Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 17 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
17
Dung lượng
2,05 MB
Nội dung
www.vncert.gov.vn www.vncert.gov.vn Biên soạn và trình bày: Ths. Đặng Hải Sơn Trưởng chi nhánh VNCERT khu vực miền Trung www.vncert.gov.vn Mục tiêu Nắm được những kiến thức sau • Các bước phân tích sơ lược mã độc • Những kỹ thuật thường dùng • Một số công cụ dùng trong phân tích sơ lược www.vncert.gov.vn Các bước phân tích sơ lược (Nguồn: JPCERT/CC) www.vncert.gov.vn Phân tích thuộc tính Kiểm tra và phân tích các thuộc tính của đối tượng (mã độc) • Đặc điểm file • Giá trị băm • Các chuỗi ký tự www.vncert.gov.vn Đặc điểm file Cần kiểm tra • File name • File size • Timestamp • Thuộc tính file Công cụ • Công cụ có sẵn từ hệ điều hành Explorer Command: dir, attrib www.vncert.gov.vn Xác định kiểu file Cần phân tích • Loại file • Phần mở rộng • Dấu hiệu nhận dạng Công cụ • Windows không có sẵn công cụ • *nix command “file” • Công cụ riêng: TrID (Windows, Linux) www.vncert.gov.vn Loại file văn bản (text) Mã nguồn • Ngôn ngữ assembly • Ngôn ngữ lập trình cao cấp (C, C++, Java, C# ) • Ngôn ngữ kịch bản (sh, Perl, Python, PHP…) File cấu hình • Cấu hình cho file thực thi, chương trình • Có thể bị mã hóa File tài liệu • Readme, Changelog • Có thể kèm theo hướng dẫn chạy hoặc biên dịch chương trình File kết quả • Log, danh sách, có thể chứa thông tin quan trọng www.vncert.gov.vn Loại file nhị phân (binary) Dữ liệu chương trình, phần mềm • Microsoft Office (.doc(x), .xls(x), .ppt(x) ) • File PDF File nén dữ liệu • Zip, rar, tar, gz… (có thể chứa mã độc) Dữ liệu đa phương tiện • Hình ảnh, âm thanh, video Output log (binary) www.vncert.gov.vn Loại file nhị phân thực thi Chứa các chỉ thị mã máy Kiến trúc nền tảng • IA32, x64, PowerPC, SPARC, ARM… Định dạng • PE Excutable, COFF, ELF Liên kết thư viện • Static/Dynamic [...]... Cần có kỹ năng và kinh nghiệm • Trước khi phân tích sơ lược • Trước khi phân tích mã thực thi www.vncert.gov.vn Phân tích so sánh kết quả So sánh với những kết quả đã có • Tự phân tích Giá trị băm, Strings, Hành vi, chức năng mã độc • Tìm kiếm kết quả đã có Tên mã độc (Google, thông tin từ hãng anti-virus) Giá trị băm (Google) Hữu ích cho việc phân tích kiểm chứng • Tuy nhiên có thể kết quả... là chuỗi ký tự đọc được (có thể khác nhau theo công cụ) • Nhiều khả năng tìm được thông tin hữu ích Câu thông báo, đường dẫn, script,… Công cụ • Windows: BinText • *nix: strings www.vncert.gov.vn Phân tích chương trình bị nén Kiểm tra thông tin nén chương trình Sử dụng công cụ để giải nén Giải nén thủ công www.vncert.gov.vn Kiểm tra thông tin nén chương trình Mục tiêu • Xác định có bị nén . dụng thuật toán băm 1 chiều • MD5 • SHA-1, SHA-2 (256, 3 84, 512) Công cụ • Windows: HashTab, MD5Summer • *nix: md5sum, sha[1|2 24| 245 |3 84| 512]sum www.vncert.gov.vn Tìm kiếm chuỗi ký tự Mục tiêu •. Trước khi phân tích sơ lược • Trước khi phân tích mã thực thi www.vncert.gov.vn Phân tích so sánh kết quả So sánh với những kết quả đã có • Tự phân tích Giá trị băm, Strings, Hành vi, chức năng. (binary) www.vncert.gov.vn Loại file nhị phân thực thi Chứa các chỉ thị mã máy Kiến trúc nền tảng • IA32, x 64, PowerPC, SPARC, ARM… Định dạng • PE Excutable, COFF, ELF Liên kết thư viện • Static/Dynamic www.vncert.gov.vn Tính