Hệ thống phân tích mã độc hại cơ bản do chúng tôi xây dựng bao gồm 2 máy tính (1 máy thật làm giả lập Internet, 1 máy ảo để phân tích). Trong đó, máy thật cài phần mềm InetSim để giả lập môi trƣờng Internet (DNS, WebServer,IRC server...). Máy ảo để phân tích mã độc hại.[2]
Hệ thống phân tích mã độc hại này đƣợc xây dựng dựa trên hệ thống phân tích thông thƣờng, tuy nhiên các bƣớc phân tích ở trên đƣợc tự động hóa bằng các script kịch bản.
Bƣớc 1: Đầu tiên ngƣời dùng vào Website phân tích mã độc hại khai báo thông tin về email, thông tin sơ lƣợc về mã độc hại, và upload file nghi ngờ là mã độc hại lên site.
Bƣớc 2: Thông tin ngƣời dùng sẽ đƣợc gửi đến server và lƣu lại, còn file nghi ngờ sẽ đƣợc đƣa vào hàng đợi để chờ tới lƣợt xử lý. Có một môđun sẽ kiểm tra trạng thái và tiến trình của hệ thống, nếu tiến trình đang chạy thì sẽ chƣa cho phép chạy file đó.
Bƣớc 3: Khi file đƣa vào trong hệ thống sẽ đƣợc đƣa vào trong máy ảo, ở đó có cài các phần mềm tự động phân tích đƣợc điều khiển bởi 1 script viết bằng AutoIT, các hành vi của file này sẽ đƣợc ghi lại và sinh ra các log file để đƣa ra ngoài máy ảo.
Bƣớc 4: Các log file này sẽ đƣợc một môđun phân tích trích xuất thông tin thành dạng dễ đọc hiểu.
Bƣớc 5: Thông tin đƣợc gửi trở lại website, lúc này sẽ có một môđun khác gửi kết quả phân tích file lên website.
Bƣớc 6: Sau khi thực hiện xong hệ thống lại tự kiểm tra xem có file mẫu mã độc nào nằm trong hàng đợi không, nếu có lại tự động xử lý tiếp, quay lại từ bƣớc 1. Quá trình cứ tiếp diễn nhƣ vậy.
Thành phần hệ thống
Hệ thống cho phép ngƣời dùng có thể gửi mẫu mã độc hại lên đến hệ thống. Mẫu mã độc sau khi đƣợc phân tích sẽ gửi trả kết quả lại cho ngƣời dùng qua website và email do ngƣời dùng khai báo. Vì vậy hệ thống sẽ gồm 2 thành phần chính.
+ Front- end (phần phía trƣớc) là một website làm nhiệm vụ nhận các mẫu mã độc của ngƣời dùng gửi vào hệ thống, đƣa kết quả đã phân tích lại cho ngƣời dùng.
Hệ thống sẽ phân tích lần lƣợt quét các hàng đợi dựa theo ƣu tiên. Khi hết mẫu yêu cầu hệ điều hành ƣu tiên sẽ chuyển sang các hệ điều hành khác. Khi hết mẫu cần phân tích hệ thống phân tích chuyển sang trạng thái nghỉ chờ mẫu của ngƣời dùng. Phần Webiste này đƣợc viết bằng PHP.
+ Back- end (phần phía sau) là phần hệ thống phía sau do nhà quản trị cấu hình với mục đích tự động phân tích mã độc hại, sau khi đã có kết quả phân tích của mẫu sẽ gửi kết quả lại cho ngƣời dùng bằng email cho ngƣời dùng đã khai báo và gửi thông tin công bố trên Website.
- Xây dựng hệ thống phía sau, phần này chịu trách nhiệm phân tích mẫu khi nhận đƣợc từ phía ngƣời dùng.
Nhiệm vụ của chƣơng trình diệt mã độc là sơm đƣa ra bằng chứng xuất hiện nếu có của một loại mã độc đã biết. Vấn đề này chỉ có thể giải quyết bằng tiếp cận chuỗi mã ở giai đoạn tiền xử lý.