SlideShare a Scribd company logo

Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc

DV Viết Luận văn luanvanmaster.com ZALO 0973287149
DV Viết Luận văn luanvanmaster.com ZALO 0973287149

Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc, các bạn có thể tham khảo thêm tại web luanvantot.com

Education
1 of 94
DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149 TẢI FLIE TÀI LIỆU – LUANVANTOT.COM EBOOKBKMT.COM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ----------------------------------------------------------- NGUYỄN NGỌC QUÂN NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 BÁO CÁO LUẬN VĂN THẠC SĨ HÀ NỘI – 2015
DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149 TẢI FLIE TÀI LIỆU – LUANVANTOT.COM EBOOKBKMT.COM LỜI CẢM ƠN Trước hết tôi xin cảm ơn sâu sắc tới TS. Nguyễn Trung Kiên, đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp. Tôi xin cảm ơn các cán bộ Viện Công nghệ thông tin và truyền thông CDIT; các thầy cô trong khoa Công nghệ thông tin, khoa Quốc tế và Đào tạo sau Đại học - Học viện Công nghệ Bưu chính Viễn thông đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian học tập nghiên cứu tại trường. Tôi xin cảm ơn các cấp Lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia sẻ, giúp đỡ, tạo điều kiện cho tôi hoàn thành khóa luận này. Hà Nội, tháng năm 2015 Nguyễn Ngọc Quân
ii EBOOKBKMT.COM LỜI CAM ĐOAN Tôi xin cam đoan Luận văn này là công trình nghiên cứu khoa học nghiêm túc của cá nhân, được thực hiện dưới sự hướng dẫn khoa học của TS. Nguyễn Trung Kiên. Các số liệu, kết quả nghiên cứu và kết luận được trình bày trong Luận văn là trung thực và chưa được công bố dưới bất kỳ hình thức nào. Tôi xin chịu trách nhiệm về công trình nghiên cứu của mình. TÁC GIẢ LUẬN VĂN Nguyễn Ngọc Quân
iii EBOOKBKMT.COM MỤC LỤC LỜI CẢM ƠN...........................................................................................................................ii LỜI CAM ĐOAN .....................................................................................................................ii MỤC LỤC .............................................................................................................................. iii DANH MỤC CÁC TỪ VIẾT TẮT .........................................................................................vi DANH MỤC HÌNH VẼ..........................................................................................................vii MỞ ĐẦU ..................................................................................................................................x CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC .............................................................................1 1.1. Tổng quan về mã độc ................................................................................................1 1.1.1. Khái niệm về mã độc............................................................................................1 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới...................................................1 1.2. Phân loại mã độc .......................................................................................................4 1.2.1. Virus máy tính......................................................................................................5 1.2.2. Sâu máy tính ........................................................................................................6 1.2.3. Trojan hourse......................................................................................................7 1.2.4. Phần mềm gián điệp (Spyware) ..........................................................................7 1.2.5. Phần mềm tống tiền (Scareware)........................................................................8 1.2.6. Phần mềm quảng cáo..........................................................................................9 1.2.7. Downloader..........................................................................................................9 1.2.8. Backdoor ..............................................................................................................9 1.2.9. Botnet .................................................................................................................10 1.2.10. Launcher............................................................................................................10 1.2.11. Rootkit ................................................................................................................11 1.2.12. Keylogger............................................................................................................11 1.3. Cách thức hoạt động và các hành vi của các loại mã độc....................................11 1.3.1. Mục đích của mã độc..........................................................................................11 1.3.2. Hướng lây nhiễm của mã độc.............................................................................11 1.3.3. Hành vi mã độc...................................................................................................12 1.3.4. Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng ......................13
iv EBOOKBKMT.COM 1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng ........13 1.4. Phương thức lây nghiễm của mã độc ....................................................................14 1.4.1. Phương thức lây nhiễm của Virus....................................................................14 1.4.2. Phương thức lây nhiễm của Worm (Sâu máy tính).........................................15 1.4.3. Phương thức lây nhiễm của Trojan .................................................................15 1.5. Kết luận Chương 1 ..................................................................................................16 CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC ........................................................................................................................................17 2.1. Nghiên cứu các kỹ thuật phân tích mã độc...........................................................17 2.1.1. Mục đích kỹ thuật phân tích mã độc...................................................................17 2.1.2. Các kỹ thuật phân tích mã độc..........................................................................18 2.2. Nghiên cứu phương pháp phân tích tĩnh ..............................................................19 2.2.1. Basic static analysis...........................................................................................19 2.2.2. Advanced static analysis....................................................................................26 2.3. Nghiên cứu phương pháp phân tích động.............................................................26 2.4. Môi trường thực hiện việc phân tích mã độc........................................................29 2.4.1. Môi trường tải mã độc.......................................................................................30 2.4.2. Môi trường phân tích mã độc ...........................................................................31 2.4.3. Mô hình môi trường phân tích mã độc.............................................................31 2.5. Quy trình thu thập và phân tích mã độc...............................................................34 2.5.1. Thu thập mã độc .................................................................................................34 2.5.2. Quy trình phân tích mã độc................................................................................35 2.6. Nghiên cứu các công cụ hỗ trợ phân tích mã độc.................................................36 2.6.1. Công cụ hỗ trợ phân tích tĩnh...........................................................................36 2.6.2. Công cụ hỗ trợ phân tích động .........................................................................42 2.7. Kết luận Chương 2 ..................................................................................................44 CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC .........................................................46 3.1. Kiến trúc cơ bản của hệ thống ...............................................................................46 3.2. Mô hình logic của hệ thống Malware analytics....................................................46 3.3. Mô hình vật lý của hệ thống ...................................................................................47
v EBOOKBKMT.COM 3.4. Giới thiệu hệ thống sử dụng cho việc phân tích hành vi của mã độc .................47 3.1.1. Quy trình phân tích một tập tin.........................................................................48 3.1.2. Quy trình phân tích địa chỉ URL độc hại.........................................................55 3.2. Kết luận chương 3 ...................................................................................................57 KẾT LUẬN.............................................................................................................................58 TÀI LIỆU THAM KHẢO ......................................................................................................59 PHỤ LỤC................................................................................................................................60
EBOOKBKMT.COM DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt AV-TEST Tổ chức kiểm định và đánh giá độc lập về các phần mềm diệt Virus cho Windows và Android BKAV Công ty an ninh mạng BKAV CPU Central Processing Unit Bộ xử lý trung tâm của máy tính IPS Intrusion prevention system Hệ thống phát hiện xâm nhập IDS Intrusion detection system Hệ thống ngăn ngừa xâm nhập IIS Internet Information Services MD5 Message Digest Algorithm 5 Thuật toán băm mã hóa dữ liệu MD5 NIST National Institute of Standards and Technology Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ P2P Peer to peer Mạng ngang hàng PC Personal computer Máy tính cá nhân PE File Portable Executable File SHA-1 Secure Hash Algorithm 1 Thuật toán băm mã hóa dữ liệu SHA-1 VNCERT Vietnam Computer Emergency Response Team Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNPT Vietnam Posts and Telecommunication Group Tập đoàn Bưu chính Viễn thông Việt Nam
vii vii DANH MỤC HÌNH VẼ Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST ................................................2 Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới.............................................3 Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV .....................................................3 Hình 4: Virus đính kèm trong các tập tin thực thi ....................................................................5 Hình 5: Mô tả mức độ lây lan của sâu mật mã đỏ năm 2001 ...................................................6 Hình 6: Trojan ẩn mình trong các phần mềm miễn phí............................................................7 Hình 7: Hoạt động của người dùng Spyware ghi lại ................................................................8 Hình 8: Scareware mạo danh FBI tống tiền người dùng ..........................................................9 Hình 9: Công dụng của một mạng Botnet ..............................................................................10 Hình 10: Hash Netcat.............................................................................................................20 Hình 11: String khi tách từ mẫu Malware 1 ...........................................................................21 Hình 12: String khi tách từ mẫu Malware 2 ...........................................................................22 Hình 13: Chuỗi ASCII ............................................................................................................22 Hình 14: Chuỗi Unicode.........................................................................................................22 Hình 15: File Malware nc được giả dưới dạng file nén..........................................................24 Hình 16: Byte định dạng file thực thi .....................................................................................25 Hình 17: Byte định dạng file zip.............................................................................................25 Hình 18: Chương trình Malware được biên dịch bằng Visual C++ .......................................26 Hình 19: Hệ thống chạy khi chưa thực thi Malware...............................................................28 Hình 20: Hệ thống xuất hiện tiến trình lạ thực thi Malware...................................................28 Hình 21: Malware tác động đến các file trên hệ thống...........................................................29 Hình 22: Môi trường phân tích mã độc ..................................................................................30 Hình 23: Mô hình thực hiện phân tích Malware.....................................................................32 Hình 24: Thành phần môi trường phân tích mã độc...............................................................33 Hình 25: Quy trình phân tích mã độc khi chưa có hệ thống phân tích tự động......................35 Hình 26: Quy trình phân tích mã độc khi có hệ thống phân tích tự động ..............................36 Hình 27: Màn hình sử dụng PEiD ..........................................................................................38 Hình 28: Rdg Packer Detector................................................................................................38 Hình 29: ExeInfo.....................................................................................................................39 Hình 30: Giao diện đồ họa của IDA Pro.................................................................................41 Hình 31: BinDiff.....................................................................................................................42 Hình 32: Giao diện sử dụng của Process Monitor..................................................................43 Hình 33: Cửa sổ Filter của Process Monitor...........................................................................43 Hình 34: Mô hình logic hệ thống Malware analytics .............................................................46 Hình 35: Mô hình vật lý của hệ thống ....................................................................................47
viii viii Hình 36: Giao diện của trang phân tích hành vi mã độc ........................................................48 Hình 37: Quy trình phân tích một mã độc trên hệ thống........................................................49 Hình 38: Giao diện mục nhập mã độc ....................................................................................50 Hình 39: Trang hiện thị thông tin về các mã độc đã phân tích...............................................51 Hình 40: Thông tin sơ lược về mã độc ...................................................................................52 Hình 41: Các thông tin chi tiết về hành vi mã độc (1)............................................................53 Hình 42: Các thông tin chi tiết về hành vi mã độc (2)............................................................54 Hình 43: Các thông tin chi tiết về hành vi mã độc (3)............................................................55 Hình 44: Giao diện nhập địa chỉ URL để phân tích................................................................56 Hình 45: Trang hiển thị thông tin về các địa chỉ URL đã phân tích.......................................56 Hình 46: Các thông tin chi tiết về hành vi của website chứa mã độc.....................................57 Hình 47: Tiến hành cài đặt Winpcap ......................................................................................60 Hình 48: Tiến hành cài đặt Wireshark....................................................................................61 Hình 49: Giải nén BSA...........................................................................................................61 Hình 50: Giao diện sandboxie sau khi cài đặt xong ...............................................................62 Hình 51: Chỉnh sửa cấu hình Sandbox ...................................................................................62 Hình 52: File cấu hình Sandbox trước khi chỉnh sửa .............................................................63 Hình 53: File cấu hình đã được chỉnh sửa ..............................................................................63 Hình 54: Chạy thử process monitor trong môi trường sandbox .............................................64 Hình 55: Hoạt động của Buster Sandbox Analyzer................................................................65 Hình 56: Thực thi netcat trong môi trường sandbox ..............................................................66 Hình 57: Netcat load các file thư viện, tạo các tiến trình mới................................................66 Hình 58: Thông tin trong file report .......................................................................................67 Hình 59: Phân tích hành vi .....................................................................................................68 Hình 60: Malware query DNS teredo.ipv6.microsoft.com....................................................69 Hình 61: Malware query DNS teredo.ipv6.microsoft.com....................................................69 Hình 62: Malware nhận trả lời từ việc query tên miền...........................................................70 Hình 63: Malware nhận trả lời từ việc query tên miền...........................................................71 Hình 64: Malware nhận trả lời từ việc query tên miền...........................................................71 Hình 65: Kiểm tra Malware với Virus total............................................................................72 Hình 66: Kết quả kiểm tra qua phần mềm anti Malware nổi tiếng.........................................72 Hình 67: Conficker thay đổi thuộc tính của Chrome..............................................................73 Hình 68: Web server hoạt động ..............................................................................................74 Hình 69: Conficker lấy thông tin từ web server .....................................................................74 Hình 70: Conficker truy vấn các tên miền..............................................................................75 Hình 71: Wireshark bắt bản tin conficker truy vấn tên miền .................................................75 Hình 72: Conficker download các file từ các website............................................................76 Hình 73: Giao diện công cụ Armitage....................................................................................77
ix ix Hình 74: Sử dụng Trojan được lưu dưới dạng file exe...........................................................78 Hình 75: Upload Trojan lên webserver...................................................................................78 Hình 76: Khởi động dịch vụ apache .......................................................................................79 Hình 77: Chọn launch để khởi động dịch vụ ..........................................................................80 Hình 78: Người dùng vô tình cài Trojan lên máy tính của họ................................................80 Hình 79: Kết nối được mở để hacker điều khiến máy tính của người dùng...........................81 Hình 80: Thực hiện command trong cmd của máy tính người dùng......................................81 Hình 81: Report hành vi của Trojan .......................................................................................82 Hình 82: Wireshark capture bản tin do Trojan gửi.................................................................83
x x MỞ ĐẦU Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn. Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone. Với tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông minh hay máy tính cá nhân, vì vậy môi trường hoạt động dành cho mã độc ngày càng rộng lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi. Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Luận văn đã tìm hiểu và nghiên cứu về “Phương pháp phân tích động mã độc”. Mục tiêu của Luận văn gồm các nội dung chính:  Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt động, các hành vi của mã độc và phương thức lây nhiễm của chúng  Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. Các phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh đó nghiên cứu về các môi trường và công cụ phân tích mã độc  Đề xuất quy trình và ứng dụng phân tích động mã độc trong thực tế. Phạm vi ứng dụng của nghiên cứu Nghiên cứu các kỹ thuật phân tích nhận diện mã độc chính cùng với hành vi của nó và áp dụng các kỹ thuật này để thử nghiệm phân tích mã độc.
1 1 CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC Chương 1 tập trung nghiên cứu những khái niệm cơ bản về mã độc, các loại mã độc hiện nay cũng như cách thức hoạt động và phương thức lây nhiễm mã độc phổ biến. 1.1. Tổng quan về mã độc 1.1.1. Khái niệm về mã độc Theo quan điểm của Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National Institute of Standart and Technology) về định nghĩa và phân loại trong lĩnh vực “Virus máy tính”, mã độc (Malware) được định nghĩa là một chương trình được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. Theo định nghĩa này mã độc bao hàm rất nhiều thể loại mà ở Việt Nam vẫn quen gọi chung là Virus máy tính như Worm, Trojan, Spy-ware, … thậm chí là Virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như Backdoor, Rootkit, Key- logger. 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến năm 2013, theo viện nghiên cứu độc lập về an toàn thông tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được phát tán. Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng trên toàn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho toàn bộ những người sử dụng Internet trên toàn cầu.
2 2 Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST Chủng loại mã độc cũng đa dạng và phong phú hơn về cả hành vi và mục đích phát tán. Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tôn giáo và nhiều lĩnh vực quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame và Duqu, những Virus đánh cắp thông tin mật của các hệ thống điện toán khu vực Trung Đông. Tại Việt Nam, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia và đã xuất hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận được email đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Microsoft Office (bao gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.
3 3 Dưới đây là hình 2 mô tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2012, Việt Nam nằm trong danh sách 15 nước có tỉ lệ phát tán mã độc nhiều nhất thế giới, Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn công của mã độc cũng có nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chương trình diệt Virus, sử dụng các hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống,.. Tuy nhiên các biện pháp này chỉ phần nào ngăn chặn được các loại Virus đã được biết đến rộng rãi, còn các biến thể mã độc hoặc các mã độc mới được sinh ra ngày càng nhiều thì hầu như vô hình trước các biện pháp bảo vệ trên. Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV
4 4 Tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để có thể truy ra nguồn phát tán mã độc và cập nhật nhanh nhất các dấu hiệu về mã độc cho các hệ thống bảo vệ, thông thường các chuyên viên phải tiến hành phân tích hành vi mã độc bằng phương pháp thủ công. Nhưng với số lượng mã độc ngày càng nhiều thì việc chỉ dùng phương pháp phân tích thủ công sẽ không theo kịp tiến độ, do vậy đề tài này nghiên cứu xây dựng một hệ thống tự động phân tích hành vi mã độc nhằm hỗ trợ công tác chuyên môn, nhanh chóng nhận diện và phát hiện hành vi của các loại mã độc mới xuất hiện để có biện pháp ứng cứu sự cố theo đúng chức năng của VNCERT, đồng thời giúp rút ngắn thời gian phân tích mã độc nhưng lại phân tích được nhiều mã độc hơn trước. Theo thống kê của VNCERT và hiệp hội an toàn thông tin Việt Nam, trong năm 2012 đã có tới 2.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tin tặc tấn công và chiếm quyền điều khiển. Sau khi đã kiểm soát thành công một hệ thống mạng hoặc website, tin tặc thường sử dụng mã độc để duy trì sự điều khiển cũng như để dò tìm và tấn công qua các hệ thống khác có liên quan đến mạng hiện tại. Bên cạnh đó mã độc cũng là công cụ để phá hoại dữ liệu và đánh cắp thông tin cá nhân của người dùng, các công cụ diệt Virus phần lớn thường không phát hiện hoặc phát hiện chậm các loại Virus mới xuất hiện. 1.2. Phân loại mã độc Trong tài liệu của NIST có một số khác biệt theo định nghĩa và cách hiểu thông thường về Virus máy tính đang thông dụng. Ngay trong tên của tài liệu đã nêu lên sự khác biệt, các tác giả nói tới “Malware” chứ không sử dụng thuật ngữ “Virus”. Tại Việt Nam hiện nay, thuật ngữ “Virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã độc hại trên mạng, trong máy tính cá nhân.... Khi nói đến “Virus máy tính”, một cách rất tự nhiên tất cả mọi người đều nghĩ Virus bao gồm cả Worm, Trojan, Keylogger. Trong khi theo định nghĩa của NIST (và gần như là của cả cộng đồng IT) Virus, Worm, Trojan horse, Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit,.... chỉ là một dạng của mã độc hại. Sự khác biệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc tế về an toàn thông tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phòng chống Virus của nước ngoài do không đồng nhất về định nghĩa. Phía Việt nam thông báo “bị Virus tấn công”, đối tác sẽ gửi lại một chỉ dẫn để quét tập tin bị nhiễm trên PC, nhưng thực chất đó là một cuộc tấn công của Worm và phải phòng chống trên toàn bộ mạng. Do vậy phần này sẽ tập trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng và mục đích hoạt động khác nhau.
5 5 1.2.1. Virus máy tính Trong khoa học máy tính, Virus máy tính (thường được người sử dụng gọi tắt là Virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (tập tin, ổ đĩa, máy tính,...). Trước đây, Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường Virus có các hành động phá hoại như làm chương trình không hoạt động đúng như mong muốn, xóa dữ liệu, làm hỏng ổ cứng, ... Những Virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng, tài khoản, tài liệu mật…) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác nhằm có lợi cho người phát tán Virus. Chiếm trên 90% số Virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác. Ngày nay ngoài những mẫu Virus thông thường thì đã xuất hiện những biến thể Virus khác với các kỹ thuật tinh vi hơn cụ thể là Virus đa hình (polymorphic) và siêu đa hình (meta-polymorphic). Hình 4: Virus đính kèm trong các tập tin thực thi
6 6 Virus đa hình khác với các loại Virus thông thường ở chỗ Virus thông thường luôn giữ nguyên mã lệnh của mình, chính vì vậy chúng dễ dàng bị phát hiện bởi các phần mềm diệt Virus. Nhưng Virus đa hình có khả năng tự động biến đổi mã lệnh và tạo ra các dạng mã độc khác nhau (sử dụng thuật toán dựa trên thời gian và đối tượng lây nhiễm) trong mỗi lần lây nhiễm. Khả năng này giúp cho Virus đa hình có thể lẩn tránh khỏi sự truy quét của các phần mềm diệt Virus. Virus siêu đa hình là thế hệ cao hơn của Virus đa hình, chúng cao cấp hơn ở chỗ hình thức lai tạo và kết hợp nhiều kiểu đa hình khác nhau. Khi lây nhiễm chúng sẽ tự động biến đổi, lai tạp và hình thành các thế hệ Virus con từ F1…Fn. Sau mỗi lần lai tạp thì khả năng phát hiện ra chúng càng khó khăn, chính vì vậy Virus siêu đa hình hầu hết qua mắt được các phần mềm diệt Virus không có cơ chế quét sâu và dẫn tới việc quét Virus không triệt để. Một số Virus siêu đa hình như Vetor, Sality… 1.2.2. Sâu máy tính Sâu máy tính (Worm): cũng là một dạng mã độc nhưng có khả năng tự nhân bản, tự tấn công và tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử và các lỗ hổng trong hệ điều hành). Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của Worm là phá các mạng thông tin, làm giảm khả năng hoạt động hoặc có thể được dùng để đánh cắp thông tin nhạy cảm từ các mạng này. Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet. Trong năm 2001, sâu mật mã đỏ xuất hiện và tấn công vào các máy Windows để khai thác lỗ hổng trên máy chủ web IIS, sâu này đã tạo ra một kỷ lục về tốc độ lây lan khi chỉ trong một ngày 19-07-2001 đã có hơn 359.000 máy tính bị nhiễm. Hình 5: Mô tả mức độ lây lan của sâu mật mã đỏ năm 2001
7 7 1.2.3. Trojan hourse Trojan Horse, đây là loại chương trình cũng có tác hại tương tự như Virus máy tính chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư điện tử hoặc thông qua các phần mềm miễn phí có đính kèm Trojan. Thông thường, tính năng chính của Trojan là nhắm đến những nhóm người dùng riêng để thu thập thông tin về hành vi và thói quen sử dụng internet của họ sau đó gửi các thông tin này về cho tin tặc. Để trừ loại này người dùng chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại mã độc cực kỳ nguy hiểm, nó có thể hủy ổ cứng, hủy dữ liệu. Hình 6: Trojan ẩn mình trong các phần mềm miễn phí 1.2.4. Phần mềm gián điệp (Spyware) Spyware hay còn gọi phần mềm gián điệp là một dạng mã độc nhằm theo dõi những hoạt động của người dùng và gửi dữ liệu tới người điều khiển chúng để phục vụ cho mục đích riêng của họ. Ví dụ, những người của những công ty Marketing cố gắng thu thập những tin tức về người dùng để hỗ trợ cho việc bán hàng được tốt hơn. Ngày nay phần mềm gián điệp còn được các công ty hay tổ chức chính phủ sử dụng để theo dõi người dùng thông qua
8 8 việc nghe lén các cuộc điện đàm hoặc các cuộc hội thảo truyền hình. Spyware thường được cài đặt bí mật vào máy người dùng trong khi họ mở một tập tin văn bản hoặc cài đặt một ứng dụng miễn phí nào đó. Nhiều chương trình Spyware có thể làm chậm kết nối Internet bằng cách chiếm băng thông đường truyền mạng. Chúng cũng có thể làm cho máy tính của nạn nhân bị chậm đi vì chiếm tài nguyên như RAM và chu kỳ làm việc của CPU. Hình 7: Hoạt động của người dùng Spyware ghi lại 1.2.5. Phần mềm tống tiền (Scareware) Phần mềm tống tiền hay còn gọi Scareware là loại phần mềm giả danh một tổ chức chính phủ và sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân, chẳng hạn như khóa máy tính người dùng lại và đòi tiền chuộc thì mới cho sử dụng lại.
9 9 Hình 8: Scareware mạo danh FBI tống tiền người dùng 1.2.6. Phần mềm quảng cáo Phần mềm quảng cáo hay còn gọi Adware thường đính kèm với những mẩu quảng cáo nhỏ, chúng thường được phân phát dưới hình thức phần mềm miễn phí hay phiên bản dùng thử. Và chỉ khi bạn trả tiền cho sản phẩm dùng thử đó, các quảng cáo sẽ biến mất tùy theo chính sách của hãng phần mềm đó. Tuy nhiên, phần mềm gián điệp cũng là một trong các "biến thể" của phần mềm quảng cáo, chúng đuợc bí mật cài vào máy tính người sử dụng khi họ đang duyệt web nhằm thu thập thông tin về hành vi duyệt web của người dùng để gửi đến họ những mẫu quảng cáo thích hợp. Ngày nay bắt đầu xuất hiện nhiều những phần mềm quảng cáo đính kèm Virus máy tính, sâu hoặc Trojan horse,… có thể gây tổn hại nghiêm trọng cho một hoặc một hệ thống máy tính. 1.2.7. Downloader Downloader là một dạng mã độc dùng để tải các mã độc khác về máy người dùng. Để tải về được các mã độc, Downloader cần kết nối đến một máy chủ chứa mã độc, điều này khác với thuật ngữ dropper là loại mã độc có chứa sẵn mã độc bên trong nó. 1.2.8. Backdoor Backdoor là các đoạn mã độc được gài lên máy nạn nhân cho phép tin tặc kết nối để điều khiển máy tính nạn nhân. Backdoor cho phép kẻ tấn công kết nối đến máy nạn nhân mà
10 10 không cần chứng thực, từ đó kẻ tấn công có thể thực thi các câu lệnh ngay trên máy nạn nhân. 1.2.9. Botnet Bot là những chương trình mã độc được cài lên các máy tính nạn nhân và các máy tính này sẽ nằm trong một mạng lưới được điều khiển bởi tin tặc gọi là mạng Botnet. Tương tự như backdoor, Botnet cũng cho phép kẻ tấn công truy cập và điều khiển hệ thống máy nạn nhân. Tất cả các máy bị nhiễm cùng một loại Botnet sẽ cùng nhận một chỉ thị lệnh từ một máy chủ điều khiển của kẻ tấn công thông qua các kênh như Internet Relay Chat (IRC) hoặc hệ thống mạng ngang hàng peer-to-peer (P2P). Ngày nay khi đã có trong tay một mạng lưới bonet, các tin tặc hoặc tổ chức điều khiển Botnet có thể sử dụng chúng như một công cụ chiến tranh mạng, tiêu biểu là tấn công từ chối dịch vụ vào các mục tiêu cụ thể nhằm làm tê liệt hệ thống mạng của một tổ chức hoặc thậm chí là hệ thống mạng của một quốc gia. Hình 9: Công dụng của một mạng Botnet 1.2.10.Launcher Launcher là những chương trình độc hại được dùng để khởi động các chường trình độc hại khác. Launcher sử dụng những kỹ thuật phi truyền thống để khởi động những chương trình độc hại khác nhằm mục đích đánh cắp thông tin hoặc điều khiển máy nạn nhân.
11 11 1.2.11. Rootkit Rootkit là những đoạn mã độc được thiết kế nhằm che dấu sự tồn tại của những đoạn mã độc khác bên trong nó. Rootkit thường được dùng để kết hợp với một mã độc khác như Backdoor, Keylogger để tin tặc có thể truy cập từ xa vào máy nạn nhân và làm hệ thống gặp khó khăn trong việc phát hiện ra loại mã độc này. Ví dụ như trong hệ thống Windows, Rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành. 1.2.12.Keylogger Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới Hacker. Keylogger có thể ghi lại nội dung của email, văn bản, tài khoản và mật khẩu người dùng, thậm chí cả chụp ảnh màn hình máy tính nạn nhân... Một số Keylogger phổ biến như KeySnatch, Spyster,… 1.3. Cách thức hoạt động và các hành vi của các loại mã độc 1.3.1. Mục đích của mã độc Mã độc ban đầu được tạo ra nhằm mục đích thí nghiệm, hoặc chỉ phá hoại một máy tính đơn lẻ nào đó, nhưng theo thời gian đã có những biến thể mã độc được sử dụng chủ yếu để ăn cắp các thông tin nhạy cảm của người dùng như tài khoản và mật khẩu, các tin tức về tài chính hoặc thậm chí là các thông tin về quân sự quốc phòng để nhằm mang lại lợi ích cho tin tặc. Đôi khi mã độc được sử dụng như một công cụ chính trị chống lại các trang web của chính phủ, các công ty công nghệ cao để thu thập thông tin được bảo vệ hoặc làm gián đoạn hoạt động của họ trên môi trường mạng. Một vài cuộc tấn công từ chối dịch vụ sử dụng mã độc có quy mô lớn như cuộc tấn công vào hệ thống website của Mỹ và Hàn Quốc vào tháng 7/2009 khiến hàng chục website của chính phủ Hàn Quốc và Mỹ bị tê liệt hoạt động. Tại Việt Nam, năm 2011 trang web của Bộ ngoại giao bị tấn công từ chối dịch phải ngưng hoạt động, hay gần đây nhất vào tháng 7-2013 một loạt các tờ báo mạng lớn tại cũng phải vất vả ngăn cản tấn công từ chối dịch vụ. 1.3.2. Hướng lây nhiễm của mã độc Mã độc có thể đến từ nhiều nguồn khác nhau để lây nhiễm vào máy tính người dùng. Trong đó tựu trung lại trong ba hình thức sau: Hình thức cổ điển: mã độc lây nhiễm thông qua các thiết bị lưu trữ di động, trước đây là các ổ đĩa mềm, ổ CD đến bây giờ là các thiết bị
12 12 lưu trữ USB, thẻ nhớ. Lây nhiễm qua thư điện tử: Khi mà thư điện tử được sử dụng rộng rãi trên thế giới thì mã độc chuyển hướng lây nhiễm sang thư điện tử thay cho các hình thức lây nhiễm cổ điển. Hình thức này đặc biệt nguy hiểm vì số lượng máy tính bị lây nhiễm sẽ tăng theo cấp số nhân, khi một máy bị nhiễm thì mã độc sẽ gửi bản sao của nó đến tất cả các địa chỉ email có trong máy bị nhiễm. Hình thức lây nhiễm qua thư điện tử bao gồm: Lây nhiễm từ các tập tin đính kèm trong thư điện tử, lây nhiễm do click vào các liên kết trong thư điện tử và lây nhiễm ngay khi mở để xem thư điện tử. Hình thức lây nhiễm cuối cùng đó là Lây nhiễm thông qua mạng Internet: bao gồm lây nhiễm do các tập tin tài liệu, phần mềm miễn phí hay bẻ khóa được chia sẽ trên mạng mà người dùng tải về và chạy trên máy tính, lây nhiễm do truy cập vào các trang web có chứa mã độc (theo cách vô ý hoặc cố ý), cuối cùng là lây nhiễm mã độc thông qua các lỗi bảo mật trên các hệ điều hành, các ứng dụng có sẵn trên hệ điều hành hoặc phần mềm của hãng thứ ba. 1.3.3. Hành vi mã độc Khi lây nhiễm vào một máy tính, mã độc thường thực hiện một số hành vi nhằm che dấu sự hoạt động của chúng trước người dùng, đồng thời tạo ra các môi trường để có thể tự khởi động cùng hệ thống cũng như tải về các mã độc khác. Sau đây là một số hành vi tiêu biểu nhất mà người phân tích mã độc cần tìm hiểu: - Sự thay đổi về hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung hay xóa các tập tin trên hệ thống. - Sự thay đổi trong hệ thống Registry: Bao gồm việc tạo ra hoặc sửa đổi các giá trị trong khóa registry. - Tiêm nhiễm vào các tiến trình khác đang chạy trên hệ thống. - Tạo ra các Mutex nhằm tránh việc xung đột khi sử dụng tài nguyên trên máy tính. - Tạo ra các hoạt động mạng đáng ngờ: Kết nối đến các trang web lạ để tải về mã độc khác, kết nối đến các máy chủ IRC, thực hiện việc quét các hệ thống bên ngoài,… - Khởi chạy hoặc cho dừng các dịch vụ trên Windows ví dụ dịch vụ của trình diệt Virus.
13 13 1.3.4. Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng Ngày nay, mã độc được ví như một dịch bệnh, lan truyền rất nhanh và cách thức hoạt động cũng như hành vi của mã độc được thay đổi liên tục. Những mã độc ban đầu thường được thiết kế nhằm làm chậm máy tính hoặc đưa ra các thông báo quảng cáo gây phiền nhiễu, tuy nhiên bây giờ các phần mềm độc hại ngày càng kín đáo hơn khi nhiễm vào máy người dùng. Bất kỳ ai cũng có thể bị nhiễm mã độc ngay lúc này mà không thể phát hiện ra. Thông thường cách để phát hiện mã độc là sử dụng trình quét Virus để quét toàn bộ máy tính, nhưng việc này thường tốn thời gian và làm máy tính hoạt động chậm đi. Thậm chí sau khi quét xong, chúng ta cũng chưa chắc là máy tính là sạch, bởi vì các phần mềm diệt mã độc chưa phát hiện được các mẫu mã độc mới. Để có thể phát hiện được mã độc đang chạy trên máy tính, cần sử dụng kết hợp nhiều công cụ hỗ trợ miễn phí khác nhau để tìm mã độc. Các công cụ này bao gồm: Công cụ giám sát registry như Regshot, Autoruns, Comodo Autoruns. Công cụ theo dõi tiến trình và tập tin đang thực thi trên máy như Process XP, KillSwitch. Công cụ theo dõi việc gửi, nhận lưu lượng mạng như Wireshark, Tcpdump. Công cụ phát hiện Rootkit trên hệ thống như Kaspersky TDSSKiller. Và cuối cùng để xác định một tập tin có phải là mã độc hay không, người dùng có thể kiểm tra nó bằng các công cụ quét Virus khác nhau bằng việc sử dụng các trang quét Virus trực tuyến như http://Virustotal.com. Với việc kết hợp các công cụ trên lại với nhau sẽ đem lại hiệu quả phát hiện mã độc cao hơn là dựa vào các dấu hiệu bất thường trên máy hay sử dụng các trình quét Virus đơn lẻ. Đối với các hệ thống mạng, có thể sử dụng các công cụ phát hiện và ngăn ngừa xâm nhập như IDS hay IPS hoặc tường lửa để phát hiện mã độc. Các công cụ bảo vệ này sẽ dựa theo một số dấu hiệu được người dùng định nghĩa trước hoặc các dấu hiệu bất thường để phát hiện các hành vi của mã độc trên hệ thống. 1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng 1.3.5.1. Tránh chạy các phần mềm từ các nguồn không tin cậy Trước khi chạy một chương trình nào, người dùng cần hiểu rõ về nó. Đối với các phần mềm chưa rõ nguồn gốc cần quét nó bằng trình diệt Virus trên máy tính, kế đến kiểm tra bằng các chương trình miễn phí chuyên quét mã độc như HitmanPro hay Malwarebytes Anti-Malware. Cuối cùng có thể sử dụng các trang web quét mã độc trực tuyến như
14 14 http://Virustotal.com hay sử dụng các công cụ sandbox để chắc chắn rằng phần mềm đang định chạy là phần mềm sạch. 1.3.5.2. Tải phần mềm từ các nguồn an toàn và không sử dụng phần mềm đã bẻ khóa Khi bắt đầu tìm kiếm và tải về các phần mềm, người dùng có thể phát hiện trang web đang định tải có độc hại hay không bằng cách sử dụng các công cụ miễn phí như Web of Trust hay Norton Safe Web. Gặp các trang web độc hại các công cụ sẽ đưa ra cảnh báo và khuyên người dùng rời khỏi trang web. Việc sử dụng các phần mềm có đính kèm Keygen, Cracks và Patches là con đường để mã độc xâm nhập vào máy tính phổ biến nhất. Do vậy để an toàn, người dùng không nên sử dụng các phần mềm này trên các hệ thống quan trọng. 1.3.5.3. Cảnh giác khi online trên môi trường mạng Việc tìm kiếm một thông tin trên môi trường mạng không phải lúc nào thông tin đó cũng đúng 100%. Ai cũng có thể cung cấp thông tin lên mạng, do vậy cần tỉnh táo để xác nhận thông tin nào là đáng tin cậy. Đối với các Email lạ có đính kèm tập tin hay thông báo về việc trúng thưởng hay nhận được tiền thưởng thường tiềm ẩn nhiều nguy cơ lừa đảo cao. Do vậy sự cảnh giác của người dùng máy tính cũng là một phần quan trọng trong việc ngăn ngừa mã độc tấn công. 1.3.5.4. Luôn để máy tính được cập nhật và bảo mật nhất có thể Một điều quan trọng để tăng khả năng phòng mã độc đó là để hệ điều hành máy tính cũng như các trình diệt Virus cần luôn được cài bản cập nhật mới nhất. Việc cập nhật các bản vá lỗi kịp thời sẽ giúp máy tính không bị tấn công vào các lỗ hổng bảo mật đã được công bố. Bên cạnh đó, đôi khi việc sử dụng một trình diệt Virus là không đủ và người dùng cần có một hệ thống bảo vệ nhiều lớp để hỗ trợ cho nhau. Nên kết hợp giữa trình diệt Virus với hệ thống phát hiện xâm nhập với tường lửa và một hệ thống sandbox như Sandboxie để mang lại hiệu quả cao nhất. 1.4. Phương thức lây nghiễm của mã độc Phương thức lây nhiễm của mã độc tùy thuộc các biến thể (hay các loại mã độc) phổ biến như: Virus, Worm, Trojan… 1.4.1. Phương thức lây nhiễm của Virus Dựa trên hành vi, Virus được chia thành 2 loại:
15 15 - Nonresident virues: là loại Virus tìm kiếm các máy chủ có thể bị nhiễm và lây nhiễm sang các mục tiêu này và cuối cùng chuyển điều khiển tới chương trình ứng dụng mà chúng lây nhiễm. - Resident virues: là loại Virus không tìm kiếm các máy chủ mà thao vào đó chúng tải vào bộ nhớ để thực thi và kiểm soát chương trình chủ. Virus này được hoạt động ở chế độ nền và lây nhiễm vào các máy chủ mới khi các tập tin được truy cập bởi các chương trình hoặc hệ điều hành ở các máy tính khác. Noresident virues bao gồm một mô-đun tìm kiếm và một mô-đun nhân bản. Các mô- đun tìm kiếm chịu trách nhiệm cho việc tìm kiếm các tập tin mới để lây nhiễm. Với mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó sẽ gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này. Resident virues gồm một mô-đun nhân bản hoạt động tương tự như mô-đun nhân bản của Nonsident virues. Tuy nhiên, mô-đun nhân bản này không được gọi bởi mô-đun tìm kiếm. Virus tải mô-đun nhân bản vào trong bộ nhớ khi nó được kichs hoạt và mô-đun này thực thi tại thời điểm hệ điều hành thực hiện một hoạt động nhất định nào đó. 1.4.2. Phương thức lây nhiễm của Worm (Sâu máy tính) Yếu tố ban đầu của Worm là một đoạn mã độc hại có vai trò như một công cụ xâm nhập các lỗ hổng bảo mật nằm trên máu tính và khai thác chúng. Worm sẽ được truyền đi thông qua lỗ hổng này. Một khi các đoạn mã độc hãi đã được lây nhiễm vào máy, Worm sẽ sử dụng một công cụ được thiết kế để dò tìm, phát hiện các máy tính khác được kết nối vào mạng. Từ đó, nó quét các máy tính trên mạng để xác định vị trí các lỗ hổng, sau đó Worm sẽ sử dụng công cụ xâm nhập để truy cập vào các máy tính này. 1.4.3. Phương thức lây nhiễm của Trojan Trojan thường gồm hai thành phần là client và server, khi máy tính của người sử dụng bị lây nhiễm Trojan thì chúng sẽ biến thành server và một cổng sẽ bị mở ra, chúng sẽ dùng client để kết nối tới IP của nạn nhân. Server sẽ ẩn trong bộ nhớ và nó tạo nên những thau đổi trong hệ thống. Trojan sẽ tạo thêm đường khởi động vào registry hoặc trong các file autoexec.bat, win.ini hoặc các file hệ thống khác, do vậy mà server sẽ tự khởi động khi Windows làm việc trong các phiên tiếp theo.
16 16 1.5. Kết luận Chương 1 Trong chương này luận văn đã nghiên cứu các kiến thức cơ bản về mã độc, tổng quan về tình hình mã độc hiện nay tại Việt Nam và trên thế giới. Nội dung luận văn đã trình bày được các loại mã độc hiện nay, cách thức hoạt động của mã độc, các hướng lây nhiễm của mã độc và đưa ra các biện pháp phát hiện mã độc trên máy tính, các biện pháp ngăn ngừa mã độc. Trong chương tiếp theo, luận văn sẽ nghiên cứu đến các kỹ thuật và phương pháp phân tích mã độc chủ yếu hiện nay.
17 17 CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC Nội dung của chương sẽ trình bày các kỹ thuật phân tích mã độc, đi sâu vào 2 phương pháp phân tích mã độc chính, đưa ra môi trường có thể thực hiện được việc phân tích mã độc và các công cụ hỗ trợ phân tích mã độc hiện nay. 2.1. Nghiên cứu các kỹ thuật phân tích mã độc 2.1.1. Mục đích kỹ thuật phân tích mã độc Khi việc sử dụng các biện pháp bảo vệ máy tính như trình diệt Virus hay các hệ thống tường lửa chưa phát huy hết hiệu quả trong việc nhận dạng và ngăn chặn mã độc mới thì cần thực hiện việc phân tích mã độc. Mục đích phân tích mã độc chủ yếu để cung cấp các thông tin cần thiết để xây dựng hệ thống bảo vệ và ngăn ngừa các nguy cơ do mã độc gây ra, bao gồm xác định chính xác những gì xảy ra khi thực thi mã độc, như các tập tin nào được mã độc sinh ra, các kết nối ra mạng bên ngoài được mã độc thực hiện, những thay đổi về registry liên quan đến mã độc, các thư viện và vùng nhớ liên quan đến hoạt động của mã độc…Việc phát hiện ra hành vi mã độc sẽ giúp tạo ra các dấu hiệu nhận dạng mã độc để áp dụng vào hệ thống lọc bảo vệ mạng như dấu hiệu về host-base và dấu hiệu nhận dạng về mạng. Dấu hiệu nhận dạng host-base: được dùng để phát hiện mã độc trên máy tính nạn nhân. Những dấu hiệu này bao gồm các tập tin được tạo ra hoặc thay đổi bởi mã độc hoặc là những thay đổi trong registry. Không giống với cách nhận biết trên các trình diệt Virus, dấu hiệu host-base chủ yếu tập trung vào những gì mã độc làm trên hệ thống bị nhiễm, điều này sẽ hiệu quả hơn khi mã độc tự động thay đổi hình thái hoặc tự xóa khỏi đĩa cứng. Dấu hiệu nhận dạng về mạng: được dùng để phát hiện mã độc bằng cách giám sát lưu lượng mạng trong hệ thống. Dấu hiệu nhận dạng về mạng có thể được tạo mà không cần quá trình phân tích mã độc, tuy nhiên dấu hiệu nhận dạng mạng sẽ hiệu quả hơn nếu được tạo với trợ giúp của quá trình phân tích mã độc. Sau khi thu thập dấu hiệu nhận dạng, mục tiêu cuối cùng đó là tìm hiểu chính xác mã độc hoạt động như thế nào, tức là làm rõ mục đích và khả năng của chương trình mã độc.
18 18 Để phân tích mã độc thông thường chúng ta có hai hướng: phân tích sử dụng các hệ thống tự động và phân tích thủ công gồm phân tích hoạt động và phân tích bằng cách đọc mã thực thi của mã độc. 2.1.2. Các kỹ thuật phân tích mã độc - Các kỹ thuật phân tích mã độc: Phân tích tĩnh (Code static analysis), Phân tích động (Behavioral dynamic analysis), Gỡ rối (Debug), Điều tra hành vi của mã độc (Malware forensics). - Trong đó 2 kỹ thuật chủ yếu là: phân tích tĩnh và phân tích động và mỗi phương pháp đều có điểm mạnh và điểm yếu riêng: Cả 2 phương pháp này cùng có mục đích là giải thích cách hoạt động của mã độc, công cụ, tuy nhiên thời gian làm việc và kỹ năng cần có thì lại rất khác nhau, Phân tích tĩnh thường đòi hỏi người phân tích xem xét kỹ mã của Virus (đã được chuyển sang dạng có thể hiểu được, như Assembly, hay C), hiểu được luồng thực thi và các hành vi của nó thông qua mã đã dịch ngược, Phân tích động là phân tích cách hoạt động của Virus khi nó được thực thi, nó kết nối đến đâu, lây lan như thế nào, cài đặt những gì vào hệ thống, thay đổi thành phần nào, hoạt động ra sao. - Ví dụ: Phương pháp tĩnh, với những loại Virus phức tạp, thì để đọc hiểu được hết mã thực thi của nó là một việc rất khó; tuy nhiên phương pháp này cung cấp cho người phân tích cái nhìn hết sức chính xác về những gì mà nó làm.  Phương pháp phân tích động, có ưu điểm là quá trình phân tích diễn ra nhanh hơn, dễ dàng hơn; tuy nhiên, không phải hành vi nào cũng phân tích được, đơn cử như những loại Virus phát hiện ra công cụ phân tích thì nó sẽ không hoạt động nữa, hoặc Virus chờ đến một lúc nào đó mới hoạt động. - Vì thế, khi phân tích mã độc cần phải kết hợp cả 2 phương pháp trên để đạt được hiệu quả tốt nhất. - So sánh ưu điểm và nhược điểm của các phương pháp phân tích Malware: Ưu điểm Nhược điểm Static - Không thực hiện việc - Không thực
19 19 analysis chạy mã độc, giảm thiểu nguy cơ lây lan và phá hủy hệ thống. - Phân tích Malware dựa trên việc phân tích các cấu trúc tệp tin, phân tích định dạng file. hiện việc chạy Malware, khó biết được hoạt động của Malware. - Phân tích và reverse code đưa về dạng assembly, đòi hỏi phải có kinh nghiệm lập trình Dynamic analysis - Giám sát được các hoạt động của Malware qua việc thực hiện chạy Malware. - Giám sát được các tác động của Malware lên hệ thống. - Xác định được ảnh hưởng của Malware lên hệ thống. - Khi thực hiện chạy Malware khiến hệ thống đối mặt với những nguy cơ và rủi ro về an toàn thông tin. - Đôi khi rất khó có thể thực thi được phần mềm độc hại do cần tham số để thực thi. 2.2. Nghiên cứu phương pháp phân tích tĩnh Đặc điểm của phương pháp phân tích tĩnh này là sẽ kiểm tra, phân tích Malware mà không thực thi mã độc. Cơ bản của việc phân tích tĩnh bao gồm các bước kiểm tra các file thức thi mà không cần các hướng dẫn thực tế. Qua bước phân tích tĩnh sẽ xác nhận cho chúng ta liệu file đó có phải là mã độc hay không, cung cấp thông tin về chức năng của chúng, đôi khi những thông tin này sẽ cung cấp cho người dùng những dấu hiệu nhận dạng các loại Malware. 2.2.1. Basic static analysis Là phương pháp đơn giản và có thể thực hiện một cách nhanh chóng. Tuy nhiên phương pháp này lại không có hiệu quả trong việc phân tích những loại Malware phức tạp và do đó chúng ta có thể bỏ qua những hành vi quan trọng mà Malware gây ra.
20 20 Trong mức này chúng ta chưa quan tâm tới việc thực thi File Malware, trong phần này tôi sẽ tập trung vào việc phân tích mã, cấu trúc, header của chương trình để xác định các chức năng: - Sử dụng Hash để xác định Malware. - Xác định các thông tin từ string, header, function của file Mỗi kỹ thuật sẽ cung cấp các thông tin khác nhau tùy thuộc mục đích nghiên cứu. Tôi sẽ sử dụng một vài kỹ thuật sao cho thu thập được càng nhiều thông tin càng tốt. 2.2.1.1. Sử dụng Hash để xác định Malware Hashing là phương pháp phổ biến để nhận diện và xác định phần mềm độc hại. Khi Malware được chạy qua một phần mềm hash sẽ tạo ra một chuỗi ký tự (chuỗi ký tự này được coi như là vân tay của Malware) như mô phỏng theo hình 10 Hình 10: Hash Netcat Mỗi chuỗi hash xác định ra các Malware duy nhất, có thể chia sẻ các mẫu hash này để giúp cho những người phân tích xác định Malware. 2.2.1.2. Sử dụng việc tìm kiếm chuỗi Một chương trình thường chứa các chuỗi nếu nó in ra một message, kết nối tới một đường dẫn URL hoặc copy một file đến một vị trí xác định.
21 21 Nghiên cứu các chuỗi cũng là một phương pháp đơn giản để chúng ta có thêm những thông tin về chức năng của chương trình. Ví dụ, chương trình này thường in xuất ra màn hình để cung cấp cho người dùng một cập nhật trạng thái, hoặc để cho biết rằng một lỗi đã xảy ra. Những chuỗi trạng thái và chuỗi lỗi kết thúc có thể nhúng trong tập tin thực thi của chương trình và có thể vô cùng hữu ích trong việc phân tích phần mềm độc hại. Việc bóc tách các chuỗi có trong các phần mềm độc hại được thực hiện bằng các công cụ như Hex Editor, PeiD. Cho dù sử dụng bất kỳ công cụ gì để bóc tách các String thì các string có thể được thể hiện dưới dạng mã ASCII hoặc Unicode. Nhưng việc phân tích chuỗi cần phải hết sức cẩn thận vì có thể chuỗi đó được người viết Malware cố tình chèn vào để đánh lừa người phân tích. Ví dụ sau tôi sẽ sử dụng tool PeiD để phân tích chuỗi có trong một số Malware để tìm ra một số thông tin: Hình 11: String khi tách từ mẫu Malware 1 Qua hình 2 có thể thấy Malware này sẽ tác động vào một số file của hệ thống như Kernel32.dll, KERNEL32.dll và một cảnh báo “nó sẽ phá hủy máy tính của bạn”. Việc phân tích chuỗi có thể giúp chúng ta tìm ra được Malware có thể tự động kết nối tới một liên kết URL như trong hình 12:
22 22 Hình 12: String khi tách từ mẫu Malware 2 Dựa vào liên kết URL và file mà nó kết nối thì có thể đoán đây là một liên kết mà Malware sẽ kết nối tới để thực hiện việc cập nhật thêm những tính năng mới cho chúng. Cả ASCII và Unicode đề định dạng việc lưu trữ các ký tự theo một thứ tự và kết thúc với Null terminator để chỉ ra chuỗi đó đã được hoàn tất. Chuỗi ASCII sử dụng 1 byte cho mỗi ký tự và Unicode sử dụng 2 bytes cho mỗi ký tự. Hình 13: Chuỗi ASCII Nhìn vào chuỗi trên cho thấy ASCII lưu trữ các chuỗi dưới dạng bytes 0x42,.. và kết thúc ở 0x00. 0x00 là Null terminator. 0x41 đại diện cho chữ A, 0x42 đại diện cho chữ B, … Hình 14: Chuỗi Unicode Cũng giống ASCII thì Unicode cũng được kết thúc ở Null terminator. 0x41 và 0x00 đại diện cho chữ A, 0x42 và 0x00 đại diện cho chữ B.
23 23 Việc phân tích này là bước đầu để thực hiện kỹ thuật Reverse engineering code. Việc thực hiện phân tích chuỗi có thể giúp chúng ta phát hiện ra một số loại Malware được lưu dưới một định dạng khác để đánh lửa người dùng như ví dụ sau: Malware netcat là một file thực thi, nhưng chúng được lưu lại dưới định dạng là một file nén để lừa người dùng có dạng là nc.rar. Mỗi loại file có các byte định dạng riêng. Kiểm tra các byte định dạng để xác định file đó là loại file gì. Chẳng hạn những file thực thi luôn có các byte định dạng là MZ (được thể hiện dưới dạng hex: 4D 5A), các file nén có định dạng là PK (được thể hiện dưới dạng hex: 50 4B). Để kiểm tra xem file này có thật sự là một file nén hay là một file thực thi được lưu dưới dạng của một file nén, chúng ta có thể sử dụng các công cụ như Hex Editor hay PEiD để kiểm tra vấn đề này. Trình soạn thảo cho phép bạn tìm kiếm chuỗi byte cụ thể trong bản thân file. Nó sẽ cho bạn biết liệu Malware download về như trong hình minh hoạ ở trên có thực sự là file winzip hay không. Người dùng không cần lo lắng liệu mình có vô tình khiến Malware này phát huy tác dụng hiệu quả của nó ngay bây giờ. Đơn giản là vì trong trình soạn thảo Hex, chúng ta chỉ có thể xem được nội dung mà không thể kích hoạt file thực thi.
24 24 Hình 15: File Malware nc được giả dưới dạng file nén Như hình trên có thể thấy file Malware netcat được lưu dưới dạng một file nén để đánh lừa người dùng. Nhưng khi kiểm tra bằng Hex editor thì sẽ thấy những byte định dạng của file nc.rar là MZ. Đây là định dạng của file thực thi, không phải là định dạng của một file nén.
25 25 Hình 16: Byte định dạng file thực thi Hình 17: Byte định dạng file zip 2.2.1.3. Packed and Obfuscated Malware Các Malware được viết thường được đóng gói thành các file để gây khó khăn trong việc phát hiện và phân tích. Chương trình Obfuscated là chương trình mà tác giả của Malware thực hiện để che giấu. Chương trình Packed là một phần của chương trình Obfuscated trong đó các chương trình mã độc được nén và khó có thể phân tích. Cả hai kỹ thuật này sẽ gây khó khăn trong việc phân tích Malware.
26 26 Khi chạy một chương trình được đóng gói, phần đóng gói chương trình sẽ được chạy để giải nén các file trong gói và sau đó sẽ chạy các file được giải nén. Ở bước này chúng ta có thể bóc tách các chương trình đóng gói để từng bước tìm hiểu Malware. Một chương trình đã được đóng gói để có thể thực hiện việc phân tích được thì việc đầu tiên là phải unpack. Một cách để phát hiện ra các tập tin được đóng gói là sử dụng PEiD là có thể sử dụng PEiD để phát hiện ra các loại đóng gói hay các chương trình biên dịch để xây dựng nên ứng dụng, nó sẽ giúp chúng ta dễ dàng phân tích được các file trong gói tin. Hình 18: Chương trình Malware được biên dịch bằng Visual C++ 2.2.2. Advanced static analysis Bao gồm các kỹ thuật reverse-engineering được thực hiện bằng cách tải lên các file thực thi, xem xét các chương trình hướng dẫn để khám phá các chương trình bên trong. Advanced static analysis sẽ đưa ra các thông tin chính xác về các chương trình được chạy như thế nào. Tuy nhiên phương pháp này khó hơn basic analysis rất nhiều và đòi hỏi phải có kiến thức về mảng disassembly, lập trình, và các khái niệm về hệ điều hành. 2.3. Nghiên cứu phương pháp phân tích động Đặc điểm của phương pháp phân tích động này là sẽ kiểm tra, phân tích Malware bằng việc thực thi mã độc: - Basic dynamic analysis: là phương pháp thực thi mã độc và giám sát các hành vi của chúng trên hệ thống để tìm cách loại bỏ chúng, tìm ra các dấu hiệu để nhận biết Malware. Tuy nhiên, chúng ta cần phải xây dựng môi trường an toàn để cho phép chạy và nghiên cứu Malware mà không gây tổn hại đến hệ thống hoặc môi trường mạng. Cũng
27 27 giống với basic static analysis thì phương pháp basic dynamic analysis thường được sử dụng kể cả với những người không am hiểu về kiến thức lập trình. Và phương pháp này cũng không hiệu quả trong việc phân tích các loại Malware phức tạp. - Advanced dymanic analysis: đây là phương pháp sử dụng chương trình gỡ lỗi để kiểm tra các trạng thái ngầm của mã độc khi thực thi nó. Phương pháp này sẽ cung cấp cho chúng ta những thông tin chi tiết khi thực thi mã độc. Phương pháp này sẽ giúp chúng ta thu thập thông tin khi các thông tin đó khó có thể lấy được từ những phương pháp phân tích khác. Dynamic analysis giám sát quá trình thực hiện của Malware sau khi đã chạy, thực thi mã độc. Kỹ thuật dynamic analysis là bước thứ hai trong tiến trình phân tích Malware, thường thì dynamic analysis sẽ được thực hiện sau bước basic analysis Malware kết thúc. Nếu như static analysis phân tích Malware qua việc phân tích chuỗi, phân tích dựa trên hash, phân tích các byte định dạng, đóng gói Malware và không thực thi Malware thì Dynamic analysis sẽ phân tích Malware dựa trên việc thực thi Malware. Dynamic analysis là phương pháp hiệu quả trong việc xác định các chức năng của Malware.Ví dụ nếu mã độc của bạn là một keylogger thì dynamic analysis sẽ cho phép bạn xác định các file log của keylogger trên hệ thống, giúp bạn khám phá ra những bản ghi mà keylogger nắm giữu, giải mã ra thông tin mà Keylogger gửi đi. Những điều này rất khó có thể thực hiện được nếu sử dụng kỹ thuật basic static analysis. Mặc dù kỹ thuật này là phương pháp mạnh mẽ trong việc nghiên cứu Malware nhưng phương pháp này sẽ đặt hệ thống máy tính và hệ thống mạng của bạn vào trạng thái nguy hiểm. Trong phần này luận văn sử dụng một vài Malware trên môi trường máy ảo để theo dõi những hành vi của Malware đó và kiểm tra xem chúng tác động đến những file hệ thống nào và sinh ra thêm những tiến trình gì …
28 28 Hình 19: Hệ thống chạy khi chưa thực thi Malware Luận văn sử dụng Malware thử nghiệm trong môi trường lab có tên là Lab01-02.exe và thực thi chúng và kiểm tra kết quả: Hình 20: Hệ thống xuất hiện tiến trình lạ thực thi Malware
29 29 Từ kết quả trên cho thấy Malware đã tạo một ứng dụng có tên là conhost.exe, ứng dụng này đã thực hiện các việc tạo ra các file dll, truy vấn nội dung và tải lên các hình ảnh như hình 21 bên dưới: Hình 21: Malware tác động đến các file trên hệ thống Từ kết quả thu được ở tiến trình process monitor cho thấy Malware có tên là Lab01-02.exe tác động đến rất nhiều file của hệ thống như kernel32.dll, advapi32.dll … Mặc dù dynamic analysis là một kỹ thuật mạnh mẽ và hữu ích trong việc phân tích Malware nhưng chúng ta chỉ nên thực hiện dynamic analysis sau khi thực hiện static analysis vì phương pháp này sẽ đặt hệ thống của chúng ta trong tình trạng nguy hiểm. Bên cạnh việc trực quan, dễ nhận thấy những tác động trực tiếp của Malware tới hệ thống thì phương pháp này vẫn còn có những hạn chế nhất định bởi không phải tất cả các đường dẫn, các mã lệnh đều được thực hiện khi Malware mới chỉ chạy có một phần. Trong trường hợp command của Malware yêu cầu các tham số, mỗi tham số có thể thực hiện chức năng chương trình khác nhau, và nếu không biết lựa chọn sẽ không thể tự động kiểm tra tất cả các chức năng của Malware 2.4. Môi trường thực hiện việc phân tích mã độc Môi trường ảo ở đây sẽ được xây dựng tùy trường hợp, tùy từng đơn vị phân tích. Đối với người phân tích mã độc không chuyên thì môi trường ảo đó đơn giản chỉ là một VMware hay VirtualBox có cài sẵn Xindows, XP,… cùng một số ứng dụng thông dụng như Java, Flash,…
30 30 Đối với những chuyên gia phân tích chuyên nghiệp trong các phòng thí nghiệm mã độc họ có thể xây dựng những mô hình phân tích phức tạp hơn như xây dựng nhiều máy ảo chạy trên nhiều nền tảng khác nhau, cho các máy đó thông với nhau để thử nghiệm lây lan trong Lan Đối với một chuyên gia phân tích mã độc chuyên nghiệp họ sẽ xây dựng những sandbox tự động để tiết kiệm thời gian Đối với một số hãng lớn họ thực hiện phân tích mã độc theo quá trình một cách tự động, các chuyên gia của họ thường dành thời gian để phân tích thủ công một số mã độc đặc biệt hay phân tích lại các biến thể mới,…. Hình 22: Môi trường phân tích mã độc Để phân tích mã độc người phân tích cần tại ra những môi trường ảo để phân tích, đảm bảo mã độc không thể lây nhiễm ra ngoài hay làm hại đến máy tính của chính mình. 2.4.1. Môi trường tải mã độc - Môi trường tách biệt khỏi mạng làm việc. - Môi trường không dùng trình duyệt truy cập vào link tải mã độc và trình duyệt dễ bị tấn công. Sử dụng công cụ riêng biệt để tải mã độc (Wget, Curl).
31 31 - Nên sử dụng môi trường khác với môi trường thực thi mã độc (VD môi trường Linux). - Sau khi tải về thì đổi tên, tránh trường hợp vô tình thực thi mã độc. 2.4.2. Môi trường phân tích mã độc - Để phân tích được Malware, việc đầu tiên là phải có được các mẫu Malware để thực hiện phân tích. Người dùng có thể tải được Malware từ các website như: http://practicalMalwareanalysis.com/labs/. - Hệ điều hành mà chúng ta thử nghiệm Malware: Windows, Linux, hay MacOS. - Môi trường để thử nghiệm Malware, có thể sử dụng máy ảo để thử nghiệm. Xây dựng hệ thống lab ảo làm môi trường thử nghiệm Malware. Ngoài ra, có thể sử dụng phần mềm VMware để tạo các PC ảo để thử nghiệm. Hoặc có thể sử dụng sandbox để tạo môi trường thử nghiệm Malware và giám sát các hoạt động của Malware. Thực tế, đôi khi chúng ta cũng cần sử dụng máy thật để thử nghiệm Malware vì thực tế đã xuất hiện một số Malware sẽ rơi vào trạng thái bất hoạt nếu nó detect được nó đang chạy trên môi trường ảo. - Chuẩn bị các công cụ để thực hiện việc giám sát sự thay đổi các tiến trình trong hệ thống (thường sử dụng trong dynamic analysis Malware) Sandbox thường được sử dụng để giám sát các hành vi của Malware bằng cách thực thi Malware trong môi trường sandbox. - Chuẩn bị các công cụ phục vụ cho việc giải mã để phân tích mã nguồn của Malware (thường sử dụng trong static analysis Malware). - Sử dụng tool để capture các gói tin: để phân tích xem liệu Malware có thực hiện kết nối liên lạc ra môi trường Internet hay không. - Lab phục vụ cho kỹ thuật phân tích gì:  Static analysis.  Dynamic analysis. - Sau khi thực hiện phân tích Malware chúng ta cần phải xây dựng cơ sở dữ liệu về Malware phục vụ cho việc xác định mẫu Malware sau này. Dựa vào dấu hiệu nhận biết Malware hoặc dấu vân tay của Malware. 2.4.3. Mô hình môi trường phân tích mã độc Mô hình tổng quát việc thực hiện phân tích Malware:
32 32 Hình 23: Mô hình thực hiện phân tích Malware Quá trình phân tích phát hiện Malware: - Malware được đưa qua 1 phần mềm băm ra lấy mã băm (MD5/SHA). - Chuỗi băm được so sánh với chuỗi ký tự lưu trong cơ sở dữ liệu. - Nếu tồn tại trong cơ sở dữ liệu => là Malware và kết thúc quá trình phân tích. - Nếu không tòn tại trong cơ sử dữ liệu sẽ được đẩy sang hệ thống phân tích( Mlalyzer Malware). Hệ thống phân tích sẽ sử dụng 1 trong 2 phương pháp phân tích tĩnh (Static) hoặc phân tích động (Dynamic) để phân tích. Kết quả của quá trình phân tích đưa ra là phát hiện Virus thì mã băm của nó sẽ được lưu vào trong cơ sở dữ liệu và kết thúc quá trình. Nếu không thì kết thúc quá trình phân tích luôn
33 33 Hình 24: Thành phần môi trường phân tích mã độc - Thành phần:  Guest machine 1: Cài Linux dùng làm server.  Guest machine 2: cài Windows XP dùng để cài mã độc phục vụ thử nghiệm. - Đặc điểm của môi trường phân tích:  Host machine có khả năng cung cấp đủ tài nguyên cho 2 máy Guest machine hoạt động.  Chia sẻ mã độc giữa Host và Guest phải thông qua con đường phi network  Host machine và Guest machine không được kết nối mạng với nhau.  Các Guest machine nối mạng với nhau với dạng Host-onle và không có khả năng kết nối Internet. 2.4.4. Xây dựng hệ thống lab phân tích Malware Trong phần này tôi sẽ tìm hiểu cách thức xây dựng một hệ thống Malware: có thể xây dựng lab trên môi trường thật có nghĩa là sử dụng các thiết bị vật lý hoặc xây dựng trên môi trường ảo sử dụng phần mềm VMware. Phần này sẽ đề cập tới cả 2 phương pháp nhưng ở đây tôi sẽ tập trung và nhấn mạnh vào việc xây dựng hệ thống phân tích Malware trên môi trường ảo:
34 34 - Physical environment: xây dựng trên môi trường vật lý tức là chúng cần có những máy tính thật chạy các hệ điều hành của Windows, Linux, MacOS. Sau đó chúng ta sẽ thử nghiệm Malware trên chính những máy tính thật này. Để đảm bảo chiếc PC mà chúng ta thử nghiệm sẽ không bị lỗi, hỏng hóc về phần mềm hoặc hệ điều hành trong quá trình thử nghiệm Malware nên sử dụng phần mềm đóng băng ổ cứng như Deep Freeze như một cách để backup hệ thống. - Virtual environment: đây có thể là các máy ảo chạy các hệ điều hành của Windows, Linux, MacOS hoặc sandbox. Chúng ta sẽ thực thi Malware trên những máy ảo này. Trước khi thực thi Malware chúng ta nên tạo ra 1 bản snapshot để lưu lại trạng thái của máy ảo trước khi thực thi. Nếu xảy ra lỗi chúng ta chỉ cần quay lại về trạng thái đã đặt snapshot. - Trước khi bắt đầu với việc xây dựng một môi trường lab phải luôn nhớ rằng việc xây dựng một môi trường an toàn là rất quan trọng. Các lỗ hổng có thể gây lỗi trên máy thật chúng ta xây dựng môi trường lab. Một số lưu ý khi xây dựng môi trường lab an toàn:  Không chia sẻ tài nguyên giữa máy thật và máy ảo  Đảm bảo rằng máy thật được cập nhật những phiên bản mới nhất của các phần mềm anti-Virus.  Chúng ta nên đặt card mạng của máy ảo ở card Nat, sử dụng máy ảo này kết nối Internet và download các Malware cần thiết, không nên sử dụng máy thật để download Malware.  Ngăn chặn target truy nhập tới bất cứ shared devices hoặc removable media nào, ví dụ USB drives được cắm vào máy thật. 2.5. Quy trình thu thập và phân tích mã độc 2.5.1. Thu thập mã độc Sự cần thiết của việc thu thập mã độc : Mục đích xây dựng và triển khai hệ thống điều tra, phát hiện cách thức tấn công của tin tặc phần nào giúp các đơn vị nhận biết được mức độ an toàn thông tin hiện tại của cổng thông tin điện tử, nâng cao nhận thức về an toàn thông tin, mặt khác có thể phối hợp với các đơn vị quản lý điều tra nguyên nhân, động cơ, và các hành vi mà tin tặc tấn công để chủ động lên kế hoạch giải quyết, đối phó. Khi hệ thống triển khai sẽ thu thập các cách thức tấn công của tin tặc vào các cổng thông tin điện tử cũng như thu thập các phần mềm độc hại (Malware) phục vụ cho việc phân tích phạm vi, nguồn gốc tấn công.
35 35 2.5.2. Quy trình phân tích mã độc Bước 1: Xác định nguồn gốc mã độc. Bước 2: Liên hệ nơi phát tán mã độc để thu thập mẫu. Bước 3: Tiến hành quy trình phân tích sơ lược các thông tin ban đầu về mã độc. Bước 4: Tiến hành quy trình phân tích hoạt động để xác nhận các hành vi của mã độc. Bước 5: Tiến hành phân tích tĩnh để tìm hiểu sâu hơn về các hành vi mã độc mà phân tích hoạt động chưa tìm ra được. Bước 6: Tiến hành tổng hợp và xuất báo cáo cuối cùng về hành vi mã độc. Hình 25: Quy trình phân tích mã độc khi chưa có hệ thống phân tích tự động Việc thực hiện quy trình sáu bước trên tương đối tốn thời gian tại bước phân tích sơ lược và phân tích hoạt động, trong khi đó thời gian dành cho việc phân tích mã thực thi lại giảm xuống do vậy sẽ khó thực hiện đối với các trường hợp cần có kết quả phân tích gấp.
36 36 Hình 26: Quy trình phân tích mã độc khi có hệ thống phân tích tự động Khi có hệ thống phân tích tự động, thì hai quy trình phân tích sơ lược và phân tích hoạt động đã được tinh giảm đi. Bên cạnh đó quá trình phân tích tự động được tự động hoàn toàn nên tiết kiệm rất nhiều thời gian để dành cho việc phân tích mã thực thi. 2.6. Nghiên cứu các công cụ hỗ trợ phân tích mã độc 2.6.1. Công cụ hỗ trợ phân tích tĩnh Phân tích tĩnh có ưu điểm là an toàn hơn phân tích động vì mã thực thi không thực sự chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu… Chỉ có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích, chúng ta vô tình thực thi mã độc (click đúp, hoặc chạy thư viện chứa mã độc). Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên một môi trường mà nó không thực thi được (ví dụ phân tích mã độc trên Windows trong hệ điều hành Linux).  Các kỹ thuật hỗ trợ việc phân tích tĩnh: - Kỹ thuật lấy thông tin ban đầu về file: Trước khi làm bất kì việc gì, chúng ta nên tính toán giá trị băm cho mỗi file cần phân tích. Thông thường sẽ sử dụng các hàm mã hóa MD5, SHA1, SHA256. Sau khi tính toán, chúng ta sẽ có thể biết được mã độc có tự thay đổi nó (self-modified) hay không. Có khá nhiều công cụ hữu ích cho việc này như md5deep của Jesse Kornblum. - Kỹ thuật Quét Virus: Nếu file được kiểm tra là một thành phần của một mã độc nổi tiếng, hoặc đã được phân tích bởi các công ty an ninh mạng, diệt Virus, thì có
37 37 khả năng nó sẽ được nhận ra bởi một chương trình diệt Virus. Khi đó, nhiệm vụ của người phân tích là sẽ tìm kiếm thông tin từ nhà cung cấp phần mềm diệt Virus, qua đó nắm được cơ bản những hành vi, cách thức lây lan, hoạt động của mã độc đó, tuy nhiên nó chỉ nằm ở mức cơ bản. - Ngoài ra, cũng có một số dịch vụ quét Virus trực tuyến như: hay http://Virusscan.jotti.org. Trước tiên, chúng sẽ tính toán mã băm của các file người dùng gửi lên, sau đó so sánh trong cơ sở dữ liệu xem đã được quét chưa. Nếu đã quét thì chỉ việc đưa ra kết quả lần quét trước đó. Nếu chưa, chúng sẽ quét file bằng nhiều chương trình diệt Virus khác nhau và đưa ra kết quả cũng như cảnh báo – nếu có. Đây là lợi điểm rất lớn, vì thông thường trên một hệ thống máy tính, chúng ta không thể cài quá nhiều phần mềm diệt Virus. - Phát hiện các trình packer:Packer là một trình bảo vệ, nén file thực thi, thường được sử dụng để bảo vệ file thực thi khỏi quá trình dịch ngược và để giảm dung lượng file. Chúng có thể thay đổi luồng thực thi của chương trình, mã hóa các chuỗi, tránh debug… Khi thực thi, các lớp bảo vệ này được tự động gỡ ra (theo nhiều cách) và chương trình sẽ hoạt động như chương trình ban đầu.  Các công cụ hỗ trợ phân tích tĩnh: - PEiD là một chương trình miễn phí, dùng để phát hiện ra các packer được sử dụng trên một chương trình và có thể đưa ra phiên bản trình biên dịch được sử dụng. PEiD sử dụng tập hợp các chữ ký của rất nhiều (phiên bản sạch có khoảng trên 600 chữ ký của các trình biên dịch và packer khác nhau; trong khi đó, với sự hỗ trợ của các nhà phân tích, có những bản có trên 10000 chữ ký). Để sử dụng chúng, có thể:  Mở cửa sổ PEiD lên, kéo file cần quét vào và đợi cho đến khi chương trình phân tích xong. Kết quả sẽ được hiển thị trên màn hình sau đó:
38 38 Hình 27: Màn hình sử dụng PEiD  Từ menu chuột phải, chọn Scan with PEiD và quá trình sau đó cũng tương tự. - Ngoài ra còn có rất nhiều công cụ khác nữa như exeinfo, hay RDG Packer Detector. Các công cụ này cũng có chức năng, cách sử dụng tương tự. Hình 28: Rdg Packer Detector
39 39 Hình 29: ExeInfo - Sử dụng chuỗi tìm được:  Để hiểu được những gì một chương trình thông thường làm, chúng ta thường tìm đọc các tài liệu đi kèm, hướng dẫn sử dụng… Với mã độc cũng tương tự, tuy nhiên, “thường” không có tài liệu hay hướng dẫn. Thay vào đó, những thông tin hữu ích trong file thực thi là điều đáng lưu ý. Ví dụ như chương trình thường in ra màn hình những trạng thái hoạt động, hoặc thông báo lỗi. Theo dấu vết các chuỗi này, có thể hiểu và thấy được phần nào cách hoạt động của chúng.  Các chuỗi trong file thực thi nói chung, có thể được lấy ra sử dụng một số công cụ như Strings trong bộ Sysinternals, Bintext trong Foundstone hay HexWorkshop, 010Editor, IDA… Khi sử dụng các công cụ này, cần chú ý rằng nên chọn trích xuất ra cả định dạng ASCII và UNICODE.  Tuy nhiên cũng cần thận trọng khi xem xét, vì rất có thể người viết mã độc cố tính chèn chúng vào nhằm làm người phân tích bị lệch hướng. - Công cụ xem cấu trúc của file thực thi (trên Windows gọi chung là PE file, trên Linux là ELF…):  PE file (Portable executable) là định dạng được sử dụng bởi các file thực thi của hệ điều hành Windows. Có nhiều thông tin quan trọng mà định dạng này cung cấp như:  Ngày tháng biên dịch:  Các hàm trong thư viện được chương trình gọi.  Hàm mà chương trình, hay thư viện cung cấp.
40 40  Biểu tượng, menu, phiên bản và các chuỗi tích hợp trong tài nguyên của file (resources).  Có khá nhiều công cụ cho phép xem cấu trúc của một file PE như: CFF Explorer: công cụ được phát triển bởi một chuyên gia dịch ngược, phân tích mã độc của Đức. PEView: của Wayne Radburn. Depends: của Steve Miller. PEBrowse Pro: của Rus Osterlund. Objdump: từ Cygwin. Resource Hacker: của Angus Johnson.  Những công cụ này đều rất mạnh, và miễn phí, sử dụng rất dễ dàng. - Công cụ dịch ngược:  Sau khi đã có thông tin cơ bản về mã độc ở các bước trên, công việc chính tiếp theo là hiểu cách hoạt động của nó, bằng cách xem mã thực thi ở dạng có thể hiểu được (dưới dạng ngôn ngữ assembly).  Rất nhiều những công cụ có khả năng dịch ngược từ mã máy sang mã assembly, tuy nhiên, hiện nay, công cụ được ưa thích, rất mạnh và dễ sử dụng – đó là IDA (Interactive Disassembler). Công cụ này được phát triển bởi Hex-rays, Ilfak Guinifanov, một chuyên gia phân tích lỗ hổng, mã độc. Tác giả đã sử dụng kinh nghiệm làm việc của mình, khắc phục các khó khăn mà quá trình phân tích gặp phải, để đưa ra công cụ cực kỳ hữu ích này. Nó được tin dùng ở hầu hết những nhà phân tích mã độc, các công ty an ninh mạng, diệt Virus (Kaspersky, F-secure, Avira, Symantec…).
41 41 Hình 30: Giao diện đồ họa của IDA Pro  Có 2 kiểu xem ở khung chứa mã dịch ngược, một là xem theo kiểu đồ thị và xem theo kiểu code thông thường. Với kiểu đồ thị, chúng ta sẽ dễ dàng theo dõi việc thực thi, kiểm tra của đoạn mã. Nó vô cùng trực quan, dễ hiểu. Với kiểu thông thường, các dòng lệnh hiển thị lần lượt như trong bộ nhớ. Không chỉ vậy, điểm mạnh của IDA còn ở tính năng cung cấp các tham chiếu, tìm kiếm chuỗi, hỗ trợ ngôn ngữ kịch bản, phần mở rộng. - Các công cụ so sánh file: sử dụng để so sánh các file trước và sau khi hệ thống bị lây nhiễm mã độc. Giả sử có một file chưa lây nhiễm và một người khác gửi đến trung tâm phân tích một file đã nhiễm mã độc, thì đây là công cụ cần sử dụng đầu tiên. Không chỉ đưa ra thông tin về những byte khác nhau, các công cụ này còn có khả năng đưa ra mã assembly của những đoạn đó, giúp cho người phân tích dễ dàng thấy được các hoạt động của mã độc.  BinDiff của Zynamics là một công cụ như thế. Nó tập trung vào việc so sánh các file với nhau, đưa ra kết quả là mã assembly và đồ thị hoạt động tương ứng. Một chức năng đáng chú ý nữa là đưa ra các hàm giống nhau và khác nhau giữa 2 file thực thi. Điều này sẽ giúp giảm đi đáng kể thời gian phân tích, vì người phân tích sẽ có định hướng, chỉ tập trung vào những hàm được chèn thêm, bị thay đổi, mà không cần xem xét hết các hàm của một file thực thi đã bi lây nhiễm.
42 42 Hình 31: BinDiff 2.6.2. Công cụ hỗ trợ phân tích động Mã độc có rất nhiều hành vi khác nhau (xóa file, chèn thêm vào file, lấy cắp thông tin, kết nối mạng, tấn công DdoS…) vì thế phải kết hợp nhiều công cụ với nhau để có thể thấy được bức tranh toàn cảnh về những gì mà nó làm (chứ không phải làm thế nào). Ở phần này, chúng ta sẽ chỉ nói đến mã độc, và những công cụ phân tích trên nền tảng Windows. Có 2 công cụ phân tích hành vi khá hữu ích là Process Monitor và Wireshark. Một trong những điểm thú vị của các công cụ này là chúng giám sát mọi hành vi trong toàn bộ hệ thống chứ không phải chỉ của mã độc, hay một chương trình cụ thể. Vì thế, để phân tích, cần phải lọc kết quả trả về của chúng. Cả 2 phần mềm này đều có cơ chế lọc với nhiều tùy chọn, rất hiệu quả. - Process Monitor: một sản phẩm trong công cụ Sysinternals Suite. Cho phép người phân tích giám sát tất cả các hành vi về file, registry, hoạt động của tiến trình đang chạy trong hệ thống. Process Monitor hoạt động bằng cách cài một driver (một thành phần điều khiển ở mức thấp) để giám sát thông tin về hoạt động đang diễn ra bên trong nhân hệ điều hành. Dữ liệu nó đưa ra rất đầy đủ, chi tiết ở dạng đồ họa.
43 43 Hình 32: Giao diện sử dụng của Process Monitor Sau khi chạy Process Monitor, chúng ta cần lọc các kết quả nó trả về. Không như Filemon (giám sát file), Regmon (giám sát registry) sử dụng cơ chế lọc đơn giản theo chuỗi; Process Monitor có cơ chế lọc khá phức tạp. Hình 33 mô phỏng cửa sổ lọc kết quả của Process Monitor. Giả sử cần lọc các hoạt động của một tiến trình có tên là “unknown1” chúng ta sẽ chọn ở khung đầu tiên là Process Name, ở khung textbox, điền tên unknown1, nhấn Add. Để giám sát các hành động cụ thể (việc sử dụng hàm API của chương trình, chọn Operation , và điền tên hàm API tương ứng cần giám sát. Hình 33: Cửa sổ Filter của Process Monitor - WireShark: là sản phẩm đa nền tảng dùng để giám sát kết nối mạng. Nó cung cấp những chức năng như: giám sát, phân tích, lọc các kết nối mạng từ tất cả các ứng dụng trong hệ thống. Tuy nhiên, điểm yếu lớn nhất của nó khi phân tích mã độc là
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc
Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc

Recommended

Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAY
Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAYĐề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAY
Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
Báo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpBáo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpMinh Dương
 
Giáo trình ASP.NET - Trung tâm Nhất Nghệ
Giáo trình ASP.NET - Trung tâm Nhất NghệGiáo trình ASP.NET - Trung tâm Nhất Nghệ
Giáo trình ASP.NET - Trung tâm Nhất NghệTrung Thanh Nguyen
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAYDịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
Danh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 Điểm
Danh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 ĐiểmDanh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 Điểm
Danh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 ĐiểmDịch vụ viết bài trọn gói ZALO: 0909232620
 
Bai tap thuc hanh
Bai tap thuc hanhBai tap thuc hanh
Bai tap thuc hanhLanh Dankhao
 
Phân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhạm Trung Đức
 
TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ
TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞTÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ
TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞTiki.vn
 

Recommended

Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAY
Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAYĐề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAY
Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
Báo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpBáo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpMinh Dương
 
Giáo trình ASP.NET - Trung tâm Nhất Nghệ
Giáo trình ASP.NET - Trung tâm Nhất NghệGiáo trình ASP.NET - Trung tâm Nhất Nghệ
Giáo trình ASP.NET - Trung tâm Nhất NghệTrung Thanh Nguyen
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAYDịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
Danh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 Điểm
Danh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 ĐiểmDanh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 Điểm
Danh Sách 200 Đề Tài Báo Cáo Thực Tập Công Nghệ Thông Tin, 9 ĐiểmDịch vụ viết bài trọn gói ZALO: 0909232620
 
Bai tap thuc hanh
Bai tap thuc hanhBai tap thuc hanh
Bai tap thuc hanhLanh Dankhao
 
Phân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhạm Trung Đức
 
TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ
TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞTÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ
TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞTiki.vn
 
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...nataliej4
 
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đLuận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đDịch vụ viết bài trọn gói ZALO: 0909232620
 
Tổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm Cao
Tổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm CaoTổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm Cao
Tổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm CaoDịch Vụ Viết Thuê Báo Cáo Khóa luận ZALO 0909232620
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAYĐề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
Luận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewall
Luận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewallLuận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewall
Luận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewallDịch vụ viết thuê Luận Văn - ZALO 0932091562
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đĐề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đDịch vụ viết bài trọn gói ZALO 0917193864
 
Pf sense firewall
Pf sense firewallPf sense firewall
Pf sense firewallQuan Tâm
 
Báo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpBáo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpMinh Dương
 
Bài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITBài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITNguynMinh294
 
Thực tập kiểm thử phần mềm
Thực tập kiểm thử phần mềmThực tập kiểm thử phần mềm
Thực tập kiểm thử phần mềmNguyễn Anh
 
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đĐề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đDịch vụ viết bài trọn gói ZALO 0917193864
 
luan van thac si su dung phan mem nagios giam sat he thong mang
luan van thac si su dung phan mem nagios giam sat he thong mangluan van thac si su dung phan mem nagios giam sat he thong mang
luan van thac si su dung phan mem nagios giam sat he thong mangDịch vụ viết thuê Luận Văn - ZALO 0932091562
 
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docx
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docxTÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docx
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docxDV Viết Luận văn luanvanmaster.com ZALO 0973287149
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đDịch vụ viết bài trọn gói ZALO: 0909232620
 
Slides Lập trình mạng
Slides Lập trình mạngSlides Lập trình mạng
Slides Lập trình mạngasakebigone
 
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Dịch vụ viết thuê Luận Văn - ZALO 0932091562
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITNguynMinh294
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snortanhkhoa2222
 
Giáo trình Tester Full
Giáo trình Tester FullGiáo trình Tester Full
Giáo trình Tester FullThanh Sơn
 
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSamTiki.vn
 
Luận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợp
Luận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợpLuận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợp
Luận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợpViết Thuê Khóa Luận _ ZALO 0917.193.864 default
 
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...Dịch vụ viết thuê Khóa Luận - ZALO 0932091562
 

More Related Content

What's hot

ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...nataliej4
 
Pf sense firewall
Pf sense firewallPf sense firewall
Pf sense firewallQuan Tâm
 
Báo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpBáo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpMinh Dương
 
Bài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITBài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITNguynMinh294
 
Thực tập kiểm thử phần mềm
Thực tập kiểm thử phần mềmThực tập kiểm thử phần mềm
Thực tập kiểm thử phần mềmNguyễn Anh
 
Slides Lập trình mạng
Slides Lập trình mạngSlides Lập trình mạng
Slides Lập trình mạngasakebigone
 
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Dịch vụ viết thuê Luận Văn - ZALO 0932091562
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITNguynMinh294
 
Giáo trình Tester Full
Giáo trình Tester FullGiáo trình Tester Full
Giáo trình Tester FullThanh Sơn
 
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSamTiki.vn
 

What's hot (20)

ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
 
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đLuận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
 
Tổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm Cao
Tổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm CaoTổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm Cao
Tổng Hợp Đề Tài Khóa Luận Tốt Nghiệp An Toàn Thông Tin, Dễ Làm Điểm Cao
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAYĐề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
 
Luận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewall
Luận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewallLuận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewall
Luận văn Thạc sĩ tìm hiểu giải pháp an ninh mạng với firewall
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đĐề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
 
Pf sense firewall
Pf sense firewallPf sense firewall
Pf sense firewall
 
Báo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệpBáo cáo đề tài thực tập tốt nghiệp
Báo cáo đề tài thực tập tốt nghiệp
 
Bài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITBài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTIT
 
Thực tập kiểm thử phần mềm
Thực tập kiểm thử phần mềmThực tập kiểm thử phần mềm
Thực tập kiểm thử phần mềm
 
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đĐề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
 
luan van thac si su dung phan mem nagios giam sat he thong mang
luan van thac si su dung phan mem nagios giam sat he thong mangluan van thac si su dung phan mem nagios giam sat he thong mang
luan van thac si su dung phan mem nagios giam sat he thong mang
 
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docx
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docxTÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docx
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH.docx
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
 
Slides Lập trình mạng
Slides Lập trình mạngSlides Lập trình mạng
Slides Lập trình mạng
 
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTIT
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snort
 
Giáo trình Tester Full
Giáo trình Tester FullGiáo trình Tester Full
Giáo trình Tester Full
 
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam
[Khóa luận tốt nghiệp] - Tìm hiểu và triển khai Snort/SnortSam
 

Similar to Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc

Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...Dịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...
Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...
Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...mokoboo56
 
Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...
Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...
Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...DV Viết Luận văn luanvanmaster.com ZALO 0973287149
 
Bai-giang_An-ninh-mang-thong-tin.pdf
Bai-giang_An-ninh-mang-thong-tin.pdfBai-giang_An-ninh-mang-thong-tin.pdf
Bai-giang_An-ninh-mang-thong-tin.pdfLVitTn1
 
Nghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdf
Nghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdfNghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdf
Nghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdfMan_Ebook
 
Giao trinh thdc
Giao trinh thdcGiao trinh thdc
Giao trinh thdcPhi Phi
 
Luận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà Nước
Luận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà NướcLuận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà Nước
Luận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà NướcViết Thuê Luận Văn Luanvanpanda.com
 
Nghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài Radar
Nghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài RadarNghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài Radar
Nghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài RadarMan_Ebook
 
Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162
Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162
Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162nataliej4
 
Dự án quản lý nội dung cho trang báo điện tử
Dự án quản lý nội dung cho trang báo điện tửDự án quản lý nội dung cho trang báo điện tử
Dự án quản lý nội dung cho trang báo điện tửsunflower_micro
 
Bài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tínhBài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tínhCao Toa
 

Similar to Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc (20)

Luận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợp
Luận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợpLuận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợp
Luận văn: Nghiên cứu, thiết kế, chế tạo mobile robot tự hành tích hợp
 
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...
Luận văn: Đề xuất một số giải pháp xây dựng các hoạt động kiểm soát trong môi...
 
Kế Toán Thu, Chi Và Kết Quả Các Hoạt Động Tại Học Viện Y - Dược Học Cổ Truyền...
Kế Toán Thu, Chi Và Kết Quả Các Hoạt Động Tại Học Viện Y - Dược Học Cổ Truyền...Kế Toán Thu, Chi Và Kết Quả Các Hoạt Động Tại Học Viện Y - Dược Học Cổ Truyền...
Kế Toán Thu, Chi Và Kết Quả Các Hoạt Động Tại Học Viện Y - Dược Học Cổ Truyền...
 
Luận văn: Ứng dụng công nghệ Webrtc cho giải pháp cộng tác, 9đ
Luận văn: Ứng dụng công nghệ Webrtc cho giải pháp cộng tác, 9đLuận văn: Ứng dụng công nghệ Webrtc cho giải pháp cộng tác, 9đ
Luận văn: Ứng dụng công nghệ Webrtc cho giải pháp cộng tác, 9đ
 
Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...
Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...
Đồ Án Tốt Nghiệp Về Nghiên Cứu Kiến Trúc Mạng Internet, Sự Lây Lan Của Worm V...
 
Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...
Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...
Bảo vệ bản quyền các cơ sở dữ liệu quan hệ trong hệ thống quản lý giáo dục bằ...
 
ĐỒ ÁN - Nghiên cứu công nghệ streaming và ứng dụng trong thiết bị di động.doc
ĐỒ ÁN - Nghiên cứu công nghệ streaming và ứng dụng trong thiết bị di động.docĐỒ ÁN - Nghiên cứu công nghệ streaming và ứng dụng trong thiết bị di động.doc
ĐỒ ÁN - Nghiên cứu công nghệ streaming và ứng dụng trong thiết bị di động.doc
 
BÀI MẪU Luận văn thạc sĩ khoa học máy tính, 9 ĐIỂM
BÀI MẪU Luận văn thạc sĩ khoa học máy tính, 9 ĐIỂMBÀI MẪU Luận văn thạc sĩ khoa học máy tính, 9 ĐIỂM
BÀI MẪU Luận văn thạc sĩ khoa học máy tính, 9 ĐIỂM
 
Bai-giang_An-ninh-mang-thong-tin.pdf
Bai-giang_An-ninh-mang-thong-tin.pdfBai-giang_An-ninh-mang-thong-tin.pdf
Bai-giang_An-ninh-mang-thong-tin.pdf
 
Nghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdf
Nghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdfNghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdf
Nghiên cứu mạng nơ ron nhân tạo và ứng dụng vào dự báo lạm phát.pdf
 
Giao trinh thdc
Giao trinh thdcGiao trinh thdc
Giao trinh thdc
 
Luận văn: An toàn giao thức định tuyến trong mạng manet, HOT
Luận văn: An toàn giao thức định tuyến trong mạng manet, HOTLuận văn: An toàn giao thức định tuyến trong mạng manet, HOT
Luận văn: An toàn giao thức định tuyến trong mạng manet, HOT
 
Luận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà Nước
Luận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà NướcLuận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà Nước
Luận Văn Hoàn Thiện Công Tác Tự Kiểm Tra Nghiệp Vụ Kế Toán Nhà Nước
 
Nghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài Radar
Nghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài RadarNghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài Radar
Nghiên cứu một số giải pháp nâng cao chất lượng thu tín hiệu trong đài Radar
 
Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162
Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162
Nghiên cứu công nghệ sản xuất chè xanh chất lượng cao 7540162
 
Dự án quản lý nội dung cho trang báo điện tử
Dự án quản lý nội dung cho trang báo điện tửDự án quản lý nội dung cho trang báo điện tử
Dự án quản lý nội dung cho trang báo điện tử
 
Thuc tap
Thuc tapThuc tap
Thuc tap
 
Luận án: Nghiên cứu hệ thống thông tin chuyển tiếp sử dụng đa truy nhập không...
Luận án: Nghiên cứu hệ thống thông tin chuyển tiếp sử dụng đa truy nhập không...Luận án: Nghiên cứu hệ thống thông tin chuyển tiếp sử dụng đa truy nhập không...
Luận án: Nghiên cứu hệ thống thông tin chuyển tiếp sử dụng đa truy nhập không...
 
Bài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tínhBài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tính
 
Luận văn: Xây dựng hệ thống dịch tự động giúp dự báo thời tiết, HAY
Luận văn: Xây dựng hệ thống dịch tự động giúp dự báo thời tiết, HAYLuận văn: Xây dựng hệ thống dịch tự động giúp dự báo thời tiết, HAY
Luận văn: Xây dựng hệ thống dịch tự động giúp dự báo thời tiết, HAY
 

More from DV Viết Luận văn luanvanmaster.com ZALO 0973287149

More from DV Viết Luận văn luanvanmaster.com ZALO 0973287149 (20)

Ảnh Hưởng Của Marketing Quan Hệ Đến Lòng Trung Thành Của Khách Hàng.Tình Huốn...
Ảnh Hưởng Của Marketing Quan Hệ Đến Lòng Trung Thành Của Khách Hàng.Tình Huốn...Ảnh Hưởng Của Marketing Quan Hệ Đến Lòng Trung Thành Của Khách Hàng.Tình Huốn...
Ảnh Hưởng Của Marketing Quan Hệ Đến Lòng Trung Thành Của Khách Hàng.Tình Huốn...
 
Phát triển nguồn nhân lực tại Uỷ ban nhân dân huyện Trà Bồng, tỉnh Quảng Ngãi...
Phát triển nguồn nhân lực tại Uỷ ban nhân dân huyện Trà Bồng, tỉnh Quảng Ngãi...Phát triển nguồn nhân lực tại Uỷ ban nhân dân huyện Trà Bồng, tỉnh Quảng Ngãi...
Phát triển nguồn nhân lực tại Uỷ ban nhân dân huyện Trà Bồng, tỉnh Quảng Ngãi...
 
Báo cáo tốt Nghiệp tài chính hợp nhất tại tổng công ty Indochina gol...
Báo cáo tốt Nghiệp tài chính hợp nhất tại tổng công ty Indochina gol...Báo cáo tốt Nghiệp tài chính hợp nhất tại tổng công ty Indochina gol...
Báo cáo tốt Nghiệp tài chính hợp nhất tại tổng công ty Indochina gol...
 
Tạo động lực thúc đẩy nhân viên làm việc tại ngân hàng TMCP Ngoại Thương Việt...
Tạo động lực thúc đẩy nhân viên làm việc tại ngân hàng TMCP Ngoại Thương Việt...Tạo động lực thúc đẩy nhân viên làm việc tại ngân hàng TMCP Ngoại Thương Việt...
Tạo động lực thúc đẩy nhân viên làm việc tại ngân hàng TMCP Ngoại Thương Việt...
 
Phát triển công nghiệp trên địa bàn Thành phố Tam Kỳ, Tỉnh Quảng Na...
Phát triển công nghiệp trên địa bàn Thành phố Tam Kỳ, Tỉnh Quảng Na...Phát triển công nghiệp trên địa bàn Thành phố Tam Kỳ, Tỉnh Quảng Na...
Phát triển công nghiệp trên địa bàn Thành phố Tam Kỳ, Tỉnh Quảng Na...
 
Giải pháp phát triển cho vay xuất nhập khẩu tại ngân hàng NN&PTNN ch...
Giải pháp phát triển cho vay xuất nhập khẩu tại ngân hàng NN&PTNN ch...Giải pháp phát triển cho vay xuất nhập khẩu tại ngân hàng NN&PTNN ch...
Giải pháp phát triển cho vay xuất nhập khẩu tại ngân hàng NN&PTNN ch...
 
Hoàn thiện công tác lập báo cáo tài chính hợp nhất tại tổng công ...
Hoàn thiện công tác lập báo cáo tài chính hợp nhất tại tổng công ...Hoàn thiện công tác lập báo cáo tài chính hợp nhất tại tổng công ...
Hoàn thiện công tác lập báo cáo tài chính hợp nhất tại tổng công ...
 
Luận Văn Thạc Sĩ Quản trị thành tích nhân viên tại Cục Hải quan TP Đà Nẵng.doc
Luận Văn Thạc Sĩ Quản trị thành tích nhân viên tại Cục Hải quan TP Đà Nẵng.docLuận Văn Thạc Sĩ Quản trị thành tích nhân viên tại Cục Hải quan TP Đà Nẵng.doc
Luận Văn Thạc Sĩ Quản trị thành tích nhân viên tại Cục Hải quan TP Đà Nẵng.doc
 
Hoàn thiện công tác quản lý thuế thu nhập cá nhân tại cục thuế Tỉ...
Hoàn thiện công tác quản lý thuế thu nhập cá nhân tại cục thuế Tỉ...Hoàn thiện công tác quản lý thuế thu nhập cá nhân tại cục thuế Tỉ...
Hoàn thiện công tác quản lý thuế thu nhập cá nhân tại cục thuế Tỉ...
 
Đề Tài Phát triển bền vững nông nghiệp Huyện Ba Tơ, Tỉnh Quảng Ngãi....
Đề Tài Phát triển bền vững nông nghiệp Huyện Ba Tơ, Tỉnh Quảng Ngãi....Đề Tài Phát triển bền vững nông nghiệp Huyện Ba Tơ, Tỉnh Quảng Ngãi....
Đề Tài Phát triển bền vững nông nghiệp Huyện Ba Tơ, Tỉnh Quảng Ngãi....
 
Hoàn thiện công tác bảo trợ xã hội trên địa bàn huyện Phong Điền, tỉnh Thừa T...
Hoàn thiện công tác bảo trợ xã hội trên địa bàn huyện Phong Điền, tỉnh Thừa T...Hoàn thiện công tác bảo trợ xã hội trên địa bàn huyện Phong Điền, tỉnh Thừa T...
Hoàn thiện công tác bảo trợ xã hội trên địa bàn huyện Phong Điền, tỉnh Thừa T...
 
Đề Tài Luận VănPhát triển sản phẩm du lịch tại thành phố Đà Nẵng.doc
Đề Tài Luận VănPhát triển sản phẩm du lịch tại thành phố Đà Nẵng.docĐề Tài Luận VănPhát triển sản phẩm du lịch tại thành phố Đà Nẵng.doc
Đề Tài Luận VănPhát triển sản phẩm du lịch tại thành phố Đà Nẵng.doc
 
Đào tạo nghề cho lao động thuộc diện thu hồi đất trên địa bàn Thàn...
Đào tạo nghề cho lao động thuộc diện thu hồi đất trên địa bàn Thàn...Đào tạo nghề cho lao động thuộc diện thu hồi đất trên địa bàn Thàn...
Đào tạo nghề cho lao động thuộc diện thu hồi đất trên địa bàn Thàn...
 
Tóm Tắt Luận Văn Thạc Sĩ Quản Trị Kinh Doanh Xây dựng chính sách Marketing tạ...
Tóm Tắt Luận Văn Thạc Sĩ Quản Trị Kinh Doanh Xây dựng chính sách Marketing tạ...Tóm Tắt Luận Văn Thạc Sĩ Quản Trị Kinh Doanh Xây dựng chính sách Marketing tạ...
Tóm Tắt Luận Văn Thạc Sĩ Quản Trị Kinh Doanh Xây dựng chính sách Marketing tạ...
 
Đề Tài Nghiên cứu rủi ro cảm nhận đối với mua hàng thời trang trực tuyến.docx
Đề Tài Nghiên cứu rủi ro cảm nhận đối với mua hàng thời trang trực tuyến.docxĐề Tài Nghiên cứu rủi ro cảm nhận đối với mua hàng thời trang trực tuyến.docx
Đề Tài Nghiên cứu rủi ro cảm nhận đối với mua hàng thời trang trực tuyến.docx
 
Giải pháp nâng cao động lực thúc đẩy người lao động tại công ty khai...
Giải pháp nâng cao động lực thúc đẩy người lao động tại công ty khai...Giải pháp nâng cao động lực thúc đẩy người lao động tại công ty khai...
Giải pháp nâng cao động lực thúc đẩy người lao động tại công ty khai...
 
Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...
Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...
Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...
 
Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...
Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...
Giải pháp phát triển dịch vụ ngân hàng điện tử tại ngân hàng đầu ...
 
Quản trị quan hệ khách hàng tại Chi nhánh Viettel Đà Nẵng – Tập đoàn Viễn thô...
Quản trị quan hệ khách hàng tại Chi nhánh Viettel Đà Nẵng – Tập đoàn Viễn thô...Quản trị quan hệ khách hàng tại Chi nhánh Viettel Đà Nẵng – Tập đoàn Viễn thô...
Quản trị quan hệ khách hàng tại Chi nhánh Viettel Đà Nẵng – Tập đoàn Viễn thô...
 
Đề Tài Đánh giá thành tích đội ngũ giảng viên trường Đại Học Phạm ...
Đề Tài Đánh giá thành tích đội ngũ giảng viên trường Đại Học Phạm ...Đề Tài Đánh giá thành tích đội ngũ giảng viên trường Đại Học Phạm ...
Đề Tài Đánh giá thành tích đội ngũ giảng viên trường Đại Học Phạm ...
 

Recently uploaded

Các điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoáCác điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoámyvh40253
 
1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docx
1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docx1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docx
1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docxTHAO316680
 
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...Nguyen Thanh Tu Collection
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...Nguyen Thanh Tu Collection
 
PHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢI
PHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢIPHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢI
PHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢImyvh40253
 
GNHH và KBHQ - giao nhận hàng hoá và khai báo hải quan
GNHH và KBHQ - giao nhận hàng hoá và khai báo hải quanGNHH và KBHQ - giao nhận hàng hoá và khai báo hải quan
GNHH và KBHQ - giao nhận hàng hoá và khai báo hải quanmyvh40253
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...Nguyen Thanh Tu Collection
 
Nhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptx
Nhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptxNhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptx
Nhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptxhoangvubaongoc112011
 
Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................TrnHoa46
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...Nguyen Thanh Tu Collection
 
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...Nguyen Thanh Tu Collection
 
sách sinh học đại cương - Textbook.pdf
sách sinh học đại cương - Textbook.pdfsách sinh học đại cương - Textbook.pdf
sách sinh học đại cương - Textbook.pdfTrnHoa46
 
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-KhnhHuyn546843
 
Giới thiệu Dự án Sản Phụ Khoa - Y Học Cộng Đồng
Giới thiệu Dự án Sản Phụ Khoa - Y Học Cộng ĐồngGiới thiệu Dự án Sản Phụ Khoa - Y Học Cộng Đồng
Giới thiệu Dự án Sản Phụ Khoa - Y Học Cộng ĐồngYhoccongdong.com
 
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘIĐiện Lạnh Bách Khoa Hà Nội
 
Kiểm tra cuối học kì 1 sinh học 12 đề tham khảo
Kiểm tra cuối học kì 1 sinh học 12 đề tham khảoKiểm tra cuối học kì 1 sinh học 12 đề tham khảo
Kiểm tra cuối học kì 1 sinh học 12 đề tham khảohoanhv296
 
Campbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdfCampbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdfTrnHoa46
 
GIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
GIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘIGIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
GIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘIĐiện Lạnh Bách Khoa Hà Nội
 
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...Nguyen Thanh Tu Collection
 
BỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdf
BỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdfBỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdf
BỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdfNguyen Thanh Tu Collection
 

Recently uploaded (20)

Các điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoáCác điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoá
 
1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docx
1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docx1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docx
1.DOANNGOCPHUONGTHAO-APDUNGSTEMTHIETKEBTHHHGIUPHSHOCHIEUQUA (1).docx
 
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
 
PHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢI
PHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢIPHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢI
PHƯƠNG THỨC VẬN TẢI ĐƯỜNG SẮT TRONG VẬN TẢI
 
GNHH và KBHQ - giao nhận hàng hoá và khai báo hải quan
GNHH và KBHQ - giao nhận hàng hoá và khai báo hải quanGNHH và KBHQ - giao nhận hàng hoá và khai báo hải quan
GNHH và KBHQ - giao nhận hàng hoá và khai báo hải quan
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
 
Nhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptx
Nhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptxNhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptx
Nhiễm khuẩn tiêu hóa-Tiêu chảy do vi khuẩn.pptx
 
Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
 
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
 
sách sinh học đại cương - Textbook.pdf
sách sinh học đại cương - Textbook.pdfsách sinh học đại cương - Textbook.pdf
sách sinh học đại cương - Textbook.pdf
 
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
 
Giới thiệu Dự án Sản Phụ Khoa - Y Học Cộng Đồng
Giới thiệu Dự án Sản Phụ Khoa - Y Học Cộng ĐồngGiới thiệu Dự án Sản Phụ Khoa - Y Học Cộng Đồng
Giới thiệu Dự án Sản Phụ Khoa - Y Học Cộng Đồng
 
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
 
Kiểm tra cuối học kì 1 sinh học 12 đề tham khảo
Kiểm tra cuối học kì 1 sinh học 12 đề tham khảoKiểm tra cuối học kì 1 sinh học 12 đề tham khảo
Kiểm tra cuối học kì 1 sinh học 12 đề tham khảo
 
Campbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdfCampbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdf
 
GIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
GIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘIGIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
GIÁO TRÌNH KHỐI NGUỒN CÁC LOẠI - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
 
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 7 GLOBAL SUCCESS (2 CỘ...
 
BỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdf
BỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdfBỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdf
BỘ LUYỆN NGHE VÀO 10 TIẾNG ANH DẠNG TRẮC NGHIỆM 4 CÂU TRẢ LỜI - CÓ FILE NGHE.pdf
 

Luận Văn Nghiên Cứu Phương Pháp Phân Tích Động Mã Độc.doc

  • 1. DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149 TẢI FLIE TÀI LIỆU – LUANVANTOT.COM EBOOKBKMT.COM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ----------------------------------------------------------- NGUYỄN NGỌC QUÂN NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 BÁO CÁO LUẬN VĂN THẠC SĨ HÀ NỘI – 2015
  • 2. DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149 TẢI FLIE TÀI LIỆU – LUANVANTOT.COM EBOOKBKMT.COM LỜI CẢM ƠN Trước hết tôi xin cảm ơn sâu sắc tới TS. Nguyễn Trung Kiên, đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp. Tôi xin cảm ơn các cán bộ Viện Công nghệ thông tin và truyền thông CDIT; các thầy cô trong khoa Công nghệ thông tin, khoa Quốc tế và Đào tạo sau Đại học - Học viện Công nghệ Bưu chính Viễn thông đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian học tập nghiên cứu tại trường. Tôi xin cảm ơn các cấp Lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia sẻ, giúp đỡ, tạo điều kiện cho tôi hoàn thành khóa luận này. Hà Nội, tháng năm 2015 Nguyễn Ngọc Quân
  • 3. ii EBOOKBKMT.COM LỜI CAM ĐOAN Tôi xin cam đoan Luận văn này là công trình nghiên cứu khoa học nghiêm túc của cá nhân, được thực hiện dưới sự hướng dẫn khoa học của TS. Nguyễn Trung Kiên. Các số liệu, kết quả nghiên cứu và kết luận được trình bày trong Luận văn là trung thực và chưa được công bố dưới bất kỳ hình thức nào. Tôi xin chịu trách nhiệm về công trình nghiên cứu của mình. TÁC GIẢ LUẬN VĂN Nguyễn Ngọc Quân
  • 4. iii EBOOKBKMT.COM MỤC LỤC LỜI CẢM ƠN...........................................................................................................................ii LỜI CAM ĐOAN .....................................................................................................................ii MỤC LỤC .............................................................................................................................. iii DANH MỤC CÁC TỪ VIẾT TẮT .........................................................................................vi DANH MỤC HÌNH VẼ..........................................................................................................vii MỞ ĐẦU ..................................................................................................................................x CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC .............................................................................1 1.1. Tổng quan về mã độc ................................................................................................1 1.1.1. Khái niệm về mã độc............................................................................................1 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới...................................................1 1.2. Phân loại mã độc .......................................................................................................4 1.2.1. Virus máy tính......................................................................................................5 1.2.2. Sâu máy tính ........................................................................................................6 1.2.3. Trojan hourse......................................................................................................7 1.2.4. Phần mềm gián điệp (Spyware) ..........................................................................7 1.2.5. Phần mềm tống tiền (Scareware)........................................................................8 1.2.6. Phần mềm quảng cáo..........................................................................................9 1.2.7. Downloader..........................................................................................................9 1.2.8. Backdoor ..............................................................................................................9 1.2.9. Botnet .................................................................................................................10 1.2.10. Launcher............................................................................................................10 1.2.11. Rootkit ................................................................................................................11 1.2.12. Keylogger............................................................................................................11 1.3. Cách thức hoạt động và các hành vi của các loại mã độc....................................11 1.3.1. Mục đích của mã độc..........................................................................................11 1.3.2. Hướng lây nhiễm của mã độc.............................................................................11 1.3.3. Hành vi mã độc...................................................................................................12 1.3.4. Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng ......................13
  • 5. iv EBOOKBKMT.COM 1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng ........13 1.4. Phương thức lây nghiễm của mã độc ....................................................................14 1.4.1. Phương thức lây nhiễm của Virus....................................................................14 1.4.2. Phương thức lây nhiễm của Worm (Sâu máy tính).........................................15 1.4.3. Phương thức lây nhiễm của Trojan .................................................................15 1.5. Kết luận Chương 1 ..................................................................................................16 CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC ........................................................................................................................................17 2.1. Nghiên cứu các kỹ thuật phân tích mã độc...........................................................17 2.1.1. Mục đích kỹ thuật phân tích mã độc...................................................................17 2.1.2. Các kỹ thuật phân tích mã độc..........................................................................18 2.2. Nghiên cứu phương pháp phân tích tĩnh ..............................................................19 2.2.1. Basic static analysis...........................................................................................19 2.2.2. Advanced static analysis....................................................................................26 2.3. Nghiên cứu phương pháp phân tích động.............................................................26 2.4. Môi trường thực hiện việc phân tích mã độc........................................................29 2.4.1. Môi trường tải mã độc.......................................................................................30 2.4.2. Môi trường phân tích mã độc ...........................................................................31 2.4.3. Mô hình môi trường phân tích mã độc.............................................................31 2.5. Quy trình thu thập và phân tích mã độc...............................................................34 2.5.1. Thu thập mã độc .................................................................................................34 2.5.2. Quy trình phân tích mã độc................................................................................35 2.6. Nghiên cứu các công cụ hỗ trợ phân tích mã độc.................................................36 2.6.1. Công cụ hỗ trợ phân tích tĩnh...........................................................................36 2.6.2. Công cụ hỗ trợ phân tích động .........................................................................42 2.7. Kết luận Chương 2 ..................................................................................................44 CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC .........................................................46 3.1. Kiến trúc cơ bản của hệ thống ...............................................................................46 3.2. Mô hình logic của hệ thống Malware analytics....................................................46 3.3. Mô hình vật lý của hệ thống ...................................................................................47
  • 6. v EBOOKBKMT.COM 3.4. Giới thiệu hệ thống sử dụng cho việc phân tích hành vi của mã độc .................47 3.1.1. Quy trình phân tích một tập tin.........................................................................48 3.1.2. Quy trình phân tích địa chỉ URL độc hại.........................................................55 3.2. Kết luận chương 3 ...................................................................................................57 KẾT LUẬN.............................................................................................................................58 TÀI LIỆU THAM KHẢO ......................................................................................................59 PHỤ LỤC................................................................................................................................60
  • 7. EBOOKBKMT.COM DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt AV-TEST Tổ chức kiểm định và đánh giá độc lập về các phần mềm diệt Virus cho Windows và Android BKAV Công ty an ninh mạng BKAV CPU Central Processing Unit Bộ xử lý trung tâm của máy tính IPS Intrusion prevention system Hệ thống phát hiện xâm nhập IDS Intrusion detection system Hệ thống ngăn ngừa xâm nhập IIS Internet Information Services MD5 Message Digest Algorithm 5 Thuật toán băm mã hóa dữ liệu MD5 NIST National Institute of Standards and Technology Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ P2P Peer to peer Mạng ngang hàng PC Personal computer Máy tính cá nhân PE File Portable Executable File SHA-1 Secure Hash Algorithm 1 Thuật toán băm mã hóa dữ liệu SHA-1 VNCERT Vietnam Computer Emergency Response Team Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNPT Vietnam Posts and Telecommunication Group Tập đoàn Bưu chính Viễn thông Việt Nam
  • 8. vii vii DANH MỤC HÌNH VẼ Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST ................................................2 Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới.............................................3 Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV .....................................................3 Hình 4: Virus đính kèm trong các tập tin thực thi ....................................................................5 Hình 5: Mô tả mức độ lây lan của sâu mật mã đỏ năm 2001 ...................................................6 Hình 6: Trojan ẩn mình trong các phần mềm miễn phí............................................................7 Hình 7: Hoạt động của người dùng Spyware ghi lại ................................................................8 Hình 8: Scareware mạo danh FBI tống tiền người dùng ..........................................................9 Hình 9: Công dụng của một mạng Botnet ..............................................................................10 Hình 10: Hash Netcat.............................................................................................................20 Hình 11: String khi tách từ mẫu Malware 1 ...........................................................................21 Hình 12: String khi tách từ mẫu Malware 2 ...........................................................................22 Hình 13: Chuỗi ASCII ............................................................................................................22 Hình 14: Chuỗi Unicode.........................................................................................................22 Hình 15: File Malware nc được giả dưới dạng file nén..........................................................24 Hình 16: Byte định dạng file thực thi .....................................................................................25 Hình 17: Byte định dạng file zip.............................................................................................25 Hình 18: Chương trình Malware được biên dịch bằng Visual C++ .......................................26 Hình 19: Hệ thống chạy khi chưa thực thi Malware...............................................................28 Hình 20: Hệ thống xuất hiện tiến trình lạ thực thi Malware...................................................28 Hình 21: Malware tác động đến các file trên hệ thống...........................................................29 Hình 22: Môi trường phân tích mã độc ..................................................................................30 Hình 23: Mô hình thực hiện phân tích Malware.....................................................................32 Hình 24: Thành phần môi trường phân tích mã độc...............................................................33 Hình 25: Quy trình phân tích mã độc khi chưa có hệ thống phân tích tự động......................35 Hình 26: Quy trình phân tích mã độc khi có hệ thống phân tích tự động ..............................36 Hình 27: Màn hình sử dụng PEiD ..........................................................................................38 Hình 28: Rdg Packer Detector................................................................................................38 Hình 29: ExeInfo.....................................................................................................................39 Hình 30: Giao diện đồ họa của IDA Pro.................................................................................41 Hình 31: BinDiff.....................................................................................................................42 Hình 32: Giao diện sử dụng của Process Monitor..................................................................43 Hình 33: Cửa sổ Filter của Process Monitor...........................................................................43 Hình 34: Mô hình logic hệ thống Malware analytics .............................................................46 Hình 35: Mô hình vật lý của hệ thống ....................................................................................47
  • 9. viii viii Hình 36: Giao diện của trang phân tích hành vi mã độc ........................................................48 Hình 37: Quy trình phân tích một mã độc trên hệ thống........................................................49 Hình 38: Giao diện mục nhập mã độc ....................................................................................50 Hình 39: Trang hiện thị thông tin về các mã độc đã phân tích...............................................51 Hình 40: Thông tin sơ lược về mã độc ...................................................................................52 Hình 41: Các thông tin chi tiết về hành vi mã độc (1)............................................................53 Hình 42: Các thông tin chi tiết về hành vi mã độc (2)............................................................54 Hình 43: Các thông tin chi tiết về hành vi mã độc (3)............................................................55 Hình 44: Giao diện nhập địa chỉ URL để phân tích................................................................56 Hình 45: Trang hiển thị thông tin về các địa chỉ URL đã phân tích.......................................56 Hình 46: Các thông tin chi tiết về hành vi của website chứa mã độc.....................................57 Hình 47: Tiến hành cài đặt Winpcap ......................................................................................60 Hình 48: Tiến hành cài đặt Wireshark....................................................................................61 Hình 49: Giải nén BSA...........................................................................................................61 Hình 50: Giao diện sandboxie sau khi cài đặt xong ...............................................................62 Hình 51: Chỉnh sửa cấu hình Sandbox ...................................................................................62 Hình 52: File cấu hình Sandbox trước khi chỉnh sửa .............................................................63 Hình 53: File cấu hình đã được chỉnh sửa ..............................................................................63 Hình 54: Chạy thử process monitor trong môi trường sandbox .............................................64 Hình 55: Hoạt động của Buster Sandbox Analyzer................................................................65 Hình 56: Thực thi netcat trong môi trường sandbox ..............................................................66 Hình 57: Netcat load các file thư viện, tạo các tiến trình mới................................................66 Hình 58: Thông tin trong file report .......................................................................................67 Hình 59: Phân tích hành vi .....................................................................................................68 Hình 60: Malware query DNS teredo.ipv6.microsoft.com....................................................69 Hình 61: Malware query DNS teredo.ipv6.microsoft.com....................................................69 Hình 62: Malware nhận trả lời từ việc query tên miền...........................................................70 Hình 63: Malware nhận trả lời từ việc query tên miền...........................................................71 Hình 64: Malware nhận trả lời từ việc query tên miền...........................................................71 Hình 65: Kiểm tra Malware với Virus total............................................................................72 Hình 66: Kết quả kiểm tra qua phần mềm anti Malware nổi tiếng.........................................72 Hình 67: Conficker thay đổi thuộc tính của Chrome..............................................................73 Hình 68: Web server hoạt động ..............................................................................................74 Hình 69: Conficker lấy thông tin từ web server .....................................................................74 Hình 70: Conficker truy vấn các tên miền..............................................................................75 Hình 71: Wireshark bắt bản tin conficker truy vấn tên miền .................................................75 Hình 72: Conficker download các file từ các website............................................................76 Hình 73: Giao diện công cụ Armitage....................................................................................77
  • 10. ix ix Hình 74: Sử dụng Trojan được lưu dưới dạng file exe...........................................................78 Hình 75: Upload Trojan lên webserver...................................................................................78 Hình 76: Khởi động dịch vụ apache .......................................................................................79 Hình 77: Chọn launch để khởi động dịch vụ ..........................................................................80 Hình 78: Người dùng vô tình cài Trojan lên máy tính của họ................................................80 Hình 79: Kết nối được mở để hacker điều khiến máy tính của người dùng...........................81 Hình 80: Thực hiện command trong cmd của máy tính người dùng......................................81 Hình 81: Report hành vi của Trojan .......................................................................................82 Hình 82: Wireshark capture bản tin do Trojan gửi.................................................................83
  • 11. x x MỞ ĐẦU Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn. Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone. Với tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông minh hay máy tính cá nhân, vì vậy môi trường hoạt động dành cho mã độc ngày càng rộng lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi. Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Luận văn đã tìm hiểu và nghiên cứu về “Phương pháp phân tích động mã độc”. Mục tiêu của Luận văn gồm các nội dung chính:  Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt động, các hành vi của mã độc và phương thức lây nhiễm của chúng  Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. Các phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh đó nghiên cứu về các môi trường và công cụ phân tích mã độc  Đề xuất quy trình và ứng dụng phân tích động mã độc trong thực tế. Phạm vi ứng dụng của nghiên cứu Nghiên cứu các kỹ thuật phân tích nhận diện mã độc chính cùng với hành vi của nó và áp dụng các kỹ thuật này để thử nghiệm phân tích mã độc.
  • 12. 1 1 CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC Chương 1 tập trung nghiên cứu những khái niệm cơ bản về mã độc, các loại mã độc hiện nay cũng như cách thức hoạt động và phương thức lây nhiễm mã độc phổ biến. 1.1. Tổng quan về mã độc 1.1.1. Khái niệm về mã độc Theo quan điểm của Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National Institute of Standart and Technology) về định nghĩa và phân loại trong lĩnh vực “Virus máy tính”, mã độc (Malware) được định nghĩa là một chương trình được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. Theo định nghĩa này mã độc bao hàm rất nhiều thể loại mà ở Việt Nam vẫn quen gọi chung là Virus máy tính như Worm, Trojan, Spy-ware, … thậm chí là Virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như Backdoor, Rootkit, Key- logger. 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến năm 2013, theo viện nghiên cứu độc lập về an toàn thông tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được phát tán. Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng trên toàn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho toàn bộ những người sử dụng Internet trên toàn cầu.
  • 13. 2 2 Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST Chủng loại mã độc cũng đa dạng và phong phú hơn về cả hành vi và mục đích phát tán. Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tôn giáo và nhiều lĩnh vực quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame và Duqu, những Virus đánh cắp thông tin mật của các hệ thống điện toán khu vực Trung Đông. Tại Việt Nam, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia và đã xuất hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận được email đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Microsoft Office (bao gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.
  • 14. 3 3 Dưới đây là hình 2 mô tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2012, Việt Nam nằm trong danh sách 15 nước có tỉ lệ phát tán mã độc nhiều nhất thế giới, Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn công của mã độc cũng có nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chương trình diệt Virus, sử dụng các hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống,.. Tuy nhiên các biện pháp này chỉ phần nào ngăn chặn được các loại Virus đã được biết đến rộng rãi, còn các biến thể mã độc hoặc các mã độc mới được sinh ra ngày càng nhiều thì hầu như vô hình trước các biện pháp bảo vệ trên. Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV
  • 15. 4 4 Tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để có thể truy ra nguồn phát tán mã độc và cập nhật nhanh nhất các dấu hiệu về mã độc cho các hệ thống bảo vệ, thông thường các chuyên viên phải tiến hành phân tích hành vi mã độc bằng phương pháp thủ công. Nhưng với số lượng mã độc ngày càng nhiều thì việc chỉ dùng phương pháp phân tích thủ công sẽ không theo kịp tiến độ, do vậy đề tài này nghiên cứu xây dựng một hệ thống tự động phân tích hành vi mã độc nhằm hỗ trợ công tác chuyên môn, nhanh chóng nhận diện và phát hiện hành vi của các loại mã độc mới xuất hiện để có biện pháp ứng cứu sự cố theo đúng chức năng của VNCERT, đồng thời giúp rút ngắn thời gian phân tích mã độc nhưng lại phân tích được nhiều mã độc hơn trước. Theo thống kê của VNCERT và hiệp hội an toàn thông tin Việt Nam, trong năm 2012 đã có tới 2.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tin tặc tấn công và chiếm quyền điều khiển. Sau khi đã kiểm soát thành công một hệ thống mạng hoặc website, tin tặc thường sử dụng mã độc để duy trì sự điều khiển cũng như để dò tìm và tấn công qua các hệ thống khác có liên quan đến mạng hiện tại. Bên cạnh đó mã độc cũng là công cụ để phá hoại dữ liệu và đánh cắp thông tin cá nhân của người dùng, các công cụ diệt Virus phần lớn thường không phát hiện hoặc phát hiện chậm các loại Virus mới xuất hiện. 1.2. Phân loại mã độc Trong tài liệu của NIST có một số khác biệt theo định nghĩa và cách hiểu thông thường về Virus máy tính đang thông dụng. Ngay trong tên của tài liệu đã nêu lên sự khác biệt, các tác giả nói tới “Malware” chứ không sử dụng thuật ngữ “Virus”. Tại Việt Nam hiện nay, thuật ngữ “Virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã độc hại trên mạng, trong máy tính cá nhân.... Khi nói đến “Virus máy tính”, một cách rất tự nhiên tất cả mọi người đều nghĩ Virus bao gồm cả Worm, Trojan, Keylogger. Trong khi theo định nghĩa của NIST (và gần như là của cả cộng đồng IT) Virus, Worm, Trojan horse, Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit,.... chỉ là một dạng của mã độc hại. Sự khác biệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc tế về an toàn thông tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phòng chống Virus của nước ngoài do không đồng nhất về định nghĩa. Phía Việt nam thông báo “bị Virus tấn công”, đối tác sẽ gửi lại một chỉ dẫn để quét tập tin bị nhiễm trên PC, nhưng thực chất đó là một cuộc tấn công của Worm và phải phòng chống trên toàn bộ mạng. Do vậy phần này sẽ tập trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng và mục đích hoạt động khác nhau.
  • 16. 5 5 1.2.1. Virus máy tính Trong khoa học máy tính, Virus máy tính (thường được người sử dụng gọi tắt là Virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (tập tin, ổ đĩa, máy tính,...). Trước đây, Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường Virus có các hành động phá hoại như làm chương trình không hoạt động đúng như mong muốn, xóa dữ liệu, làm hỏng ổ cứng, ... Những Virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng, tài khoản, tài liệu mật…) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác nhằm có lợi cho người phát tán Virus. Chiếm trên 90% số Virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác. Ngày nay ngoài những mẫu Virus thông thường thì đã xuất hiện những biến thể Virus khác với các kỹ thuật tinh vi hơn cụ thể là Virus đa hình (polymorphic) và siêu đa hình (meta-polymorphic). Hình 4: Virus đính kèm trong các tập tin thực thi
  • 17. 6 6 Virus đa hình khác với các loại Virus thông thường ở chỗ Virus thông thường luôn giữ nguyên mã lệnh của mình, chính vì vậy chúng dễ dàng bị phát hiện bởi các phần mềm diệt Virus. Nhưng Virus đa hình có khả năng tự động biến đổi mã lệnh và tạo ra các dạng mã độc khác nhau (sử dụng thuật toán dựa trên thời gian và đối tượng lây nhiễm) trong mỗi lần lây nhiễm. Khả năng này giúp cho Virus đa hình có thể lẩn tránh khỏi sự truy quét của các phần mềm diệt Virus. Virus siêu đa hình là thế hệ cao hơn của Virus đa hình, chúng cao cấp hơn ở chỗ hình thức lai tạo và kết hợp nhiều kiểu đa hình khác nhau. Khi lây nhiễm chúng sẽ tự động biến đổi, lai tạp và hình thành các thế hệ Virus con từ F1…Fn. Sau mỗi lần lai tạp thì khả năng phát hiện ra chúng càng khó khăn, chính vì vậy Virus siêu đa hình hầu hết qua mắt được các phần mềm diệt Virus không có cơ chế quét sâu và dẫn tới việc quét Virus không triệt để. Một số Virus siêu đa hình như Vetor, Sality… 1.2.2. Sâu máy tính Sâu máy tính (Worm): cũng là một dạng mã độc nhưng có khả năng tự nhân bản, tự tấn công và tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử và các lỗ hổng trong hệ điều hành). Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của Worm là phá các mạng thông tin, làm giảm khả năng hoạt động hoặc có thể được dùng để đánh cắp thông tin nhạy cảm từ các mạng này. Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet. Trong năm 2001, sâu mật mã đỏ xuất hiện và tấn công vào các máy Windows để khai thác lỗ hổng trên máy chủ web IIS, sâu này đã tạo ra một kỷ lục về tốc độ lây lan khi chỉ trong một ngày 19-07-2001 đã có hơn 359.000 máy tính bị nhiễm. Hình 5: Mô tả mức độ lây lan của sâu mật mã đỏ năm 2001
  • 18. 7 7 1.2.3. Trojan hourse Trojan Horse, đây là loại chương trình cũng có tác hại tương tự như Virus máy tính chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư điện tử hoặc thông qua các phần mềm miễn phí có đính kèm Trojan. Thông thường, tính năng chính của Trojan là nhắm đến những nhóm người dùng riêng để thu thập thông tin về hành vi và thói quen sử dụng internet của họ sau đó gửi các thông tin này về cho tin tặc. Để trừ loại này người dùng chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại mã độc cực kỳ nguy hiểm, nó có thể hủy ổ cứng, hủy dữ liệu. Hình 6: Trojan ẩn mình trong các phần mềm miễn phí 1.2.4. Phần mềm gián điệp (Spyware) Spyware hay còn gọi phần mềm gián điệp là một dạng mã độc nhằm theo dõi những hoạt động của người dùng và gửi dữ liệu tới người điều khiển chúng để phục vụ cho mục đích riêng của họ. Ví dụ, những người của những công ty Marketing cố gắng thu thập những tin tức về người dùng để hỗ trợ cho việc bán hàng được tốt hơn. Ngày nay phần mềm gián điệp còn được các công ty hay tổ chức chính phủ sử dụng để theo dõi người dùng thông qua
  • 19. 8 8 việc nghe lén các cuộc điện đàm hoặc các cuộc hội thảo truyền hình. Spyware thường được cài đặt bí mật vào máy người dùng trong khi họ mở một tập tin văn bản hoặc cài đặt một ứng dụng miễn phí nào đó. Nhiều chương trình Spyware có thể làm chậm kết nối Internet bằng cách chiếm băng thông đường truyền mạng. Chúng cũng có thể làm cho máy tính của nạn nhân bị chậm đi vì chiếm tài nguyên như RAM và chu kỳ làm việc của CPU. Hình 7: Hoạt động của người dùng Spyware ghi lại 1.2.5. Phần mềm tống tiền (Scareware) Phần mềm tống tiền hay còn gọi Scareware là loại phần mềm giả danh một tổ chức chính phủ và sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân, chẳng hạn như khóa máy tính người dùng lại và đòi tiền chuộc thì mới cho sử dụng lại.
  • 20. 9 9 Hình 8: Scareware mạo danh FBI tống tiền người dùng 1.2.6. Phần mềm quảng cáo Phần mềm quảng cáo hay còn gọi Adware thường đính kèm với những mẩu quảng cáo nhỏ, chúng thường được phân phát dưới hình thức phần mềm miễn phí hay phiên bản dùng thử. Và chỉ khi bạn trả tiền cho sản phẩm dùng thử đó, các quảng cáo sẽ biến mất tùy theo chính sách của hãng phần mềm đó. Tuy nhiên, phần mềm gián điệp cũng là một trong các "biến thể" của phần mềm quảng cáo, chúng đuợc bí mật cài vào máy tính người sử dụng khi họ đang duyệt web nhằm thu thập thông tin về hành vi duyệt web của người dùng để gửi đến họ những mẫu quảng cáo thích hợp. Ngày nay bắt đầu xuất hiện nhiều những phần mềm quảng cáo đính kèm Virus máy tính, sâu hoặc Trojan horse,… có thể gây tổn hại nghiêm trọng cho một hoặc một hệ thống máy tính. 1.2.7. Downloader Downloader là một dạng mã độc dùng để tải các mã độc khác về máy người dùng. Để tải về được các mã độc, Downloader cần kết nối đến một máy chủ chứa mã độc, điều này khác với thuật ngữ dropper là loại mã độc có chứa sẵn mã độc bên trong nó. 1.2.8. Backdoor Backdoor là các đoạn mã độc được gài lên máy nạn nhân cho phép tin tặc kết nối để điều khiển máy tính nạn nhân. Backdoor cho phép kẻ tấn công kết nối đến máy nạn nhân mà
  • 21. 10 10 không cần chứng thực, từ đó kẻ tấn công có thể thực thi các câu lệnh ngay trên máy nạn nhân. 1.2.9. Botnet Bot là những chương trình mã độc được cài lên các máy tính nạn nhân và các máy tính này sẽ nằm trong một mạng lưới được điều khiển bởi tin tặc gọi là mạng Botnet. Tương tự như backdoor, Botnet cũng cho phép kẻ tấn công truy cập và điều khiển hệ thống máy nạn nhân. Tất cả các máy bị nhiễm cùng một loại Botnet sẽ cùng nhận một chỉ thị lệnh từ một máy chủ điều khiển của kẻ tấn công thông qua các kênh như Internet Relay Chat (IRC) hoặc hệ thống mạng ngang hàng peer-to-peer (P2P). Ngày nay khi đã có trong tay một mạng lưới bonet, các tin tặc hoặc tổ chức điều khiển Botnet có thể sử dụng chúng như một công cụ chiến tranh mạng, tiêu biểu là tấn công từ chối dịch vụ vào các mục tiêu cụ thể nhằm làm tê liệt hệ thống mạng của một tổ chức hoặc thậm chí là hệ thống mạng của một quốc gia. Hình 9: Công dụng của một mạng Botnet 1.2.10.Launcher Launcher là những chương trình độc hại được dùng để khởi động các chường trình độc hại khác. Launcher sử dụng những kỹ thuật phi truyền thống để khởi động những chương trình độc hại khác nhằm mục đích đánh cắp thông tin hoặc điều khiển máy nạn nhân.
  • 22. 11 11 1.2.11. Rootkit Rootkit là những đoạn mã độc được thiết kế nhằm che dấu sự tồn tại của những đoạn mã độc khác bên trong nó. Rootkit thường được dùng để kết hợp với một mã độc khác như Backdoor, Keylogger để tin tặc có thể truy cập từ xa vào máy nạn nhân và làm hệ thống gặp khó khăn trong việc phát hiện ra loại mã độc này. Ví dụ như trong hệ thống Windows, Rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành. 1.2.12.Keylogger Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới Hacker. Keylogger có thể ghi lại nội dung của email, văn bản, tài khoản và mật khẩu người dùng, thậm chí cả chụp ảnh màn hình máy tính nạn nhân... Một số Keylogger phổ biến như KeySnatch, Spyster,… 1.3. Cách thức hoạt động và các hành vi của các loại mã độc 1.3.1. Mục đích của mã độc Mã độc ban đầu được tạo ra nhằm mục đích thí nghiệm, hoặc chỉ phá hoại một máy tính đơn lẻ nào đó, nhưng theo thời gian đã có những biến thể mã độc được sử dụng chủ yếu để ăn cắp các thông tin nhạy cảm của người dùng như tài khoản và mật khẩu, các tin tức về tài chính hoặc thậm chí là các thông tin về quân sự quốc phòng để nhằm mang lại lợi ích cho tin tặc. Đôi khi mã độc được sử dụng như một công cụ chính trị chống lại các trang web của chính phủ, các công ty công nghệ cao để thu thập thông tin được bảo vệ hoặc làm gián đoạn hoạt động của họ trên môi trường mạng. Một vài cuộc tấn công từ chối dịch vụ sử dụng mã độc có quy mô lớn như cuộc tấn công vào hệ thống website của Mỹ và Hàn Quốc vào tháng 7/2009 khiến hàng chục website của chính phủ Hàn Quốc và Mỹ bị tê liệt hoạt động. Tại Việt Nam, năm 2011 trang web của Bộ ngoại giao bị tấn công từ chối dịch phải ngưng hoạt động, hay gần đây nhất vào tháng 7-2013 một loạt các tờ báo mạng lớn tại cũng phải vất vả ngăn cản tấn công từ chối dịch vụ. 1.3.2. Hướng lây nhiễm của mã độc Mã độc có thể đến từ nhiều nguồn khác nhau để lây nhiễm vào máy tính người dùng. Trong đó tựu trung lại trong ba hình thức sau: Hình thức cổ điển: mã độc lây nhiễm thông qua các thiết bị lưu trữ di động, trước đây là các ổ đĩa mềm, ổ CD đến bây giờ là các thiết bị
  • 23. 12 12 lưu trữ USB, thẻ nhớ. Lây nhiễm qua thư điện tử: Khi mà thư điện tử được sử dụng rộng rãi trên thế giới thì mã độc chuyển hướng lây nhiễm sang thư điện tử thay cho các hình thức lây nhiễm cổ điển. Hình thức này đặc biệt nguy hiểm vì số lượng máy tính bị lây nhiễm sẽ tăng theo cấp số nhân, khi một máy bị nhiễm thì mã độc sẽ gửi bản sao của nó đến tất cả các địa chỉ email có trong máy bị nhiễm. Hình thức lây nhiễm qua thư điện tử bao gồm: Lây nhiễm từ các tập tin đính kèm trong thư điện tử, lây nhiễm do click vào các liên kết trong thư điện tử và lây nhiễm ngay khi mở để xem thư điện tử. Hình thức lây nhiễm cuối cùng đó là Lây nhiễm thông qua mạng Internet: bao gồm lây nhiễm do các tập tin tài liệu, phần mềm miễn phí hay bẻ khóa được chia sẽ trên mạng mà người dùng tải về và chạy trên máy tính, lây nhiễm do truy cập vào các trang web có chứa mã độc (theo cách vô ý hoặc cố ý), cuối cùng là lây nhiễm mã độc thông qua các lỗi bảo mật trên các hệ điều hành, các ứng dụng có sẵn trên hệ điều hành hoặc phần mềm của hãng thứ ba. 1.3.3. Hành vi mã độc Khi lây nhiễm vào một máy tính, mã độc thường thực hiện một số hành vi nhằm che dấu sự hoạt động của chúng trước người dùng, đồng thời tạo ra các môi trường để có thể tự khởi động cùng hệ thống cũng như tải về các mã độc khác. Sau đây là một số hành vi tiêu biểu nhất mà người phân tích mã độc cần tìm hiểu: - Sự thay đổi về hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung hay xóa các tập tin trên hệ thống. - Sự thay đổi trong hệ thống Registry: Bao gồm việc tạo ra hoặc sửa đổi các giá trị trong khóa registry. - Tiêm nhiễm vào các tiến trình khác đang chạy trên hệ thống. - Tạo ra các Mutex nhằm tránh việc xung đột khi sử dụng tài nguyên trên máy tính. - Tạo ra các hoạt động mạng đáng ngờ: Kết nối đến các trang web lạ để tải về mã độc khác, kết nối đến các máy chủ IRC, thực hiện việc quét các hệ thống bên ngoài,… - Khởi chạy hoặc cho dừng các dịch vụ trên Windows ví dụ dịch vụ của trình diệt Virus.
  • 24. 13 13 1.3.4. Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng Ngày nay, mã độc được ví như một dịch bệnh, lan truyền rất nhanh và cách thức hoạt động cũng như hành vi của mã độc được thay đổi liên tục. Những mã độc ban đầu thường được thiết kế nhằm làm chậm máy tính hoặc đưa ra các thông báo quảng cáo gây phiền nhiễu, tuy nhiên bây giờ các phần mềm độc hại ngày càng kín đáo hơn khi nhiễm vào máy người dùng. Bất kỳ ai cũng có thể bị nhiễm mã độc ngay lúc này mà không thể phát hiện ra. Thông thường cách để phát hiện mã độc là sử dụng trình quét Virus để quét toàn bộ máy tính, nhưng việc này thường tốn thời gian và làm máy tính hoạt động chậm đi. Thậm chí sau khi quét xong, chúng ta cũng chưa chắc là máy tính là sạch, bởi vì các phần mềm diệt mã độc chưa phát hiện được các mẫu mã độc mới. Để có thể phát hiện được mã độc đang chạy trên máy tính, cần sử dụng kết hợp nhiều công cụ hỗ trợ miễn phí khác nhau để tìm mã độc. Các công cụ này bao gồm: Công cụ giám sát registry như Regshot, Autoruns, Comodo Autoruns. Công cụ theo dõi tiến trình và tập tin đang thực thi trên máy như Process XP, KillSwitch. Công cụ theo dõi việc gửi, nhận lưu lượng mạng như Wireshark, Tcpdump. Công cụ phát hiện Rootkit trên hệ thống như Kaspersky TDSSKiller. Và cuối cùng để xác định một tập tin có phải là mã độc hay không, người dùng có thể kiểm tra nó bằng các công cụ quét Virus khác nhau bằng việc sử dụng các trang quét Virus trực tuyến như http://Virustotal.com. Với việc kết hợp các công cụ trên lại với nhau sẽ đem lại hiệu quả phát hiện mã độc cao hơn là dựa vào các dấu hiệu bất thường trên máy hay sử dụng các trình quét Virus đơn lẻ. Đối với các hệ thống mạng, có thể sử dụng các công cụ phát hiện và ngăn ngừa xâm nhập như IDS hay IPS hoặc tường lửa để phát hiện mã độc. Các công cụ bảo vệ này sẽ dựa theo một số dấu hiệu được người dùng định nghĩa trước hoặc các dấu hiệu bất thường để phát hiện các hành vi của mã độc trên hệ thống. 1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng 1.3.5.1. Tránh chạy các phần mềm từ các nguồn không tin cậy Trước khi chạy một chương trình nào, người dùng cần hiểu rõ về nó. Đối với các phần mềm chưa rõ nguồn gốc cần quét nó bằng trình diệt Virus trên máy tính, kế đến kiểm tra bằng các chương trình miễn phí chuyên quét mã độc như HitmanPro hay Malwarebytes Anti-Malware. Cuối cùng có thể sử dụng các trang web quét mã độc trực tuyến như
  • 25. 14 14 http://Virustotal.com hay sử dụng các công cụ sandbox để chắc chắn rằng phần mềm đang định chạy là phần mềm sạch. 1.3.5.2. Tải phần mềm từ các nguồn an toàn và không sử dụng phần mềm đã bẻ khóa Khi bắt đầu tìm kiếm và tải về các phần mềm, người dùng có thể phát hiện trang web đang định tải có độc hại hay không bằng cách sử dụng các công cụ miễn phí như Web of Trust hay Norton Safe Web. Gặp các trang web độc hại các công cụ sẽ đưa ra cảnh báo và khuyên người dùng rời khỏi trang web. Việc sử dụng các phần mềm có đính kèm Keygen, Cracks và Patches là con đường để mã độc xâm nhập vào máy tính phổ biến nhất. Do vậy để an toàn, người dùng không nên sử dụng các phần mềm này trên các hệ thống quan trọng. 1.3.5.3. Cảnh giác khi online trên môi trường mạng Việc tìm kiếm một thông tin trên môi trường mạng không phải lúc nào thông tin đó cũng đúng 100%. Ai cũng có thể cung cấp thông tin lên mạng, do vậy cần tỉnh táo để xác nhận thông tin nào là đáng tin cậy. Đối với các Email lạ có đính kèm tập tin hay thông báo về việc trúng thưởng hay nhận được tiền thưởng thường tiềm ẩn nhiều nguy cơ lừa đảo cao. Do vậy sự cảnh giác của người dùng máy tính cũng là một phần quan trọng trong việc ngăn ngừa mã độc tấn công. 1.3.5.4. Luôn để máy tính được cập nhật và bảo mật nhất có thể Một điều quan trọng để tăng khả năng phòng mã độc đó là để hệ điều hành máy tính cũng như các trình diệt Virus cần luôn được cài bản cập nhật mới nhất. Việc cập nhật các bản vá lỗi kịp thời sẽ giúp máy tính không bị tấn công vào các lỗ hổng bảo mật đã được công bố. Bên cạnh đó, đôi khi việc sử dụng một trình diệt Virus là không đủ và người dùng cần có một hệ thống bảo vệ nhiều lớp để hỗ trợ cho nhau. Nên kết hợp giữa trình diệt Virus với hệ thống phát hiện xâm nhập với tường lửa và một hệ thống sandbox như Sandboxie để mang lại hiệu quả cao nhất. 1.4. Phương thức lây nghiễm của mã độc Phương thức lây nhiễm của mã độc tùy thuộc các biến thể (hay các loại mã độc) phổ biến như: Virus, Worm, Trojan… 1.4.1. Phương thức lây nhiễm của Virus Dựa trên hành vi, Virus được chia thành 2 loại:
  • 26. 15 15 - Nonresident virues: là loại Virus tìm kiếm các máy chủ có thể bị nhiễm và lây nhiễm sang các mục tiêu này và cuối cùng chuyển điều khiển tới chương trình ứng dụng mà chúng lây nhiễm. - Resident virues: là loại Virus không tìm kiếm các máy chủ mà thao vào đó chúng tải vào bộ nhớ để thực thi và kiểm soát chương trình chủ. Virus này được hoạt động ở chế độ nền và lây nhiễm vào các máy chủ mới khi các tập tin được truy cập bởi các chương trình hoặc hệ điều hành ở các máy tính khác. Noresident virues bao gồm một mô-đun tìm kiếm và một mô-đun nhân bản. Các mô- đun tìm kiếm chịu trách nhiệm cho việc tìm kiếm các tập tin mới để lây nhiễm. Với mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó sẽ gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này. Resident virues gồm một mô-đun nhân bản hoạt động tương tự như mô-đun nhân bản của Nonsident virues. Tuy nhiên, mô-đun nhân bản này không được gọi bởi mô-đun tìm kiếm. Virus tải mô-đun nhân bản vào trong bộ nhớ khi nó được kichs hoạt và mô-đun này thực thi tại thời điểm hệ điều hành thực hiện một hoạt động nhất định nào đó. 1.4.2. Phương thức lây nhiễm của Worm (Sâu máy tính) Yếu tố ban đầu của Worm là một đoạn mã độc hại có vai trò như một công cụ xâm nhập các lỗ hổng bảo mật nằm trên máu tính và khai thác chúng. Worm sẽ được truyền đi thông qua lỗ hổng này. Một khi các đoạn mã độc hãi đã được lây nhiễm vào máy, Worm sẽ sử dụng một công cụ được thiết kế để dò tìm, phát hiện các máy tính khác được kết nối vào mạng. Từ đó, nó quét các máy tính trên mạng để xác định vị trí các lỗ hổng, sau đó Worm sẽ sử dụng công cụ xâm nhập để truy cập vào các máy tính này. 1.4.3. Phương thức lây nhiễm của Trojan Trojan thường gồm hai thành phần là client và server, khi máy tính của người sử dụng bị lây nhiễm Trojan thì chúng sẽ biến thành server và một cổng sẽ bị mở ra, chúng sẽ dùng client để kết nối tới IP của nạn nhân. Server sẽ ẩn trong bộ nhớ và nó tạo nên những thau đổi trong hệ thống. Trojan sẽ tạo thêm đường khởi động vào registry hoặc trong các file autoexec.bat, win.ini hoặc các file hệ thống khác, do vậy mà server sẽ tự khởi động khi Windows làm việc trong các phiên tiếp theo.
  • 27. 16 16 1.5. Kết luận Chương 1 Trong chương này luận văn đã nghiên cứu các kiến thức cơ bản về mã độc, tổng quan về tình hình mã độc hiện nay tại Việt Nam và trên thế giới. Nội dung luận văn đã trình bày được các loại mã độc hiện nay, cách thức hoạt động của mã độc, các hướng lây nhiễm của mã độc và đưa ra các biện pháp phát hiện mã độc trên máy tính, các biện pháp ngăn ngừa mã độc. Trong chương tiếp theo, luận văn sẽ nghiên cứu đến các kỹ thuật và phương pháp phân tích mã độc chủ yếu hiện nay.
  • 28. 17 17 CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC Nội dung của chương sẽ trình bày các kỹ thuật phân tích mã độc, đi sâu vào 2 phương pháp phân tích mã độc chính, đưa ra môi trường có thể thực hiện được việc phân tích mã độc và các công cụ hỗ trợ phân tích mã độc hiện nay. 2.1. Nghiên cứu các kỹ thuật phân tích mã độc 2.1.1. Mục đích kỹ thuật phân tích mã độc Khi việc sử dụng các biện pháp bảo vệ máy tính như trình diệt Virus hay các hệ thống tường lửa chưa phát huy hết hiệu quả trong việc nhận dạng và ngăn chặn mã độc mới thì cần thực hiện việc phân tích mã độc. Mục đích phân tích mã độc chủ yếu để cung cấp các thông tin cần thiết để xây dựng hệ thống bảo vệ và ngăn ngừa các nguy cơ do mã độc gây ra, bao gồm xác định chính xác những gì xảy ra khi thực thi mã độc, như các tập tin nào được mã độc sinh ra, các kết nối ra mạng bên ngoài được mã độc thực hiện, những thay đổi về registry liên quan đến mã độc, các thư viện và vùng nhớ liên quan đến hoạt động của mã độc…Việc phát hiện ra hành vi mã độc sẽ giúp tạo ra các dấu hiệu nhận dạng mã độc để áp dụng vào hệ thống lọc bảo vệ mạng như dấu hiệu về host-base và dấu hiệu nhận dạng về mạng. Dấu hiệu nhận dạng host-base: được dùng để phát hiện mã độc trên máy tính nạn nhân. Những dấu hiệu này bao gồm các tập tin được tạo ra hoặc thay đổi bởi mã độc hoặc là những thay đổi trong registry. Không giống với cách nhận biết trên các trình diệt Virus, dấu hiệu host-base chủ yếu tập trung vào những gì mã độc làm trên hệ thống bị nhiễm, điều này sẽ hiệu quả hơn khi mã độc tự động thay đổi hình thái hoặc tự xóa khỏi đĩa cứng. Dấu hiệu nhận dạng về mạng: được dùng để phát hiện mã độc bằng cách giám sát lưu lượng mạng trong hệ thống. Dấu hiệu nhận dạng về mạng có thể được tạo mà không cần quá trình phân tích mã độc, tuy nhiên dấu hiệu nhận dạng mạng sẽ hiệu quả hơn nếu được tạo với trợ giúp của quá trình phân tích mã độc. Sau khi thu thập dấu hiệu nhận dạng, mục tiêu cuối cùng đó là tìm hiểu chính xác mã độc hoạt động như thế nào, tức là làm rõ mục đích và khả năng của chương trình mã độc.
  • 29. 18 18 Để phân tích mã độc thông thường chúng ta có hai hướng: phân tích sử dụng các hệ thống tự động và phân tích thủ công gồm phân tích hoạt động và phân tích bằng cách đọc mã thực thi của mã độc. 2.1.2. Các kỹ thuật phân tích mã độc - Các kỹ thuật phân tích mã độc: Phân tích tĩnh (Code static analysis), Phân tích động (Behavioral dynamic analysis), Gỡ rối (Debug), Điều tra hành vi của mã độc (Malware forensics). - Trong đó 2 kỹ thuật chủ yếu là: phân tích tĩnh và phân tích động và mỗi phương pháp đều có điểm mạnh và điểm yếu riêng: Cả 2 phương pháp này cùng có mục đích là giải thích cách hoạt động của mã độc, công cụ, tuy nhiên thời gian làm việc và kỹ năng cần có thì lại rất khác nhau, Phân tích tĩnh thường đòi hỏi người phân tích xem xét kỹ mã của Virus (đã được chuyển sang dạng có thể hiểu được, như Assembly, hay C), hiểu được luồng thực thi và các hành vi của nó thông qua mã đã dịch ngược, Phân tích động là phân tích cách hoạt động của Virus khi nó được thực thi, nó kết nối đến đâu, lây lan như thế nào, cài đặt những gì vào hệ thống, thay đổi thành phần nào, hoạt động ra sao. - Ví dụ: Phương pháp tĩnh, với những loại Virus phức tạp, thì để đọc hiểu được hết mã thực thi của nó là một việc rất khó; tuy nhiên phương pháp này cung cấp cho người phân tích cái nhìn hết sức chính xác về những gì mà nó làm.  Phương pháp phân tích động, có ưu điểm là quá trình phân tích diễn ra nhanh hơn, dễ dàng hơn; tuy nhiên, không phải hành vi nào cũng phân tích được, đơn cử như những loại Virus phát hiện ra công cụ phân tích thì nó sẽ không hoạt động nữa, hoặc Virus chờ đến một lúc nào đó mới hoạt động. - Vì thế, khi phân tích mã độc cần phải kết hợp cả 2 phương pháp trên để đạt được hiệu quả tốt nhất. - So sánh ưu điểm và nhược điểm của các phương pháp phân tích Malware: Ưu điểm Nhược điểm Static - Không thực hiện việc - Không thực
  • 30. 19 19 analysis chạy mã độc, giảm thiểu nguy cơ lây lan và phá hủy hệ thống. - Phân tích Malware dựa trên việc phân tích các cấu trúc tệp tin, phân tích định dạng file. hiện việc chạy Malware, khó biết được hoạt động của Malware. - Phân tích và reverse code đưa về dạng assembly, đòi hỏi phải có kinh nghiệm lập trình Dynamic analysis - Giám sát được các hoạt động của Malware qua việc thực hiện chạy Malware. - Giám sát được các tác động của Malware lên hệ thống. - Xác định được ảnh hưởng của Malware lên hệ thống. - Khi thực hiện chạy Malware khiến hệ thống đối mặt với những nguy cơ và rủi ro về an toàn thông tin. - Đôi khi rất khó có thể thực thi được phần mềm độc hại do cần tham số để thực thi. 2.2. Nghiên cứu phương pháp phân tích tĩnh Đặc điểm của phương pháp phân tích tĩnh này là sẽ kiểm tra, phân tích Malware mà không thực thi mã độc. Cơ bản của việc phân tích tĩnh bao gồm các bước kiểm tra các file thức thi mà không cần các hướng dẫn thực tế. Qua bước phân tích tĩnh sẽ xác nhận cho chúng ta liệu file đó có phải là mã độc hay không, cung cấp thông tin về chức năng của chúng, đôi khi những thông tin này sẽ cung cấp cho người dùng những dấu hiệu nhận dạng các loại Malware. 2.2.1. Basic static analysis Là phương pháp đơn giản và có thể thực hiện một cách nhanh chóng. Tuy nhiên phương pháp này lại không có hiệu quả trong việc phân tích những loại Malware phức tạp và do đó chúng ta có thể bỏ qua những hành vi quan trọng mà Malware gây ra.
  • 31. 20 20 Trong mức này chúng ta chưa quan tâm tới việc thực thi File Malware, trong phần này tôi sẽ tập trung vào việc phân tích mã, cấu trúc, header của chương trình để xác định các chức năng: - Sử dụng Hash để xác định Malware. - Xác định các thông tin từ string, header, function của file Mỗi kỹ thuật sẽ cung cấp các thông tin khác nhau tùy thuộc mục đích nghiên cứu. Tôi sẽ sử dụng một vài kỹ thuật sao cho thu thập được càng nhiều thông tin càng tốt. 2.2.1.1. Sử dụng Hash để xác định Malware Hashing là phương pháp phổ biến để nhận diện và xác định phần mềm độc hại. Khi Malware được chạy qua một phần mềm hash sẽ tạo ra một chuỗi ký tự (chuỗi ký tự này được coi như là vân tay của Malware) như mô phỏng theo hình 10 Hình 10: Hash Netcat Mỗi chuỗi hash xác định ra các Malware duy nhất, có thể chia sẻ các mẫu hash này để giúp cho những người phân tích xác định Malware. 2.2.1.2. Sử dụng việc tìm kiếm chuỗi Một chương trình thường chứa các chuỗi nếu nó in ra một message, kết nối tới một đường dẫn URL hoặc copy một file đến một vị trí xác định.
  • 32. 21 21 Nghiên cứu các chuỗi cũng là một phương pháp đơn giản để chúng ta có thêm những thông tin về chức năng của chương trình. Ví dụ, chương trình này thường in xuất ra màn hình để cung cấp cho người dùng một cập nhật trạng thái, hoặc để cho biết rằng một lỗi đã xảy ra. Những chuỗi trạng thái và chuỗi lỗi kết thúc có thể nhúng trong tập tin thực thi của chương trình và có thể vô cùng hữu ích trong việc phân tích phần mềm độc hại. Việc bóc tách các chuỗi có trong các phần mềm độc hại được thực hiện bằng các công cụ như Hex Editor, PeiD. Cho dù sử dụng bất kỳ công cụ gì để bóc tách các String thì các string có thể được thể hiện dưới dạng mã ASCII hoặc Unicode. Nhưng việc phân tích chuỗi cần phải hết sức cẩn thận vì có thể chuỗi đó được người viết Malware cố tình chèn vào để đánh lừa người phân tích. Ví dụ sau tôi sẽ sử dụng tool PeiD để phân tích chuỗi có trong một số Malware để tìm ra một số thông tin: Hình 11: String khi tách từ mẫu Malware 1 Qua hình 2 có thể thấy Malware này sẽ tác động vào một số file của hệ thống như Kernel32.dll, KERNEL32.dll và một cảnh báo “nó sẽ phá hủy máy tính của bạn”. Việc phân tích chuỗi có thể giúp chúng ta tìm ra được Malware có thể tự động kết nối tới một liên kết URL như trong hình 12:
  • 33. 22 22 Hình 12: String khi tách từ mẫu Malware 2 Dựa vào liên kết URL và file mà nó kết nối thì có thể đoán đây là một liên kết mà Malware sẽ kết nối tới để thực hiện việc cập nhật thêm những tính năng mới cho chúng. Cả ASCII và Unicode đề định dạng việc lưu trữ các ký tự theo một thứ tự và kết thúc với Null terminator để chỉ ra chuỗi đó đã được hoàn tất. Chuỗi ASCII sử dụng 1 byte cho mỗi ký tự và Unicode sử dụng 2 bytes cho mỗi ký tự. Hình 13: Chuỗi ASCII Nhìn vào chuỗi trên cho thấy ASCII lưu trữ các chuỗi dưới dạng bytes 0x42,.. và kết thúc ở 0x00. 0x00 là Null terminator. 0x41 đại diện cho chữ A, 0x42 đại diện cho chữ B, … Hình 14: Chuỗi Unicode Cũng giống ASCII thì Unicode cũng được kết thúc ở Null terminator. 0x41 và 0x00 đại diện cho chữ A, 0x42 và 0x00 đại diện cho chữ B.
  • 34. 23 23 Việc phân tích này là bước đầu để thực hiện kỹ thuật Reverse engineering code. Việc thực hiện phân tích chuỗi có thể giúp chúng ta phát hiện ra một số loại Malware được lưu dưới một định dạng khác để đánh lửa người dùng như ví dụ sau: Malware netcat là một file thực thi, nhưng chúng được lưu lại dưới định dạng là một file nén để lừa người dùng có dạng là nc.rar. Mỗi loại file có các byte định dạng riêng. Kiểm tra các byte định dạng để xác định file đó là loại file gì. Chẳng hạn những file thực thi luôn có các byte định dạng là MZ (được thể hiện dưới dạng hex: 4D 5A), các file nén có định dạng là PK (được thể hiện dưới dạng hex: 50 4B). Để kiểm tra xem file này có thật sự là một file nén hay là một file thực thi được lưu dưới dạng của một file nén, chúng ta có thể sử dụng các công cụ như Hex Editor hay PEiD để kiểm tra vấn đề này. Trình soạn thảo cho phép bạn tìm kiếm chuỗi byte cụ thể trong bản thân file. Nó sẽ cho bạn biết liệu Malware download về như trong hình minh hoạ ở trên có thực sự là file winzip hay không. Người dùng không cần lo lắng liệu mình có vô tình khiến Malware này phát huy tác dụng hiệu quả của nó ngay bây giờ. Đơn giản là vì trong trình soạn thảo Hex, chúng ta chỉ có thể xem được nội dung mà không thể kích hoạt file thực thi.
  • 35. 24 24 Hình 15: File Malware nc được giả dưới dạng file nén Như hình trên có thể thấy file Malware netcat được lưu dưới dạng một file nén để đánh lừa người dùng. Nhưng khi kiểm tra bằng Hex editor thì sẽ thấy những byte định dạng của file nc.rar là MZ. Đây là định dạng của file thực thi, không phải là định dạng của một file nén.
  • 36. 25 25 Hình 16: Byte định dạng file thực thi Hình 17: Byte định dạng file zip 2.2.1.3. Packed and Obfuscated Malware Các Malware được viết thường được đóng gói thành các file để gây khó khăn trong việc phát hiện và phân tích. Chương trình Obfuscated là chương trình mà tác giả của Malware thực hiện để che giấu. Chương trình Packed là một phần của chương trình Obfuscated trong đó các chương trình mã độc được nén và khó có thể phân tích. Cả hai kỹ thuật này sẽ gây khó khăn trong việc phân tích Malware.
  • 37. 26 26 Khi chạy một chương trình được đóng gói, phần đóng gói chương trình sẽ được chạy để giải nén các file trong gói và sau đó sẽ chạy các file được giải nén. Ở bước này chúng ta có thể bóc tách các chương trình đóng gói để từng bước tìm hiểu Malware. Một chương trình đã được đóng gói để có thể thực hiện việc phân tích được thì việc đầu tiên là phải unpack. Một cách để phát hiện ra các tập tin được đóng gói là sử dụng PEiD là có thể sử dụng PEiD để phát hiện ra các loại đóng gói hay các chương trình biên dịch để xây dựng nên ứng dụng, nó sẽ giúp chúng ta dễ dàng phân tích được các file trong gói tin. Hình 18: Chương trình Malware được biên dịch bằng Visual C++ 2.2.2. Advanced static analysis Bao gồm các kỹ thuật reverse-engineering được thực hiện bằng cách tải lên các file thực thi, xem xét các chương trình hướng dẫn để khám phá các chương trình bên trong. Advanced static analysis sẽ đưa ra các thông tin chính xác về các chương trình được chạy như thế nào. Tuy nhiên phương pháp này khó hơn basic analysis rất nhiều và đòi hỏi phải có kiến thức về mảng disassembly, lập trình, và các khái niệm về hệ điều hành. 2.3. Nghiên cứu phương pháp phân tích động Đặc điểm của phương pháp phân tích động này là sẽ kiểm tra, phân tích Malware bằng việc thực thi mã độc: - Basic dynamic analysis: là phương pháp thực thi mã độc và giám sát các hành vi của chúng trên hệ thống để tìm cách loại bỏ chúng, tìm ra các dấu hiệu để nhận biết Malware. Tuy nhiên, chúng ta cần phải xây dựng môi trường an toàn để cho phép chạy và nghiên cứu Malware mà không gây tổn hại đến hệ thống hoặc môi trường mạng. Cũng
  • 38. 27 27 giống với basic static analysis thì phương pháp basic dynamic analysis thường được sử dụng kể cả với những người không am hiểu về kiến thức lập trình. Và phương pháp này cũng không hiệu quả trong việc phân tích các loại Malware phức tạp. - Advanced dymanic analysis: đây là phương pháp sử dụng chương trình gỡ lỗi để kiểm tra các trạng thái ngầm của mã độc khi thực thi nó. Phương pháp này sẽ cung cấp cho chúng ta những thông tin chi tiết khi thực thi mã độc. Phương pháp này sẽ giúp chúng ta thu thập thông tin khi các thông tin đó khó có thể lấy được từ những phương pháp phân tích khác. Dynamic analysis giám sát quá trình thực hiện của Malware sau khi đã chạy, thực thi mã độc. Kỹ thuật dynamic analysis là bước thứ hai trong tiến trình phân tích Malware, thường thì dynamic analysis sẽ được thực hiện sau bước basic analysis Malware kết thúc. Nếu như static analysis phân tích Malware qua việc phân tích chuỗi, phân tích dựa trên hash, phân tích các byte định dạng, đóng gói Malware và không thực thi Malware thì Dynamic analysis sẽ phân tích Malware dựa trên việc thực thi Malware. Dynamic analysis là phương pháp hiệu quả trong việc xác định các chức năng của Malware.Ví dụ nếu mã độc của bạn là một keylogger thì dynamic analysis sẽ cho phép bạn xác định các file log của keylogger trên hệ thống, giúp bạn khám phá ra những bản ghi mà keylogger nắm giữu, giải mã ra thông tin mà Keylogger gửi đi. Những điều này rất khó có thể thực hiện được nếu sử dụng kỹ thuật basic static analysis. Mặc dù kỹ thuật này là phương pháp mạnh mẽ trong việc nghiên cứu Malware nhưng phương pháp này sẽ đặt hệ thống máy tính và hệ thống mạng của bạn vào trạng thái nguy hiểm. Trong phần này luận văn sử dụng một vài Malware trên môi trường máy ảo để theo dõi những hành vi của Malware đó và kiểm tra xem chúng tác động đến những file hệ thống nào và sinh ra thêm những tiến trình gì …
  • 39. 28 28 Hình 19: Hệ thống chạy khi chưa thực thi Malware Luận văn sử dụng Malware thử nghiệm trong môi trường lab có tên là Lab01-02.exe và thực thi chúng và kiểm tra kết quả: Hình 20: Hệ thống xuất hiện tiến trình lạ thực thi Malware
  • 40. 29 29 Từ kết quả trên cho thấy Malware đã tạo một ứng dụng có tên là conhost.exe, ứng dụng này đã thực hiện các việc tạo ra các file dll, truy vấn nội dung và tải lên các hình ảnh như hình 21 bên dưới: Hình 21: Malware tác động đến các file trên hệ thống Từ kết quả thu được ở tiến trình process monitor cho thấy Malware có tên là Lab01-02.exe tác động đến rất nhiều file của hệ thống như kernel32.dll, advapi32.dll … Mặc dù dynamic analysis là một kỹ thuật mạnh mẽ và hữu ích trong việc phân tích Malware nhưng chúng ta chỉ nên thực hiện dynamic analysis sau khi thực hiện static analysis vì phương pháp này sẽ đặt hệ thống của chúng ta trong tình trạng nguy hiểm. Bên cạnh việc trực quan, dễ nhận thấy những tác động trực tiếp của Malware tới hệ thống thì phương pháp này vẫn còn có những hạn chế nhất định bởi không phải tất cả các đường dẫn, các mã lệnh đều được thực hiện khi Malware mới chỉ chạy có một phần. Trong trường hợp command của Malware yêu cầu các tham số, mỗi tham số có thể thực hiện chức năng chương trình khác nhau, và nếu không biết lựa chọn sẽ không thể tự động kiểm tra tất cả các chức năng của Malware 2.4. Môi trường thực hiện việc phân tích mã độc Môi trường ảo ở đây sẽ được xây dựng tùy trường hợp, tùy từng đơn vị phân tích. Đối với người phân tích mã độc không chuyên thì môi trường ảo đó đơn giản chỉ là một VMware hay VirtualBox có cài sẵn Xindows, XP,… cùng một số ứng dụng thông dụng như Java, Flash,…
  • 41. 30 30 Đối với những chuyên gia phân tích chuyên nghiệp trong các phòng thí nghiệm mã độc họ có thể xây dựng những mô hình phân tích phức tạp hơn như xây dựng nhiều máy ảo chạy trên nhiều nền tảng khác nhau, cho các máy đó thông với nhau để thử nghiệm lây lan trong Lan Đối với một chuyên gia phân tích mã độc chuyên nghiệp họ sẽ xây dựng những sandbox tự động để tiết kiệm thời gian Đối với một số hãng lớn họ thực hiện phân tích mã độc theo quá trình một cách tự động, các chuyên gia của họ thường dành thời gian để phân tích thủ công một số mã độc đặc biệt hay phân tích lại các biến thể mới,…. Hình 22: Môi trường phân tích mã độc Để phân tích mã độc người phân tích cần tại ra những môi trường ảo để phân tích, đảm bảo mã độc không thể lây nhiễm ra ngoài hay làm hại đến máy tính của chính mình. 2.4.1. Môi trường tải mã độc - Môi trường tách biệt khỏi mạng làm việc. - Môi trường không dùng trình duyệt truy cập vào link tải mã độc và trình duyệt dễ bị tấn công. Sử dụng công cụ riêng biệt để tải mã độc (Wget, Curl).
  • 42. 31 31 - Nên sử dụng môi trường khác với môi trường thực thi mã độc (VD môi trường Linux). - Sau khi tải về thì đổi tên, tránh trường hợp vô tình thực thi mã độc. 2.4.2. Môi trường phân tích mã độc - Để phân tích được Malware, việc đầu tiên là phải có được các mẫu Malware để thực hiện phân tích. Người dùng có thể tải được Malware từ các website như: http://practicalMalwareanalysis.com/labs/. - Hệ điều hành mà chúng ta thử nghiệm Malware: Windows, Linux, hay MacOS. - Môi trường để thử nghiệm Malware, có thể sử dụng máy ảo để thử nghiệm. Xây dựng hệ thống lab ảo làm môi trường thử nghiệm Malware. Ngoài ra, có thể sử dụng phần mềm VMware để tạo các PC ảo để thử nghiệm. Hoặc có thể sử dụng sandbox để tạo môi trường thử nghiệm Malware và giám sát các hoạt động của Malware. Thực tế, đôi khi chúng ta cũng cần sử dụng máy thật để thử nghiệm Malware vì thực tế đã xuất hiện một số Malware sẽ rơi vào trạng thái bất hoạt nếu nó detect được nó đang chạy trên môi trường ảo. - Chuẩn bị các công cụ để thực hiện việc giám sát sự thay đổi các tiến trình trong hệ thống (thường sử dụng trong dynamic analysis Malware) Sandbox thường được sử dụng để giám sát các hành vi của Malware bằng cách thực thi Malware trong môi trường sandbox. - Chuẩn bị các công cụ phục vụ cho việc giải mã để phân tích mã nguồn của Malware (thường sử dụng trong static analysis Malware). - Sử dụng tool để capture các gói tin: để phân tích xem liệu Malware có thực hiện kết nối liên lạc ra môi trường Internet hay không. - Lab phục vụ cho kỹ thuật phân tích gì:  Static analysis.  Dynamic analysis. - Sau khi thực hiện phân tích Malware chúng ta cần phải xây dựng cơ sở dữ liệu về Malware phục vụ cho việc xác định mẫu Malware sau này. Dựa vào dấu hiệu nhận biết Malware hoặc dấu vân tay của Malware. 2.4.3. Mô hình môi trường phân tích mã độc Mô hình tổng quát việc thực hiện phân tích Malware:
  • 43. 32 32 Hình 23: Mô hình thực hiện phân tích Malware Quá trình phân tích phát hiện Malware: - Malware được đưa qua 1 phần mềm băm ra lấy mã băm (MD5/SHA). - Chuỗi băm được so sánh với chuỗi ký tự lưu trong cơ sở dữ liệu. - Nếu tồn tại trong cơ sở dữ liệu => là Malware và kết thúc quá trình phân tích. - Nếu không tòn tại trong cơ sử dữ liệu sẽ được đẩy sang hệ thống phân tích( Mlalyzer Malware). Hệ thống phân tích sẽ sử dụng 1 trong 2 phương pháp phân tích tĩnh (Static) hoặc phân tích động (Dynamic) để phân tích. Kết quả của quá trình phân tích đưa ra là phát hiện Virus thì mã băm của nó sẽ được lưu vào trong cơ sở dữ liệu và kết thúc quá trình. Nếu không thì kết thúc quá trình phân tích luôn
  • 44. 33 33 Hình 24: Thành phần môi trường phân tích mã độc - Thành phần:  Guest machine 1: Cài Linux dùng làm server.  Guest machine 2: cài Windows XP dùng để cài mã độc phục vụ thử nghiệm. - Đặc điểm của môi trường phân tích:  Host machine có khả năng cung cấp đủ tài nguyên cho 2 máy Guest machine hoạt động.  Chia sẻ mã độc giữa Host và Guest phải thông qua con đường phi network  Host machine và Guest machine không được kết nối mạng với nhau.  Các Guest machine nối mạng với nhau với dạng Host-onle và không có khả năng kết nối Internet. 2.4.4. Xây dựng hệ thống lab phân tích Malware Trong phần này tôi sẽ tìm hiểu cách thức xây dựng một hệ thống Malware: có thể xây dựng lab trên môi trường thật có nghĩa là sử dụng các thiết bị vật lý hoặc xây dựng trên môi trường ảo sử dụng phần mềm VMware. Phần này sẽ đề cập tới cả 2 phương pháp nhưng ở đây tôi sẽ tập trung và nhấn mạnh vào việc xây dựng hệ thống phân tích Malware trên môi trường ảo:
  • 45. 34 34 - Physical environment: xây dựng trên môi trường vật lý tức là chúng cần có những máy tính thật chạy các hệ điều hành của Windows, Linux, MacOS. Sau đó chúng ta sẽ thử nghiệm Malware trên chính những máy tính thật này. Để đảm bảo chiếc PC mà chúng ta thử nghiệm sẽ không bị lỗi, hỏng hóc về phần mềm hoặc hệ điều hành trong quá trình thử nghiệm Malware nên sử dụng phần mềm đóng băng ổ cứng như Deep Freeze như một cách để backup hệ thống. - Virtual environment: đây có thể là các máy ảo chạy các hệ điều hành của Windows, Linux, MacOS hoặc sandbox. Chúng ta sẽ thực thi Malware trên những máy ảo này. Trước khi thực thi Malware chúng ta nên tạo ra 1 bản snapshot để lưu lại trạng thái của máy ảo trước khi thực thi. Nếu xảy ra lỗi chúng ta chỉ cần quay lại về trạng thái đã đặt snapshot. - Trước khi bắt đầu với việc xây dựng một môi trường lab phải luôn nhớ rằng việc xây dựng một môi trường an toàn là rất quan trọng. Các lỗ hổng có thể gây lỗi trên máy thật chúng ta xây dựng môi trường lab. Một số lưu ý khi xây dựng môi trường lab an toàn:  Không chia sẻ tài nguyên giữa máy thật và máy ảo  Đảm bảo rằng máy thật được cập nhật những phiên bản mới nhất của các phần mềm anti-Virus.  Chúng ta nên đặt card mạng của máy ảo ở card Nat, sử dụng máy ảo này kết nối Internet và download các Malware cần thiết, không nên sử dụng máy thật để download Malware.  Ngăn chặn target truy nhập tới bất cứ shared devices hoặc removable media nào, ví dụ USB drives được cắm vào máy thật. 2.5. Quy trình thu thập và phân tích mã độc 2.5.1. Thu thập mã độc Sự cần thiết của việc thu thập mã độc : Mục đích xây dựng và triển khai hệ thống điều tra, phát hiện cách thức tấn công của tin tặc phần nào giúp các đơn vị nhận biết được mức độ an toàn thông tin hiện tại của cổng thông tin điện tử, nâng cao nhận thức về an toàn thông tin, mặt khác có thể phối hợp với các đơn vị quản lý điều tra nguyên nhân, động cơ, và các hành vi mà tin tặc tấn công để chủ động lên kế hoạch giải quyết, đối phó. Khi hệ thống triển khai sẽ thu thập các cách thức tấn công của tin tặc vào các cổng thông tin điện tử cũng như thu thập các phần mềm độc hại (Malware) phục vụ cho việc phân tích phạm vi, nguồn gốc tấn công.
  • 46. 35 35 2.5.2. Quy trình phân tích mã độc Bước 1: Xác định nguồn gốc mã độc. Bước 2: Liên hệ nơi phát tán mã độc để thu thập mẫu. Bước 3: Tiến hành quy trình phân tích sơ lược các thông tin ban đầu về mã độc. Bước 4: Tiến hành quy trình phân tích hoạt động để xác nhận các hành vi của mã độc. Bước 5: Tiến hành phân tích tĩnh để tìm hiểu sâu hơn về các hành vi mã độc mà phân tích hoạt động chưa tìm ra được. Bước 6: Tiến hành tổng hợp và xuất báo cáo cuối cùng về hành vi mã độc. Hình 25: Quy trình phân tích mã độc khi chưa có hệ thống phân tích tự động Việc thực hiện quy trình sáu bước trên tương đối tốn thời gian tại bước phân tích sơ lược và phân tích hoạt động, trong khi đó thời gian dành cho việc phân tích mã thực thi lại giảm xuống do vậy sẽ khó thực hiện đối với các trường hợp cần có kết quả phân tích gấp.
  • 47. 36 36 Hình 26: Quy trình phân tích mã độc khi có hệ thống phân tích tự động Khi có hệ thống phân tích tự động, thì hai quy trình phân tích sơ lược và phân tích hoạt động đã được tinh giảm đi. Bên cạnh đó quá trình phân tích tự động được tự động hoàn toàn nên tiết kiệm rất nhiều thời gian để dành cho việc phân tích mã thực thi. 2.6. Nghiên cứu các công cụ hỗ trợ phân tích mã độc 2.6.1. Công cụ hỗ trợ phân tích tĩnh Phân tích tĩnh có ưu điểm là an toàn hơn phân tích động vì mã thực thi không thực sự chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu… Chỉ có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích, chúng ta vô tình thực thi mã độc (click đúp, hoặc chạy thư viện chứa mã độc). Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên một môi trường mà nó không thực thi được (ví dụ phân tích mã độc trên Windows trong hệ điều hành Linux).  Các kỹ thuật hỗ trợ việc phân tích tĩnh: - Kỹ thuật lấy thông tin ban đầu về file: Trước khi làm bất kì việc gì, chúng ta nên tính toán giá trị băm cho mỗi file cần phân tích. Thông thường sẽ sử dụng các hàm mã hóa MD5, SHA1, SHA256. Sau khi tính toán, chúng ta sẽ có thể biết được mã độc có tự thay đổi nó (self-modified) hay không. Có khá nhiều công cụ hữu ích cho việc này như md5deep của Jesse Kornblum. - Kỹ thuật Quét Virus: Nếu file được kiểm tra là một thành phần của một mã độc nổi tiếng, hoặc đã được phân tích bởi các công ty an ninh mạng, diệt Virus, thì có
  • 48. 37 37 khả năng nó sẽ được nhận ra bởi một chương trình diệt Virus. Khi đó, nhiệm vụ của người phân tích là sẽ tìm kiếm thông tin từ nhà cung cấp phần mềm diệt Virus, qua đó nắm được cơ bản những hành vi, cách thức lây lan, hoạt động của mã độc đó, tuy nhiên nó chỉ nằm ở mức cơ bản. - Ngoài ra, cũng có một số dịch vụ quét Virus trực tuyến như: hay http://Virusscan.jotti.org. Trước tiên, chúng sẽ tính toán mã băm của các file người dùng gửi lên, sau đó so sánh trong cơ sở dữ liệu xem đã được quét chưa. Nếu đã quét thì chỉ việc đưa ra kết quả lần quét trước đó. Nếu chưa, chúng sẽ quét file bằng nhiều chương trình diệt Virus khác nhau và đưa ra kết quả cũng như cảnh báo – nếu có. Đây là lợi điểm rất lớn, vì thông thường trên một hệ thống máy tính, chúng ta không thể cài quá nhiều phần mềm diệt Virus. - Phát hiện các trình packer:Packer là một trình bảo vệ, nén file thực thi, thường được sử dụng để bảo vệ file thực thi khỏi quá trình dịch ngược và để giảm dung lượng file. Chúng có thể thay đổi luồng thực thi của chương trình, mã hóa các chuỗi, tránh debug… Khi thực thi, các lớp bảo vệ này được tự động gỡ ra (theo nhiều cách) và chương trình sẽ hoạt động như chương trình ban đầu.  Các công cụ hỗ trợ phân tích tĩnh: - PEiD là một chương trình miễn phí, dùng để phát hiện ra các packer được sử dụng trên một chương trình và có thể đưa ra phiên bản trình biên dịch được sử dụng. PEiD sử dụng tập hợp các chữ ký của rất nhiều (phiên bản sạch có khoảng trên 600 chữ ký của các trình biên dịch và packer khác nhau; trong khi đó, với sự hỗ trợ của các nhà phân tích, có những bản có trên 10000 chữ ký). Để sử dụng chúng, có thể:  Mở cửa sổ PEiD lên, kéo file cần quét vào và đợi cho đến khi chương trình phân tích xong. Kết quả sẽ được hiển thị trên màn hình sau đó:
  • 49. 38 38 Hình 27: Màn hình sử dụng PEiD  Từ menu chuột phải, chọn Scan with PEiD và quá trình sau đó cũng tương tự. - Ngoài ra còn có rất nhiều công cụ khác nữa như exeinfo, hay RDG Packer Detector. Các công cụ này cũng có chức năng, cách sử dụng tương tự. Hình 28: Rdg Packer Detector
  • 50. 39 39 Hình 29: ExeInfo - Sử dụng chuỗi tìm được:  Để hiểu được những gì một chương trình thông thường làm, chúng ta thường tìm đọc các tài liệu đi kèm, hướng dẫn sử dụng… Với mã độc cũng tương tự, tuy nhiên, “thường” không có tài liệu hay hướng dẫn. Thay vào đó, những thông tin hữu ích trong file thực thi là điều đáng lưu ý. Ví dụ như chương trình thường in ra màn hình những trạng thái hoạt động, hoặc thông báo lỗi. Theo dấu vết các chuỗi này, có thể hiểu và thấy được phần nào cách hoạt động của chúng.  Các chuỗi trong file thực thi nói chung, có thể được lấy ra sử dụng một số công cụ như Strings trong bộ Sysinternals, Bintext trong Foundstone hay HexWorkshop, 010Editor, IDA… Khi sử dụng các công cụ này, cần chú ý rằng nên chọn trích xuất ra cả định dạng ASCII và UNICODE.  Tuy nhiên cũng cần thận trọng khi xem xét, vì rất có thể người viết mã độc cố tính chèn chúng vào nhằm làm người phân tích bị lệch hướng. - Công cụ xem cấu trúc của file thực thi (trên Windows gọi chung là PE file, trên Linux là ELF…):  PE file (Portable executable) là định dạng được sử dụng bởi các file thực thi của hệ điều hành Windows. Có nhiều thông tin quan trọng mà định dạng này cung cấp như:  Ngày tháng biên dịch:  Các hàm trong thư viện được chương trình gọi.  Hàm mà chương trình, hay thư viện cung cấp.
  • 51. 40 40  Biểu tượng, menu, phiên bản và các chuỗi tích hợp trong tài nguyên của file (resources).  Có khá nhiều công cụ cho phép xem cấu trúc của một file PE như: CFF Explorer: công cụ được phát triển bởi một chuyên gia dịch ngược, phân tích mã độc của Đức. PEView: của Wayne Radburn. Depends: của Steve Miller. PEBrowse Pro: của Rus Osterlund. Objdump: từ Cygwin. Resource Hacker: của Angus Johnson.  Những công cụ này đều rất mạnh, và miễn phí, sử dụng rất dễ dàng. - Công cụ dịch ngược:  Sau khi đã có thông tin cơ bản về mã độc ở các bước trên, công việc chính tiếp theo là hiểu cách hoạt động của nó, bằng cách xem mã thực thi ở dạng có thể hiểu được (dưới dạng ngôn ngữ assembly).  Rất nhiều những công cụ có khả năng dịch ngược từ mã máy sang mã assembly, tuy nhiên, hiện nay, công cụ được ưa thích, rất mạnh và dễ sử dụng – đó là IDA (Interactive Disassembler). Công cụ này được phát triển bởi Hex-rays, Ilfak Guinifanov, một chuyên gia phân tích lỗ hổng, mã độc. Tác giả đã sử dụng kinh nghiệm làm việc của mình, khắc phục các khó khăn mà quá trình phân tích gặp phải, để đưa ra công cụ cực kỳ hữu ích này. Nó được tin dùng ở hầu hết những nhà phân tích mã độc, các công ty an ninh mạng, diệt Virus (Kaspersky, F-secure, Avira, Symantec…).
  • 52. 41 41 Hình 30: Giao diện đồ họa của IDA Pro  Có 2 kiểu xem ở khung chứa mã dịch ngược, một là xem theo kiểu đồ thị và xem theo kiểu code thông thường. Với kiểu đồ thị, chúng ta sẽ dễ dàng theo dõi việc thực thi, kiểm tra của đoạn mã. Nó vô cùng trực quan, dễ hiểu. Với kiểu thông thường, các dòng lệnh hiển thị lần lượt như trong bộ nhớ. Không chỉ vậy, điểm mạnh của IDA còn ở tính năng cung cấp các tham chiếu, tìm kiếm chuỗi, hỗ trợ ngôn ngữ kịch bản, phần mở rộng. - Các công cụ so sánh file: sử dụng để so sánh các file trước và sau khi hệ thống bị lây nhiễm mã độc. Giả sử có một file chưa lây nhiễm và một người khác gửi đến trung tâm phân tích một file đã nhiễm mã độc, thì đây là công cụ cần sử dụng đầu tiên. Không chỉ đưa ra thông tin về những byte khác nhau, các công cụ này còn có khả năng đưa ra mã assembly của những đoạn đó, giúp cho người phân tích dễ dàng thấy được các hoạt động của mã độc.  BinDiff của Zynamics là một công cụ như thế. Nó tập trung vào việc so sánh các file với nhau, đưa ra kết quả là mã assembly và đồ thị hoạt động tương ứng. Một chức năng đáng chú ý nữa là đưa ra các hàm giống nhau và khác nhau giữa 2 file thực thi. Điều này sẽ giúp giảm đi đáng kể thời gian phân tích, vì người phân tích sẽ có định hướng, chỉ tập trung vào những hàm được chèn thêm, bị thay đổi, mà không cần xem xét hết các hàm của một file thực thi đã bi lây nhiễm.
  • 53. 42 42 Hình 31: BinDiff 2.6.2. Công cụ hỗ trợ phân tích động Mã độc có rất nhiều hành vi khác nhau (xóa file, chèn thêm vào file, lấy cắp thông tin, kết nối mạng, tấn công DdoS…) vì thế phải kết hợp nhiều công cụ với nhau để có thể thấy được bức tranh toàn cảnh về những gì mà nó làm (chứ không phải làm thế nào). Ở phần này, chúng ta sẽ chỉ nói đến mã độc, và những công cụ phân tích trên nền tảng Windows. Có 2 công cụ phân tích hành vi khá hữu ích là Process Monitor và Wireshark. Một trong những điểm thú vị của các công cụ này là chúng giám sát mọi hành vi trong toàn bộ hệ thống chứ không phải chỉ của mã độc, hay một chương trình cụ thể. Vì thế, để phân tích, cần phải lọc kết quả trả về của chúng. Cả 2 phần mềm này đều có cơ chế lọc với nhiều tùy chọn, rất hiệu quả. - Process Monitor: một sản phẩm trong công cụ Sysinternals Suite. Cho phép người phân tích giám sát tất cả các hành vi về file, registry, hoạt động của tiến trình đang chạy trong hệ thống. Process Monitor hoạt động bằng cách cài một driver (một thành phần điều khiển ở mức thấp) để giám sát thông tin về hoạt động đang diễn ra bên trong nhân hệ điều hành. Dữ liệu nó đưa ra rất đầy đủ, chi tiết ở dạng đồ họa.
  • 54. 43 43 Hình 32: Giao diện sử dụng của Process Monitor Sau khi chạy Process Monitor, chúng ta cần lọc các kết quả nó trả về. Không như Filemon (giám sát file), Regmon (giám sát registry) sử dụng cơ chế lọc đơn giản theo chuỗi; Process Monitor có cơ chế lọc khá phức tạp. Hình 33 mô phỏng cửa sổ lọc kết quả của Process Monitor. Giả sử cần lọc các hoạt động của một tiến trình có tên là “unknown1” chúng ta sẽ chọn ở khung đầu tiên là Process Name, ở khung textbox, điền tên unknown1, nhấn Add. Để giám sát các hành động cụ thể (việc sử dụng hàm API của chương trình, chọn Operation , và điền tên hàm API tương ứng cần giám sát. Hình 33: Cửa sổ Filter của Process Monitor - WireShark: là sản phẩm đa nền tảng dùng để giám sát kết nối mạng. Nó cung cấp những chức năng như: giám sát, phân tích, lọc các kết nối mạng từ tất cả các ứng dụng trong hệ thống. Tuy nhiên, điểm yếu lớn nhất của nó khi phân tích mã độc là