Thiết kế đối chiếu Malware (phần 2) .Phân tích một malware thực Qua phần một của loạt bài này, chúng ta đã chuẩn bị một số kiến thức và công cụ nền tảng cho hoạt động phân tích về sau. Trong phần 2 này, chúng ta sẽ được tiếp xúc với một chất liệu mới rất thú vị: phân tích malware thực. Trong phần trước chúng ta kết thúc với câu hỏi liệu malware download về của bạn có được thể hiện với biểu tượng của winzip hay winrar không. Tại sao lại có câu hỏi này? Trước đây đã có trường hợp...
Thiết kế đối chiếu Malware (phần 2) Phân tích malware thực Qua phần loạt này, chuẩn bị số kiến thức công cụ tảng cho hoạt động phân tích sau Trong phần này, tiếp xúc với chất liệu thú vị: phân tích malware thực Trong phần trước kết thúc với câu hỏi liệu malware download bạn có thể với biểu tượng winzip hay winrar không Tại lại có câu hỏi này? Trước có trường hợp học sinh sử dụng trojan để cơng máy tính giáo viên dạy Cậu học sinh nguỵ trang trojan biểu tượng quen thuộc winzip, thầy giáo mắc bẫy cậu Thủ thuật đơn giản, chắn qua mặt chuyên gia IT Nhưng với người không am hiểu bảo mật hầu hết việc mắc bẫy khơng có đáng ngạc nhiên Thật hay giả? Như nói trên, chắn liệu phần malware download có thực file winzip hay khơng Có cách kiểm tra kích đúp vào để mở với trình soạn thảo Hex hình bên Hình Như bạn thấy, malware thực tế thể biểu tượng winzip, theo lớp winrar cài ảnh VMware Trước mở file trình soạn thảo Hex, bạn phải ý số điểm quan trọng sau Các định dạng file winzip, winrar, hay chí định dạng PE có ký hiệu byte riêng Chúng ta nhận chúng theo mức byte xem dễ dàng qua trình soạn thảo Hex Đó lý phải mở file Hex Trình soạn thảo cho phép bạn tìm kiếm chuỗi byte cụ thể thân file Nó cho bạn biết liệu malware download hình minh hoạ có thực file winzip hay không Bạn không cần lo lắng liệu có vơ tình khiến malware phát huy tác dụng hiệu Đơn giản trình soạn thảo Hex, bạn xem nội dụng mà khơng thể kích hoạt file thực thi Bit hay byte Bạn thấy hình bên file malware mở trình soạn thảo Hex lựa chọn Phần cuối hình có ký tự “MZ”, thể Hex “4D 5A” “MZ” chuỗi mở byte tìm thấy theo định dạng tiêu đề PE Nói cách khác, “MZ” nói với rằng, file file thực thi, không bị nén theo kiểu định dạng file winzip Quá hay! Học malware nên hẳn bạn đoán hầu hết file nguỵ trang Nhưng lúc bạn khơng học sao? Chắc hẳn tị mị kích thử vào file để giải nén xem nội dung bên có gì, tức dẫn gọi malware vào hệ thống Hình Một câu hỏi đặt định dạng file winzip trông mức byte Câu hỏi hay kiểm tra xem liệu có chứng minh khác chúng hay không Khi định dạng PE có chuỗi byte mở “MZ”, định dạng file winzip có ký hiệu byte mở “PK” Trên thơng báo này, xem xét định dạng file winzip hợp lệ Hình Bạn thấy, hình thực tế có hai ký tự “PK”, hay thể thể dạng byte “50 4B” Có thể chứng minh chắn file malware kiểu thực thi mà hiểu nén winzip Bạn nên ý, ký tự ASCII thể hai ký tự số theo thứ tự alphabe thấy trang soạn thảo Hex Cụ thể, số “50” byte thể ký tự “P” “4B” thể ký tự “K” theo mã ASCII Đây chi tiết quan trọng, hiểu theo kiểu phân tích gói phân tích gói thường thấy đơn vị thể bit khơng phải tồn byte Định dạng file điểm quan trọng Chắc hẳn nóng lịng “bập” vào điểm yếu muốn tìm hiểu vấn đề Nhưng kiên nhẫn xem xét khái niệm thông tin xung quanh, sau tiếp xúc với yếu q trình cách học thơng minh Với reverse engineering Thơng tin gì, định dạng file winzip đáng ý hay định dạng tiêu đề PE Khi thực thiết kế đối chiếu, bạn cần kiểm chứng xem định dạng file download Muốn thực điều đó, bạn cần hiểu thơng tin nó, cách kiểm tra Đó file mở trình soạn thảo hex trên, thông tin định dạng file cụ thể phải nắm tay Portable Executable (PE) - thực thi động, kiểu định dạng tự nhiên Microsoft Windows Chi tiết kiểu định dạng thú vị đáng xem Để nâng cao gọt giũa kiến thức bảo mật máy tính, bạn nên tăng cường tổng hợp vấn đề liên quan Học định dạng file giúp bạn gắn kết hiểu chương trình nằm nhớ vật lý (như ổ cứng) ánh xạ vào nhớ logic (RAM) Điều cịn thú vị đọc báo thực mà khơng có đọng lại đầu Tóm lại Trong này, xem xét phần malware download Nó thể file nén với biểu tượng winzip Nhưng thực tế sau kiểm tra với trình soạn thảo Hex, thay nội dung nén file Zip bề ngồi, bên file kiểu định dạng PE file chạy exe Chúng ta cịn tìm hiểu số thơng tin quan trọng định dạng file khác theo thuật ngữ chuỗi byte Thành phần giúp bạn xác định cách chắn kiểu định dạng thực file Trong phần tiếp theo, xem xét kiểu gói malware dùng mở gói Như bạn thấy, phần phân tích diễn nhanh Đơn giản thực bước đơn giản reverse engineering ... engineering Thông tin gì, định dạng file winzip đáng ý hay định dạng tiêu đề PE Khi thực thiết kế đối chiếu, bạn cần kiểm chứng xem định dạng file download Muốn thực điều đó, bạn cần hiểu thơng... tích malware thực Qua phần loạt này, chuẩn bị số kiến thức công cụ tảng cho hoạt động phân tích sau Trong phần này, tiếp xúc với chất liệu thú vị: phân tích malware thực Trong phần trước kết thúc... byte cụ thể thân file Nó cho bạn biết liệu malware download hình minh hoạ có thực file winzip hay khơng Bạn khơng cần lo lắng liệu có vơ tình khiến malware phát huy tác dụng hiệu Đơn giản trình