www.vncert.gov.vn www.vncert.gov.vn Biên soạn và trình bày: Ths. Đặng Hải Sơn Trưởng chi nhánh VNCERT khu vực miền Trung www.vncert.gov.vn Mục tiêu  Nắm được những kiến thức sau • Các bước phân tích sơ lược mã độc • Những kỹ thuật thường dùng • Một số công cụ dùng trong phân tích sơ lược www.vncert.gov.vn Các bước phân tích sơ lược (Nguồn: JPCERT/CC) www.vncert.gov.vn Phân tích thuộc tính  Kiểm tra và phân tích các thuộc tính của đối tượng (mã độc) • Đặc điểm file • Giá trị băm • Các chuỗi ký tự www.vncert.gov.vn Đặc điểm file  Cần kiểm tra • File name • File size • Timestamp • Thuộc tính file  Công cụ • Công cụ có sẵn từ hệ điều hành  Explorer  Command: dir, attrib www.vncert.gov.vn Xác định kiểu file  Cần phân tích • Loại file • Phần mở rộng • Dấu hiệu nhận dạng  Công cụ • Windows không có sẵn công cụ • *nix command “file” • Công cụ riêng: TrID (Windows, Linux) www.vncert.gov.vn Loại file văn bản (text)  Mã nguồn • Ngôn ngữ assembly • Ngôn ngữ lập trình cao cấp (C, C++, Java, C# ) • Ngôn ngữ kịch bản (sh, Perl, Python, PHP…)  File cấu hình • Cấu hình cho file thực thi, chương trình • Có thể bị mã hóa  File tài liệu • Readme, Changelog • Có thể kèm theo hướng dẫn chạy hoặc biên dịch chương trình  File kết quả • Log, danh sách, có thể chứa thông tin quan trọng www.vncert.gov.vn Loại file nhị phân (binary)  Dữ liệu chương trình, phần mềm • Microsoft Office (.doc(x), .xls(x), .ppt(x) ) • File PDF  File nén dữ liệu • Zip, rar, tar, gz… (có thể chứa mã độc)  Dữ liệu đa phương tiện • Hình ảnh, âm thanh, video  Output log (binary) www.vncert.gov.vn Loại file nhị phân thực thi  Chứa các chỉ thị mã máy  Kiến trúc nền tảng • IA32, x64, PowerPC, SPARC, ARM…  Định dạng • PE Excutable, COFF, ELF  Liên kết thư viện • Static/Dynamic [...]... Cần có kỹ năng và kinh nghiệm • Trước khi phân tích sơ lược • Trước khi phân tích mã thực thi www.vncert.gov.vn Phân tích so sánh kết quả  So sánh với những kết quả đã có • Tự phân tích  Giá trị băm, Strings, Hành vi, chức năng mã độc • Tìm kiếm kết quả đã có Tên mã độc (Google, thông tin từ hãng anti-virus)  Giá trị băm (Google)   Hữu ích cho việc phân tích kiểm chứng • Tuy nhiên có thể kết quả... là chuỗi ký tự đọc được (có thể khác nhau theo công cụ) • Nhiều khả năng tìm được thông tin hữu ích   Câu thông báo, đường dẫn, script,… Công cụ • Windows: BinText • *nix: strings www.vncert.gov.vn Phân tích chương trình bị nén Kiểm tra thông tin nén chương trình  Sử dụng công cụ để giải nén  Giải nén thủ công  www.vncert.gov.vn Kiểm tra thông tin nén chương trình  Mục tiêu • Xác định có bị nén . dụng thuật toán băm 1 chiều • MD5 • SHA-1, SHA-2 (256, 3 84, 512)  Công cụ • Windows: HashTab, MD5Summer • *nix: md5sum, sha[1|2 24| 245 |3 84| 512]sum www.vncert.gov.vn Tìm kiếm chuỗi ký tự  Mục tiêu •. Trước khi phân tích sơ lược • Trước khi phân tích mã thực thi www.vncert.gov.vn Phân tích so sánh kết quả  So sánh với những kết quả đã có • Tự phân tích  Giá trị băm, Strings, Hành vi, chức năng. (binary) www.vncert.gov.vn Loại file nhị phân thực thi  Chứa các chỉ thị mã máy  Kiến trúc nền tảng • IA32, x 64, PowerPC, SPARC, ARM…  Định dạng • PE Excutable, COFF, ELF  Liên kết thư viện • Static/Dynamic www.vncert.gov.vn Tính