HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - ĐỖ ANH TUẤN PHÁT HIỆN CÁC PHẦN MỀM ĐỘC HẠI DỰA TRÊN PHÂN TÍCH HÀNH VI VÀ ỨNG DỤNG TRONG CHỐNG HACK GAME Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: Tiến sĩ HOÀNG XUÂN DẬU Phản biện 1: …………………………………………………………………………………………… Phản biện 2: …………………………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Với phát triển mạnh mẽ Internet, vấn đề an ninh, an tồn hệ thống thơng tin ngày trở nên cấp thiết hệ thống thông tin kết nối với với mạng Internet, chúng phải đối diện với nhiều nguy bị công lấy cắp thông tin phá hoại hệ thống Trong số tác nhân công phá hoại hệ thống thông tin mạng, phần mềm độc hại dạng gây nhiều thiệt hại khả lan truyền nhanh chóng Các phần mềm độc hại phát triển ngày tinh vi, khó phát với kỹ thuật nhận dạng thơng thường, kỹ thuật phân tích tĩnh phân tích động Các kỹ thuật phân tích tĩnh phân tích động giúp phân tích, nhận dạng phần mềm độc hại dựa đặc trưng chúng dạng chữ kí Tuy nhiên, kỹ thuật viết chương trình ngày phát triển, phần mềm độc hại có khả tự biến đổi thành dạng khó phân tích, nhận dạng Dựa đặc tính, tính chất phần mềm độc hại, phương pháp tiếp cận phân tích hành vi tỏ có lợi nhận dạng phòng ngừa nguy phần mềm độc hại gây ra, đặc biệt có biến đổi kỹ thuật viết chương trình phần mềm độc hại để tránh phương pháp phân tích nhận dạng truyền thống Luận văn tập trung nghiên cứu phương pháp phân tích, nhận dạng phần mềm độc hại dựa hành vi với mục đích nâng cao khả nhận dạng phần mềm độc hại Luận văn bao gồm ba chương với nội dung sau: + Chương 1: Giới thiệu tổng quan phần mềm độc hại: khái niệm chung phần mềm độc hại, phân loại chúng theo NIST, tác hại phần mềm độc hại hệ thống người dùng, trình hình thành phát triển phần mềm độc hại + Chương 2: Trình bày phương pháp phân tích phần mềm độc hại: phương pháp phân tích tĩnh, phương pháp phân tích động, phương pháp phân tích hành vi So sánh ưu nhược điểm phương pháp phân tích phần mềm độc hại + Chương 3: Nội dung trình bày tổng quan games, trình hình thành phát triển game giới Việt Nam Ứng dụng phân tích hành vi chống hack game Minh họa ứng dụng dụng phân tích hành vi chống hack cho game Pikachu CHƯƠNG - TỔNG QUAN VỀ CÁC PHẦN MỀM ĐỘC HẠI 1.1 Định nghĩa phần mềm độc hại Phần mềm độc hại (tiếng Anh: malware ghép hai chữ malicious software) loại phần mềm hệ thống tin tặc lập trình viên tạo nhằm gây hại cho máy tính người dùng Tùy theo cách thức mà tin tặc sử dụng, nguy hại loại phần mềm độc hại khác Một số phần mềm độc hại đơn giản hiển thị thông điệp không mong muốn, gây khó chịu cho người dùng Tuy nhiên, nhiều phần mềm độc hại hỗ trợ tin tặc công, đột nhập đánh cắp thơng tin, chiếm quyền điều khiển máy tính Nhiều phần mềm độc hại có khả lây lan sang máy tính khác tương tự virus thể sinh vật 1.2 Phân loại Theo NIST(National Institute of Standards and Technology : viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ) Phần mềm độc hại chia thành tám nhóm chính, bao gồm: Virus, Trojan horse, Worm, Malicious mobile code, Blended attack, Tracking cookies, Attacker tools Non-Malware Threats 1.3 Tác hại phần mềm độc hại Dựa loại phần mềm độc hại khác mà tác hại chúng hệ thống khác nhau, có tác hại sau:  Giảm hiệu máy tính  Thiệt hại tài  Mất thơng tin cá nhân  Ảnh hưởng tới hoạt động sản xuất 1.4 Lịch sử phát triển phần mềm độc hại 1.5 Kết chương Chương luận văn đề cập tới khái niệm phần mềm độc hại, phân loại phần mềm độc hại theo viện tiêu chuẩn cơng nghệ quốc gia Hoa Kỳ, lịch sử hình thành phát triển từ trước tới nay, tác hại đối phần mềm độc hại Với tác hại phần mềm độc hại hệ thống vấn đề đặt cho luận văn phát triển giải pháp phân tích phần mềm độc hại dựa phân tích hành vi, giúp đánh giá tác động ảnh hưởng phần mềm độc hại hệ thống đưa giải pháp phòng ngừa khắc phục hậu phần mềm độc hại gây CHƯƠNG - CÁC PHƯƠNG PHÁP PHÂN TÍCH, NHẬN DẠNG PHẦN MỀM ĐỘC HẠI 2.1Các phương pháp phân tích, nhận dạng phần mềm độc hại 2.1.1 Phương pháp phân tích tĩnh 2.1.1.1 Giới thiệu Phương pháp phân tích tĩnh phương pháp trích xuất thơng tin phần mềm độc hại từ tập tin mã nhị phân chúng mà không thực mã nhị phân Phân tích tĩnh bao gồm việc kiểm tra danh sách chuỗi, sinh chữ ký cho phần mềm phân tích, xác định thuộc tính trình biên dịch sử dụng số đặc điểm khác 2.1.1.2 Quét chữ ký phần mềm độc hại dựa cơng cụ Anti-virus 2.1.1.3 Phân tích phần mềm độc hại áp dụng đóng gói xáo trộn mã 2.1.1.4 Phân tích phần mềm độc hại hệ điều hành Windows 2.1.2 Phương pháp phân tích động 2.1.2.1 Giới thiệu Phương pháp phân tích động phân tích, kiểm tra phần mềm độc hại chúng thực thi Phân tích động bước thứ hai q trình phân tích phần mềm độc hại Phân tích động thường thực sau hồn tất q trình phân tích tĩnh Phân tích động liên quan đến việc giám sát phần mềm độc hại chúng thực thi, kiểm tra hệ thống sau thực phần mềm độc hại Khi phân tích phần mềm độc hại phương pháp phân tích động cần thực bước sau :  Thiết lập mơi trường phân tích  Chạy phần mềm nghi ngờ độc hại  Giám sát tiến trình phần mềm nghi ngờ độc hại  Giám sát mạng chạy phần mềm nghi ngờ độc hại 2.1.2.2 Thiết lập mơi trường phân tích 2.1.2.3 Chạy phần mềm độc hại 2.1.2.4 Giám sát tiến trình phần mềm nghi ngờ độc hại 2.1.2.5 Giám sát mạng chạy phần mềm nghi ngờ độc hại 2.2 Phương pháp phân tích, nhận dạng phần mềm độc hại dựa hành vi Phương pháp phân tích phần mềm độc hại dựa hành vi việc khai thác thông tin liên quan chương trình bị nghi ngờ, cách giám sát hoạt động, hành động hệ thống Trong phần này, luận văn tập trung đưa ví dụ phân tích hành vi mơ hình hóa Mục đích việc phân tích hành vi phần mềm độc hại giúp đánh giá ảnh hưởng, tác động đến hệ thống phần mềm độc hại thực thi Do vậy, hệ thống phân tích sử dụng phương pháp phân tích hành vi cần có thành phần : Giám sát hành vi ứng dụng mức thấp tổng hợp để hình thành hành vi cấp cao Phân cụm hành vi thu phần giám sát Khắc phục ảnh hưởng tới hệ thống bị nhiễm độc, dựa vào liệu hành vi thu 2.2.1 Mô tả vấn đề 2.2.2 Khai thác hành vi cấp cao 2.2.3 Phân cụm hành vi 2.2.4 Khái quát hành vi 2.2.5 Tạo thủ tục xử lý vùng nhiễm độc 2.3 So sánh phương pháp phân tích phần mềm độc hại Bảng 2.3 So sánh ưu nhược điểm phương pháp phân tích phần mềm độc hại Ưu điểm Nhược điểm + Không thực chạy mã độc, giảm Phân tích tĩnh nguy lây lan phá hoại hệ thống + Dựa cấu trúc tệp tin thực thi (PE file) để phân tích Phân tích động + Khó phân tích phần mềm nghi ngờ độc hại bị nén, mã hóa + Giám sát hành động + Khi thực chạy phần Ưu điểm Nhược điểm phần mềm độc hại thực mềm độc hại làm cho hệ hệ thống thống đối mặt với + Đánh giá ảnh hưởng thực rủi ro an ninh,an tồn tế đến hệ thống thơng tin + Đơi khó thực thi phần mềm độc hại cần tham số thực thi + Giám sát tác động phần Phân tích hành vi mềm độc hại nên hệ thống, đưa đánh giá rủi ro, cách khắc phục hệ thống bị nhiễm độc + Cũng cần thực phần mềm độc hại phân tích động nên có nhiều rủi ro an ninh, an tồn thơng tin 2.4 Kết chương Chương trình bày chi tiết phương pháp phân tích phần mềm độc hại Phương pháp phân tích tĩnh không yêu cầu thực thi phần mềm độc hại giảm khả lây nhiễm sang hệ thống khác Phương pháp phân tích động theo dõi hoạt động phần mềm độc hại thực thi hệ thống Phương pháp phân tích hành vi phát triển dựa phương pháp phân tích động với khái niệm hành vi tương ứng với hành động xảy hệ thống thực thi phần mềm độc hại Mục tiêu cuối xây dựng hệ thống tự động phân tích phần mềm độc hại, tổng hợp liệu đưa đánh giá để có thủ tục khắc phục an tồn hiệu Để cài đặt phương pháp phân tích hành vi hệ thống thực cần mở rộng thêm nhiều hành vi cần giám sát để sát với thực tế môi trường thực hệ điều hành CHƯƠNG – ỨNG DỤNG PHÂN TÍCH HÀNH VI TRONG CHỐNG HACK GAMES 3.1 Game lịch sử phát triển 3.1.1 Tổng quan game Video game gọi tắt game dạng trò chơi điện tử liên quan đến tính tương tác với giao diện người sử dụng để tạo phản hồi hình ảnh thiết bị hiển thị Từ Video Video game cách gọi truyền thống cho thiết bị hiển thị Tuy nhiên, với phổ biến thuật ngữ “Video game”, ngụ ý tất dạng thiết bị hiển thị Hệ thống thiết bị điện tử sử dụng để chơi Video game gọi hệ máy, ví dụ máy tính cá nhân hay hệ máy console Những hệ máy có kích thước từ máy tính đồ sộ thiết bị nhỏ gọn cầm tay 3.1.2 Lịch sử phát triển game 3.2Sử dụng phần mềm độc hại hack games 3.2.1 Lý hack games Những lý mà người chơi sử dụng cơng cụ để hack games :  Để tăng điểm kinh nghiệm chơi game  Để thách thức thân, nhà phát triển games  Vui chơi giải trí  Gây ý  Quảng cáo 3.2.2 Kỹ thuật để hack games Để hack games có nhiều cách tiếp cận khác có bước sau :  Sử dụng cơng cụ phần mềm để kiểm tra, khai thác lỗ hổng để công game  Sau khai thác game thu thập liệu game hacker sử dụng để hack game thay đổi liệu, lập trình viết thành công cụ hack game để phát tán rộng bên ngồi 3.3 Ứng dụng phân tích hành vi chống hack games 3.3.1 Khai thác hành vi hack game Pikachu Trong phần ứng dụng phân tích hành vi tập trung vào hai hành vi debug chèn mã để chống hack game cho game Pikachu Hành vi debug gồm có :  Hành vi debug với ngắt INT 3h  Hành vi truy vấn để debug NtQueryInformationProcess  Hành vi kiểm tra tiến trình debug CheckRemoteDebuggerPresent Hành vi chèn mã can thiệp thời gian hoạt động game Pikachu:  Hành vi thay đổi đếm thời gian GetTickCount  Hành vi truy vấn đếm thời gian QueryPerformanceCounter 3.3.2 Phân cụm hành vi hack game Pikachu Với hành vi debug chèn mã khai thác phần 3.3.1, sử dụng thuật toán phần 2.2.3 để phân cụm hành vi Ta hai cụm đặt tên Debug Inject 3.3.3 Cài đặt chương trình chống hack cho game Pikachu Do chương trình game Pikachu chương trình game độc lập đóng gói, để nạp module giám sát hành vi vào game Pikachu cần có chương trình thực gọi Loader Chương trình “Loader.exe” làm nhiệm vụ thực thi game Pikachu nạp module giám sát hành vi vào tiến trình game Pikachu Module giám sát hành vi “Behaviour.dll” thực liên tục kiểm tra hành vi can thiệp vào game để phân tích đưa thơng báo thoát game phát hack Chạy game Nạp module giám sát hành vi Kiểm tra hành vi Nếu không lặp lại kiểm tra Có hành vi can thiệp vào game Thốt game Hình 3.6 Mơ hình hoạt động module chống hack Trên hình 3.6, mơ hình hoạt động module chống hack Sau nạp module giám sát hành vi vào chạy với game Module giám sát hành vi liên tục kiểm tra hành vi hai cụm NtQueryInformationProcess, Debug Inject Đó CheckRemoteDebuggerPresent, hành vi INT 3h, GetTickCount, QueryPerformanceCounter 3.4 Kết chương Chương giới thiệu tổng quan game, lịch sử phát triển game với nhiều mốc phát triển game giới Chương nêu vấn đề lý dẫn đến việc hack games, kỹ thuật để hack game, minh họa với game Pikachu Chương trình bày kết ứng dụng kỹ thuật phân tích hành vi chống hack cho game Pikachu Việc ứng dụng kỹ thuật phân tích hành vi vào chống hack game giúp phát hack game, làm hạn chế tác động tiêu cực đến game, đảm bảo phát triển ổn định cho game triển khai cộng đồng KẾT LUẬN Phân tích phần mềm độc hại nhằm thu thơng tin để sử dụng khai thác việc điều tra, khám phá, loại bỏ phần mềm độc hại khắc phục ảnh hưởng tác động đến hệ thống bị nhiễm độc Đề tài tập trung nghiên cứu phương pháp phân tích hành vi để phân tích phần mềm độc hại, sở đề phương pháp phòng chống, khắc phục hậu phần mềm độc hại gây Một số kết đạt luận văn:  Giới thiệu khái niệm phần mềm độc hại, lịch sử hình thành phát triển chúng  Đưa phương pháp sở để phân tích phần mềm độc hại  Đưa mơ hình thuật tốn cho phương pháp phân tích hành vi  Xây dựng ứng dụng minh họa cho việc sử dụng phương pháp phân tích hành vi vào chống hack game Pikachu Một số hướng nghiên cứu phát triển luận văn tương lai:  Triển khai thử nghiệm kỹ thuật phân tích hành vi nhắm chống hack cho games trực tuyến môi trường thực  Nghiên cứu sâu theo hướng học máy ứng dụng cho phân tích, nhận dạng phần mềm độc hại 10 ... quan games, trình hình thành phát triển game giới Vi? ??t Nam Ứng dụng phân tích hành vi chống hack game Minh họa ứng dụng dụng phân tích hành vi chống hack cho game Pikachu CHƯƠNG - TỔNG QUAN VỀ CÁC... thành phát triển từ trước tới nay, tác hại đối phần mềm độc hại Với tác hại phần mềm độc hại hệ thống vấn đề đặt cho luận văn phát triển giải pháp phân tích phần mềm độc hại dựa phân tích hành vi, ... hack games 3.3.1 Khai thác hành vi hack game Pikachu Trong phần ứng dụng phân tích hành vi tập trung vào hai hành vi debug chèn mã để chống hack game cho game Pikachu Hành vi debug gồm có :  Hành