2. CHƯƠNG 2: CÁC KỸ THUẬT VƯỢT QUA CÁC CHƯƠNG TRÌNH
2.2.2. Kỹ thuật phát hiện môi trường thực thi máy ảo
Khác với môi trường thực thi hộp cát, môi trường thực thi máy ảo cung cấp đầy đủ các tài nguyên như hệ thống thật và khó phát hiện hơn. Tuy nhiên mã độc cũng vẫn có những phương pháp để phát hiện được môi trường thực thi máy ảo. Sau đây là chi tiết một số phương pháp mà mã độc thường sử dụng để phát hiện môi trường thực thi máy ảo:
- Kiểm tra các cổng ảo và từ khóa ảo đặc trưng (hypervisor port and magic DWORD)
Do các hệ thống máy ảo đều sử dụng các cổng ảo (không thể có cổng thật), nên mã độc có thể kiểm tra sự tồn tại của các cổng ảo để phát hiện môi trường thực thi ảo. Hình 2.18 mô tả đoạn mã mà mã độc sử dụng phổ biến để phát hiện môi trường thực thi máy ảo “VMware”:
Hình 2.18: Kiểm tra cổng ảo và từ khóa ảo đặc trưng để phát hiện môi trường máy ảo “VMware”
Ngoài phương pháp phổ biến trên, còn có nhiều kỹ thuật tinh vi khác được sử dụng để phát hiện môi trường máy ảo. Sau khi phát hiện môi trường thực thi ảo, mã độc sẽ không tiến hành các hành vi độc hại mà sẽ ngừng thực thi
hoặc chỉ tiến hành các hành vi như chương trình lành tính để không bị phát hiện là chương trình độc hại.
Hiện nay mã độc sử dụng cùng một lúc rất nhiều các kỹ thuật để có thể vượt qua được các chương trình phát hiện mã độc hiện nay. Sử dụng các kỹ thuật này mã độc còn gây ra rất nhiều khó khăn cho các chuyên gia để phân tích mã độc. Trong chương ba, tác giả khảo sát hành vi tự sao chép của mã độc và các chương trình lành tính trên hệ điều hành Windows 7. Đây là hệ điều hành sử dụng phổ biến và sẽ thay thế hệ điều hành được sử dụng nhất hiện này là Windows XP. Tác giả xây dựng phương pháp phát hiện hành vi tự sao chép của mã độc mà không bị “gây rối” bởi các kỹ thuật mà mã độc sử dụng. Tác giả xây dựng chương trình mô phỏng và trình bày kết quả thực nghiệm.