Giáo trình Mã độc: Phần 2

THÔNG TIN TÀI LIỆU

tiếp nối phần 1, nội dung của giáo trình Mã độc phần 2 gồm các chương: chương 4 - các kỹ thuật phân tích tĩnh: kỹ thuật phân tích tĩnh ứng dụng vào việc phân tích mã độc; chương 5 - các kỹ thuật phân tích động: kỹ thuật phân tích động ứng dụng vào việc phân tích mã độc. Mời các bạn tham khảo tài liệu!

Chương CÁC KỸ THUẬT PHÂN TÍCH TĨNH Trong chương trước giáo trình trình bày quy trình phân tích mã độc, quy trình phân tích có mơ tả phương pháp sử dụng để phân tích mã Chương giúp sinh viên hiểu rõ phương pháp phân tích tĩnh Trước phân tích sinh viên cần cách xây dựng môi trường hỗ trợ cơng việc phân tích 4.1 Xây dựng mơi trường phân tích tĩnh Xây dựng mơi trường phân tích mã độc công việc quan trọng Như biết mã độc tiềm ẩn hành vi nghi ngờ dễ lây lan Việc xây dựng mơi trường phân tích mã phù hợp an toàn việc cần thiết Để tạo mơi trường an tồn phân tích mã độc hại, phương pháp phân tích tĩnh để phân tích mã độc hại người ta dùng cách: - Xây dựng môi trường ảo để phân tích mã độc - Xây dựng mơi trường thật để phân tích mã độc 4.1.1 Xây dựng mơi trường ảo Việc xây dựng môi trường ảo đảm bảo cho loại mã độc hại không phá hoại hệ thống máy tính thật Các phần mềm để xây dựng mơi trường ảo Vmware workstation, virtualbox… Ở lựa chọn xây dựng mơi trường phân tích với VM workstation Phương án xây dựng sau: - Một máy tính thật cài Windows - Trên Win cài đặt máy ảo Vmware, máy ảo cài đặt Windows XP( môi trường để chạy malware thực phân tích) - Cài đặt mạng phù hợp với việc phân tích - Cài tool cần thiết phục vụ việc phân tích Thực việc cài đặt Vmware cho memory ( 515 mb) Hard Disk ( 10Gb), sau thực cài đặt xong, tùy thuộc vào loại mã độc hại để cài cấu hình mạng 125 Hình 4-1: Chọn cấu hình mạng Sau cài đặt xong, Vmware tạo nên card mạng Vmware Vmware máy thật máy thật sử dụng card mạng để kết nối với máy ảo lựa chon cấu hình mạng cho máy ảo ta chọn chế độ sau: Bridged networking: Card mạng máy ảo gắn trực tiếp với card mạng máy thật (sử dụng switch ảo VMnet0) Lúc này, máy ảo đóng vai trị máy mạng thật, nhận DHCP từ mạng ngồi, đặt IP tĩnh dải với mạng để giao tiếp với máy mạng lên Internet NAT: Máy ảo cấu hình NAT sử dụng IP máy thật để giao tiếp với mạng Các máy ảo cấp địa IP nhờ DHCP ảo VMware Lúc này, máy ảo kết nối với máy thật qua switch ảo VMnet8, máy thật đóng vai trị NAT server cho máy ảo Host-only Networking: Khi cấu hình máy ảo sử dụng host-only networking, máy ảo kết nối với máy thật mạng riêng thông qua Switch ảo VMnet1 Địa máy ảo máy thật mạng host-only cấp DHCP ảo gắn liền với Switch ảo Vmnet1 đặt địa IP tĩnh dải để kết nối với Ta chủ yếu dùng loại để cấu hình phân tích 126 Hình 4-2: Host- only Networking Sau cấu hình mạng xong, ta nên tạo take snapshot lại bảng Snapshot giúp restore lại trạng thái làm việc Để sau lần phân tích ta lại có máy mà khơng cần phải cài lại Ta cần vào snapshot, chạy lại snapshot ban đầu mà chưa cho vào phân tích Hình 4-3: Tạo snapshot Sau cài xong Vmware, ta cài hệ điều hành Xp lên đó, cài đặt công cụ lên để giám sát thay đổi tác động chương trình nên hệ thống thực thi Một số công cụ cần thiết cho mơi trường phân tích tĩnh sau: 127 4.1.1 Công cụ Peid Là công cụ phát xem file viết ngơn ngữ Ngồi cơng cụ cần thiết xem file có bị nén (pack) hay khơng? Nếu bị nén (pack) người phân tích cần phải tìm cách giải nén (unpack file) phù hợp Hình 4-4: Phần mềm Peid Như hình thấy chương trình Peid nhận mã nguồn chương trình Keylog1.exe viết Borland Delphi 6.0-7.0 4.1.2 Dependency Walker http://www.dependencywalker.com/ Là cơng cụ để tìm file Dll hàm import mã độc hại Chương trình sử dụng x86, x64 xây dựng theo sơ đồ phân cấp tất file Dll nạp vào nhớ phần mềm độc hại chạy 128 Hình 4-5: Dependency Walker Là công cụ sử dụng thực việc unpack, sau dump debugged process ta có file (.exe),người phân tích cần phải sử dụng cơng cụ để fix lại bảng IAT tay tự động fix Hình 4-6 ImportREC 4.1.3 Cơng cụ PE Đây cơng cụ có đầy đủ chức để làm việc với file PE/PE+( 64 bit) Bao gồm Task Viewer( dump full, process dump…), PE Sniffer(tìm trình biên dịch, packer ) , PE Editor( xem chỉnh sửa bảng import 129 export, sửa CRC ), PE Rebuilder( Thay đổi địa sở PE tập tin ) Hình 4-7 PE Tools 4.1.4 Công cụ HexEditor Hex Editor hồn chỉnh cơng cụ phát triển hệ thập lục phân cho Microsoft windows Nó tích hợp tiên tiến chỉnh sửa giải thích liệu nhị phân, với cách nhìn trực quan, xử lí linh hoạt tiến trình Với hex editor người phân tích chỉnh sửa, cắt, chép, dán, chèn, xóa liệu nhị phân Hình 4-8 HexEditor 4.1.5 IDA pro 4.1.5.1 Giới thiệu chung: IDA Pro công cụ sử dụng rộng rãi để phân tích phần mềm độc hại IDA pro giúp dịch ngược mã độc hại đoạn mã 130 assembly Nó cơng cụ dễ đọc, trực quan tiện dụng với nhiều chức mà việc sử dụng IDA Pro phức tạp kèm với IDA ta cài đặt thêm nhiều plugin Bindiff, Hex-Rays Decompiler Đây hai plugin hỗ trợ đắc lực cho IDA giúp so sánh biến thể phần mềm độc hại, xác định chức biến thể cho biết có chức tương tự bị Hình 4-9: IDA pro Có loại mã độc hại khơng debug hay phân tích bình thường mà phải sử dụng chương trình Decomplier dành riên cho chúng Vì ta cài đặt thêm số công cụ phục vụ cho việc phân tích sau 4.1.5.2 Các chức Sau người phân tích đưa file cần phân tích vào, chương trình lên hộp thoại bên có chứa định dạng file chọn PE( pe.ldw) để làm việc Trong Option tùy chọn IDA tự phân tích file vào cho hiển thị cửa sổ Sau nhấn OK để vào giao diện để làm việc Giao diện việc IDA gồm có cửa sổ: 131 Hình 4-10 Giao diện làm việc IDA pro (1) Toobar chứa công cụ sử dụng hoạt động IDA, để thực chức ta nhấp vào biểu tượng (2) Navigation band nơi vào khỏi địa cách nhấp chuột di chuyển cách điều chỉnh theo hướng mũi tên màu vàng Mỗi màu sắc cửa sổ thể vùng liệu mà ta làm việc (3) Tabs có chứa cửa sổ nhỏ thơng tin chi tiết file đối tượng, việc phân tích phụ thuộc vào tabs Gồm có IDA View-A, Hex View-A, Struct, Enums, Imports,Exports, String (4)Disassembly hiển thị liệu để phân tích theo loại text graph (5)Graph overview đồ thị thu nhỏ mô tả cấu trúc liệu Màn hình chữ nhật chấm nhỏ cho thấy hình hiển thị vị trí làm việc 132 (6) Output window nhận thông tin, tin nhắn từ IDA sau load file xong (7) Function window cửa sổ thị tất hàm API địa tìm thấy q trình phân tích IDA Text view hình hiển thị kiểu text trình bày tồn công việc disassembler cung cấp địa để xem liệu thuộc vùng Hình 4-11: Cửa sổ IDA view (1) Các mũi tên thể nơi nhảy đến khối đoạn mã nhận vòng lặp nhỏ (2) Hiện địa Virtual Address (3) Các vị trí so sánh để đánh dấu nhảy biến tham chiếu stack (4) Code chương trình disassembled (5) Code tham chiếu hiển thị điểm đến truy cập, nhấp đúp vào đưa ta đến đoạn mã, hàm gọi nhảy lên phía Hoặc để nhảy đến vị trí tham chiếu khác ta nhấp chuột phải->jump to cross reference 133 Fucntion Window hiển thị hàm nhận định IDA Hình 4-12: Cửa sổ Function Bằng cách nhấp chuột enter ta di chuyển đc đến hàm cửa sổ disassembly Ta nhìn thấy bên function window gồm có function name, segment, start, length, R( return hàm trả gọi),F ( far),L (libarary), S (static), B( BP tham chiếu đến biến cục bộ),T ( type thông tin) String Window cửa sổ hiển thị thông tin tất chuỗi xuất file thực thi Cửa sổ thị chi tiết địa chỉ, độ dài, kiểu, tên chuỗi Ta truy cập đến chuỗi cách nhấn đúp chuột di chuyển đến cửa sổ Disassembly để thực Import window cửa sổ hiển thị chi tiết địa chỉ, tên hàm import thư viện chứa hàm import Đây cửa sổ quan trọng ta thấy chương trình sử dụng DLL khác chức hàm gọi đọc, viết registry Tại ta thập thơng tin hàm import mà mã độc hại hay dùng để chèn vào với mục đích xấu lấy cắp thơng tin, theo dõi … Hình 4-13: Cửa sổ Import Export window cửa sổ liệt kê entrypoint tập tin Trong cửa sổ gồm có liệt kê theo tên, địa ảo thứ tự( có) Đối với file thực thi export window cần phải chứa entry point địa điểm đầu vào lúc thực thi 134 Là ứng dụng chạy thời gian thực tự động phân tích mã độc hại sinh log khía cạnh khác hệ thống, tiến trình xảy Nó thiết kế phép nhanh chóng sinh báo cáo tồn diện hành vi mã độc hại lên hệ thống SysAnalyzer tự động theo dõi so sánh: - Các tiến trình chạy Các cổng dịch vụ mở Các drivers hệ thống dùng Các thư viện thêm vào hệ thống Các giá trị registry bị thay đổi Các hàm API gọi mã độc hại Các file hệ thống bị sửa đổi Thông tin luồng traffic HTTP, IRC, DNS 5.2.2 Process Explorer http://technet.microsoft.com/en-us/sysinternals/bb896653 Hình 5-10: Process Explorer Proces Explorer phần mềm miễn phí cho Microsoft Windows Sysinternals tạo ra, tập đoàn Microsoft mua lại 186 Process Explorer tiện ích theo dõi kiểm tra hệ thống, sử dụng cơng cụ gỡ rối cho phần mềm vấn đề phát sinh hệ thống Có thể dùng tiện ích thay task manager Windows Process Explorer sử dụng để theo dõi vấn đề Ví dụ như, xem tiến trình chạy, theo dõi tệp tin mở chương trình, dịng lệnh sử dụng để khởi động chương trình Process Explorer hiển thị cho bạn thơng tin tiến trình, xử lý DLLs Nó gồm cửa sổ, cửa sổ thể danh sách tiến trình hoạt động, bao gồm tên chúng tài khoản chạy chung Trong thông tin hiển thị cửa số phía phụ thuộc vào chế độ mà Process Explorer chạy Nếu process Explorer chạy chế độ dll mode bạn thấy dlls memory-mapped files tiến trình tải Đây cơng cụ mạnh nhanh chóng giúp bạn nhanh chóng tìm kiếm xem tiến trình cụ thể file dll tương ứng chạy Nó có khả xem xét vấn đề phiên dll cũ, cung cấp nhìn rõ cách windows ứng dụng làm việc Nó dùng Task Manager để quản lý tài khoản chương trình chiếm dụng, thiết lập mức độ ưu tiên tiến trình Hiện Process Explorer làm việc Windows 9x/Me, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows bao gồm phiên 64 bit 5.2.3 Regshot Regshot tiện ích nhỏ để bạn so sánh thông tin registry lần trước chạy mã độc hại sau chạy mã độc hại Nó ghi lại thơng tin bị thay đổi thay đổi http://sourceforge.net/projects/regshot/ 187 Hình 5-11: Regshot - 1st shot: Chụp Registry lần thứ (chụp trước cài đặt mã độc hại có thay đổi hệ thống) - Plain TXT: Bản báo cáo so sánh kết chụp Registry xuất dạng TEXT - HTML document: Bản báo cáo so sánh kết chụp Registry xuất dạng HTML - Scan dir1[ ; dir2 ; ; dir nn ]: Chọn thư mục muốn chụp, mặc định C:\WINDOWS Nếu chọn thêm cách dấu ";" Ở C:\Users\KHANGK~1\AppData\Local\Temp\ - Output path: Đuờng dẫn chứa báo cáo so sánh kết chụp Registry - Để chụp lần thứ 1, ta click vào nút 1st shot có lựa chọn: ▪ Shot: Thực chụp Registry ▪ Shot and Save: Chụp Registry lưu lại lần chụp thành tập tin với phần mở rộng hiv ▪ Load : mở tập tin hiv (đã chụp thời điểm trước đó) - Sau hệ thống có thay đổi, cài đặt phần mềm ta thực lần chụp thứ 2, có lựa chọn giai đoạn - Sau lần chụp thứ thực hiện, click chọn nút compare để xem kết 5.2.4 HijackThis HijackThis tiện ích miễn phí dùng để quét thay đổi Windows Spyware, Malware, chương trình lạ cách nhanh chóng xác HijackThis tạo file log chứa kết việc quét cách rõ ràng, dựa vào log file ta phân tích, tìm hướng giả cách rõ ràng http://www.spywareinfo.com/~merijn/files/hijackthis.zip 188 Hình 5-12: HijackThis 5.2.5 TCPView TCPView chương trình cho phép bạn nhìn thấy kết nối TCP UDP máy bạn Nó thể địa cục máy bạn địa ip khác, cịn có thơng tin trang thái kết nối TCP Cách sử dụng TCPView: - Khi bạn khởi động TCPView hiển thị toàn kết nối TCP, UDP - Theo mặc định TCPView update giây lần, bạn sử dụng Options Refresh Rate để thay đổi Ban đống kết nối trang thái Established cách lựa chọn File Close connection Bạn ghi lại thơng tin kết nối thành báo cáo dạng log file để phân tích - TCPView cịn bao gồm Tcpvcon, phiên dòng lệnh với chức tương tự http://technet.microsoft.com/en-us/sysinternals/bb897437 189 Hình 5-13: TCPView 5.2.6 Wireshark Wireshark Là chương trình bắt gói tin tiếng để ta nắm hành động malware Xem kết nối ngồi Wireshark hỗ trợ với nhiều giao thức khác nhau, phát triển mơ hình mã nguồn mở nên thêm vào giao thức Nó cơng cụ miễn phí dễ dùng người hỗ trợ hầu hết hệ diều hành http://www.wireshark.org/download.html 190 Hình 5-14: Wireshark 5.2.7 Svchost Process Analyzer Svchost.exe tiến trình quan trọng Windows, chịu trách nhiệm chạy load thư viện liên kết động ( dlls ) để khởi động dịch vụ cần thiết cho hệ thống Thơng thường file svchost.exe nằm thư mục C:\Windows\System32, có nhiều mã độc hại sử dụng tên file tên tiến trình svchost.exe để ẩn hoạt động chúng Chương trình liệt kết tồn thể tiến trình svchost.exe kiểm tra dịch vụ mà nắm xem cho xác khơng Đây phần mềm tự http://209.68.25.184/free/svchostanalyzer/index.html 191 Hình 5-15: Svchost Process Analyzer 5.2.8 Autoruns http://technet.microsoft.com/en-us/sysinternals/bb963902 AutoRuns giúp bạn quản lí cách tồn diện vị trí mà chương trình khởi động với Windows, đưa cho bạn tồn quyền xử lí chúng Autoruns liệt kê cho bạn chi tiết thông tin chương trình đó, xếp chúng theo phân mục Registry Key, Logon, Explorer, Services, Schedule Tasks, Winsocks… Ngoài tên vị trí chương trình, bạn cịn xem module DLL mà chương trình nạp vào nhớ Với chức đó, Autoruns giúp bạn phát virus, trojan hay spyware có hại nằm ẩn máy tính bạn dùng Autoruns để tắt bớt chương trình khơng cần thiết khởi động Để xóa bỏ chương trình danh sách, khơng cho khởi động Windows, bạn đơn giản bỏ đánh dấu tương ứng Muốn xem thêm thơng tin chi tiết nhấn vào nút Properties công cụ 192 Hình 5-16 Autoruns 5.3 Các bước phân tích kỹ thuật quan sát hành vi B1 Đầu tiên bật chương trình Process Explorer B2 Bật chương trình bắt gói tin wireshark B3 Khởi động chương trình SysAnalyzer B4 Khởi động chương trình Regshot chạy lấy thơng tin registry thời hệ thống lần B5 Load mã độc hại vào chương trình Sysanalyzer để chạy mã độc hại B6 Chạy tiếp chương trình Regshot để so sánh thông tin registry thay đổi ? B7 Kiểm tra chương trình Process Explorer, Svchost Process Analyzer B8 Kiểu tra chương trình Wireshark TCPView để xem thơng tin kết nối Sau tồn bước thu thông tin hành vi mã độc hại sau : Về thuộc tính mã độc hại : Tên mã độc hại, kích thước, kiểu mã độc hại (virus, trojan, worm ) tem thời gian Thông tin checksum (MD5, SHA1) 193 Về hành vi mã độc hại : Nó làm hệ thống thơng qua kết report ta quan sát 5.4 Phân tích trường hợp cụ thể Phân tích mẫu 10M-109.EXE File name: 10M-109.EXE Submission date: 2011-10-05 22:19:41 (UTC) Current status: finished Result: 36 /43 (83.7%) 194 195 Tiếp theo người phân tích tiến hành khởi động regshot, ProcessExplorer, HijackThis, Wireshark lên Người phân tích tiến hành “Shot” Regshot trước chạy 10M-109.EXE Sau tiến hành chạy file 10M-109.EXE Sau chạy xuất bảng Người phân tích phán đốn phần để upload file video Tơi thử chọn file video máy hiển thị Người phân tích tiếp tục tiến hành phân tích xuất log file Reshot HijackThis Log HijackThí có dịng “C:\10M-109.EXE” đáng ý Log Regshot có nhiều thứ 196 “HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSave MRU\log\MRUList: "a" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSave MRU\wma\a: "C:\Documents and Settings\All Users\Documents\My Music\Sample Music\Beethoven's Symphony No (Scherzo).wma" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSave MRU\wma\MRUList: "a" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\OpenWi thList\a: "10M-109.EXE" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\OpenWi thList\MRUList: "a" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.log\OpenWit hList\a: "NOTEPAD.EXE" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.log\OpenWit hList\MRUList: "a"” Và đặc biệt là: “HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D2 1-E2AC-46D6-A93C-4AC84E219400}\DhcpNameServer: "192.168.245.2" HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D21 -E2AC-46D6-A93C-4AC84E219400}\DhcpNameServer: "192.168.91.2" HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D21 -E2AC-46D6-A93C-4AC84E219400}\DhcpDefaultGateway: '192.168.245.2' HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D21 -E2AC-46D6-A93C-4AC84E219400}\DhcpDefaultGateway: '192.168.91.2' HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpIPAddress: "192.168.245.128" HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpIPAddress: "192.168.91.130" HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpServer: "192.168.245.254" HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpServer: "192.168.91.254"” Quan sát dòng log thấy dường Địa IP Default Gateway máy tính bị đổi, Người phân tích bật cửa sổ cmd lên để kiểm tra IP máy dự đốn địa IP máy tính bị đổi 197 IP trước chạy 10M-109.EXE Người phân tích lại tiếp tục quan sát ProcessExplorer thấy có chương trình lạ chạy dfhbt3y.exe Người phân tích bật cửa sổ cmd lên sử dụng lệnh “tasklist/svc” thấy ngồi chương trình cịn có “mbkfvo8.exe” Khi theo đường dẫn để tìm đến “dfhbt3y.exe” thấy có file “aeuqifjyx4.exe” thư mục Administrator Từ thấy ba file sinh từ 10M-109.EXE Để thấy rõ cần phải phân tích thêm Wireshark tiến trình svchost.exe Có thể sử dụng kết hợp nhiều phương pháp phân tích tĩnh để tiếp tục cơng việc Trên ví dụ cụ thể phân tich mã độc sử dụng phương pháp phân tích động 198 TÀI LIỆU THAM KHẢO [1] Michael Sikorski and Andrew Honig, Practical Malware Analysis, No Starch Press, 2012 [2] Charles Hornat, Malware Analysis: An Introduction, SAN Institute, 2007 [3] Linda Wills, Philip Newcomb, Revere Engineering, KLUWER ACADEMIC PUBLISHERS, 2012 [4] Cameron H Malin, Eoghan Casey and James M Aquilina Malware Forensics Field Guide for Windows Systems edition 1, Syngress, 2012 [5] Christopher Elisan, Malware, Rootkits & Botnets A Beginner's Guide, McGraw-Hill Osborne Media, 2012 [6] Ed Skoudis and Lenny Zeltser, Fighting Malicious Code, Prentice Hall, 2003 [7] Cameron H Malin, Eoghan Casey and James M Aquilina, Malware Forensics: Investigating and Analyzing Malicious Code, Syngress, 2008 [8] Christopher Elisan, Malware, Rootkits & Botnets A Beginner's Guide, McGraw-Hill Osborne Media, 2012 [9] Eldad Eilam, Reversing: Secrets of Reverse Engineering, Wiley; edition, 2005 199 PHỤ LỤC 200 ... sau: SHA256: c09b262b940d22c7f0b6956aee0949a640db66616bf70e4cdf6b1e7eae068 28 File name: conf4.exe Detection ratio: 25 / 44 Analysis date: 20 12- 11-04 File Spy/ Bot Net bị 25 /44 trình diệt virus... Lần lượt check hàm giải mã ta lấy hết chuỗi cần giải mã: 166 Hình 4- 51: Kiểm tra hàm giả mã để lấy chuỗi cần giải mã Dùng chuỗi vừa giải mã filename: Hình 4- 52: Giải mã tên file dùng tên đăng... virus virus total xác định https://www.virustotal.com/file/1c09b262b940d22c7f0b6956aee0949 a640db66616bf70e4cdf6b1e7eae06 828 /analysis/13 520 17991/ Thử tìm kiếm với Hash file google không thu kết cả,

Ngày đăng: 02/10/2021, 08:40

Xem thêm: