Thiết kế đối chiếu Malware (phần 3) .Bóc trần thủ đoạn của spammer, những kẻ dưới đáy xã hội internet cùng một số kẻ khác với các nội dung che đậy, ẩn giấu malware thực bên trong. Như đã tìm hiểu trong phần 2, bạn có thể thấy rằng không phải cái gì cũng giống như mắt ta nhìn thấy. Những kẻ phát tán thư rác (spammer), những kẻ ở dưới đáy xã hội ảo internet cùng một số kẻ khác luôn luôn tìm cách che đậy malware thực bằng vỏ bọc giả rất ư thánh thiện. Trong phần tiếp theo của...
Thiết kế đối chiếu Malware (phần 3) Bóc trần thủ đoạn spammer, kẻ đáy xã hội internet số kẻ khác với nội dung che đậy, ẩn giấu malware thực bên Như tìm hiểu phần 2, bạn thấy khơng phải giống mắt ta nhìn thấy Những kẻ phát tán thư rác (spammer), kẻ đáy xã hội ảo internet số kẻ khác ln ln tìm cách che đậy malware thực vỏ bọc giả thánh thiện Trong phần loạt này, tiếp tục lột bỏ bóc trần kiểu hành vi chúng Trong phần 2, dừng lại thời điểm nhận malware download thực tế file nén zip vô hại, mà định dạng thực thi PE Chúng ta xác nhận chắn điều việc mở malware trình soạn thảo Hex Trình soạn thảo cho phép kiểm tra nội dung bên mà không cần thực thi file Ký tự “MZ” file cho biết thực kiểu định dạng file PE nói Bạn nên nhớ thông tin hồn tồn thơng suốt, chẳng có ảo thuật hay bí ẩn Khơng phải kinh nghiệm tích luỹ quý báu từ tổ chức phủ, hệ thống lý thuyết nhà lý luận Điều có thiết kế đối chiếu (reverse engineering) đào sâu áp dụng thử nghiệm để tìm hiểu nghệ thuật ngầm giới ảo Tài liệu tham khảo phong phú hoàn toàn miễn phí Bạn tìm hiểu định dạng PE website Microsoft hay Google Hệ thống lý thuyết thiết kế đối chiếu cơng cụ tìm thấy dễ dàng số website OpenRCE Các gói malware Tại file malware lại cần nén nhỏ kích thước lại? Có thực đơn giản muốn thu gọn kích thước thực, hay quan trọng để tránh quét virus Có nhiều chương trình anti-virus loại bỏ malware viết tuỳ biến Kích thước điểm yếu malware trước phần mềm diệt virus Vì thế giới hacker mũ đen định sử dụng nhiều đường vòng khác, tạo trình đóng gói (packer) Có câu nói “tạo hố khơng tạo tất thứ giống nhau”, hacker Mỗi kẻ có kiểu hay mức kỹ khác Một số viết gói tuỳ biến Yoda, số khác đơn giản dùng UPX để đóng gói phần mềm malware Xem lại hình minh hoạ bên dưới, phần malware mở trình soạn thảo Hex, để ý bạn thấy có ký tự ASCII “UPX” Hình Nếu chưa tìm thấy, bạn xem bên ký tự “MZ” Như nói, MZ thể cho định dạng file PE Bên chút xâu ký tự UPX Xâu ký tự nói cho biết file thực thi đóng gói trình gói UPX Thường việc mở file đóng gói khơng phải dễ dàng, với UPX khơng khó khăn Bạn mở gói dễ dàng cơng cụ đóng gói Nhưng cần ý số file đóng gói UPX, mã hoá thực số thủ thuật khiến việc mở gói trở nên khó khăn Hãy để “bữa tiệc” bắt đầu Để mở gói file UPX, bắt đầu việc download copy chương trình UPX cài đặt vào thư mục gốc ổ C Sau viện dẫn chương trình đưa thơng tin dịng lệnh vào Thơng thường, hữu ích copy malware vào ổ C Xem hình minh hoạ menu trợ giúp UPX cung cấp bên sau gọi chương trình vào Hình Bây giờ, xem thơng tin dịng lệnh hình Hình Như bạn thấy, việc mở gói file UPX bình thường, khơng có đặc biệt gọi khó khăn Vấn đề nằm chỗ bạn phải xác định kiểu đóng gói file malware Đó khiến chuyên gia phải đau đầu Chúng ta dừng đâu? Chúng ta khởi đầu dừng lại thời điểm q trình phân tích thực malware bắt đầu Điều thực theo nhiều cách khác nhau, phổ biến theo hai kiểu: phân tích tĩnh phân tích động file thực thi malware Động mà tĩnh gì? Phân tích tĩnh q trình mở chương trình malware không thực thực thi chúng Kiểu phân tích chủ yếu dùng trình soạn thảo Hex bạn thấy phần trước Nó thực thông qua số thành phần riêng rẽ Các thành phần cho phép bạn xem cách an tồn mã thực thi mà khơng phải lo lắng chúng “tác oai tác quái” máy tính bạn Đồng thời chúng cho phép bạn viết số khoảng chứa trống (offset) cho điểm ngắt thú vị Điểm ngắt, địa máy tính lệnh chương trình Từ bạn thực bước thực thi theo lệnh thời điểm Có thể vấn đề nâng cao chút, tảng thích hợp để hiểu sâu thiết kế đối chiếu Phân tích động q trình bạn tiến hành chạy thực file malware theo dõi tác động diễn sau Q trình phân tích động thực khơng khó tên gọi Có nhiều cơng cụ thơng minh cho phép bạn quan sát thay đổi máy tính sau malware thực thi Một số filemon regmon Tóm tắt Đến nay, vào chi tiết số yếu tố bên trước xem xét thẳng vấn đề thiết kế đối chiếu malware Đơn giản chúng quan trọng Tìm hiểu thiết kế đối chiếu malwere tức phải hiểu đặc điểm kỹ thuật định dạng file, trình gói file, sử dụng trình soạn thảo Hex, v.v… Khi tiếp cận với vấn đề khó khăn thiết kế đối chiếu, chậm mà chắc, ngắn gọn đặn phương thức tốt Thông tin reverse engineering khơng Internet Điều bạn cần làm “tiêu hoá”dần dần khối lượng byte nhỏ kiến thức Trong phần sau tiếp tục gặp lại với q trình mở gói chi tiết file malware Hẹn gặp lại bạn! Thiết kế đối chiếu Malware (phần 4) ... sau malware thực thi Một số filemon regmon Tóm tắt Đến nay, vào chi tiết số yếu tố bên trước xem xét thẳng vấn đề thiết kế đối chiếu malware Đơn giản chúng quan trọng Tìm hiểu thiết kế đối chiếu. .. kiến thức Trong phần sau tiếp tục gặp lại với trình mở gói chi tiết file malware Hẹn gặp lại bạn! Thiết kế đối chiếu Malware (phần 4) ... PE website Microsoft hay Google Hệ thống lý thuyết thiết kế đối chiếu công cụ tìm thấy dễ dàng số website OpenRCE Các gói malware Tại file malware lại cần nén nhỏ kích thước lại? Có thực đơn