2. CHƯƠNG 2: CÁC KỸ THUẬT VƯỢT QUA CÁC CHƯƠNG TRÌNH
2.2. Kỹ thuật phát hiện môi trường ảo
Kỹ thuật này thường được mã độc sử dụng để phát hiện môi trường ảo để đánh lừa các chương trình diệt mã độc. Khi được thực thi, mã độc sẽ kiểm tra môi trường thực thi đó là môi trường gì. Nếu phát hiện môi trường thực thi là môi trường ảo thì mã độc sẽ thực hiện các hành vi bình thường, như là các chương trình lành tính. Qua đó có thể vượt qua được các phần mềm diệt mã độc. Mã độc chỉ thực hiện các hành vi độc hại khi nhận biết được môi trường thực hiện là môi trường thực. Bảng 2.1 tổng hợp các phương pháp phổ biến dùng để phát hiện môi trường thực thi ảo:
Phương pháp Khả năng phát hiện môi trường
máy ảo
Khả năng phát hiện môi trường
hộp cát
Chỉ lệnh CP (sidt, sgdt, sldt…) + -
Tên tài khoản/Tên máy - +
Các tiến trình đang thực thi + +
Các dịch vụ đang thực thi + +
Các thư viện được tải lên bộ nhớ + +
Tiến trình điều khiển thiết bị và các thiết bị
+ +
Khóa Resistry và giá trị của khóa + +
Các tập tin và đường dẫn + +
Tên của các đối tường: thiết bị, sự kiện...
+ +
Yêu cầu IOCTL + -
Thông tin phần cứng: số định danh ổ đĩa, kích thước ổ đĩa, địa chỉ MAC …
+ -
Phát hiện những hàm hệ thống bị thay đổi
- +
+ có thể sử dụng để phát hiện - không sử dụng để phát hiện
Bảng 2.1: Tổng hợp một số phương pháp phổ biến dùng để phát hiện môi trường thực thi ảo
Hai mục sau trình bày chi tiết một số phương pháp dùng để phát hiện môi trường thực thi ảo.