các hàm h thng (API), si
tp tin h thng. Rootkit c s d n du các hành vi ca các mã
i s dng không d dàng
nhn bic s tn ti ca các phn mc hi này trên h thng.
c phân làm nhng lo
- Rootkit tần ứng dụng (Application layer rootkit)
Rootkit tng ng dng là rootkit hong tng cao ca h u hành
(tng ng dng). Mc tiêu ca loi rootkit này có th là các tp tin, registry,
hoc là các ng dng c th trên h thng. ng ph bin mà loi rootkit
ng hay thc hin là xóa các tp tin nht ký h thng và n các tp tin
i dùng không d dàng phát hin ra.
m ca loi rootkit này là d b phát hin bng các k
thut tìm kim thông tin ti ca h thng.
14
- Rootkit tầng thư viện (Library layer rootkit)
Là loi rootkit can thip trc tin trong h thng. Chng
h c s dng trong các tp tin n liên kt ng
(Dynamic Link Library - DLL) trong h thng. Loi rootkit này can thip và làm
i giá tr tr v cn. n các
t ni dùng không nhn ra s xut hin cc trong h
thng.
Lo phát hic bng cách thc thi các ng
dng t các thit b ngoài mã không s d si.
phát hin s tn ti ca rootkit trong h thng.
- Rootkit tầng nhân hệ thống (Kernel-layer rootkit)
i rootkit có hành vi can thip trc tip vào nhân ca h u
hành. Loi các cu trúc trong h thng hoc làm thay
i giá tr tr v ca các hàm trong nhân ca h
n các tc hi hoc n s hong trong h thLoi rootkit này
khó phát hin t nhiu so vi hai loi rootkit trên.
- Rootkit tầng phần cứng (Hardware-layer rootkit)
i rootkit khó phát hin nht. Lot trong
phn cng ca các thit b thu thp thông tin hoc thc hin nhiu hành vi
c hi khác. Loi rootkit này không th phát hic b
phn mng mà phi s dng rt nhiu các công c có
th phát hin.
1.1.3. Con đường lây nhiễm của mã độc
c có nhing lây nhim khác nhau và có th phát tán rt
nhanh. t s ng ch yu mà h thng có th b
lây nhim mc.
1.1.3.1. Lây nhiễm qua thiết bị ngoại vi
Malwaret b ngoài
:
- Cơ chế Autorun (tự chạy) :
này ch xut hin vi nhng lo c trên h u hành
Windows XP tr v c. Vi cách phát tán này c s to ra mt tp tin
15
vi tên là autorun.inf. Bên trong tp tin autorun.inf s có mng dn
c thc si s dng kt ni thit b ngoài vi máy tính,
c li d ci s dng xâm nhc sau
c thc thi tin hành các hành vi gây hi và tin hành phát tán bng nhiu
t trong mng.
- Cơ chế giả biểu tượng
Mã c máy tính mun hoi phi có s i
ng h u hành và nhu kin c th ng h
ch c thi cng hp ph bin th hai, mt c
gi dng làm mc hay tp tin quen thuc. Bc có th
i s dng và ch i s dng vô tình kích hoc.
1.1.3.2. Lây nhiễm từ kết nối mạng
Do nhu cu công vic mà các máy tính hi u kt ni vi nhau
thông qua mt h thng mc tin hành
phát tán và lây nhim t h thng này sang h thng khác. ng mã
c s tin hành tn công t bên ngoài qua các l hng bo m tin hành lây
nhim. Chng hi dng l hng MS-08-067
tin hành lây nhim t h thng này sang h thng khác, nu các h thng không
cp nht bn vá cho l hng này.
Ngoài ra, vi s phát trin rng rãi ca mng Internet trên th gii hin
c lây nhim các lo c qua Internet tr thành
c chính ca c ngày nay.
1.1.3.3. Lây nhiễm qua thư điện tử
ng lây nhim rt ph bin cc
t hin t ln nay vn là mc lây nhim ca
c.
m vào máy nn nhân, c có th t tìm ra danh sách
a ch n t sn có trong máy và nó t ng gt cho
nha ch tìm thy. Nu các ch nhân ca các máy nh nhim
c mà không b phát hin, c s tip t lây nhim vào máy và tip
tc quá trình lây nhim. Chính vì vy s ng phát tán có th p s
nhân khin cho trong mt thi gian ngn hàng hàng triu máy tính b lây nhim,
có th làm tê lit nhi gii trong mt thi gian rt ngn.
c lây nhin t bao gm:
- Lây nhiễm vào các tập tin đính kèm theo thư điện tử: i dùng s
không b nhim c cho ti khi tp tin h kèm b nhim c c kích
16
hom này các c c "trá hình" b hp
dn. Các tp tin lây nhim b ng là các tp tin th
n t tc
gi t nhi không quen bit.
Mt s loc khai thác nhng li tràn b nh m c
trình ng d hng trên trình son thn. Ni dùng m
nhng tn mã thèm trong tp tin s c
thc hin.
- Lây nhiễm do mở một liên kết trong thư điện tử: Các liên k
n t có th dn mt trang n t c cài sn c, cách này
ng khai thác các l hng ca trình duyt và h u hành.
1.1.4. Tác hại của mã độc
c khi xâm nhc vào h thng s thc hin nhiu hành vi gây
hi khác nhau. ng hành vi gây hi ch yu sau:
- Tiêu tốn tài nguyên hệ thống: Tài nguyên máy tính, v bn ch
thông mng, t vi x lý, b nh Vic thiu các tài nguyên này s dn
s xung cp ca chng dch v cung ci s dng hoc khách
hàng. Mt du hiu chính khi mt máy tính b nhim c
bt ng tr nên hong chu ng tip tc
sau khi khng lc s bu khng li và
s dng li tài nguyên ca máy tính.Trong nhing hp thm chí các mã
c có th chim hi dùng không th kt ni mng.
- Phá hủy dữ liệu: Có rt nhiu loi c c t xóa các tp tin
trên h thng. Các tài ling b tn công nhiu nht là các tp tin thc thi
hoc các tn, ng là các tp cha d liu quan trng ci
dùng. Ngoài ra mt s loi c còn si các tp tin trên mt ng
hoc các thit b ghi khác.
Mt ví d nguy him cho hành vi này la mc W32.Delfile.Worm. Mã
c này c l xóa toàn b d liu trong các cài h u
hành Windowsc xóa d lic vào các ngày 1, 10, 21 và
29 hàng tháng. Sau khi lây nhim vào máy tính, c này s t sao chép vào
c c C:\Windows\System32c, c
s thc thi vic xóa d liu mi khi máy tính khng. Nhng ngày còn li, mã
c làm n các tp tin và to ra các bn sao ca chính nó, ngy trang gi
c tht, khii dùng không th nhn bi nhim mã
c.
17
- Đánh cắp thông tin và dữ liệu: Có rt nhiu loi c có các hành vi
thu thp thông tin trên v i s di khon và thu thp các d liu
trên h thng. Mt ví d v Mebroot c hãng
bo mt Symantec phát hin vào tháng 12 - 2007 s dng mt công ngh n
mình và lây nhim vào MBR (Master Boot Record) cu
n khi khng h u hành sau khi BIOS hong.
Nhiu hãng bo m c nghiên c i pháp chng
n th mi nht li có nhng ci ti n mình kín
o mt trên máy tính. c này gi d liu
p qua giao thc HTTP.
- Phá hủy hệ thống: Mt s c c c t phá hy h
thng (Các c phá hy BIOS, làm gim tui th ca cng) Mt s khác
c li vit nó không c n mã làm hng h
thng, tuy nhiên trong thc t quá trình hong ca c khi có nhng
hành vi gây hn h thng. Mt s c có hành vi si các phn
ng la ca h thng hoi dùng truy cp vào các trang thông
tin v an ninh, bo mt.
Hic to ra vi rt nhiu m
có c nhng m, mang tính quc gia. Nhiu quc gia trên th gii
xây dng nhn nhng loc nhm vào các h thng
ca các quc gia cnh tranh. Do tính nguy hi cc mà phát hin và dit
c luôn là mt bài toán quan trng hin nay.
1.2. Định nghĩa máy phát hiện mã độc và phân loại các phương pháp phát
hiện mã độc hiện nay
1.2.1. Định nghĩa máy phát hiện mã độc
Mt máy phát hin và di c hin mt s
phát hi c có th hoc
không nm trên cùng h thc bo v. c
c th hin qua công thc sau [2]:
: - c
- i
18
Máy phát hi
da vào các p c hi hoc
lành tính. Kt qu nh c c sai.
phát hin nhc (false positive), hoc có th
phát hin nhtrình lành tính (false negative).
phát hic hic trình bày trong
các phn tip theo.
1.2.2. Phân loại các phương pháp diệt mã độc hiện nay
Có nhic s d phát hic. Hin nay có
hai nhóm c s d phát hic là:
- n c theo ch ký (Signature Based
Techniques)
- n c theo hành vi (Behavior Based
Techniques)
Trong tng cách tip cn và c th
khác nhau.
Phân loc th hin qua Hình 1.1 [3]:
Hình 1.1: Phân loại các phương pháp diệt mã độc
Ni dung c th cc trình bày trong hai phn sau.
n
c
Phát hin theo ch ký
Phát hin theo hành vi
ng
19
1.3. Phương pháp phát hiện mã độc theo chữ ký
1.3.1. Nội dung phương pháp
dic theo ch nh mc thi
c khi ni dung tp tin thnh
c gi là ch ký.
c s dng rng rãi nht hin
nay. Ch ng là mt chui byte trong mã phn mc hi.
Chu c c th mà không có trong các
chu nhn dic W32/Beast là:
83EB 0274 1683 EBOE 740A 81EB 0301 0000
ng mt chu nh m c 16bit là
i vc khác thì con s
dic c th. Tt c các ch d liu.
tìm kim trong mt tp tin có cha ch ký mã
c nào không. Nu mt tp tin có cha ch c hi thì t
c hi. c có th loi
b c khi h thng s thc hin
mt hoc nhia cha, hoc xóa. Cách ly mt tp
tin s làm cho nó không th tip cng
c thc hi c khi thc hin các
ng khác can thip vào ni dung ca tp tin.
i dùng mup tin li vì tính quan trng ca t
c c gng sa cha tp tin. t mã
c s c gng loi b nhc h
cho tp tin hong tr li. Tuy nhiên, rt nhiu loc hin
nay có các k thut tinh vi và rt
khó loi b nhc hi này. Mt s loc còn làm hng các
tp tin lành tính.
Nu mt t c lây nhim mà không th sa cha thì tt
nht là loi b tp tin này khi h thng. Vì n tp tin này tip tc hong
thì các c hi s tip tc tìm kim và lây nhim vào các tp tin lành
nhng tp tin h thng. Trong nhing hp có th
dn tình trng sp h thng.
20
Nu tc quét không cha ch c hi nào thì t
ng, mt ch c hnh mt hoc
mc hi.
Tùy theo tp c dò quét ch
:
1.3.1.1. Dò quét tĩnh
n hành dò quét ch ký trên mt tp tin thc thi mà
không cn ch phát hic khi
gây bt c tác hi nào cho h thng.
c hi
chá trình khi to mt tin trình và s dò quét tc khi tin trình
c khi to. Nu phát hin tc thì tic khi
to và tp tin s b loi b khi h thng. Nu t
thì tin trình s c khi to.
Quy trình cc th hin qua Hình 1.2:
Hình 1.2: Quy trình dò quét chữ ký tĩnh
Có nhiu thut toán tìm kic áp d :
Aho-Corasick, Veldman, Wu-
s d liu ch c t chc thành c có th t
hiu sut dò quét cao nht, gim thiu chi phí tài nguyên và thi gian quét t
Nu mc hnh bng mt ch c
h không phát hic.
c
d liu
ch ký
c
Lành tính
Tp tin thc thi (PE file)
21
Do vy, m d liu ch ký cn phi duy trì cp nht liên tc bng cách
phân tích các bin th mi ca mc và các loc mi.
Các ch ký cc la chn th c la chn
có th phát hic nhiu bin th cc. ng, ch ký ca
c la ch c. Hình 1.3 mô t
ch ký cc Stoned c chn:
Hình 1.3: Chữ ký của mã độc Stoned
1.3.1.2. Dò quét động
c bng cách nh các thông tin thu thp
c bng cách thc thi tng mô phng [1] . ng
mô phng này có u kin ging tht t c hành vi
nào cc thng mô phu không n h
thng tht. Hai cách xây dng mô phc s dng nhiu nht
là:
- Hp cát (sandbox): ng mô phc xây dng bng cách
hn ch quyn và gii hn truy cn các dch v tht ca h thng. m
chính c truy cc vào không gian b nh ca
kiy tnc.
tìm kim các thông tin v
c.
22
- Máy o (virtual machine): ng mô phc xây dng mà
cung c các dch v và quyng tht. Máy o có th mô
phng c nhng tài nguyên phn cng (kt ni m tài nguyên o (tp
tin, phn m c nhi
trình thc thi. Tuy nhiên, s dng máy o li tiêu hao m
k ca h thng thc. Máy o ch c s dng b
c.
S dng mô phc s d phát hin worm.
Bnh nhng thông tin mà nó giao tip vi bên ngoài. Ngoài ra, s
dng mô phng có th phát hin c nhc s dng mt s
k thu tr phát hin
loi kim tra ni dung b nh o. Sau mt s ln
vòng lc hoc khi có mu kin dng
ng. Nu thi gian chy mô ph dài thì có th nc nc
sau khi gii mã. Vì rc cn t gi có th thc hic các
hành vi gây h quynh xem khi nào ngng thc trong môi
ng mô phng, có th s d hong
ca các ch lnh, theo dõi quá trình gii mã da trên nhng thông tin thu thp
c, hoc có th dng li vi mt thnh. Sau khi thu thc
ni dung trên b nh o, tin hành quét c da trên ch
có phc không.
1.3.1.3. Phương pháp lai
p cn kt h nh mã
cc hin theo cách tip cng tin hành dò quét
n hành b các thông tin nhm
c. Áp d khc phc nhic
m cng.
1.3.2. Quy trình tạo ra chữ ký mã độc
xây dc mt ch ký cc cn thc hic
sau:
- Thu thp mc kh nghi mi:
c rt quan trng. Ch có th thu thc mc mi thì mi có th
tic ti xây dng ch ký. Hu ht các hãng phn mm
23
dit mã u th gii hiu xây dng h thng trên toàn c
có th thu thc nhanh nht nhng mc mi.
- Phân tích mc mi kh nghi: nh xem mu thu
thc có phc hay không. c thì cn
phi tin hành phân tích. Phân tích mt tp tin thc thi là tìm hiu hành vi
a t
ng.
Thứ nhất - phân tích tĩnh: là cách phân tích mà không cn chy tp tin
thc thi. Tp tin thc dc t mã máy thành các ngôn ng cao
mã máy (assembly) hoc Cc
tìm hiu bn mã dm ca
là có th tìm hiu hc các hành vi cm
cn kém thi gian và công sc, trong khi các mu mã
c mc to ra hàng ngày rt ln. ng ch c áp
di vi nhng mc tinh vi.
Thứ hai – phân tích động: c bng cách thc thi
mu tng mô phng. a mu
t c không. ng mô phng
cn phi c xây dng th các dch v: kt ni
mc s dng vì tc
phân tích nhanh. Tuy nhiên s d không tìm hiu
hc các hành vi cc.
- To ra ch ký t mc mi phát hin: c trích xut ra
mn mã t t làm ch c xác
nh th công, da vào kinh nghim ca c.
- Kim tra ch ký: mt ch ký mc to ra cn phc kim tra
c cp nh d liu và phân ph i s dng.
u tiên là kim tra âm tính gi, ch c s d quét trên các mu
c. Nt yêu cu thì cn kim tra tic
sau. Tc th hai, ch ký mc kim tra t l . Mng
ln các tp tin thc s dc này. Nu kt qu cho thy
ng h thì ch ký mt yêu cc
cp nh d liu.