ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THƠNG TIN & TRUYỀN THƠNG HỒNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Ngun - 2014 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THƠNG HỒNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH Chun Ngành : Khoa Học Máy Tính Mã số : 60 48 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hƣớng dẫn: TS.NGUYỄN NGỌC CƢƠNG Thái Nguyên - 2014 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ i LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu tơi thực Các số liệu, kết nêu luận văn trung thực chƣa đƣợc cơng bố cơng trình khác Thái Nguyên, Ngày 29 tháng 12 năm 2014 Tác giả Hồng Thị Ngọc Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ ii MỤC LỤC LỜI CAM ĐOAN i MỤC LỤC ii DANH MỤC HÌNH ẢNH iv MỞ ĐẦU CHƢƠNG I - TỔNG QUAN VỀ MÃ ĐỘC 1.1 Khái niệm 1.2 Mục tiêu mã độc 1.3 Lịch sử phát triển 1.4 Phân tích dạng mã độc 1.4.1 Trojan…………………………………………………………… 1.4.2 Virus 10 1.4.3 Worm 16 1.4.4 Backdoor 19 1.5 Dự đoán xu hƣớng phát triển mã độc tƣơng lai 21 CHƢƠNG II CÁC PHƢƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC 23 2.1 Phân tích Tĩnh 23 2.2 Phân tích động 25 2.3 Phân tích Entropy 28 2.4 Phân tích điểm yếu mã độc 33 2.5 Nhận dạng xác mẫu…………………………………….…39 2.6 Nhận dạng Virus theo Heuristic…………………………………51 2.7 Các chế nhận dạng theo hành vi hành vi thực……….……54 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ iii CHƢƠNG III XÂY DỰNG CHƢƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ THỬ NGHIỆM 57 3.1 Mơ hình hệ thống ………………………………………………… 57 3.2 Quá trình thực tìm diệt mã độc …………………………… 60 3.3 Kết thử nghiệm ……………………………………………… 61 KẾT LUẬN 69 TÀI LIỆU THAM KHẢO 70 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ iv DANH MỤC HÌNH ẢNH Hình 1.1 Lây nhiễm virus boot sector 12 Hình 1.2 Phá hoại làm file phân mảnh B- virus 14 Hình 2.1: Độ xác thống kê entropy dựa tập liệu 32 Hình 2.2: Một thao tác MD5………………………………………… …….45 Hình 2.3: Kiểm tra mã độc virustotal qua mã băm…………………… 46 Hình 2.4: Mã nhận dạng virus FunnyIM 48 Hình 2.5.So sánh hai vị trí offset 49 Hình 3.1: Quy trình phân tích mã độc 58 Hình 3.2 Sơ đồ chƣơng trình phát mã độc 60 Hình 3.3: Giao diện bảng kết 65 Hình 3.4: Giao diện bảng thơng tin chi tiết…………………………….… 66 Hình 3.5: Giao diện khởi động chƣơng trình 67 Hình 3.6: Giao diện kết chƣơng trình …………………………….… 68 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ MỞ ĐẦU Những năm gần công mã độc giới Việt Nam có qui mơ lớn ngày gia tăng chủ yếu nhắm vào phủ tổ chức tài gây nên thiệt hại nghiêm trọng nguy hại cho kinh tế, an ninh quốc phịng Mã độc chương trình cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính, thiết bị di động Có nhiều loại mã độc ngày cải tiến Những loại mã độc phổ biến nhƣ: Virus, Trojan House, worm, Attach script, Java applet- Active X, Malicious mobible code… mà nguy chúng gây hồn tồn rõ ràng vơ phong phú Khi xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ cơng truy cập làm việc máy nạn nhân, ghi lại thông tin sử dụng máy tính Đi với phức tạp thiết kế hành vi thực thi mã độc kỹ thuật ngăn chặn việc phân tích hoạt động mã độc khiến cho việc phân tích mã độc ngày trở nên khó khăn phức tạp Hiện có nhiều cơng cụ chun nghiệp để phân tích diệt mã độc nhƣ sản phẩm hãng nƣớc ngoài, nƣớc Tuy nhiên việc sử dụng công cụ nhƣ hộp đen chứa nhiều nguy tiềm ẩn Do việc nghiên cứu để xây dựng chƣơng trình diệt mã độc u cầu có tính cấp thiết nhằm làm chủ cơng nghệ, kỹ thuật đảm bảo an ninh an toàn máy tính mạng Do luận văn chúng tơi nghiên cứu phƣơng pháp phân tích phát mã độc, từ xây dựng thử nghiệm chƣơng trình phát diệt mã độc Cụ thể Luận văn có cấu trúc nhƣ sau: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/  Chƣơng 1: Tổng quan mã độc : Tìm hiểu tổng quan loại mã độc  Chƣơng 2: Các phƣơng pháp phân tích phát mã độc: Tìm hiểu kỹ thuật phân tích, phát Mã độc ƣu điểm nhƣợc điểm kỹ thuật  Chƣơng 3: Xây dựng chƣơng trình phát mã độc thử nghiệm: Thử nghiệm chƣơng trình phát diệt mã độc dựa vào kỹ thuật nhận dạng xác mẫu Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ CHƢƠNG I – TỔNG QUAN VỀ MÃ ĐỘC Mã độc từ đời tận dụng kỹ thuật tiên tiến công nghệ thông tin truyền thông nhƣ lợi dụng lổ hổng nguy hiểm hệ thống tin học để khuyếch trƣơng ảnh hƣởng Mặc dù việc sử dụng thiết bị phần mềm bảo mật trở nên phổ biến nhƣng mã độc tiếp tục phát triển mạnh mẽ chúng thƣờng đƣợc viết có mục đích rõ ràng, phục vụ đối tƣợng cụ thể không ngừng cải tiến qua phiên để đạt đƣợc phiên hiệu Vậy để phát diệt đƣợc mã độc trƣớc hết phải hiểu rõ chất chúng Về nguyên tắc chung, công việc diệt mã độc đa phần làm ngƣợc lại mà mã độc làm Vì chƣơng tơi tập trung nghiên cứu nội dung liên quan đến chế hoạt động loại mã độc để làm rõ chất chúng Từ xây dựng chƣơng trình tìm diệt mã độc 1.1 Khái niệm Mã độc chƣơng trình đƣợc cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính Đi với phát triển internet năm gần đây; Mã độc nhanh chóng trở thành mối nguy hại tiềm tàng ảnh hƣởng đến ngƣời sử dụng, tổ chức hay phủ tồn giới.[5] 1.2 Mục tiêu mã độc Các thống kê cho thấy,các công mã độc quy mô lớn chủ yếu nhắm vào phủ tổ chức tài Tiếp cơng ty, dịch vụ cơng nghệ thông tin Điều lý giải cho mục tiêu mã độc nhắm tới lợi nhuận lây lan rộng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 1.3 Lịch sử phát triển Mã độc Năm Phân loại Chú thích Thompson’s 1984 TrojanHorse Ken Thompson thêm vào trình biên dịch C Trojan horse có khả compiler trick tự chèn vào chƣơng trình đƣợc biên dịch Morris worm 1988 Worm Sâu máy tính đƣợc phát tán mạng internet Có khoảng 6000 máy bị lây nhiễm ( chiếm 10% lƣợng máy tính sử dụng internet thời giờ) Java Attack 1996- Applets 1999 Mobile code Lợi dụng lỗi Java để công thông qua applets java đặt web ActiveX 1997 Mobile code Bị công lần đầu vào thời gian kể từ đến hệ thống ( scripting) ActiveX Microsoft liên tục bị phát dính phải lỗi bảo mật nghiêm trọng Melissa 1999 Mobile code Virus lây lan nhanh thứ hai thời virus đại, sử dụng email để phát tán Lây nhiễm cho triệu máy tính vài Trinoo 2000 Attack Chƣơng trình công từ chối dịch script DDoS vụ ( DDoS ) gây tác hại lớn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 56 mềm nhận dạng Do tính chất phƣơng pháp cảnh báo thời gian thực, nên mức độ cảnh báo tập thực thi làm việc hệ thống liên tục thay đổi phụ thuộc hành vi tập thực thi thực Ƣu điểm: - Có khả phát loại virus chƣa cập nhật mẫu loại virus - Bảo vệ ngƣời dùng thời gian thực hiệu Hạn chế: - Việc lập bảng số liệu để đƣa mức độ cảnh báo phức tạp, đòi hỏi khối lƣợng lớn mẫu tập tin nhƣ thời gian - Việc theo dõi làm chậm thao tác làm việc hệ thống nhiều hàm hệ thống bị AntiVirus kiểm sốt - Khơng phát mã độc trạng thái tĩnh - tức chƣa thực thi, chặn đƣợc mã độc đƣợc thực thi Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 57 CHƢƠNG III : XÂY DỰNG CHƢƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ THỬ NGHIỆM Hiện có nhiều cơng cụ chun nghiệp để phân tích diệt mã độc nhƣ sản phẩm hãng nƣớc ngoài, nƣớc Tuy nhiên việc sử dụng công cụ nhƣ hộp đen chứa nhiều nguy tiềm ẩn Do việc nghiên cứu để xây dựng chƣơng trình phát diệt mã độc u cầu có tính cấp thiết nhằm làm chủ công nghệ, kỹ thuật đảm bảo an ninh an tồn máy tính mạng 3.1 Mơ hình hệ thống Hệ thống phân tích mã độc hại chúng tơi xây dựng bao gồm máy tính (1 máy thật làm giả lập Internet, máy ảo để phân tích) Trong đó, máy thật cài phần mềm InetSim để giả lập môi trƣờng Internet (DNS, WebServer,IRC server ) Máy ảo để phân tích mã độc hại.[2] Hệ thống phân tích mã độc hại đƣợc xây dựng dựa hệ thống phân tích thơng thƣờng, nhiên bƣớc phân tích đƣợc tự động hóa script kịch Bƣớc 1: Đầu tiên ngƣời dùng vào Website phân tích mã độc hại khai báo thơng tin email, thông tin sơ lƣợc mã độc hại, upload file nghi ngờ mã độc hại lên site Bƣớc 2: Thông tin ngƣời dùng đƣợc gửi đến server lƣu lại, file nghi ngờ đƣợc đƣa vào hàng đợi để chờ tới lƣợt xử lý Có mơđun kiểm tra trạng thái tiến trình hệ thống, tiến trình chạy chƣa cho phép chạy file Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 58 Bƣớc 3: Khi file đƣa vào hệ thống đƣợc đƣa vào máy ảo, có cài phần mềm tự động phân tích đƣợc điều khiển script viết AutoIT, hành vi file đƣợc ghi lại sinh log file để đƣa máy ảo Bƣớc 4: Các log file đƣợc mơđun phân tích trích xuất thơng tin thành dạng dễ đọc hiểu Bƣớc 5: Thông tin đƣợc gửi trở lại website, lúc có mơđun khác gửi kết phân tích file lên website Bƣớc 6: Sau thực xong hệ thống lại tự kiểm tra xem có file mẫu mã độc nằm hàng đợi khơng, có lại tự động xử lý tiếp, quay lại từ bƣớc Quá trình tiếp diễn nhƣ Hình 3.1: Qui trình phân tích mã độc Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 59 Thành phần hệ thống Hệ thống cho phép ngƣời dùng gửi mẫu mã độc hại lên đến hệ thống Mẫu mã độc sau đƣợc phân tích gửi trả kết lại cho ngƣời dùng qua website email ngƣời dùng khai báo Vì hệ thống gồm thành phần + Front- end (phần phía trƣớc) website làm nhiệm vụ nhận mẫu mã độc ngƣời dùng gửi vào hệ thống, đƣa kết phân tích lại cho ngƣời dùng Hệ thống phân tích lần lƣợt quét hàng đợi dựa theo ƣu tiên Khi hết mẫu yêu cầu hệ điều hành ƣu tiên chuyển sang hệ điều hành khác Khi hết mẫu cần phân tích hệ thống phân tích chuyển sang trạng thái nghỉ chờ mẫu ngƣời dùng Phần Webiste đƣợc viết PHP + Back- end (phần phía sau) phần hệ thống phía sau nhà quản trị cấu hình với mục đích tự động phân tích mã độc hại, sau có kết phân tích mẫu gửi kết lại cho ngƣời dùng email cho ngƣời dùng khai báo gửi thông tin công bố Website - Xây dựng hệ thống phía sau, phần chịu trách nhiệm phân tích mẫu nhận đƣợc từ phía ngƣời dùng Nhiệm vụ chƣơng trình diệt mã độc sơm đƣa chứng xuất có loại mã độc biết Vấn đề giải tiếp cận chuỗi mã giai đoạn tiền xử lý Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 60 3.2 Quá trình thực tìm diệt mã độc Hình 3.2: Sơ đồ chƣơng trình phát mã độc Bƣớc 1: Chƣơng trình quét tập tin cách băm file tính giá trị băm, sau đem giá trị băm đƣợc so sánh với giá trị bảng băm sở liệu (ở ta sử dụng MD5) Khi trình quét bắt đầu, chƣơng trình quét tất q trình mơ-đun Chƣơng trình dừng phát file quét bị nhiễm mã độc hại Bƣớc 2: Chƣơng trình bắt đầu quét đến thƣ mục hệ thống tìm thấy xóa file bị nhiễm mã độc giá trị ghi Ví dụ: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 61 C:\User \Username\ AppData\ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run Bƣớc 3: Chƣơng trình tìm kiếm tồn ổ đĩa cứng tìm thấy xố phần mềm độc hại tìm đƣợc 3.3 Kết thử nghiệm Nhƣ biết, trang web VirusTotal sử dụng số dịch vụ online hãng bảo mật: Kaspersky, AVG, Symatic, … Chƣơng trình phân tích phát mã độc tơi có tích hợp API dịch vụ Virustotal, nhiên có cải tiến hơn: - Việc tính giá trị hash file đƣợc tính trực tiếp máy, tốc độ tính toán nhanh so với việc file tải lên VirusTotal phải nằm hàng đợi để tính hash - Xử lí kích thƣớc file có dung lƣợng 100Mb Quá trình xử lý file nhƣ sau: Khi đƣa file vào, chƣơng trình tiến hành tính tốn giá trị băm file public string convertir_md5(string text) { MD5 convertirmd5 = MD5.Create(); byte[] infovalor = convertirmd5.ComputeHash(Encoding.Default.GetBytes(text)); StringBuilder guardar = new StringBuilder(); for (int numnow = 0; numnow < infovalor.Length; numnow++) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 62 { guardar.Append(infovalor[numnow].ToString("x2")); } return guardar.ToString(); } public string md5file(string file) { string code = ""; try { var gen = MD5.Create(); var ar = File.OpenRead(file); code = BitConverter.ToString(gen.ComputeHash(ar)).Replace("-", "").ToLower(); } catch { code = "Error"; } Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 63 return code; } - Lấy địa IP máy, ta gửi giá trị hàm băm file lên services cần thông báo với service thông tin host public string getip(string host) { string code = ""; try { IPAddress[] find = Dns.GetHostAddresses(host); code = find[0].ToString(); } catch { code = "Error"; } return code; } - Giá trị băm file sau đƣợc hàm upload đƣa lên service để so sánh public string upload(string link, string archivo) { String code = ""; Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 64 try { WebClient nave = new WebClient(); nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0"; byte[] codedos = nave.UploadFile(link, "POST", archivo); code = System.Text.Encoding.UTF8.GetString(codedos, 0, codedos.Length); - Sau có kết đối sánh với services, ta dùng hàm dowload để tải kết hiển thị listbox public string download(string url, string savename) { String code = ""; WebClient nave = new WebClient(); nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0"; try { nave.DownloadFile(url, savename); Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 65 code = "OK"; } catch { code = "Error"; } return code; } Kết thông báo: với trình diệt mã độc báo kết mã độc Hình 3.3 Bảng kết Để có thêm nhiều thơng tin file, lấy thêm thông tin nhƣ: hệ điều hành, public string getos() { string code = ""; Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 66 try { System.OperatingSystem os = System.Environment.OSVersion; code = Convert.ToString(os); } catch { code = "?"; } return code; } Hình 3.4 Bảng thơng tin chi tiết Chạy thử nghiệm chƣơng trình Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 67 Hình 3.5 Giao diện khởi động chƣơng trình Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 68 Hình 3.6 Giao diện kết chƣơng trình sau quét file Khi phát file có nhiễm mã độc, đƣa lựa chọn xóa hồn tồn file ổ cứng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 69 KẾT LUẬN Mã Độc loại hình cơng nguy hiểm lan truyền nhanh chóng, sức tàn phá rộng khắp hậu nặng nề mang lại cho cộng đồng mạng Khả phát triển, lây lan công Mã độc ngày tinh vi, phức tạp với phát triển cơng nghệ Do đó, việc nghiên cứu, phân tích, phát Mã độc để tránh lan truyền điều khó khăn, có nhiều thách thức, nhƣng vơ cấp thiết Do luận văn nghiên cứu chất, cách thức hoạt động,khả phƣơng thức lây lan chúng để mơ hình hố đƣa phƣơng pháp phịng chống ngăn chặn có hiệu Đề tài tập trung nghiên cứu kỹ thuật phát virus truyền thống: nhận dạng theo mã hash MD5 để phân tích phần mềm độc hại, sở đề đƣợc phƣơng pháp phòng chống, khắc phục hậu phần mềm độc hại gây Một số kết đạt đƣợc luận văn: Giới thiệu khái niệm phần mềm độc hại, lịch sử hình thành phát triển chúng Đƣa đƣợc phƣơng pháp kỹ thuật phát để phân tích phần mềm độc hại Đƣa đƣợc mơ hình thuật tốn cho phƣơng pháp nhận dạng theo mã Hash MD5 Xây dựng đƣợc ứng dụng minh họa cho việc phát diệt mã độc dựa phƣơng pháp nhận dạng theo mã Hash MD5 Một số hƣớng nghiên cứu phát triển luận văn tƣơng lai: Sử dụng kỹ thuật phức tạp nhƣ chèn mã rác, thay lệnh, hốn vị mã, tích hợp mã để phát chúng cách tồn diện Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 70 TÀI LIỆU THAM KHẢO [1] Nguyễn Thành Cƣơng (2005), “Hƣớng dẫn phịng diệt vi rút máy tính”, Nhà xuất thống kê [2] Hoàng Thanh (2014), “Xây dựng hệ thống tự động phân tích mã độc hại”,Tạp chí an tồn thơng tin,Ban yếu phủ [3] Đỗ Anh tuấn (2013), “Phát phần mềm độc hại dựa phân tích hành vi ứng dụng chống hack game”, Học viện cơng nghệ bƣu viễn thơng.2013 [4] Nguyễn Hồng Văn (05-2012),”Lock PC phƣơng thức khai thác tử huyệt mã độc”, Tạp chí Nghiên cứu KH&CN quân sự, số đặc san ATTT&CNTT‟12 [5] Quyển 2: Tổng hợp công nghệ đảm bảo an toàn cho mạng chuyên dùng Đề tài cấp nhà nƣớc Ban yếu phủ.Hà nội 2013 [6] http://www.virusvn.com/2014/05/cac-ky-thuat-nhan-dang-virus.html [7] JEONG, G et al ( 2010), "Generic unpacking using entropy analysis," Malicious and Unwanted Software (MALWARE), 2010 5th International Conference on [8] R Rivest (1992), “The MD5 Message-Digest Algorithm”, MIT Laboratory for Computer Science and RSA Data Security, Inc Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ ... TRUYỀN THƠNG HỒNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH Chun Ngành : Khoa Học Máy Tính Mã số : 60 48 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hƣớng... mẫu mã độc nén mã hóa [7] Kỹ thuật đóng gói để che giấu mã độc Kỹ thuật đóng gói (bao gồm kỹ thuật nén mã hóa) với mục đích che giấu mã độc đƣợc kẻ viết mã độc thƣờng sử dụng để chuyển đổi mã. .. phát mã độc hại Thêm nữa, phân tích entropy thất bại xác định mã độc sử dụng kỹ thuật đóng gói mã mà khơng sử dụng kỹ thuật nén hay mã hóa, kẻ viết mã độc thực che dấu đơn giản nội dung mã độc