Thực hiện tiến hành thử nghiệm một số phương pháp tracking Botnet cũ14 cho ta thấy ưu và nhược điểm của các phương pháp này:
Thử nghiệm được tiến hành là: theo dõi một số mẫu Bot được thực thi lên trong các môi trường được đề xuất và đánh giá. Riêng hai phương pháp cuối do không đủ điều khiển môi trường triển khai nên em thực hiện phân tích, đánh giá qua các tài liệu hỗ trợ có liên qua.
Phương pháp
Tracking Ưu điểm Nhược điểm Chú thích
Sử dụng máy thật Dễ triển khai, cấu hình, không yêu cầu phức tạp
Vấn đề chi phí xây dựng và thiệt hại do Botnet gây ra trên máy tính thật là khó khắc phục. Sử dụng một máy tính thật có cài đặt các công cụ hỗ trợ theo dõi. Sử dụng các máy ảo (Virtual Machines) - Có thể sử dụng Snapshot15 để khôi phục nhanh môi trường, nhờ đó khắc phục được vấn đề thiệt hại. - Giảm thiểu chi phí với phương pháp sử dụng máy thật ở trên.
- Thường xuyên bị các Bot phát hiện môi trường ảo và thi hành các biện pháp chống phá (không thực thi, đưa ra các câu lệnh giả mạo, …).
- Thường gặp trục trặc về bộ nhớ khi thực hiện nhiều máy ảo song song (đặc biệt là với Oracle Virtual Box).
Thử nghiệm với hai phần mềm tạo máy ảo VMWare,
Oracle VirtualBox.
Sử dụng WineBot - Tối thiểu hóa chi phí cài đặt (các phần mềm sử dụng là Opensource), môi trường triển khai an toàn. - Giới hạn về bộ thư viện hỗ trợ (Windows API). - Khó thao tác và cài đặt. Thử nghiệm với WineBot được cài đặt trên hệ điều hành Ubuntu 9.04 và Ubuntu 10.04
Sử dụng BotSpy - Hỗ trợ nhiều thao
tác gần với việc - Giới hạn kiểu kếtnối (pull-connection) Đánh giá dựatrên những báo
14 Các phương pháp này được mô tả ở mục 1.4 của đồ án.
theo dõi Botnet như (ghi log, cơ sở
dữ liệu …) - Chưa hỗ trợ đượcnhững giao tiếp có mã hóa thông tin của các Bot.
- Cần có bước “tiền xử lý” mẫu trước (xác định các thông tin giao tiếp).
cáo và tài liệu liên quan[2][5]. Sử dụng RuBot Framework - Nghiên cứu OpenSource được thiết kế bằng Rubi, hỗ trợ nhiều phương thức giả lập lại Bot. - Được cài đặt bằng ngôn ngữ Rubi – là ngôn ngữ lập trình ít phổ biến ở nước ta. - Chủ yếu là hỗ trợ mô phỏng Bot cho mục đích nghiên cứu, khó đáp ứng được nhu cầu thực tế.
Đánh giá dựa trên tài liệu liên quan[1].
Bảng 1: So sánh các giải pháp Tracking Botnet trước đây
Dựa vào bảng phân tích, đánh giá trên, chúng ta có thể thấy mỗi phương pháp đều có ưu và nhược điểm riêng. Tuy nhiên, trong một số hoàn cảnh cụ thể chúng ta vẫn có thể sử dụng được một số phương pháp để đáp ứng nhu cầu thực tế. Cụ thể ở đây, hai phương pháp “Sử dụng máy thật” và “Sử dụng các máy ảo” vẫn có thể được sử dụng trong quá trình phân tích và tiền xử lý các mẫu malware sau này.