BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG…………… LUẬN VĂN Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet LỜI CẢM ƠN Trước hết, em xin gửi lời cảm ơn sâu sắc tới TS HồVăn Canh, người gợi mở hướng dẫn em vào tìm hiểu đề tài: Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Người hết lòng giúp đỡ, tạo điều kiện cho em hồn thành khóa luận Em xin cảm ơn thầy, cô trường Đại học Dân lập Hải Phòng dậy dỗ, giúp đỡ động viên chúng em từ ngày đầu chập chững bước chân vào cổng trường Đại học Thầy cô tạo cho chúng em môi trường học tập, điều kiện thuận lợi cho chúng em học tập tốt, trang bị cho chúng em kiến thức quý báu giúp chúng em vững bước tương lai Cám ơn bạn giúp đỡ, nghiên cứu chia sẻ suốt năm Đại học Hải Phòng, 2009 Nguyễn Thị Phương Thanh Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet MỤC LỤC MỞ ĐẦU CHƢƠNG I TỔNG QUAN 1.1 Máy tính hoạt động máy tính 1.2 Quá trình khởi động Windows hoạt động chương trình Windows 1.3 Giao diện lập trình ứng dụng Windows (Win32 Application Progamming Interface ) 1.4 Định dạng File thực thi khả chuyển (Portable Executable File format) trình thực thi PE file 1.5 Registry hệ điều hành Windows 11 1.6 Tổng quan mạng Internet 15 1.7, Reverse Engine 17 CHƢƠNG II PHẦN MỀM GIÁN ĐIỆP 19 2.1 Một số định nghĩa phần mềm gián điệp 19 2.2 Vấn đề thu tin mạng Internet 20 2.3 Hack để thu tin 21 2.4 Cài cắm phần mềm để thu tin 22 2.5 Virus máy tính 23 2.5.1 Định nghĩa đặc trưng 23 2.5.2 Các loại virus điển hình 24 CHƢƠNG III: PHÂN TÍCH MỘT TRƢỜNG HỢP CỤ THỂ 26 3.1 Phân tích trường 27 3.1.1 Bảo vệ trường 27 3.1.2 Tìm kiếm module gây nên tượng nghi vấn 27 Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet 3.1.2.1 Thành phần thu tin 28 3.1.2.2 Thành phần thông báo địa 36 3.1.2.3 Thành phần lợi dụng lỗ hổng để lấy tin 45 3.2 Đánh giá, kết luận 45 CHƢƠNG IV: KINH NGHIỆM RÚT RA VÀ CÁC ĐỀ XUẤT 47 4.1 Kinh nghiệm rút 47 4.1.1 Xây dựng mơi trường phân tích 47 4.1.2 Quy trình phân tích 48 4.2 Đề xuất 50 4.2.1 Giải pháp khắc phục hậu bịt kín sơ hở 50 4.2.2 Phương án xử lý phần mềm cài cắm 51 KẾT LUẬN 52 TÀI LIỆU THAM KHẢO 53 Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet MỞ ĐẦU 1, Tính cấp thiết đề tài Được thức pháp lý hóa vào năm 1997, phải đến năm 2002, sau việc độc quyền cung cấp dịch vụ hạ tầng kết nối Internet khơng cịn tồn nhà cung cấp dịch vụ (ISP) đời, thị trường Internet Việt Nam thực sôi động mức độ cạnh tranh ngày cao Cùng với định giảm giá truy cập chất lượng băng truyền cải thiện, với đời dịch vụ đòn bẩy ADSL, Internet ngày trở nên phổ biến Không dừng lại bốn dịch vụ: thư điện tử, truy cập sở liệu, truyền tệp liệu, truy nhập từ xa, Internet Việt Nam trở nên đa dạng hình thức số lượng ADSL, VoIP, Wi-Fi, Internet công cộng dịch vụ gia tăng mạng khác Video, forum, chat, games online Tuy nhiên thách thức lớn mặt trái Internet, với nhân tố cần kiểm sốt hợp lý q trình phát triển Đó luồng văn hóa, thơng tin độc hại, hậu công phá hoại máy chủ dịch vụ, hacker "mũ đen", nạn virus thư rác, kinh doanh thẻ lậu Internet trả trước, lợi dụng hạ tầng Internet để ăn cắp cước viễn thông Việc hàng triệu người nhập liên tục thông tin nhạy cảm (các loại thông tin xác thực mật khẩu, số CMND, mã số nhân viên, số thẻ tín dụng ) vào mạng tạo vơ số lỗ hổng cho tin tặc phần mềm gián điệp đánh cắp, lừa đảo gây thiệt hại Đặc biệt, nhiều thông tin nhạy cảm thuộc lĩnh vực An ninh quốc gia, quân sự, trị, ngoại giao nước có ý nghĩa sống cịn ln ln bị bọn đối lập tìm cách khai thác nhằm phục vụ lợi ích họ.… Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Chính vấn đề an ninh mạng quốc gia (trong có Việt Nam) quan tâm đặc biệt như: vấn đề bảo mật mật khẩu, chống lại truy cập bất hợp pháp , chống lại virus máy tính, vấn đề phát xử lý phần mềm cài cắm Đó lý em chọn đề tài “nghiên cứu, phát phần mềm cài cắm”nhàm phục vụ cho mục đích thực tế.… 2, Mục đích nhiệm vụ nghiên cứu - Nghiên cứu chế hoạt động phần mềm cài cắm, dấu hiệu bị cài cắm từ nêu đánh giá kết luận - Tổng kết kinh nghiệm, đề xuất phương pháp giải phát xử lý phần mềm cài cắm Phạm vi nghiên cứu - Tổng quan máy tính chương trình máy tính, mạng Internet, vấn đề thu tin cơng khai thu tin bí mật - Tổng quan hệ điều hành Windows - Đinh nghĩa, đặc điểm, phương pháp phát xử lý phần mềm cài cắm với mục đích thu tin bí mật Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet CHƢƠNG I TỔNG QUAN 1.1 Máy tính hoạt động máy tính Theo định nghĩa Microsoft, máy tính thiết bị có khả xử lý thông tin đưa kết mong muốn Bất kể kích thước lớn hay nhỏ, máy tính thường thực cơng việc theo bước định sẵn: (1) Nhận liệu đầu vào, (2) xử lý theo quy luật định sẵn (các chương trình), (3) đưa kết Có nhiều cách để phân loại máy tính, bao gồm phân lớp (từ máy vi tính đến siêu máy tính), theo hệ (5 hệ), theo phương thức xử lý (Tương tự-analog số-digital) Máy tính cấu thành từ phần cứng phần mềm Hệ điều hành phần mềm quan trọng nhất, giữ vai trò điều khiển, phối hợp ưu tiên việc sử dụng phần cứng để giải yêu cầu người sử dụng Các hệ điều hành thông dụng Microsoft Windows, Mac OS UNIX Mặt khác, chương trình ứng dụng lại tạo để thực thi công việc cụ thể người sử dụng, chương trình xử lý văn bản, bảng tính, sở liệu … Chương trình ứng dụng phải cài đặt hệ điều hành hoạt động 1.2 Quá trình khởi động Windows hoạt động chƣơng trình Windows Dưới mơ tả q trình hoạt động hệ điều hành Windows2000 dựa nhân NT Sau BIOS khởi động xong, trao quyền điều khiển lại cho hệ điều hành Windows đọc Sector phân vùng này, gọi bootsector thực thi lệnh Đoạn mã lệnh đọc thư mục gốc phân vùng, tìm kiếm file gọi ntldr (NT Loatder) Nếu tìm Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet file này, đọc file vào nhớ thực thi Ntldr tải hệ điều hành vào nhớ Tiếp theo, ntldr đọc file gọi boot.ini liệt kê tất phiên hal.dll ntoskrnl.exe, file cung cấp nhiều tham số: số lượng CPU, dung lượng RAM sử dụng, có cho phép người dùng xử lý 2GB hay 3GB liệu hay không tần số xung thiết lập cho đồng hồ thời gian thực Khi khởi động, hệ điều hành gọi thành phần thực thi để thực vài thiết lập thơng thường Bước cuối tạo tiến trình người sử dụng thực đầu tiên, trình điều khiển phiên tiến trình nguyên sơ Windows thực lời gọi hệ thống thực không sử dụng môi trường hệ thống phụ Win32, môi trường mà lúc chưa hoạt động Thơng thường cơng việc bao gồm việc đưa đối tượng vào không gian tên trình điều khiển đối tượng, tạo phân trang tập tin mở rộng mở DLL quan trọng để sử dụng chúng thường xuyên Sau hồn tất cơng việc này, tạo chương trình đăng nhập winlogon.exe Winlogon.exe trước tiên tạo trình xác thực (iass.exe) sau tiến trình chủ tất dịch vụ (services.exe) Tiến trình chủ tìm kiếm register tiến trình cần thiết khơng gian tiến trình người dùng file chứa chúng tạo chúng Thực tế đĩa thường họat động nặng sau người dùng đăng nhập, services.exe tạo tất dịch vụ tải thêm trình điều khiển thiết bị cịn thiếu, ví dụ: máy phục vụ in ấn, máy phục vụ file, trình Telnet, điều khiển mail đến, điều khiển fax đến, giải pháp DNS, nhật ký kiện, trình điều khiển cắmchạy… Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet 1.3 Giao diện lập trình ứng dụng Windows (Win32 Application Progamming Interface ) Giống hệ điều hành khác, Windows có tập hợp lời gọi hệ thống mà thực thi Tuy nhiên, Microsoft không công bố danh sách lời gọi hệ thống, ln thay đổi theo phiên Thay vào đó, mà Microsoft làm định nghĩa tập hợp lời gọi hàm đặt tên Win32 API, công bố đầy đủ tài liệu Nhiều lời gọi hệ thống tạo đối tượng nhân (kernel object) loại sau: file, tiến trình (processes), tiểu trình (threads), luồng (pipes)và loại khác Mỗi lời gọi thiết lập đối tượng trả kết gọi kênh điều khiển (handle) cho lời gọi Tiếp theo Handle sử dụng để thực thao tác đối tượng Các handle đặc tả để tiến trình thiết lập đối tượng handle yêu cầu Chúng truyền trực tiếp cho tiến trình khác sử dụng Mỗi đối tượng có mơ tả bảo mật riêng, nói rõ thực thao tác đối tượng Các lời gọi Win32 API bao quát lĩnh vực dễ hiểu, dễ giải hệ điều hành, vài lĩnh vực không dễ giải khác Thơng thường có lời gọi để thiết lập, quản lý tiến trình tiểu trình Cũng có nhiều lời gọi liên quan đến q trình giao tiếp bên tiến trình, ví dụ thiết lập, huỷ bỏ sử dụng mutex, cờ hiệu, kiện đối tượng giao tiếp tiến trình khác Mặc dù hệ thống quản lý nhớ gần suốt với lập trình viên chức quan trọng nhận ra: đặt tên chức tiến trình để ánh xạ file vào vùng nhớ ảo Nó cho phép tiến trình Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet có khả đọc ghi phần file thể chúng từ nhớ (memory word) Một phần quan trọng nhiều chương trình xuất/nhập file Dưới quan điểm Win32, file dãy tuyến tính byte Win32 cung cấp 60 lời gọi để tạo mới, xóa file thư mục, mở đóng file, đọc ghi chúng, đọc thiết lập thuộc tính file nhiều chức khác Một lĩnh vực khác mà Win32 cung cấp lời gọi bảo mật Mỗi tiến trình có ID cho biết tiến trình đối tượng có danh sách điều khiển truy nhập (Access Control List- ACL) mơ tả cách xác người sử dụng truy nhập thao tác thực Cách tiếp nhận cung cấp khuynh hướng bảo mật tốt, đặc tả cá nhân phép từ chối quyền truy nhập riêng biệt đến đối tượng Thực chất, Win32 API tập hợp hàm để thực số cơng việc chương trình thực thi Hệ điều hành mạnh tập hợp lệnh phong phú Do đó, nhà lập trình nắm vững tất Những phần mềm độc hại thường lợi dụng đặc điểm để đặt tên dễ gây nhầm lẫn hàm API Trên thực tế, API có ý nghĩa người lập trình, cịn thực suốt người sử dụng chương trình 1.4 Định dạng File thực thi khả chuyển (Portable Executable file format) trình thực thi PE file Định dạng file thực thi di động, thường gọi PE file, định dạng nhị phân khả thi cho hệ điều hành Windows NT, Windows 95, hệ điều hành Windows 32bit Định dạng thiết kế Microsoft năm Nguyễn Thị Phương Thanh- Lớp CT901 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Để xác định module gây hành vi thơng báo địa chỉ, người phân tích sử dụng chương trình Security Task Manager tìm kiếm tiến trình có tên lạ: itirctl.exe Cũng thơng qua chương trình này, ta biết khởi động Windows cách thêm vào giá trị Userinit khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Đoạn lệnh gọi đến : C:\WINDOWS\system32\ itirctl.exe Nghi vấn module này, người phân tích đưa vào chương trình IDAPro để phân tích hành vi Tuy nhiên load module vào IDA đọcđược mã, section file dã bị thay đổi thành UPX1, UPX2 UPX3, string bị mã hóa xem lời gọi API Nguyễn Thị Phương Thanh- Lớp CT901 39 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Thử load vao Olly Debug, ta nhận thông báo đọan mã lệnh file bị nén, mã hóa nhúng thêm liệu Việc phân tích không tin cậy sai lầm Như module bị pack mã hóa, dùng packer UPX, để tìm hiểu xem pack chương trình nào, phiên nào, người Nguyễn Thị Phương Thanh- Lớp CT901 40 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet phân tích sử dụng chương trình PEiD để qt với tùy chọn Deep Scan Kết cho thấy chương trình bị pack packer UPX phiên 0.89.6-1.02 hoặc1.05-1.24 Nguyễn Thị Phương Thanh- Lớp CT901 41 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Sử dụng chương trình RDG Packer Detector, kết thu cho thấy module bị nén UPX V0.80-V1.25 Như vậy, hai chương trình cho biết module bị pack packer UPX, phiên khơng thống Do ta sử dụng UPX 3.0.2w để unpack module UPX ghi đè lên file itirctl.exe gốc, ta đặt tên file itirctl_unpadk.exe Sau unpack ta sử dụng PEiD RDG kiểm tra itirctl_unpadk.exe thu biết module lập trình ngơn ngữ C++ biên dịch môi trường Visual Studio6.0 Từ ta đưa itirctl_unpadk.exe vào IDAPro để phân tích cách bình thường Trong subview String IDA có nhiều thơng tin trùng hợp với phân tích trước Nguyễn Thị Phương Thanh- Lớp CT901 42 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Để hiểu sâu hành vi module ta tiến hành phân tích mã lệnh IDA - Sau kích hoạt, module tự động unpack chép vào thư mục %systemroot%\system32\itirclt.exe - Thêm vào giá trị Userinit khóa HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon chuỗi C:\WINDOWS\system32\ itirclt.exe để kích hoạt module lúc với Windows khởi động Sau xác định xác itirclt.exe tác nhân thơng báo địa bên ngồi người phân tích tiến hành gỡ bỏ hoạt động module Trước tiên thử xóa file itirclt.exe, kết xóa thời gian ngắn sau file lại tự động tạo Khẳng định phải có tác nhân thực thi việc người phân tích sử dụng FileMon theo dõi thư mục C:\WINDOWS\system32 xóa itirclt.exe để dị xét Nguyễn Thị Phương Thanh- Lớp CT901 43 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Kết thu file dpnclt.exe yêu cầu Explorer.exe kiểm tra file itirclt.exe, khơng có tạo file cách copy từ dpnclt.exe Điều tương tự xảy xóa dpnclt.exe Hai file có kích thước (23 kb) ngày tạo lập (16/04/2007) Như việc itirclt.exe tự chép vào C:\WINDOWS\system32 cịn tạo với tên dpnclt.exe Khi xác định thơng tin trên, người phân tích tiên hành xóa đồng thời itirclt.exe dpnclt.exe, sau tiến hành kiểm tra thư mục khơng thấy chúng tái tạo Đồng thời sử dụng chương trình FileMon để giám sát khơng thấy Explorer.exe truy nhập vào hai file - Bước tiếp theo, ta phục hồi giá trị Userinit khóa: Nguyễn Thị Phương Thanh- Lớp CT901 44 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon lại cũ Userinit= “C:\WINDOWS\system32\ userinit.exe” Khởi động lại máy dùng Ethereal để quét thông lượng mạng, máy tính khơng kết nối đến địa IP lạ Như ta gỡ bỏ thành công thành phần thông báo địa 3.1.2.3 Thành phần lợi dụng lỗ hổng để lấy tin Q trình thu thập thơng tin qúa trình hồn chỉnh từ khâu thu tin, gói tin đến khâu nhận tin Ở ta xác định hai thành phần, thành phần thu tin thành phần thông báo địa Như chắn phải có thành phần thứ ba đến lấy tổng hợp tin tức thu Như phân tích, thành phần thơng báo địa gửi thông tin tên máy, hệ điều hành, địa MAC… máy bị cài cắm bên ngồi Cho nên nhận định việc lấy tin thu thập tiến hành theo hai hướng: - Có người quan đại diện ta nước cài cắm phần mềm để thu tin, họ người khác vào trực tiếp máy tính để chép liệu thu - Có chuyên gia kỹ thuật sau biết địa MAC máy (từ web site www.bluewinnt.com) lợi dụng lỗ hổng bảo mật để cơng vào máy tính chép liệu thu 3.2 Đánh giá, kết luận - Hiện trường mà người phân tích thực hồn tồn giống với trường thực, có tượng tự động chép liệu USBflashdisk vào thư mục : Nguyễn Thị Phương Thanh- Lớp CT901 45 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet C:\Progrgam Files\Common Files\Microsoft Shared\MSInfo - Sau kiểm tra, phân tích kỹ lưỡng đến kết luận: Hệ thống nghiên cứu bị cài đặt phần mềm cài cắm nhằm thu tin bí mật từ thiết bị USBflashdisk Hệ thống phần mềm bao gồm ba thành phần: thành phần thu tin, thành phần thông báo địa thành phần lợi dụng lỗ hổng để thu tin Tuy nhiên máy bị cài cắm xác định hai thành phần thành phần thu tin (module mdidll.dll), thành phần thông báo địa (module itirclt.exe) Hai phần mềm lập trình cách tinh vi, giải thuật phức tạp, sử dụng nhiều thủ thuật mã hóa lệnh mã hóa liệu, kỹ thuật ẩn dấu khôn ngoan không công bố (tra cứu Internet khơng có thơng tin module này) Một thành phần (mdidll.dll) người sử dụng khơng thể xóa chương trình diệt virus spyware không phát ra, thành phần khác (itirclt.exe) xóa lại tự tái tạo - Ta khẳng định phần mềm gói vào thiết bị lưu trữ cài đặt máy tính cách thủ cơng cài đặt thông qua dịch vụ Web, mail người sử dụng truy cập vào Website, liên kết không an tồn mail có đính kèm file chứa mã độc Việc cài đặt có chủ định vô ý - Khi hoạt động, mdidll.dll phải tạo thư mục MsDdac, MsDFsa MsDLsa thư mục C:\Program Files\Common Files\Microsoft Shared\MSInfo, dựa vào ngày tháng tạo lập thư mục file để xem máy bị cài cắm phần mềm vào thời gian nào, bắt đầu thu thập tin từ ngày Nguyễn Thị Phương Thanh- Lớp CT901 46 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet CHƢƠNG IV: KINH NGHIỆM RÚT RA VÀ CÁC ĐỀ XUẤT 4.1 Kinh nghiệm rút Việc cho hoạt động thử phân tích chương trình độc hại nói chung chương trình cài cắm nói riêng nguy hiểm Trước hết, việc lấy mẫu phải đạt yêu cầu giữ nguyên trường, việc lưu phải tiến hành cẩn thận Thứ hai, mơi trường tiến hành phân tích khơng an tồn khơng kiểm sốt chặt chẽ, chương trình hoạt động gây tổn thương cho hệ thống gây hậu khơn lường Vì nắm vững quy trình phân tích, xử lý phần mềm cài cắm cần thiết 4.1.1 Xây dựng mơi trƣờng phân tích Trước xây dựng mơi trường phân tích, cần quán triệt số nguyên tắc sau: - Sử dụng hệ thống chuyên dụng cho phân tích không kết nối Internet Hệ thống mà sử dụng cài đặt phần mềm mã độc, cần phải cách ly chúng với mạng máy tính phục vụ mục đích cơng tác, kinh doanh, sản xuất …Máy tính khơng kết nối đến mạng thực tế Internet tất phần mềm chưa hủy diệt hoàn toàn cách định dạng (format) lại ổ cứng Cũng đừng nghĩ đến việc lưu trữ liệu nhạy cảm hệ thống này, số loại phần mềm mã độc ăn cắp liệu gửi lên Internet phá hỏng liệu Hệ thống nên đơn phịng thí nghiệm phân tích chương trình mã độc mà Việc sử dụng hệ thống vào mục địch khác gây nhiều rắc rối Luôn ý rằng, không kết nối mạng Nguyễn Thị Phương Thanh- Lớp CT901 47 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet máy với Internet nhằm bảo đảm an toàn liệu tránh việc lây lan chương trình độc hại bên ngồi - Bản phân tích phải trường thật Khi phân tích phải ý rằng, máy tính dùng để phân tích phải xây dựng giống trường thật để đảm bảo độ xác kết Thơng thường, người phân tích sử dụng hệ thống phần cứng thật, sử dụng lưu trường đưa vào hệ thống phân tích Điều đảm bảo yếu tố phần cứng, phần mềm, kết nối mạng… giống trường để có độ xác cao nhât Tuy nhiên điều kiện không cho phép người phân tích sử dụng chương trình tạo máy ảo để phân tích 4.1.2 Quy trình phân tích Trước tiên để có mẫu phân tích giữ ngun trường, người phân tích phải lấy mẫu hệ thống bị cài đặt Sau lấy mẫu ta tiến hành đưa vào mơi trường phân tích tiến hành xem xét hệ thống Thông thường, nhà phân tích sử dụng cơng cụ quản lý tiến trình mức sâu để dị xét tiến trình hoạt động khơng phải Task Manager tích hợp Windows mà chương trình chun dụng hơn, ví dụ như: Process Explorer, Security Task Manager… Các chương trình dị tìm hiển thị tiến trình ngầm, module mà tiến trình gọi đến, đường dẫn đến file thực thi chương trình hoạt động, mơ tả file, chí cịn đánh giá mức độ can thiệp sâu vào hệ thống tiến trình Bằng cách xem xét tiến trình, dựa vào kinh nghiệm nhà phân tích dối chiếu với chương trình kiệt kê file khởi động Windows tìm kiếm ý đến dấu hiệu Nguyễn Thị Phương Thanh- Lớp CT901 48 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet trường ngày tháng bắt đầu xảy tượng, mô tả khơng rõ ràng… nhà phân tích rút tiến trình tiến trình nghi vấn Đối với chương trình mã độc ăn cắp thơng tin, nhà phân tích sử dụng cơng cụ kiểm soát truy cập file, truy cập Registry FileMon, RegMon Các chương trình giám sát tiến trình việc truy cập liệu máy tính, truy cập đến khóa Registry để nắm tiến tình thu thập, lưu trữ, gửi liệu đâu Đối với chương trình có sử dụng kết nối mạng, nhà phân tích thường dùng chương trình quét mạng Ethereal, Ettercap… để quét cổng lưu lượng mạng, từ tìm dịch vụ mở cổng, gửi thơng tin gửi đến đâu… Sau phát tiến trình nghi vấn, nhà phân tích tiến hành rút trích module Các module sau đưa vào cơng cụ phân tích mã IDA Pro, Olly Debug… để nghiên cứu hành vi Nếu khơng đọc mã module, chương trình báo lỗi module bị pack mã hóa Như nhà phân tích buộc phải sử dụng cá chương trình đọc thơng tin file PE PeiD, RPG Packet Detector… để tìm packet dùng để pack mã hóa module Khi có thơng tin này, nhà phân tích sử dụng chương trình unpack tương ứng để có module chưa bị mã hóa Các module lại đưa vào cơng cụ để phân tích mã để chứng tỏ hành vi gây hệ thống bị cài đặt Để chắn phân tích đắn, người phân tích phải tiến hành xây dựng mơ hình thành phần thu kiểm tra trạng thái hệ thống Nếu biểu mô hình xây dựng giống với Nguyễn Thị Phương Thanh- Lớp CT901 49 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet biểu hiện trường chứng tỏ thành phần thành phần gây biểu bất thường Sau phát có nhiều cách để xử lý chương trình mã độc Đơn giản nhất, nhà phân tích dựa hành vi mà chương trình gây cho hệ thống để lập quy trình tháo gỡ 4.2 Đề xuất 4.2.1 Giải pháp khắc phục hậu bịt kín sơ hở Hiện máy tính mạng máy tính ngày sử dụng sâu rộng trở thành nhu cầu thiết yếu hoạt động, mang lại nhiều lợi ích cho xã hội Tuy nhiên, lực thù định kẻ xấu tích cực lợi dụng mạng để lấy cắp thông tin Do đặc thù máy tính, mạng máy tính Internet ln có lỗ hổng anh ninh trình độ kỹ thuật ta chưa đảm bảo đủ độ an toàn kết nối Internet, người thực xin đề xuất số giải pháp nhằm khắc phục hậu bịt kín sơ hở ta sau: - Quán triệt nghiêm túc quy chế sử dụng máy tính để kết nối Internet Các máy tính có chứa thơng tin mật không phép kết nối Internet Thêm vào khơng đưa thiết bị lưu trữ (nhất thiết bị lưu trữ di động như: USBflashdisk, đĩa mềm, đĩa quang…) có chứa thơng tin mật vào sử dụng máy tính kêt nối Internet nguy rị rỉ thơng tin cao - Khi sử dụng Internet, người dùng cần tránh mở Email không rõ nguồn gốc, truy cập vào Website, liên kết không rõ ràng để tránh bị cài cắm phần mềm vào máy Phải cài đặt thường xuyên cập nhật chương trình diệt virut, spyware, cài đặt tường lửa Nguyễn Thị Phương Thanh- Lớp CT901 50 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet (firewall) để hạn chế nguy bị cơng chương trình mã độc hành vi cơng từ bên ngồi 4.2.2 Phƣơng án xử lý phần mềm cài cắm Một phát phần mềm cài cắm với mục đích thu tin bí mật, phương án xử lý an toàn đơn giản tháo gỡ hoạt động chúng để đảm bảo an toàn liệu, ngăn cản hành vi thu tin từ bên Phương án tháo gỡ phần mềm cài cắm trình bày q trình phân tích thành phần thu tin thành phần thông báo địa Khi hai thành phần trước bị vơ hiệu hóa thành lợi dụng lỗ hổng để lấy tin thu (không cài cắm máy tính ta) xem bị vơ hiệu hóa hồn tồn Thơng thường bị lộ ý đồ thu tin, quan đặc biệt nước gỡ bỏ thành phần Nguyễn Thị Phương Thanh- Lớp CT901 51 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet KẾT LUẬN Tóm lại, đề tài luận văn, em tìm hiểu tổng quan mạng Internet tìm hiểu số hoạt động mạng Internet mà kẻ gian lợi dụng để thực hành vi mờ ám họ Trên sở sâu tìm hiểu phương thức hoạt động bọn xấu việc sử dụng công nghệ cao phục vụ ý đồ ăn cắp thông tin mạng Ở em sâu tìm hiểu phần mềm thực tế mà bọn xấu dùng để đánh cắp thông tin Nhà nước ta thời gian vừa qua Từ rút kinh nghiệm đề phòng em đề xuất số biện pháp phòng chống Về nhược điểm đề tài luận văn em, theo em nghĩ em không tiếp cận với phần mềm cụ thể này, tính nguy hiểm tính bảo mật nó, nên em khơng thể viết chương trình để đề- mô, em mong thầy, cô bổ sung góp ý để luận văn em hồn thiện hơn, em xin chân thành cảm ơn Sinh viên thực Nguyễn Thị Phương Thanh Nguyễn Thị Phương Thanh- Lớp CT901 52 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet TÀI LIỆU THAM KHẢO Các sách, báo, nghiên cứu, tài liệu: [1] Microsoft Corp (2002), Microsoft Com puter Dictionary – Fifth Edition [2] Andrew S.Tanenbaum, Modern Operating System – Second Edition [3] www.reaonline.net, Cracker Handbook 1.0 [4] Ngạc Văn An chủ biên (2005), Giáo trình mạng máy tính, NXB Giáo dục [5] Jonathan Read from anti-trojan.org, “Spyware Explained” [6] Trend Micro Incorporated Technical Note July 2004, “Spyware – A hidden threat” [7] Vlad Pirogov (2006), A List Publishing Disassembling Code IDA Pro and Soft ICE [8] Mike Shema, Chris Davis, Aaron Philip and David Cowen McGraw – Hill/Osborne (2006), Anti-Hacker Tool Kit – third Edition [9] EDSkoudis and Lenny Zeltser (2003), Malware: Fighting Malicious Code Nguyễn Thị Phương Thanh- Lớp CT901 53 ... thông tin registry yêu cầu phải cài đặt lại toàn phần mềm Nguyễn Thị Phương Thanh- Lớp CT901 14 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet 1.6 Tổng quan mạng Internet. .. biết xác thành phần thu tin Đó mdidll.dll cài cắm thư mục C:\WINDOWS\system32 Nguyễn Thị Phương Thanh- Lớp CT901 31 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Để... hợp với nhận định Nguyễn Thị Phương Thanh- Lớp CT901 34 Phương pháp phát phần mềm cài cắm với mục đích thu tin bí mật mạng Internet Ở có đường dẫn đến ba thư mục lạ - thư mục đựoc tạo phần mềm cài