Tải bản đầy đủ (.pdf) (29 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu phương pháp phân tích động mã độc (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.28 MB, 29 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
-----------------------------------------------------------

NGUYỄN NGỌC QN

NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC

CHUYÊN NGÀNH: HỆ THỐNG THƠNG TIN
MÃ SỐ: 60.48.01.04

TĨM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2016


Luận văn được hồn thành tại:
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

Người hướng dẫn khoa học: TS. Nguyễn Trung Kiên
Phản biện 1: ……………………………………………………………………
….………………………………………………………………………………

Phản biện 2: ……………………………………………………………………
………………………………………………….………………………………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ
Bưu chính Viễn thơng
Vào lúc: ……………… giờ …… ngày ………. tháng ………… năm

Có thể tìm hiểu luận văn tại:
-



Thư viện Học viện Cơng nghệ Bưu chính Viễn thông.


MỞ ĐẦU
Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các
hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ
quan, tổ chức, doanh nghiệp chun về An ninh, an tồn thơng tin, hoạt động phát tán mã
độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt
Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại
hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính
như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn
tại dưới rất nhiều hình thức và có khả năng lây lan vơ cùng lớn.
Khơng dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới
hạn ở máy tính cá nhân mà cịn lây lan sang các thiết bị thông minh như smartphone. Với
tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông
minh hay máy tính cá nhân, vì vậy mơi trường hoạt động dành cho mã độc ngày càng rộng
lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng
cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn cơng về mã độc đang có chiều hướng
gia tăng với thủ đoạn ngày càng tinh vi.
Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc
phát tán mã độc trên hệ thống, các thiết bị thơng minh,… Luận văn đã tìm hiểu và nghiên
cứu về “Phương pháp phân tích động mã độc”. Mục tiêu của Luận văn gồm các nội dung
chính:

Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt
động, các hành vi của mã độc và phương thức lây nhiễm của chúng

Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. Các
phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh đó nghiên

cứu về các mơi trường và cơng cụ phân tích mã độc


Đề xuất quy trình và ứng dụng phân tích động mã độc trong thực tế.

Phạm vi ứng dụng của nghiên cứu
Nghiên cứu các kỹ thuật phân tích nhận diện mã độc chính cùng với hành vi của nó và áp
dụng các kỹ thuật này để thử nghiệm phân tích mã độc.


1

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC
1.1. Tổng quan về mã độc
1.1.1. Khái niệm về mã độc
Theo quan điểm của Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National
Institute of Standart and Technology) về định nghĩa và phân loại trong lĩnh vực “Virus máy
tính”, mã độc (Malware) được định nghĩa là một chương trình được chèn một cách bí mật
vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn hoặc tính sẵn sàng của
hệ thống. Theo định nghĩa này mã độc bao hàm rất nhiều thể loại mà ở Việt Nam vẫn quen
gọi chung là Virus máy tính như Worm, Trojan, Spy-ware, … thậm chí là Virus hoặc các bộ
cơng cụ để tấn công hệ thống mà các hacker thường sử dụng như Backdoor, Rootkit, Keylogger.
1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới
Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến năm 2013, theo viện nghiên
cứu độc lập về an tồn thơng tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được
phát tán. Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng
trên tồn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho tồn bộ những người sử
dụng Internet trên tồn cầu.

Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST



2

Chủng loại mã độc cũng đa dạng và phong phú hơn về cả hành vi và mục đích phát
tán. Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tơn giáo và nhiều lĩnh vực
quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame và
Duqu, những Virus đánh cắp thơng tin mật của các hệ thống điện tốn khu vực Trung Đông.
Tại Việt Nam, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan,
doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia và đã xuất
hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc
mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận được email đã mở tập
tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Microsoft Office
(bao gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, mã độc này âm thầm
kiểm sốt tồn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển
máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để
ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.
Dưới đây là hình 2 mơ tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2014,
Việt Nam nằm trong danh sách 15 nước có tỉ lệ phát tán mã độc nhiều nhất thế giới,

Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới (2014)


3

Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn cơng của mã độc cũng có
nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chương trình diệt
Virus, sử dụng các hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống,.. Tuy nhiên các biện
pháp này chỉ phần nào ngăn chặn được các loại Virus đã được biết đến rộng rãi, còn các biến
thể mã độc hoặc các mã độc mới được sinh ra ngày càng nhiều thì hầu như vơ hình trước các

biện pháp bảo vệ trên.

Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV
Tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để có thể truy ra
nguồn phát tán mã độc và cập nhật nhanh nhất các dấu hiệu về mã độc cho các hệ thống bảo
vệ, thông thường các chuyên viên phải tiến hành phân tích hành vi mã độc bằng phương
pháp thủ công. Nhưng với số lượng mã độc ngày càng nhiều thì việc chỉ dùng phương pháp
phân tích thủ cơng sẽ không theo kịp tiến độ, do vậy đề tài này nghiên cứu xây dựng một hệ
thống tự động phân tích hành vi mã độc nhằm hỗ trợ công tác chuyên mơn, nhanh chóng
nhận diện và phát hiện hành vi của các loại mã độc mới xuất hiện để có biện pháp ứng cứu
sự cố theo đúng chức năng của VNCERT, đồng thời giúp rút ngắn thời gian phân tích mã
độc nhưng lại phân tích được nhiều mã độc hơn trước.
Theo thống kê của VNCERT và hiệp hội an tồn thơng tin Việt Nam, trong năm 2012
đã có tới 2.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tin tặc tấn công và
chiếm quyền điều khiển. Sau khi đã kiểm sốt thành cơng một hệ thống mạng hoặc website,
tin tặc thường sử dụng mã độc để duy trì sự điều khiển cũng như để dị tìm và tấn cơng qua
các hệ thống khác có liên quan đến mạng hiện tại. Bên cạnh đó mã độc cũng là cơng cụ để
phá hoại dữ liệu và đánh cắp thông tin cá nhân của người dùng, các công cụ diệt Virus phần
lớn thường không phát hiện hoặc phát hiện chậm các loại Virus mới xuất hiện.
1.2.

Phân loại mã độc

Trong tài liệu của NIST có một số khác biệt theo định nghĩa và cách hiểu thơng
thường về Virus máy tính đang thơng dụng. Ngay trong tên của tài liệu đã nêu lên sự khác
biệt, các tác giả nói tới “Malware” chứ khơng sử dụng thuật ngữ “Virus”. Tại Việt Nam hiện


4


nay, thuật ngữ “Virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã
độc hại trên mạng, trong máy tính cá nhân.... Khi nói đến “Virus máy tính”, một cách rất tự
nhiên tất cả mọi người đều nghĩ Virus bao gồm cả Worm, Trojan, Keylogger. Trong khi theo
định nghĩa của NIST (và gần như là của cả cộng đồng IT) Virus, Worm, Trojan horse,
Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit,.... chỉ là một dạng của mã độc hại.
Sự khác biệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc
tế về an tồn thơng tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phòng chống Virus của
nước ngồi do khơng đồng nhất về định nghĩa. Phía Việt nam thơng báo “bị Virus tấn cơng”,
đối tác sẽ gửi lại một chỉ dẫn để quét tập tin bị nhiễm trên PC, nhưng thực chất đó là một
cuộc tấn cơng của Worm và phải phịng chống trên toàn bộ mạng. Do vậy phần này sẽ tập
trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng và mục đích
hoạt động khác nhau.
Các loại mã độc:
1.3.

Virus máy tính
Sâu máy tính
Trojan hourse
Phần mềm gián điệp (Spyware)
Phần mềm tống tiền (Scareware)
Phần mềm quảng cáo
Downloader
Backdoor
Botnet
Launcher
Rootkit
Keylogger
Cách thức hoạt động và các hành vi của các loại mã độc
1.3.1. Mục đích của mã độc


Mã độc ban đầu được tạo ra nhằm mục đích thí nghiệm, hoặc chỉ phá hoại một máy
tính đơn lẻ nào đó, nhưng theo thời gian đã có những biến thể mã độc được sử dụng chủ yếu
để ăn cắp các thông tin nhạy cảm của người dùng như tài khoản và mật khẩu, các tin tức về
tài chính hoặc thậm chí là các thơng tin về qn sự quốc phịng để nhằm mang lại lợi ích cho
tin tặc.
Đơi khi mã độc được sử dụng như một cơng cụ chính trị chống lại các trang web của
chính phủ, các cơng ty cơng nghệ cao để thu thập thông tin được bảo vệ hoặc làm gián đoạn
hoạt động của họ trên môi trường mạng.


5

1.3.2. Hướng lây nhiễm của mã độc
Mã độc có thể đến từ nhiều nguồn khác nhau để lây nhiễm vào máy tính người dùng.
Trong đó tựu trung lại trong ba hình thức sau: Hình thức cổ điển: mã độc lây nhiễm thông
qua các thiết bị lưu trữ di động, trước đây là các ổ đĩa mềm, ổ CD đến bây giờ là các thiết bị
lưu trữ USB, thẻ nhớ. Lây nhiễm qua thư điện tử: Khi mà thư điện tử được sử dụng rộng rãi
trên thế giới thì mã độc chuyển hướng lây nhiễm sang thư điện tử thay cho các hình thức lây
nhiễm cổ điển. Hình thức này đặc biệt nguy hiểm vì số lượng máy tính bị lây nhiễm sẽ tăng
theo cấp số nhân, khi một máy bị nhiễm thì mã độc sẽ gửi bản sao của nó đến tất cả các địa
chỉ email có trong máy bị nhiễm. Hình thức lây nhiễm qua thư điện tử bao gồm: Lây nhiễm
từ các tập tin đính kèm trong thư điện tử, lây nhiễm do click vào các liên kết trong thư điện
tử và lây nhiễm ngay khi mở để xem thư điện tử. Hình thức lây nhiễm cuối cùng đó là Lây
nhiễm thơng qua mạng Internet: bao gồm lây nhiễm do các tập tin tài liệu, phần mềm miễn
phí hay bẻ khóa được chia sẽ trên mạng mà người dùng tải về và chạy trên máy tính, lây
nhiễm do truy cập vào các trang web có chứa mã độc (theo cách vô ý hoặc cố ý), cuối cùng
là lây nhiễm mã độc thông qua các lỗi bảo mật trên các hệ điều hành, các ứng dụng có sẵn
trên hệ điều hành hoặc phần mềm của hãng thứ ba.
1.3.3. Hành vi mã độc
Khi lây nhiễm vào một máy tính, mã độc thường thực hiện một số hành vi nhằm che

dấu sự hoạt động của chúng trước người dùng, đồng thời tạo ra các mơi trường để có thể tự
khởi động cùng hệ thống cũng như tải về các mã độc khác. Sau đây là một số hành vi tiêu
biểu nhất mà người phân tích mã độc cần tìm hiểu:

- Sự thay đổi về hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung hay xóa
các tập tin trên hệ thống.

- Sự thay đổi trong hệ thống Registry: Bao gồm việc tạo ra hoặc sửa đổi các giá
trị trong khóa registry.

- Tiêm nhiễm vào các tiến trình khác đang chạy trên hệ thống.
- Tạo ra các Mutex nhằm tránh việc xung đột khi sử dụng tài nguyên trên máy
tính.

- Tạo ra các hoạt động mạng đáng ngờ: Kết nối đến các trang web lạ để tải về
mã độc khác, kết nối đến các máy chủ IRC, thực hiện việc quét các hệ thống bên
ngoài,…


6

- Khởi chạy hoặc cho dừng các dịch vụ trên Windows ví dụ dịch vụ của trình
diệt Virus.
1.3.4. Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng
Ngày nay, mã độc được ví như một dịch bệnh, lan truyền rất nhanh và cách thức hoạt
động cũng như hành vi của mã độc được thay đổi liên tục. Những mã độc ban đầu thường
được thiết kế nhằm làm chậm máy tính hoặc đưa ra các thơng báo quảng cáo gây phiền
nhiễu, tuy nhiên bây giờ các phần mềm độc hại ngày càng kín đáo hơn khi nhiễm vào máy
người dùng. Bất kỳ ai cũng có thể bị nhiễm mã độc ngay lúc này mà không thể phát hiện ra.
Thông thường cách để phát hiện mã độc là sử dụng trình qt Virus để qt tồn bộ máy

tính, nhưng việc này thường tốn thời gian và làm máy tính hoạt động chậm đi. Thậm chí sau
khi quét xong, chúng ta cũng chưa chắc là máy tính là sạch, bởi vì các phần mềm diệt mã
độc chưa phát hiện được các mẫu mã độc mới.
Để có thể phát hiện được mã độc đang chạy trên máy tính, cần sử dụng kết hợp nhiều
cơng cụ hỗ trợ miễn phí khác nhau để tìm mã độc. Các cơng cụ này bao gồm: Công cụ giám
sát registry như Regshot, Autoruns, Comodo Autoruns. Cơng cụ theo dõi tiến trình và tập tin
đang thực thi trên máy như Process XP, KillSwitch. Công cụ theo dõi việc gửi, nhận lưu
lượng mạng như Wireshark, Tcpdump. Công cụ phát hiện Rootkit trên hệ thống như
Kaspersky TDSSKiller. Và cuối cùng để xác định một tập tin có phải là mã độc hay khơng,
người dùng có thể kiểm tra nó bằng các cơng cụ qt Virus khác nhau bằng việc sử dụng các
trang quét Virus trực tuyến như .
Với việc kết hợp các công cụ trên lại với nhau sẽ đem lại hiệu quả phát hiện mã độc cao
hơn là dựa vào các dấu hiệu bất thường trên máy hay sử dụng các trình quét Virus đơn lẻ.
Đối với các hệ thống mạng, có thể sử dụng các cơng cụ phát hiện và ngăn ngừa xâm
nhập như IDS hay IPS hoặc tường lửa để phát hiện mã độc. Các công cụ bảo vệ này sẽ dựa
theo một số dấu hiệu được người dùng định nghĩa trước hoặc các dấu hiệu bất thường để
phát hiện các hành vi của mã độc trên hệ thống.
1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng
Tránh chạy các phần mềm từ các nguồn không tin cậy
Tải phần mềm từ các nguồn an tồn và khơng sử dụng phần mềm đã bẻ khóa
Cảnh giác khi online trên mơi trường mạng
Ln để máy tính được cập nhật và bảo mật nhất có thể


7

1.4. Phương thức lây nghiễm của mã độc
Phương thức lây nhiễm của mã độc tùy thuộc các biến thể (hay các loại mã độc) phổ
biến như: Virus, Worm, Trojan…
1.4.1. Phương thức lây nhiễm của Virus

Dựa trên hành vi, Virus được chia thành 2 loại:

- Nonresident virues: là loại Virus tìm kiếm các máy chủ có thể bị nhiễm và lây
nhiễm sang các mục tiêu này và cuối cùng chuyển điều khiển tới chương trình ứng dụng
mà chúng lây nhiễm.

- Resident virues: là loại Virus khơng tìm kiếm các máy chủ mà thao vào đó
chúng tải vào bộ nhớ để thực thi và kiểm sốt chương trình chủ. Virus này được hoạt
động ở chế độ nền và lây nhiễm vào các máy chủ mới khi các tập tin được truy cập bởi
các chương trình hoặc hệ điều hành ở các máy tính khác.
1.4.2. Phương thức lây nhiễm của Worm (Sâu máy tính)
Yếu tố ban đầu của Worm là một đoạn mã độc hại có vai trị như một cơng cụ xâm
nhập các lỗ hổng bảo mật nằm trên máu tính và khai thác chúng. Worm sẽ được truyền đi
thông qua lỗ hổng này.
Một khi các đoạn mã độc hãi đã được lây nhiễm vào máy, Worm sẽ sử dụng một
công cụ được thiết kế để dị tìm, phát hiện các máy tính khác được kết nối vào mạng. Từ đó,
nó qt các máy tính trên mạng để xác định vị trí các lỗ hổng, sau đó Worm sẽ sử dụng cơng
cụ xâm nhập để truy cập vào các máy tính này.
1.4.3. Phương thức lây nhiễm của Trojan
Trojan thường gồm hai thành phần là client và server, khi máy tính của người sử dụng
bị lây nhiễm Trojan thì chúng sẽ biến thành server và một cổng sẽ bị mở ra, chúng sẽ dùng
client để kết nối tới IP của nạn nhân. Server sẽ ẩn trong bộ nhớ và nó tạo nên những thau đổi
trong hệ thống.
Trojan sẽ tạo thêm đường khởi động vào registry hoặc trong các file autoexec.bat,
win.ini hoặc các file hệ thống khác, do vậy mà server sẽ tự khởi động khi Windows làm việc
trong các phiên tiếp theo.


8


CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG
PHÁP PHÂN TÍCH MÃ ĐỘC
2.1.

Nghiên cứu các kỹ thuật phân tích mã độc

2.1.1. Mục đích kỹ thuật phân tích mã độc
Khi việc sử dụng các biện pháp bảo vệ máy tính như trình diệt Virus hay các hệ thống
tường lửa chưa phát huy hết hiệu quả trong việc nhận dạng và ngăn chặn mã độc mới thì cần
thực hiện việc phân tích mã độc. Mục đích phân tích mã độc chủ yếu để cung cấp các thông
tin cần thiết để xây dựng hệ thống bảo vệ và ngăn ngừa các nguy cơ do mã độc gây ra, bao
gồm xác định chính xác những gì xảy ra khi thực thi mã độc, như các tập tin nào được mã
độc sinh ra, các kết nối ra mạng bên ngoài được mã độc thực hiện, những thay đổi về
registry liên quan đến mã độc, các thư viện và vùng nhớ liên quan đến hoạt động của mã
độc…Việc phát hiện ra hành vi mã độc sẽ giúp tạo ra các dấu hiệu nhận dạng mã độc để áp
dụng vào hệ thống lọc bảo vệ mạng như dấu hiệu về host-base và dấu hiệu nhận dạng về
mạng.
Sau khi thu thập dấu hiệu nhận dạng, mục tiêu cuối cùng đó là tìm hiểu chính xác mã
độc hoạt động như thế nào, tức là làm rõ mục đích và khả năng của chương trình mã độc.
Để phân tích mã độc thơng thường chúng ta có hai hướng: phân tích sử dụng các hệ
thống tự động và phân tích thủ cơng gồm phân tích hoạt động và phân tích bằng cách đọc mã
thực thi của mã độc.
2.1.2. Các kỹ thuật phân tích mã độc
- Các kỹ thuật phân tích mã độc:
 Phân tích tĩnh (Code static analysis),
 Phân tích động (Behavioral dynamic analysis),
 Gỡ rối (Debug),
 Điều tra hành vi của mã độc (Malware forensics).
- Trong đó 2 kỹ thuật chủ yếu là: phân tích tĩnh và phân tích động và mỗi
phương pháp đều có điểm mạnh và điểm yếu riêng:

 Cả 2 phương pháp này cùng có mục đích là giải thích cách hoạt động của mã
độc, cơng cụ, tuy nhiên thời gian làm việc và kỹ năng cần có thì lại rất khác nhau,
 Phân tích tĩnh thường địi hỏi người phân tích xem xét kỹ mã của Virus (đã
được chuyển sang dạng có thể hiểu được, như Assembly, hay C), hiểu được luồng thực
thi và các hành vi của nó thơng qua mã đã dịch ngược,


9

 Phân tích động là phân tích cách hoạt động của Virus khi nó được thực thi, nó
kết nối đến đâu, lây lan như thế nào, cài đặt những gì vào hệ thống, thay đổi thành phần
nào, hoạt động ra sao.
- Ví dụ:
 Phương pháp tĩnh, với những loại Virus phức tạp, thì để đọc hiểu được hết mã
thực thi của nó là một việc rất khó; tuy nhiên phương pháp này cung cấp cho người
phân tích cái nhìn hết sức chính xác về những gì mà nó làm.
 Phương pháp phân tích động, có ưu điểm là q trình phân tích diễn ra nhanh
hơn, dễ dàng hơn; tuy nhiên, khơng phải hành vi nào cũng phân tích được, đơn cử như
những loại Virus phát hiện ra công cụ phân tích thì nó sẽ khơng hoạt động nữa, hoặc
Virus chờ đến một lúc nào đó mới hoạt động.
- Vì thế, khi phân tích mã độc cần phải kết hợp cả 2 phương pháp trên để đạt
được hiệu quả tốt nhất.
- So sánh ưu điểm và nhược điểm của các phương pháp phân tích Malware:
Ưu điểm

Nhược điểm

- Khơng thực hiện việc chạy
- Không thực hiện
mã độc, giảm thiểu nguy cơ lây lan việc chạy Malware, khó biết

được
hoạt
động
của
- Phân tích Malware dựa trên Malware.
việc phân tích các cấu trúc tệp tin,
- Phân tích và reverse
phân tích định dạng file.
code đưa về dạng assembly,
địi hỏi phải có kinh nghiệm
lập trình
và phá hủy hệ thống.
Static
analysis

- Giám sát được các hoạt
- Khi thực hiện chạy
động của Malware qua việc thực Malware khiến hệ thống đối
mặt với những nguy cơ và rủi
Dynami
- Giám sát được các tác động ro về an tồn thơng tin.
c analysis
của Malware lên hệ thống.
- Đơi khi rất khó có
- Xác định được ảnh hưởng thể thực thi được phần mềm
độc hại do cần tham số để
của Malware lên hệ thống.
thực thi.
hiện chạy Malware.



10

2.2.

Nghiên cứu phương pháp phân tích tĩnh
Đặc điểm của phương pháp phân tích tĩnh này là sẽ kiểm tra, phân tích

Malware mà khơng thực thi mã độc. Cơ bản của việc phân tích tĩnh bao gồm các bước kiểm
tra các file thức thi mà không cần các hướng dẫn thực tế. Qua bước phân tích tĩnh sẽ xác
nhận cho chúng ta liệu file đó có phải là mã độc hay không, cung cấp thông tin về chức năng
của chúng, đôi khi những thông tin này sẽ cung cấp cho người dùng những dấu hiệu nhận
dạng các loại Malware.
2.2.1. Basic static analysis
Là phương pháp đơn giản và có thể thực hiện một cách nhanh chóng. Tuy nhiên
phương pháp này lại khơng có hiệu quả trong việc phân tích những loại Malware phức tạp
và do đó chúng ta có thể bỏ qua những hành vi quan trọng mà Malware gây ra.
Trong mức này chúng ta chưa quan tâm tới việc thực thi File Malware, trong phần
này tôi sẽ tập trung vào việc phân tích mã, cấu trúc, header của chương trình để xác định các
chức năng:

- Xác định các thông tin từ string, header, function của file: mỗi kỹ thuật sẽ
cung cấp các thơng tin khác nhau tùy thuộc mục đích nghiên cứu. Tôi sẽ sử dụng một vài kỹ
thuật sao cho thu thập được càng nhiều thông tin càng tốt.

- Sử dụng Hash để xác định Malware: Hashing là phương pháp phổ biến để
nhận diện và xác định phần mềm độc hại. Khi Malware được chạy qua một phần mềm hash
sẽ tạo ra một chuỗi ký tự (chuỗi ký tự này được coi như là vân tay của Malware)
- Sử dụng việc tìm kiếm chuỗi: một chương trình thường chứa các chuỗi nếu nó
in ra một message, kết nối tới một đường dẫn URL hoặc copy một file đến một vị trí xác

định.
- Packed and Obfuscated Malware: các Malware được viết thường được đóng
gói thành các file để gây khó khăn trong việc phát hiện và phân tích. Chương trình
Obfuscated là chương trình mà tác giả của Malware thực hiện để che giấu. Chương trình
Packed là một phần của chương trình Obfuscated trong đó các chương trình mã độc được
nén và khó có thể phân tích. Cả hai kỹ thuật này sẽ gây khó khăn trong việc phân tích
Malware.
2.2.2. Advanced static analysis
Bao gồm các kỹ thuật reverse-engineering được thực hiện bằng cách tải lên
các file thực thi, xem xét các chương trình hướng dẫn để khám phá các chương trình bên
trong. Advanced static analysis sẽ đưa ra các thơng tin chính xác về các chương trình được


11

chạy như thế nào. Tuy nhiên phương pháp này khó hơn basic analysis rất nhiều và địi hỏi
phải có kiến thức về mảng disassembly, lập trình, và các khái niệm về hệ điều hành.
2.3.

Nghiên cứu phương pháp phân tích động

Đặc điểm của phương pháp phân tích động này là sẽ kiểm tra, phân tích Malware
bằng việc thực thi mã độc:

-

Basic dynamic analysis: là phương pháp thực thi mã độc và giám sát các hành
vi của chúng trên hệ thống để tìm cách loại bỏ chúng, tìm ra các dấu hiệu để nhận biết
Malware. Tuy nhiên, chúng ta cần phải xây dựng mơi trường an tồn để cho phép chạy và
nghiên cứu Malware mà không gây tổn hại đến hệ thống hoặc mơi trường mạng. Cũng

giống với basic static analysis thì phương pháp basic dynamic analysis thường được sử
dụng kể cả với những người không am hiểu về kiến thức lập trình. Và phương pháp này
cũng khơng hiệu quả trong việc phân tích các loại Malware phức tạp.
Advanced dymanic analysis: đây là phương pháp sử dụng chương trình gỡ lỗi
để kiểm tra các trạng thái ngầm của mã độc khi thực thi nó. Phương pháp này sẽ cung cấp
cho chúng ta những thông tin chi tiết khi thực thi mã độc. Phương pháp này sẽ giúp chúng
ta thu thập thông tin khi các thơng tin đó khó có thể lấy được từ những phương pháp phân
tích khác.
2.4.

Mơi trường thực hiện việc phân tích mã độc

Mơi trường ảo ở đây sẽ được xây dựng tùy trường hợp, tùy từng đơn vị phân tích.
Đối với người phân tích mã độc khơng chun thì mơi trường ảo đó đơn giản chỉ là
một VMware hay VirtualBox có cài sẵn Xindows, XP,… cùng một số ứng dụng thông dụng
như Java, Flash,…
Đối với những chuyên gia phân tích chun nghiệp trong các phịng thí nghiệm mã
độc họ có thể xây dựng những mơ hình phân tích phức tạp hơn như xây dựng nhiều máy ảo
chạy trên nhiều nền tảng khác nhau, cho các máy đó thơng với nhau để thử nghiệm lây lan
trong Lan
Đối với một chuyên gia phân tích mã độc chuyên nghiệp họ sẽ xây dựng những
sandbox tự động để tiết kiệm thời gian
Đối với một số hãng lớn họ thực hiện phân tích mã độc theo quá trình một cách tự
động, các chuyên gia của họ thường dành thời gian để phân tích thủ cơng một số mã độc đặc
biệt hay phân tích lại các biến thể mới,….


12

Hình 4: Mơi trường phân tích mã độc

Để phân tích mã độc người phân tích cần tại ra những mơi trường ảo để phân tích,
đảm bảo mã độc khơng thể lây nhiễm ra ngồi hay làm hại đến máy tính của chính mình.
2.4.1. Mơi trường tải mã độc
- Mơi trường tách biệt khỏi mạng làm việc.
- Môi trường không dùng trình duyệt truy cập vào link tải mã độc và trình duyệt
dễ bị tấn cơng. Sử dụng cơng cụ riêng biệt để tải mã độc (Wget, Curl).
- Nên sử dụng môi trường khác với môi trường thực thi mã độc (VD mơi trường
Linux).
- Sau khi tải về thì đổi tên, tránh trường hợp vơ tình thực thi mã độc.
2.4.2. Mơi trường phân tích mã độc
- Để phân tích được Malware, việc đầu tiên là phải có được các mẫu Malware
để thực hiện phân tích. Người dùng có thể tải được Malware từ các website như:
/>- Hệ điều hành mà chúng ta thử nghiệm Malware: Windows, Linux, hay
MacOS.
- Môi trường để thử nghiệm Malware, có thể sử dụng máy ảo để thử nghiệm.
Xây dựng hệ thống lab ảo làm môi trường thử nghiệm Malware. Ngồi ra, có thể sử dụng
phần mềm VMware để tạo các PC ảo để thử nghiệm. Hoặc có thể sử dụng sandbox để tạo
mơi trường thử nghiệm Malware và giám sát các hoạt động của Malware. Thực tế, đôi khi


13

chúng ta cũng cần sử dụng máy thật để thử nghiệm Malware vì thực tế đã xuất hiện một
số Malware sẽ rơi vào trạng thái bất hoạt nếu nó detect được nó đang chạy trên mơi
trường ảo.

- Chuẩn bị các công cụ để thực hiện việc giám sát sự thay đổi các tiến trình
trong hệ thống (thường sử dụng trong dynamic analysis Malware) Sandbox thường được
sử dụng để giám sát các hành vi của Malware bằng cách thực thi Malware trong môi
trường sandbox.

- Chuẩn bị các công cụ phục vụ cho việc giải mã để phân tích mã nguồn của
Malware (thường sử dụng trong static analysis Malware).
- Sử dụng tool để capture các gói tin: để phân tích xem liệu Malware có thực
hiện kết nối liên lạc ra mơi trường Internet hay không.
- Lab phục vụ cho kỹ thuật phân tích gì:
 Static analysis.

-

 Dynamic analysis.
Sau khi thực hiện phân tích Malware chúng ta cần phải xây dựng cơ sở dữ liệu

về Malware phục vụ cho việc xác định mẫu Malware sau này. Dựa vào dấu hiệu nhận biết
Malware hoặc dấu vân tay của Malware.
2.4.3. Mơ hình mơi trường phân tích mã độc
Mơ hình tổng qt việc thực hiện phân tích Malware:

Hình 5: Mơ hình thực hiện phân tích Malware


14

Q trình phân tích phát hiện Malware:

-

Malware được đưa qua 1 phần mềm băm ra lấy mã băm (MD5/SHA).
Chuỗi băm được so sánh với chuỗi ký tự lưu trong cơ sở dữ liệu.
Nếu tồn tại trong cơ sở dữ liệu => là Malware và kết thúc q trình phân tích.
Nếu khơng tịn tại trong cơ sử dữ liệu sẽ được đẩy sang hệ thống phân tích(


Mlalyzer Malware). Hệ thống phân tích sẽ sử dụng 1 trong 2 phương pháp phân tích tĩnh
(Static) hoặc phân tích động (Dynamic) để phân tích.
Kết quả của q trình phân tích đưa ra là phát hiện Virus thì mã băm của nó sẽ được
lưu vào trong cơ sở dữ liệu và kết thúc quá trình. Nếu khơng thì kết thúc q trình phân tích
ln
2.4.4. Xây dựng hệ thống lab phân tích Malware
Trong phần này tơi sẽ tìm hiểu cách thức xây dựng một hệ thống Malware: có
thể xây dựng lab trên mơi trường thật có nghĩa là sử dụng các thiết bị vật lý hoặc xây dựng
trên môi trường ảo sử dụng phần mềm VMware. Phần này sẽ đề cập tới cả 2 phương pháp
nhưng ở đây tôi sẽ tập trung và nhấn mạnh vào việc xây dựng hệ thống phân tích Malware
trên mơi trường ảo:

- Physical environment: xây dựng trên môi trường vật lý tức là chúng cần có
những máy tính thật chạy các hệ điều hành của Windows, Linux, MacOS. Sau đó chúng
ta sẽ thử nghiệm Malware trên chính những máy tính thật này. Để đảm bảo chiếc PC mà
chúng ta thử nghiệm sẽ khơng bị lỗi, hỏng hóc về phần mềm hoặc hệ điều hành trong
quá trình thử nghiệm Malware nên sử dụng phần mềm đóng băng ổ cứng như Deep
Freeze như một cách để backup hệ thống.
- Virtual environment: đây có thể là các máy ảo chạy các hệ điều hành của
Windows, Linux, MacOS hoặc sandbox. Chúng ta sẽ thực thi Malware trên những máy
ảo này. Trước khi thực thi Malware chúng ta nên tạo ra 1 bản snapshot để lưu lại trạng
thái của máy ảo trước khi thực thi. Nếu xảy ra lỗi chúng ta chỉ cần quay lại về trạng thái
đã đặt snapshot.
- Trước khi bắt đầu với việc xây dựng một môi trường lab phải luôn nhớ rằng
việc xây dựng một mơi trường an tồn là rất quan trọng. Các lỗ hổng có thể gây lỗi trên
máy thật chúng ta xây dựng môi trường lab. Một số lưu ý khi xây dựng mơi trường lab
an tồn:



Khơng chia sẻ tài nguyên giữa máy thật và máy ảo


15



Đảm bảo rằng máy thật được cập nhật những phiên bản mới nhất của

các phần mềm anti-Virus.
 Chúng ta nên đặt card mạng của máy ảo ở card Nat, sử dụng máy ảo
này kết nối Internet và download các Malware cần thiết, không nên sử dụng máy
thật để download Malware.


Ngăn chặn target truy nhập tới bất cứ shared devices hoặc removable

media nào, ví dụ USB drives được cắm vào máy thật.
2.5.

Quy trình thu thập và phân tích mã độc

2.5.1. Thu thập mã độc
Sự cần thiết của việc thu thập mã độc : Mục đích xây dựng và triển khai hệ thống điều
tra, phát hiện cách thức tấn công của tin tặc phần nào giúp các đơn vị nhận biết được mức độ
an tồn thơng tin hiện tại của cổng thơng tin điện tử, nâng cao nhận thức về an toàn thơng
tin, mặt khác có thể phối hợp với các đơn vị quản lý điều tra nguyên nhân, động cơ, và các
hành vi mà tin tặc tấn công để chủ động lên kế hoạch giải quyết, đối phó.
Khi hệ thống triển khai sẽ thu thập các cách thức tấn công của tin tặc vào các cổng
thông tin điện tử cũng như thu thập các phần mềm độc hại (Malware) phục vụ cho việc phân

tích phạm vi, nguồn gốc tấn cơng.
2.5.2. Quy trình phân tích mã độc
Bước 1: Xác định nguồn gốc mã độc.
Bước 2: Liên hệ nơi phát tán mã độc để thu thập mẫu.
Bước 3: Tiến hành quy trình phân tích sơ lược các thơng tin ban đầu về mã độc.
Bước 4: Tiến hành quy trình phân tích hoạt động để xác nhận các hành vi của mã độc.
Bước 5: Tiến hành phân tích tĩnh để tìm hiểu sâu hơn về các hành vi mã độc mà phân
tích hoạt động chưa tìm ra được.
Bước 6: Tiến hành tổng hợp và xuất báo cáo cuối cùng về hành vi mã độc.


16

Hình 6: Quy trình phân tích mã độc khi chưa có hệ thống phân tích tự động
Việc thực hiện quy trình sáu bước trên tương đối tốn thời gian tại bước phân tích sơ
lược và phân tích hoạt động, trong khi đó thời gian dành cho việc phân tích mã thực thi lại
giảm xuống do vậy sẽ khó thực hiện đối với các trường hợp cần có kết quả phân tích gấp.

Hình 7: Quy trình phân tích mã độc khi có hệ thống phân tích tự động
Khi có hệ thống phân tích tự động, thì hai quy trình phân tích sơ lược và phân tích
hoạt động đã được tinh giảm đi. Bên cạnh đó q trình phân tích tự động được tự động hoàn
toàn nên tiết kiệm rất nhiều thời gian để dành cho việc phân tích mã thực thi.
2.6. Nghiên cứu các cơng cụ hỗ trợ phân tích mã độc
2.6.1. Cơng cụ hỗ trợ phân tích tĩnh


17

Phân tích tĩnh có ưu điểm là an tồn hơn phân tích động vì mã thực thi khơng thực sự
chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ

cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu… Chỉ có một mối nguy hiểm
có thể xảy ra, là trong q trình phân tích, chúng ta vơ tình thực thi mã độc (click đúp, hoặc
chạy thư viện chứa mã độc). Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách
phân tích tĩnh mã độc trên một mơi trường mà nó khơng thực thi được (ví dụ phân tích mã
độc trên Windows trong hệ điều hành Linux).
 Các kỹ thuật hỗ trợ việc phân tích tĩnh:

- Kỹ thuật lấy thông tin ban đầu về file
- Kỹ thuật Qt Virus
- Ngồi ra, cũng có một số dịch vụ quét Virus trực tuyến
- Phát hiện các trình packer:
 Các cơng cụ hỗ trợ phân tích tĩnh:

- PEiD là một chương trình miễn phí, dùng để phát hiện ra các packer được sử
dụng trên một chương trình và có thể đưa ra phiên bản trình biên dịch được sử dụng.
PEiD sử dụng tập hợp các chữ ký của rất nhiều (phiên bản sạch có khoảng trên 600 chữ
ký của các trình biên dịch và packer khác nhau; trong khi đó, với sự hỗ trợ của các nhà
phân tích, có những bản có trên 10000 chữ ký). Để sử dụng chúng, có thể:

- Sử dụng chuỗi tìm được:

Để hiểu được những gì một chương trình thơng thường làm, chúng ta
thường tìm đọc các tài liệu đi kèm, hướng dẫn sử dụng… Với mã độc cũng tương tự,
tuy nhiên, “thường” khơng có tài liệu hay hướng dẫn. Thay vào đó, những thơng tin
hữu ích trong file thực thi là điều đáng lưu ý. Ví dụ như chương trình thường in ra
màn hình những trạng thái hoạt động, hoặc thơng báo lỗi. Theo dấu vết các chuỗi này,
có thể hiểu và thấy được phần nào cách hoạt động của chúng.

Các chuỗi trong file thực thi nói chung, có thể được lấy ra sử dụng một
số công cụ như Strings trong bộ Sysinternals, Bintext trong Foundstone hay

HexWorkshop, 010Editor, IDA… Khi sử dụng các cơng cụ này, cần chú ý rằng nên
chọn trích xuất ra cả định dạng ASCII và UNICODE.

- Công cụ dịch ngược:


18



Sau khi đã có thơng tin cơ bản về mã độc ở các bước trên, cơng việc

chính tiếp theo là hiểu cách hoạt động của nó, bằng cách xem mã thực thi ở dạng có
thể hiểu được (dưới dạng ngơn ngữ assembly).

Rất nhiều những cơng cụ có khả năng dịch ngược từ mã máy sang mã
assembly, tuy nhiên, hiện nay, cơng cụ được ưa thích, rất mạnh và dễ sử dụng – đó
là IDA (Interactive Disassembler). Cơng cụ này được phát triển bởi Hex-rays, Ilfak
Guinifanov, một chuyên gia phân tích lỗ hổng, mã độc. Tác giả đã sử dụng kinh
nghiệm làm việc của mình, khắc phục các khó khăn mà q trình phân tích gặp phải,
để đưa ra cơng cụ cực kỳ hữu ích này. Nó được tin dùng ở hầu hết những nhà phân
tích mã độc, các cơng ty an ninh mạng, diệt Virus (Kaspersky, F-secure, Avira,
Symantec…).

- Các công cụ so sánh file: sử dụng để so sánh các file trước và sau khi hệ thống
bị lây nhiễm mã độc. Giả sử có một file chưa lây nhiễm và một người khác gửi đến
trung tâm phân tích một file đã nhiễm mã độc, thì đây là cơng cụ cần sử dụng đầu tiên.
Không chỉ đưa ra thông tin về những byte khác nhau, các cơng cụ này cịn có khả năng
đưa ra mã assembly của những đoạn đó, giúp cho người phân tích dễ dàng thấy được các
hoạt động của mã độc.


CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC
3.1.

Kiến trúc cơ bản của hệ thống

Hệ thống sử dụng hệ điều hành mã nguồn mở - Ubuntu, cài đặt Cuckoo sandbox để
phân tích mã độc và virtual box để chạy các máy ảo hỗ trợ việc phân tích trên các hệ điều
hành khác nhau.
Các máy ảo liên kết tới Cuckoo sandbox, và được tạo các snapshot khác nhau của các
môi trường phân tích khác nhau.
Để thuận tiện, hệ thống sử dụng thêm Mysql và Apache. Mysql để lưu các tiến trình
phân tích (task), tên các máy ảo (machine), các snapshot, các platform… Apache giúp người
dùng tương tác với hệ thống phân tích file thơng qua website, tăng tính thuận tiện và đơn
giản.
3.2.

Mơ hình logic của hệ thống Malware analytics


19

Hình 8: Mơ hình logic hệ thống Malware analytics
Khi có yêu cầu phân tích file từ người dùng, máy chủ Malware analytics (MA) tiến
hành 3 cơng việc chính:


Băm file (hash): để so sánh với các kết quả băm trên các trang Malware online.




Kiểm tra file trên Virus total, so khớp kết quả.



Chạy file:
o
o

Ghi lại màn hình trong quá trình chạy.
Kiểm tra các kết nối ra ngồi, nếu có thì kiểm tra tiếp xem

nó thuộc quốc gia nào.
o
DNS request.
o
Các key registry mà file tác động đến.
o
Ngồi ra cịn có các file tạm được sinh ra, các thư viện
được gọi đến, PID và Parent PID của nó và các file được gọi đến.
3.3.

Mơ hình vật lý của hệ thống


20

Hình 9: Mơ hình vật lý của hệ thống
Khi người dùng gửi yêu cầu phân tích file mã độc tới máy chủ, máy chủ sẽ phân phối
file đi các máy ảo để chạy file và thực hiện phân tích.

Kết quả sẽ được trả về máy chủ để xuất báo cáo chi tiết tới người dùng.
Phân tích thiế t kế chức năng hê ̣ thớ ng
3.4.1. Mục đích, đối tượng

3.4.

-

Mục đích: Xây dựng 1 cơng cụ có chức năng kiểm tra, phân tić h hành vi của các tê ̣p tin
nghi ngờ là mã đô ̣c, đồ ng thời so sánh với các virus, mã đô ̣c hiê ̣n hành.

-

Đối tượng sử dụng:
 Người quản trị: Quản lý các module, thống kê dữ liệu, quản lý người dùng.
 Người dùng hệ thống: Thực hiện rà quét phân tích các file nghi ngờ chứa mã đô ̣c,
thống kê chi tiết báo cáo.
3.4.2. Phân tích thiết kế các chức năng
Các chức năng chính của hê ̣ thố ng như sau:
-

Xem tra ̣ng thái các file đã phân tích, báo cáo lỗi, đang trì hoañ , đã hoàn
thành, đang cha ̣y, đang đơ ̣i, xử lý lỗi.
Trả về kế t quả phân tić h gầ n nhấ t.
Trả về thông tin tổ ng quan của tê ̣p tin nghi ngờ malware: chi tiế t file, mã
MD5, SHA, …
Trả về các thông tin khi thực thi tê ̣p tin trên máy ảo, hin
̀ h chu ̣p màn hin
̀ h.
Trả về các thông tin đo ̣c ghi các thanh ghi.

So khớp với các chương trình diê ̣t virus trên Virustotal.


21

3.5.

- Kế t quả phân tić h hành vi của tê ̣p tin.
- Kế t quả phân tić h network, ma ̣ng của tê ̣p tin.
- Kế t quả các thư mu ̣c bi ̣hủy.
Hệ thống Website hỗ trợ báo cáo, thống kê các hành vi của mã độc đã phân
tích.

Website hỗ trợ báo cáo thống kê bao gồm các menu chính: Trang chủ, phân tích mã
độc, Livemapattack;
Trang chủ: Tổng hợp thống kê một số thông tin về mã độc. Các tập tin và url nhập
vào mới nhất trên hệ thống; Top 10 mã độc mới nhất.
Trang phân tích mã độc: gồm có Drashbroad mơ tả tổng quan những thơng tin đã
phân tích; Những file phân tích gần đây; Nhưng file đang phân tích; tìm kiếm.
LiveMapAttack mơ tả tình hình diễn biến của các cuộc tấn công trên thế giới (mục
đích tham khảo).
3.5.1. Trang chủ
3.5.2. Trang phân tích mã độc
- Submit: phục vụ việc upload file, Url trực tiếp.
- Tab tìm kiếm (Search): phục vụ chức năng tìm kiếm các file đã phân tích.
- Tab Pending: mơ tả các task đang được thực hiện.
- Tab Recent: mô tả các task được phân tích gần đây:
- Task Files: mơ tả các file đã phân tích.
- Trong file: mơ tả nội dung các file đã phân tích: xem tổng quan, phân tích tĩnh,
phân tích hành vi, phân tích mạng, các file đã drop.

3.6. Giới thiệu hệ thống sử dụng cho việc phân tích hành vi của mã độc
Hệ thống đang được vận hành trên máy chủ nội bộ, thông tin hệ thống:
- Địa chỉ: />

22

Hình 10: Giao diện của trang phân tích hành vi mã độc
3.1.1. Quy trình phân tích một tập tin
Khi tiến hành phân tích một tập tin mã độc thì hệ thống sẽ thực hiện các bước như mơ
hình dưới đây:

Hình 11: Quy trình phân tích một mã độc trên hệ thống
Để tiến hành phân tích một tập tin mã độc, cần chọn kiểu tập tin tương ứng với mã
độc trên website. Dưới đây là một số kiểu tập tin mà hệ thống hỗ trợ:
- Các tập tin thực thi trên môi trường Windows: .EXE.
- Tập tin thư viện liên kết động: .DLL.
- Tập tin văn bản: .PDF.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×