1. Trang chủ
  2. » Luận Văn - Báo Cáo

Phân tích mã Độc bài thực hành 1

10 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Phân tích mã độc bài thực hành 1
Tác giả Nguyễn Quang Trường
Người hướng dẫn Đỗ Xuân Chợ
Trường học Học Viện Công Nghệ Bưu Chính Viễn Thông
Chuyên ngành Công Nghệ Thông Tin
Thể loại Báo cáo thực hành
Năm xuất bản 2024
Thành phố Hà Nội
Định dạng
Số trang 10
Dung lượng 2,78 MB

Nội dung

Bài thực hành Ptit–static-analys–linuxNhiệm vụ 1: - Kiểm tra định dạng của file mã độc financials-xls.exe: file financials-xls.exe - Sử dụng hexdump kiểm tra phần mô tả chi tiết của file

Trang 1

BÁO CÁO THỰC HÀNH Phân tích mã độc

Bài thực hành 1

Giảng viên: Đỗ Xuân Chợ

Sinh viên: Nguyễn Quang Trường

Mã sinh viên: B21DCAT196

Hà Nội 2024

KHOA CÔNG NGHỆ THÔNG TIN

Trang 2

Bài thực hành Ptit–static-analys–linux

Nhiệm vụ 1:

- Kiểm tra định dạng của file mã độc financials-xls.exe:

file financials-xls.exe

- Sử dụng hexdump kiểm tra phần mô tả chi tiết của file mã độc:

hexdump -C financials-xls | more

Nhiệm vụ 2:

- Kiểm tra hàm băm của file mã độc financials-xls:

Sử dụng md5:

md5sum/financials-xls.exe

Trang 3

- Sử dụng sha256sum:

sha256sum financials-xls.exe

Nhiệm vụ 3: Kiểm tra IMPHASH của file bằng python

- Tạo file imphash_calc.py:

nano imphash_calc.py

- Tạo nội dung file imphash_calc.py:

- Tính toán IMPHASH bằng cách chạy file imphash_calc.py:

python3 imphash_calc.py financials-xls.exe

Trang 4

- Kiểm tra hàm băm ssdeep của file:

ssdeep -pb *

Nhiệm vụ 5: Section hashing

- Chỉnh sửa file section_hashing.py để hiển thị các giá trị băm MD5 và SHA256 cho từng phần của tệp PE:

- Chạy mã:

python3 section_hashing.py financials-xls.exe

Trang 5

Nhiệm vụ 6: Trích xuất chuỗi (ASCII và Unicode)

strings financials-xls.exe

- Sử dụng công cụ FLOSS để hiển thị các chuỗi được xáo trộn:

floss financials-xls.exe

Nhiệm vụ 7: Unpack file độc hại

- Sử dụng upx để giải nén file:

upx -d -o unpacked_file.exe financials-xls.exe

Trang 6

Bài thực hành Ptit-maldet:

Nhiệm vụ 1: Cấu hình và rà quét mã độc với maldet

- Chỉnh sửa file cấu hình conf.maldet:

sudo nano /usr/local/maldetect/conf.maldet

- Chỉnh sửa trường scan_user_access = “1” (cho phép quét với quyền root)

Trang 7

- Chỉnh sửa trường scan_ignore_root = “1” (cho phép quét các file do root sở hữu)

- Quét thư mục /home/ubuntu/malware2:

Nhiệm vụ 2: Xem chi tiết báo cáo rà quét của công cụ

quét file malware2:

- Nội dung report như sau:

Nhiệm vụ 3: Tìm hiểu về tính năng “quarantine” của maldet

- Tính năng “quarantine” cho phép cách ly các tập tin nghi ngờ Khi một tập

Trang 8

- Để cách ly file mã độc malware2, sử dụng lệnh:

sudo maldet -q 241029-0926.2485

Nhiệm vụ 4: Tự động hóa việc xử lý mã độc cho công cụ

- Truy cập file conf.maldet để chỉnh sửa:

- Thay đổi trường quarantine_hits=”0” thành quarantine_hits=”1” để bật tự động cách ly:

Trang 9

- Quét thư mục malware1:

sudo maldet -a /home/ubuntu/malware1

- Kiểm tra các file trong thư mục quarantine:

sudo ls /usr/local/maldetect/quarantine

Trang 10

Checkwork:

Ngày đăng: 18/02/2025, 16:24

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN