1. Trang chủ
  2. » Công Nghệ Thông Tin

phân tích sơ lược mã độc

17 455 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 17
Dung lượng 2,05 MB

Nội dung

www.vncert.gov.vn www.vncert.gov.vn Biên soạn và trình bày: Ths. Đặng Hải Sơn Trưởng chi nhánh VNCERT khu vực miền Trung www.vncert.gov.vn Mục tiêu  Nắm được những kiến thức sau • Các bước phân tích sơ lược mã độc • Những kỹ thuật thường dùng • Một số công cụ dùng trong phân tích sơ lược www.vncert.gov.vn Các bước phân tích sơ lược (Nguồn: JPCERT/CC) www.vncert.gov.vn Phân tích thuộc tính  Kiểm tra và phân tích các thuộc tính của đối tượng (mã độc) • Đặc điểm file • Giá trị băm • Các chuỗi ký tự www.vncert.gov.vn Đặc điểm file  Cần kiểm tra • File name • File size • Timestamp • Thuộc tính file  Công cụ • Công cụ có sẵn từ hệ điều hành  Explorer  Command: dir, attrib www.vncert.gov.vn Xác định kiểu file  Cần phân tích • Loại file • Phần mở rộng • Dấu hiệu nhận dạng  Công cụ • Windows không có sẵn công cụ • *nix command “file” • Công cụ riêng: TrID (Windows, Linux) www.vncert.gov.vn Loại file văn bản (text)  Mã nguồn • Ngôn ngữ assembly • Ngôn ngữ lập trình cao cấp (C, C++, Java, C# ) • Ngôn ngữ kịch bản (sh, Perl, Python, PHP…)  File cấu hình • Cấu hình cho file thực thi, chương trình • Có thể bị mã hóa  File tài liệu • Readme, Changelog • Có thể kèm theo hướng dẫn chạy hoặc biên dịch chương trình  File kết quả • Log, danh sách, có thể chứa thông tin quan trọng www.vncert.gov.vn Loại file nhị phân (binary)  Dữ liệu chương trình, phần mềm • Microsoft Office (.doc(x), .xls(x), .ppt(x) ) • File PDF  File nén dữ liệu • Zip, rar, tar, gz… (có thể chứa mã độc)  Dữ liệu đa phương tiện • Hình ảnh, âm thanh, video  Output log (binary) www.vncert.gov.vn Loại file nhị phân thực thi  Chứa các chỉ thị mã máy  Kiến trúc nền tảng • IA32, x64, PowerPC, SPARC, ARM…  Định dạng • PE Excutable, COFF, ELF  Liên kết thư viện • Static/Dynamic [...]... Cần có kỹ năng và kinh nghiệm • Trước khi phân tích sơ lược • Trước khi phân tích mã thực thi www.vncert.gov.vn Phân tích so sánh kết quả  So sánh với những kết quả đã có • Tự phân tích  Giá trị băm, Strings, Hành vi, chức năng mã độc • Tìm kiếm kết quả đã có Tên mã độc (Google, thông tin từ hãng anti-virus)  Giá trị băm (Google)   Hữu ích cho việc phân tích kiểm chứng • Tuy nhiên có thể kết quả... là chuỗi ký tự đọc được (có thể khác nhau theo công cụ) • Nhiều khả năng tìm được thông tin hữu ích   Câu thông báo, đường dẫn, script,… Công cụ • Windows: BinText • *nix: strings www.vncert.gov.vn Phân tích chương trình bị nén Kiểm tra thông tin nén chương trình  Sử dụng công cụ để giải nén  Giải nén thủ công  www.vncert.gov.vn Kiểm tra thông tin nén chương trình  Mục tiêu • Xác định có bị nén . dụng thuật toán băm 1 chiều • MD5 • SHA-1, SHA-2 (256, 3 84, 512)  Công cụ • Windows: HashTab, MD5Summer • *nix: md5sum, sha[1|2 24| 245 |3 84| 512]sum www.vncert.gov.vn Tìm kiếm chuỗi ký tự  Mục tiêu •. Trước khi phân tích sơ lược • Trước khi phân tích mã thực thi www.vncert.gov.vn Phân tích so sánh kết quả  So sánh với những kết quả đã có • Tự phân tích  Giá trị băm, Strings, Hành vi, chức năng. (binary) www.vncert.gov.vn Loại file nhị phân thực thi  Chứa các chỉ thị mã máy  Kiến trúc nền tảng • IA32, x 64, PowerPC, SPARC, ARM…  Định dạng • PE Excutable, COFF, ELF  Liên kết thư viện • Static/Dynamic www.vncert.gov.vn Tính

Ngày đăng: 23/10/2014, 09:55

TỪ KHÓA LIÊN QUAN

w