HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ĐỒ ANH TUẦN PHÁT HIỆN CÁC PHẢN MÉM ĐỘC HẠI DỰA TRÊN PHẦN TÍCH HÀNH VI VÀ ỨNG DỤNG TRONG CHONG HACK GAME Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hồn thành tại: HOC VIEN CƠNG NGHỆ Người hướng dẫn khoa học: Tiến sĩ HỒNG BƯU CHÍNH - VIÊN THÔNG XUÂN DẬU Phản biện Ï: .CC Q22 2 g0 ng 3n ng ĐH ĐH ng ĐK kg HE ĐK xxx Phản biện 2: QC Q02 000202 0n ng ĐH ng ĐK ĐH HE ng ng n3 s% Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ĐIỜ ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MO DAU Voi su phat triển mạnh mẽ Internet, đề an ninh, an tồn hệ thống thơng tin ngày trở nên cấp thiết hệ thống thông tin kết nối với với mạng Internet, chúng phải đối diện với nhiều nguy bị công lẫy cắp thông tin phá hoại hệ thống Trong số tác nhân công phá hoại hệ thống thông tin mạng, phần mềm độc hại dạng gây nhiều thiệt hại khả lan truyền nhanh chóng Các phần mềm độc hại phát triển ngày tinh vi, khó phát với kỹ thuật nhận dạng thông thường, kỹ thuật phân tích tĩnh phân tích động Các kỹ thuật phân tích tĩnh phân tích động giúp phân tích, nhận dạng phần mềm độc hại dựa đặc trưng chúng dạng chữ kí Tuy nhiên, kỹ thuật viết chương trình ngày phát triển, phần mềm độc hại có khả tự biến đơi thành dạng khó phân tích, nhận dạng Dựa đặc tính, tính chất phần mềm độc hại, phương pháp tiếp cận phân tích hành vi tỏ có lợi nhận dạng phịng ngừa nguy phần mềm độc hại gây ra, đặc biệt có biến đổi kỹ thuật viết chương trình phân mềm độc hại để tránh phương pháp phân tích nhận dạng truyền thống Luận văn tập trung nghiên cứu phương pháp phân tích, nhận dạng phần mềm độc hại dựa hành vi với mục đích nâng cao khả nhận dạng phân mêm độc hại Luận văn bao gồm ba chương với nội dung sau: + Chương I1: Giới thiệu tổng quan phần mềm độc hại: khái niệm chung phần mềm độc hại, phân loại chúng theo NIST, tác hại phần mềm độc hại hệ thống người dùng, trình hình thành phát triển phần mềm độc hại + Chương 2: Trình bày phương pháp phân tích phần mẻm độc hại: phương pháp phân tích tĩnh, phương pháp phân tích động, phương pháp phân tích hành vi So sánh ưu nhược điểm phương pháp phân tích phần mềm độc hại + Chương 3: Nội dung trình bày tổng quan games, trình hình thành phát triển game giới Việt Nam Ứng dụng phân tích hành vi chống hack game Pikachu Minh họa ứng dụng dụng phân tích hành vi chống hack cho game CHUONG - TONG QUAN VE CAC PHAN MEM DOC HAI 11 Định nghĩa phần mềm độc hại Phần mềm độc hại (tiếng Anh: malware ghép hai chit malicious va software) loại phần mềm hệ thống tin tặc lập trình viên tạo nhằm gây hại cho máy tính người dùng Tùy theo cách thức mà tin tặc sử dụng, nguy hại loại phần mềm độc hại khác Một số phần mẻm độc hại đơn giản hiễn thị thơng điệp khơng mong muốn, gây khó chịu cho người dùng Tuy nhiên, nhiều phần mềm độc hại hỗ trợ tin tặc tân công, đột nhập đánh cắp thơng tin, chiếm quyền điều khiển máy tính Nhiều phần mềm độc hại có khả lây lan sang máy tính khác tương tự virus thê sinh vật 1.2 Phân loại Theo NIST(National Institute of Standards and Technology : viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ) Phần mềm độc hại chia thành tám nhóm chính, bao gồm: Virus, Trojan horse, Worm, Malicious mobile code, Blended attack, Tracking cookies, Attacker tools va Non-Malware Threats 1.3 Tác hại phần mềm độc hại Dựa loại phần mềm độc hại khác mà tác hại chúng hệ thống khác nhau, có tác hại sau: e Giam hiéu nang may tinh e Thiét hai tai chinh e_ Mất thông tin cá nhân e Ảnh hưởng tới hoạt động sản xuất 1.4 Lịch sử phát triển phần mềm độc hại 1.5 Kết chương Chương luận văn đề cập tới khái niệm phần mềm độc hại, phân loại phần mẻm độc hại theo viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ, lịch sử hình thành phát triển từ trước tới nay, tác hại đối phần mềm độc hại Với tác hại phần mềm độc hại hệ thống van dé dat cho luận văn phát triển giải pháp phân tích phần mềm độc hại dựa phân tích hành vi, giúp đánh giá tác động ảnh hưởng phần mềm độc hại hệ thống đưa giải pháp phòng ngừa khắc phục hậu phần mềm độc hại gây CHUONG - CAC PHUONG PHAP PHAN TICH, NHAN DANG PHAN MEM DOC HAI 2.1Các phương pháp phân tích, nhận dạng phần mềm độc hại 2.1.1 Phương pháp phân tích tĩnh 2.1.1.1 Giới thiệu Phương pháp phân tích tĩnh phương pháp trích xuất thông tin phần mềm độc hại từ tập tin mã nhị phân chúng mà không thực mã nhị phân Phân tích tĩnh bao gồm việc kiểm tra danh sách chuỗi, sinh chữ ký cho phần mềm phân tích, xác định thuộc tính trình biên dịch sử dụng số đặc điểm khác 2.1.1.2 Quét chữ ký phần mềm độc hại dựa công cụ Anti-virus 2.1.1.3 Phân tích phần mềm độc hại áp dụng đóng gói xáo trộn mã 2.1.1.4 Phân tích phần mềm độc hại hệ điều hành Windows 2.1.2 Phương pháp phân tích động 2.1.2.1 Giới thiệu Phương pháp phân tích động phân tích, kiểm tra phần mềm độc hại chúng thực thi Phân tích động bước thứ hai q trình phân tích phần mềm độc hại Phân tích động thường thực sau hoàn tat qua trinh phan tich tinh Phan tích động liên quan đến việc giám sát phần mềm độc hại chúng thực thi, kiểm tra hệ thống sau thực phần mềm độc hại Khi phân tích phần mềm độc hại phương pháp phân tích động cần thực bước sau : ° Thiết lập mơi trường phân tích ° Chạy phần mềm nghi ngờ độc hại ° Giám sát tiến trình phần mêm nghi ngờ độc hại ° Giám sát mạng chạy phan mềm nghi ngờ độc hại 2.1.2.2 Thiết lập môi trường phân tích 2.1.2.3 Chạy phần mềm độc hại 2.1.2.4 Giám sát tiến trình phần mềm nghi ngờ độc hại 2.1.2.5 Giám sát mạng chạy phần mêm nghi ngờ độc hại 2.2 Phương pháp phân tích, nhận dạng phần mềm độc hại dựa hành vi Phương pháp phân tích phần mềm độc hại dựa hành vi việc khai thác thông tin liên quan chương trình bị nghi ngờ, cách giám sát hoạt động, hành động hệ thống Trong phần này, luận văn tập trung đưa ví dụ phân tích hành vi mơ hình hóa Mục đích việc phân tích hành vi phần mềm độc hại giúp đánh giá ảnh hưởng, tác động đến hệ thống phan mềm độc hại thực thi Do hệ thống phân tích sử dụng phương pháp phân tích hành vi cần có thành phần : l Giám sát hành vi ứng dung mức thấp tổng hợp để hình thành hành vi cấp cao Phân cụm hành vi thu phần giám sát Khắc phục ảnh hưởng tới hệ thông bị nhiễm độc, dựa vào liệu hành vi thu 2.2.1 Mô tả đề 2.2.2 Khai thác hành vi cấp cao 2.2.3 Phân cụm hành vi 2.2.4 Khái quát hành vi 2.2.5 Tạo thủ tục xử lý vùng nhiễm độc 2.3So sánh phương pháp phân tích phần mềm độc hại Bảng 2.3 So sánh ưu nhược điểm phương pháp phân tích phần mềm độc hại Ưu điểm Nhược điểm + Khơng thực chạy mã độc, giảm Phân tích tĩnh , nguy lây lan phá hoại hệ thông + Dựa , câu trúc tệp tin thực thi , (PE file) dé phan tích Phân tích động + Giám sát ` + Kho phan tich phan mềm nghi ngờ độc hại bị nén, mã hóa hành động | + Khi thực chạy phân Nhược điểm Ưu điểm phân mêm độc hại thực mêm độc hệ thống thống + Đánh giá ảnh hưởng thực rủi ro tế đến hệ thống thông tin hại làm đối mặt cho hệ với an ninh,an tồn + Đơi khó thực thi độc hại phần cần mềm tham số thuc thi + Giám Phân tích hành vi mêm độc sát tác động hại nên hệ phan thông, , đưa đánh giá rủi ro, cách khăc phục hệ „ thông bị nhiễm độc + Cũng cân thực phân mềm độc hại phân tích động nên có nhiêu rủi ro vé ` an ninh, an tồn thơng tin 2.4Kêt chương Chương trình bày tiết phương pháp phân tích phần mẻm độc hại Phương pháp phân tích tĩnh khơng u cầu thực thi phần mềm độc hại giảm khả lây nhiễm sang hệ thống khác Phương pháp phân tích động theo dõi hoạt động phần mềm độc hại thực thi hệ thống Phương pháp phân tích hành vi phát triển dựa phương pháp phân tích động với khái niệm hành vi tương ứng với hành động xảy hệ thông thực thi phần mềm độc hại Mục tiêu cuối xây dựng hệ thống tự động phân tích phần mềm độc hại, tong hợp liệu đưa đánh gia để có thủ tục khắc phục an tồn hiệu Đề cài đặt phương pháp phân tích hành vi hệ thống thực cần mở rộng thêm nhiều hành vi cân giám sát đề sát với thực tÊ môi trường thực hệ điêu hành CHUONG - UNG DUNG PHAN TICH HANH VI TRONG CHONG HACK GAMES 3.1 Game va lich sir phat trién 3.1.1 Tổng quan vé game Video game gọi tắt game dạng trò chơi điện tử liên quan đến tính tương tác với giao diện người sử dụng để tạo phản hồi hình ảnh thiết bị hiển thị Từ Video Video game cách gọi truyền thống cho thiết bị hiến thị Tuy nhiên, với phố biến thuật ngữ “Video game”, ngụ ý tất dạng thiết bị hiển thị Hệ thống thiết bị điện tử sử dụng để chơi Video game gọi hệ máy, ví dụ máy tính cá nhân hay hệ máy console Những hệ máy có kích thước từ máy tính đồ sộ thiết bị nhỏ gọn cầm tay 3.1.2 Lịch sử phát triển game 3.2Sử dụng phần mềm độc hại hack games 3.2.1 Ly hack games Những lý mà người chơi sử dụng cơng cụ để hack games : e_ Để tăng điểm kinh nghiệm chơi game e_ Để thách thức thân, nhà phát triển games e Vụi chơi giải trí e Gay ý e Quảng cáo 3.2.2 Kỹ thuật để hack games Đề hack games có nhiều cách tiếp cận khác có bước sau : e St dung cdc céng cu phan mém đề kiểm tra, khai thác lỗ hỗng để công game e _ Sau khai thác game thu thập liệu game hacker sử dụng để hack game thay đổi liệu, lập trình viết thành công cụ hack game để phát tán rộng bên ngồi 3.3 Ung dung phân tích hành vi chỗng hack games 3.3.1 Khai thac hanh vi hack game Pikachu Trong phần ứng dụng phân tích hành vi tập trung vào hai hành vi debug chèn mã để chống hack game cho game Pikachu Hành vi debug gồm có : e Hanh vi debug voi ngat INT 3h e Hanh vi truy van dé debug NtQueryInformationProcess e Hanh vi kiém tra tién trinh debug CheckRemoteDebuggerPresent Hành vi chèn mã can thiệp thời gian hoạt động game Pikachu: e_ Hành vi thay đôi đếm thời gian GefTickCou e Hanh vi truy vấn đếm thời gian QueryPerformanceCounter 3.3.2 Phan cum hanh vi hack game Pikachu Với hành vi debug chèn mã khai thác phan 3.3.1, su dung thuat toán | phan 2.2.3 dé phân cụm hanh vi Ta sé duoc hai cum duoc dat tén la Debug va Inject 3.3.3 Cài đặt chương trinh chéng hack cho game Pikachu Do chương trình game Pikachu chương trình game độc lập đóng gói, để nạp module giám sát hành vi vào game Pikachu cần có chương trình thực gọi Loader Chương trình “Loader.exe” làm nhiệm vụ thực thi game Pikachu va nap module giám sát hành vi vào tiến trình game Pikachu Module giám sát hành vi “Behaviour.dll” thực liên tục kiểm tra hành vi can thiệp vào game để phân tích đưa thơng báo thoát game phát hack Chay game | Nap module giam sat hanh vi Kiêm tra Néu không lặp lại kiểm hành vi Có hành vi can thiệp vào Vv Thốt game Hình 3.6 Mơ hình hoạt động module chồng hack Trên hình 3.6, mơ hình hoạt động module chống hack Sau nạp module giám sát hành vi vào chạy với game Module giám sát hành vi liên tục kiểm tra hành vi hat cum NtQuerylnformationProcess, Debug va Inject Do CheckRemoteDebuggerPresent, hành vị JNT 3h, GetTickCount, Query PerformanceCounter 3.4 Kết chương Chương giới thiệu tổng quan game, lịch sử phát triển game với nhiều mốc phát triển game giới Chương nêu đề lý dẫn đến việc hack games, kỹ thuật để hack game, minh họa với game Pikachu Chương trình bày kết ứng dụng kỹ thuật phân tích hành vi chống hack cho game Pikachu Việc ứng dụng kỹ thuật phân tích hành vi vào chống hack game giúp phát hack game, lam han chế tác động tiêu cực đến game, dam bao su phat trién 6n dinh cho game trién khai ngoai cOng dong KẾT LUẬN Phân tích phần mềm độc hại nhằm thu thông tin để sử dụng khai thác việc điều tra, khám phá, loại bỏ phần mềm độc hại khắc phục ảnh hưởng tác động đến hệ thống bị nhiễm độc Đề tài tập trung nghiên cứu phương pháp phân tích hành vi để phân tích phân mềm độc hại, sở đề phương pháp phòng chống, khắc phục hậu phần mềm độc hại gây Một số kết đạt luận văn: e_ Giới thiệu khái niệm phần mềm độc hại, lich sử hình thành phát triển chúng e_ Đưa phương pháp sở để phân tích phần mềm độc hại e Đưa mơ hình thuật tốn cho phương pháp phân tích hành vI e Xay dung ứng dụng minh họa cho việc sử dụng phương pháp phân tích hành vi vào chống hack game Pikachu Một số hướng nghiên cứu phát triển luận văn tương lai: e_ Triển khai thử nghiệm kỹ thuật phân tích hành vi nhắm chống hack cho games trực tuyến môi trường thực e Nghiên cứu sâu theo hướng học máy ứng dụng cho phân tích, nhận dạng phần mém doc hai 10