Thiết kế đối chiếu Malware .Trong các phần trước của bài viết này chúng tôi đã giới thiệu cho các bạn cách nhận và mở một file UPX đã đóng gói. Trong phần tiếp theo này chúng tôi sẽ thực sự xem xét đến một mẫu malware trong định dạng không nén của nó. Trong phần cuối cùng về thiết kế đối chiếu này chúng ta sẽ đi vào xem xét một mẫu malware mở. Có một số mục đích khác nhau cho việc thực hiện thiết kế đối chiếu và cũng có một số phương pháp khác nhau. Tuy nhiên,...
Thiết kế đối chiếu Malware Trong phần trước viết giới thiệu cho bạn cách nhận mở file UPX đóng gói Trong phần chúng tơi thực xem xét đến mẫu malware định dạng khơng nén Trong phần cuối thiết kế đối chiếu vào xem xét mẫu malware mở Có số mục đích khác cho việc thực thiết kế đối chiếu có số phương pháp khác Tuy nhiên, trường hợp thực phân tích malware muốn rút từ phân tích hiểu biết kỹ hơn, sâu mà malware thực số phạm vi khác Chúng ta sử dụng nguyên lý động tĩnh miêu tả phần trước Việc thực reverse engineering để triển khai cho ví dụ hồn tồn khơng có hại Với ví dụ mà bạn thực phân tích chương trình tồn ví dụ Windows XP số chương trình máy chủ FTP khác Những bạn tìm kiếm khác khác Có thể bạn tìm kiếm ví dụ gây việc tràn đệm, vấn đề định dạng chuỗi lỗ hổng mã liên quan tới Để thực điều bạn thực phải toán hạng chương trình Vấn đề nghe khó khăn tốn thời gian ngồi yêu cầu hiểu biết lập trình Để đơn giản với malware vậy, bạn sử dụng phương pháp động tĩnh thiết kế đối chiếu để giải Như bạn thấy, có số lý khác bạn lại muốn thực thiết kế đối chiếu nhiều mục đích khác khác Các cơng cụ cho cơng việc gồm có gỡ rối debugger, disassembler, soạn thảo hex Với cơng cụ hồn tồn bắt tay vào việc phân tích malware mở gói Chúng phải thực nhiều thủ tục, nhiên chúng tơi trình bày cho bạn thơng tin tương đối dễ hiểu Tìm malware Bạn xem phần mà chúng tơi đề cập phần trước cài đặt MAP (Malcode Analyst Pack) từ Idefense Những thực trước tiên phân tích chạy lệnh “strings” từ cơng cụ MAP malware mở gói Tất thứ bạn cần thực kích chuột phải vào malware tùy chọn “strings” hiển thị Kích vào để chọn tùy chọn Khi lệnh thực thi, cửa sổ khác xuất hình Hình Chúng ta nhìn thấy cửa số có số mục đôi với MZ header số phần khác ví dụ text, data idata Cũng liệt kê mớ linh tinh file MD5 kích thước Bây kéo cuộn xuống để nhìn thấy chuỗi đầu mà quan tâm xuất dạng nhị phân Hình Một mục mà tơi thấy cần ý “shlwapi.dll” File dll thực khó hiểu tơi vào Microsoft Technet để tìm kiếm xác định xem có phải malware hay khơng Với danh sách dài lỗ hổng liên quan đến dll chắn malware Hình Sau xem xét xong Chúng tơi tiếp tục kéo cuộn xuống để tìm malware nhị phân Đa số chúng viết, mở, lồng với phím đăng ký Cũng có danh sách dài chuỗi ASCII dường mẫu malware, thực thi xuất người dùng với số kiểu cửa sổ Tôi đưa giả định chuỗi “CreateWindowExA” hình Hình Việc đánh vần chuỗi ASCII dường không rắc rối lắm, thử thông qua Google để xem đưa giải thích tốt Đó tơi làm hình Sự nghi ngờ xác nhận, cửa sổ người dùng malware thực thi Hình Các chuỗi cịn lại gồm có số từ khác cần thiết nhanh chóng phải phát xem chúng có phải malware khơng malware Các hành động thực giai đoạn tĩnh Như bạn có thấy, có số lượng lớn thơng tin tích cóp từ malware nhị phân Từ tĩnh tới động Tơi thực muốn tìm thứ thú vị đến phần cốt lõi vấn đề Điều làm cho tơi chuyển sang tiếp tục nghiên cứu phần động phân tích Bạn phải cài đặt chạy regmon filemon Khi cài đặt chạy phải đảm bảo bạn loại trừ tất thứ chạy tìm thấy hai ứng dụng Điều giúp bạn bắt tất hành động xảy malware phát tác Ở thực đơn giản việc đặt lại tên cho malware với phần mở rộng exe Tôi gọi chúng thông qua cửa sổ lệnh DOS Khi thực điều đó, cửa sổ xuất Bạn có thực thích thú với chuỗi rút từ nhị phân Hình Khi thấy chuỗi ASCII CreateWindowExA sau sử dụng Google, có mục đích Đây phần mã sử dụng để tạo cửa sổ mà nhìn thấy Bây làm với thứ xảy regmon filemon sau gọi malware nhị phân? Hãy quan sát hai cửa sổ phía Hình Hình Như tưởng tượng, malware tạo cụm thay đổi phím đăng kí, viết vào số file số thành phần khác mà liên kết với Để phân tích cách xác cho regmon filemon tốn nhiều thời gian Điều thực việc kiểm tra để thứ bị chèn vào ổ đĩa cứng Hành động cũ với malware, thông thường chúng sử dụng trojan để trình truy cập máy tính Hoặc bạn download Spyware, loại malware khác từ website máy chủ ftp Khơng có thực sự, ghi chép tốt trang bảo mật máy tính Kết luận Trong phần bạn thấy việc thực thiết kế đối chiếu cho nhiều mục đích khơng cần đến nhiều cố gắng phức tạp Tất thứ cần thực xem xét truy cập vào số trang Internet có malware làm để phân tích Qua viết này, chúng tơi hy vọng hữu ích bạn ln mong có phản hồi góp ý bạn vấn đề ... Trong phần thực xem xét đến mẫu malware định dạng khơng nén Trong phần cuối thiết kế đối chiếu vào xem xét mẫu malware mở Có số mục đích khác cho việc thực thiết kế đối chiếu có số phương pháp khác... biết lập trình Để đơn giản với malware vậy, bạn sử dụng phương pháp động tĩnh thiết kế đối chiếu để giải Như bạn thấy, có số lý khác bạn lại muốn thực thiết kế đối chiếu nhiều mục đích khác khác... máy tính Kết luận Trong phần bạn thấy việc thực thiết kế đối chiếu cho nhiều mục đích khơng cần đến q nhiều cố gắng phức tạp Tất thứ cần thực xem xét truy cập vào số trang Internet có malware