Các công cụ phân tích tĩnh mã độc

Các công cụ phân tích tĩnh mã độc

Trong phần này sẽ tập trung vào kỹ thuật phân tích tĩnh. Chi tiết quá trình phân tích tĩnh logic của một phần mềm sẽ cho chúng ta thấy cái nhìn tổng quan về những công cụ cần sử dụng, và các kỹ năng cần có.

Bạn có thể theo dõi thêm hai bài viết trước của tôi:

Công cụ tạo môi trường an toàn và hiệu quả để phân tích mã độc

Các phương pháp phân tích mã độc

Phân tích mã độc tĩnh

Phân tích tĩnh có ưu điểm là an toàn hơn phân tích động; vì mã thực thi không thực sự chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu… Chỉ có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích, chúng ta vô tình thực thi mã độc (click đúp, hoặc chạy thư viện chứa mã độc). Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên một môi trường mà nó không thực thi được (ví dụ phân tích mã độc trên Windows trong hệ điều hành Linux).

  • Kỹ thuật lấy thông tin ban đầu về file:

Trước khi làm bất kì việc gì, chúng ta nên tính toán giá trị băm cho mỗi file cần phân tích. Thông thường sẽ sử dụng các hàm mã hóa MD5, SHA1, SHA256. Sau khi tính toán, chúng ta sẽ có thể biết được mã độc có tự thay đổi nó (self-modified) hay không. Có khá nhiều công cụ hữu ích cho việc này như: md5deep của Jesse Kornblum.

  • Kỹ thuật Quét virus:

Nếu file được kiểm tra là một thành phần của một mã độc nổi tiếng, hoặc đã được phân tích bởi các công ty an ninh mạng, diệt virus, thì có khả năng nó sẽ được nhận ra bởi một chương trình diệt virus. Khi đó, nhiệm vụ của người phân tích là sẽ tìm kiếm thông tin từ nhà cung cấp phần mềm diệt virus, qua đó nắm được cơ bản những hành vi, cách thức lây lan, hoạt động của mã độc đó, tuy nhiên nó chỉ nằm ở mức cơ bản. Cũng có một số dịch vụ quét virus trực tuyến như: http://www.virustotal.com hay http://virusscan.jotti.org. Trước tiên, chúng sẽ tính toán mã băm của các file người dùng gửi lên, sau đó so sánh trong cơ sở dữ liệu xem đã được quét chưa. Nếu đã quét thì chỉ việc đưa ra kết quả lần quét trước đó. Nếu chưa, chúng sẽ quét file bằng nhiều chương trình diệt virus khác nhau và đưa ra kết quả cũng như cảnh báo – nếu có. Đây là lợi điểm rất lớn, vì thông thường trên một hệ thống máy tính, chúng ta không thể cài quá nhiều phần mềm diệt virus.

  • Phát hiện các trình packer:

Packer là một trình bảo vệ, nén file thực thi, thường được sử dụng để bảo vệ file thực thi khỏi quá trình dịch ngược và để giảm dung lượng file. Chúng có thể thay đổi luồng thực thi của chương trình, mã hóa các chuỗi, tránh debug… Khi thực thi, các lớp bảo vệ này được tự động gỡ ra (theo nhiều cách) và chương trình sẽ hoạt động như chương trình ban đầu. Có rất nhiều mã độc sử dụng nhiều packer khác nhau nhằm gây khó khăn cho người phân tích. PEiD là một chương trình miễn phí, dùng để phát hiện ra các packer được sử dụng trên một chương trình và có thể đưa ra phiên bản trình biên dịch được sử dụng. PEiD sử dụng tập hợp các chữ ký của rất nhiều (phiên bản sạch có khoảng trên 600 chữ ký của các trình biên dịch và packer khác nhau; trong khi đó, với sự hỗ trợ của các nhà phân tích, có những bản có trên 10000 chữ ký!). Để sử dụng chúng, có thể: Mở cửa sổ PEiD lên, kéo file cần quét vào và đợi cho đến khi chương trình phân tích xong. Kết quả sẽ được hiển thị trên màn hình sau đó

PEiD

Hình 1: Màn hình sử dụng PEiD

Từ menu chuột phải, chọn Scan with PEiD và quá trình sau đó cũng tương tự. Ngoài ra còn có rất nhiều công cụ khác nữa như: exeinfo, hay RDG Packer Detector. Các công cụ này cũng có chức năng, cách sử dụng tương tự.

rdg_packer_detector

Hình 2: Rdg Packer Detector

exeinfo

Hình 3: ExeInfo

  • Sử dụng chuỗi tìm được:

Để hiểu được những gì một chương trình thông thường làm, chúng ta thường tìm đọc các tài liệu đi kèm, hướng dẫn sử dụng… Với mã độc cũng tương tự, tuy nhiên, “thường” không có tài liệu hay hướng dẫn. Thay vào đó, những thông tin hữu ích trong file thực thi là điều đáng lưu ý. Ví dụ như chương trình thường in ra màn hình những trạng thái hoạt động, hoặc thông báo lỗi. Theo dấu vết các chuỗi này, ta có thể hiểu và thấy được phần nào cách hoạt động của chúng. Các chuỗi trong file thực thi nói chung, có thể được lấy ra sử dụng một số công cụ như: Strings trong bộ Sysinternals, Bintext trong Foundstone hay HexWorkshop, 010Editor, IDA… Khi sử dụng các công cụ này, cần chú ý rằng nên chọn trích xuất ra cả định dạng ASCII và UNICODE. Tuy nhiên cũng cần thận trọng khi xem xét, vì rất có thể người viết mã độc cố tính chèn chúng vào nhằm làm người phân tích bị lệch hướng.

  • Công cụ xem cấu trúc của file thực thi (trên windows gọi chung là PE file, trên Linux là ELF…):

PE file (Portable executable) là định dạng được sử dụng bởi các file thực thi của hệ điều hành Windows. Có nhiều thông tin quan trọng mà định dạng này cung cấp như: + Ngày tháng biên dịch + Các hàm trong thư viện được chương trình gọi + Hàm mà chương trình, hay thư viện cung cấp + Biểu tượng, menu, phiên bản và các chuỗi tích hợp trong tài nguyên của file  (resources) Có khá nhiều công cụ cho phép xem cấu trúc của một file PE như:

  • CFF Explorer : công cụ được phát triển bởi một chuyên gia dịch ngược, phân tích mã độc của Đức.
  • PEView : của Wayne Radburn
  • Depends : của Steve Miller
  • PEBrowse Pro : của Rus Osterlund
  • Objdump : từ Cygwin
  • Resource Hacker : của Angus Johnson.

Những công cụ này đều rất mạnh, và miễn phí, sử dụng rất dễ dàng.

  • Công cụ dịch ngược:

Sau khi đã có thông tin cơ bản về mã độc ở các bước trên, công việc chính tiếp theo là hiểu cách hoạt động của nó, bằng cách xem mã thực thi ở dạng có thể hiểu được (dưới dạng ngôn ngữ assembly). Rất nhiều những công cụ có khả năng dịch ngược từ mã máy sang mã assembly, tuy nhiên, hiện nay, công cụ được ưa thích, rất mạnh và dễ sử dụng – đó là IDA (Interactive Disassembler). Công cụ này được phát triển bởi Hex-rays, Ilfak Guinifanov, một chuyên gia phân tích lỗ hổng, mã độc. Tác giả đã sử dụng kinh nghiệm làm việc của mình, khắc phục các khó khăn mà quá trình phân tích gặp phải, để đưa ra công cụ cực kỳ hữu ích này. Nó được tin dùng ở hầu hết những nhà phân tích mã độc, các công ty an ninh mạng, diệt virus (Kaspersky, F-secure, Avira, Symantec…).

ida-pro

Hình 4: Giao diện đồ họa của IDA Pro

Có 2 kiểu xem ở khung chứa mã dịch ngược, một là xem theo kiểu đồ thị và xem theo kiểu code thông thường. Với kiểu đồ thị, chúng ta sẽ dễ dàng theo dõi việc thực thi, kiểm tra của đoạn mã. Nó vô cùng trực quan, dễ hiểu. Với kiểu thông thường, các dòng lệnh hiển thị lần lượt như trong bộ nhớ. Không chỉ vậy, điểm mạnh của IDA còn ở tính năng cung cấp các tham chiếu, tìm kiếm chuỗi, hỗ trợ ngôn ngữ kịch bản, phần mở rộng.

  • Các công cụ so sánh file : sử dụng để so sánh các file trước và sau khi hệ thống bị lây nhiễm mã độc. Giả sử có một file chưa lây nhiễm và một người khác gửi đến trung tâm phân tích một file đã nhiễm mã độc, thì đây là công cụ cần sử dụng đầu tiên. Không chỉ đưa ra thông tin về những byte khác nhau, các công cụ này còn có khả năng đưa ra mã assembly của những đoạn đó, giúp cho người phân tích dễ dàng thấy được các hoạt động của mã độc.

BinDiff của Zynamics là một công cụ như thế. Nó tập trung vào việc so sánh các file với nhau, đưa ra kết quả là mã assembly và đồ thị hoạt động tương ứng. Một chức năng đáng chú ý nữa là đưa ra các hàm giống nhau và khác nhau giữa 2 file thực thi. Điều này sẽ giúp giảm đi đáng kể thời gian phân tích, vì người phân tích sẽ có định hướng, chỉ tập trung vào những hàm được chèn thêm, bị thay đổi, mà không cần xem xét hết các hàm của một file thực thi đã bi lây nhiễm.

bindiff

Hình 5: BinDiff

Nguồn: https://securitydaily.net/cac-cong-cu-phan-tich-tinh-ma-doc/

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,10000+ Latest Carding Dorks 2020 and 2021,1,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,206,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,11,camera,1,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,19,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,https,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,61,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,28,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,16,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,40,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lắp đặt trọn gói camera tận nhà giá rẻ tại Gò Công,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,12,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,49,Sách,41,Sách Nghệ Thuật Sống,12,sách nói,1,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,sachnoi,1,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,33,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,54,Tips,39,tool,3,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,3,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Chia sẻ kiến thức miễn phí: Các công cụ phân tích tĩnh mã độc
Các công cụ phân tích tĩnh mã độc
Các công cụ phân tích tĩnh mã độc
https://i0.wp.com/securitydaily.net/wp-content/uploads/2015/04/PEiD.png?fit=373%2C221&ssl=1
NhutTruong.Com - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2021/05/cac-cong-cu-phan-tich-tinh-ma-oc.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2021/05/cac-cong-cu-phan-tich-tinh-ma-oc.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content