Nhƣ chúng ta biết, trang web VirusTotal sẽ sử dụng một số dịch vụ online của các hãng bảo mật: Kaspersky, AVG, Symatic, … Chƣơng trình phân tích và phát hiện mã độc của tôi có tích hợp API của dịch vụ Virustotal, tuy nhiên có những cải tiến hơn:
- Việc tính giá trị hash của file đƣợc tính trực tiếp trên máy, chính vì thế tốc độ tính toán nhanh hơn so với việc là các file tải lên VirusTotal phải nằm trong hàng đợi để tính hash.
- Xử lí kích thƣớc file có dung lƣợng trên 100Mb Quá trình xử lý file nhƣ sau:
Khi đƣa file vào, chƣơng trình sẽ tiến hành tính toán giá trị băm của file
publicstring convertir_md5(string text)
{
MD5 convertirmd5 = MD5.Create(); byte[] infovalor =
convertirmd5.ComputeHash(Encoding.Default.GetBytes(text)); StringBuilder guardar = newStringBuilder();
{
guardar.Append(infovalor[numnow].ToString("x2")); }
return guardar.ToString(); }
publicstring md5file(string file) {
string code = "";
try
{
var gen = MD5.Create(); var ar = File.OpenRead(file); code = BitConverter.ToString(gen.ComputeHash(ar)).Replace("-", "").ToLower(); } catch { code = "Error"; }
return code; }
- Lấy địa chỉ IP của máy, bởi vì khi ta gửi giá trị hàm băm của file lên các services thì cần thông báo với các service thông tin của host.
publicstring getip(string host)
{
string code = ""; try
{
IPAddress[] find = Dns.GetHostAddresses(host); code = find[0].ToString(); } catch { code = "Error"; } return code; }
- Giá trị băm của file sau đó sẽ đƣợc hàm upload đƣa lên trên các service để so sánh
publicstring upload(string link, string archivo)
{
try
{
WebClient nave = newWebClient();
nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0"; byte[] codedos = nave.UploadFile(link, "POST", archivo);
code = System.Text.Encoding.UTF8.GetString(codedos, 0, codedos.Length);
- Sau khi có kết quả đối sánh với các services, thì ta dùng hàm dowload để tải kết
quả về và hiển thị trên listbox
publicstring download(string url, string savename)
{
String code = "";
WebClient nave = newWebClient();
nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0";
try
{
code = "OK"; } catch { code = "Error"; } return code; }
Kết quả thông báo: với trình diệt mã độc sẽ báo kết quả đó là mã độc gì
Hình 3.3 Bảng kết quả
Để có thêm nhiều thông tin hơn về file, chúng ta lấy thêm các thông tin nhƣ: hệ điều hành,
publicstring getos()
{
try
{
System.OperatingSystem os = System.Environment.OSVersion;
code = Convert.ToString(os); } catch { code = "?"; } return code; }
Hình 3.4 Bảng thông tin chi tiết Chạy thử nghiệm chƣơng trình
Hình 3.6 Giao diện kết quả chƣơng trình sau khi quét file
Khi phát hiện rằng file có nhiễm mã độc, chúng ta có thể đƣa ra lựa chọn xóa hoàn toàn file đó trên ổ cứng.
KẾT LUẬN
Mã Độc là một loại hình tấn công nguy hiểm do sự lan truyền nhanh chóng, sức tàn phá rộng khắp và những hậu quả nặng nề do nó mang lại cho cộng đồng mạng. Khả năng phát triển, lây lan và tấn công của Mã độc ngày càng tinh vi, phức tạp cùng với sự phát triển của công nghệ mới. Do đó, việc nghiên cứu, phân tích, phát hiện Mã độc để tránh sự lan truyền là một điều khó khăn, có nhiều thách thức, nhƣng vô cùng cấp thiết.
Do đó trong luận văn này tôi đã nghiên cứu về bản chất, cách thức hoạt động,khả năng và phƣơng thức lây lan của chúng để có thể mô hình hoá đƣa ra các phƣơng pháp phòng chống và ngăn chặn có hiệu quả.
Đề tài tập trung nghiên cứu kỹ thuật phát hiện virus truyền thống: nhận dạng theo mã hash MD5 để phân tích phần mềm độc hại, trên cơ sở đó đề ra đƣợc phƣơng pháp phòng chống, khắc phục hậu quả do phần mềm độc hại gây ra. Một số kết quả đạt đƣợc của luận văn:
Giới thiệu các khái niệm về phần mềm độc hại, lịch sử hình thành và phát triển của chúng.
Đƣa ra đƣợc các phƣơng pháp và kỹ thuật phát hiện để phân tích phần mềm độc hại.
Đƣa ra đƣợc mô hình và thuật toán cho phƣơng pháp nhận dạng theo mã Hash MD5.
Xây dựng đƣợc ứng dụng minh họa cho việc phát hiện và diệt mã độc dựa trên phƣơng pháp nhận dạng theo mã Hash MD5.
Một số hƣớng nghiên cứu phát triển luận văn trong tƣơng lai:
Sử dụng các kỹ thuật phức tạp nhƣ chèn mã rác, thay thế lệnh, hoán vị mã, và tích hợp mã để phát hiện chúng một cách toàn diện hơn.
TÀI LIỆU THAM KHẢO
[1] Nguyễn Thành Cƣơng (2005), “Hƣớng dẫn phòng và diệt vi rút máy tính”,
Nhà xuất bản thống kê.
[2] Hoàng Thanh (2014), “Xây dựng hệ thống tự động phân tích mã độc hại”,Tạp chí an toàn thông tin,Ban cơ yếu chính phủ
[3] Đỗ Anh tuấn (2013), “Phát hiện các phần mềm độc hại dựa trên phân tích hành vi và ứng dụng trong chống hack game”, Học viện công nghệ bƣu chính viễn thông.2013
[4] Nguyễn Hồng Văn (05-2012),”Lock PC và phƣơng thức khai thác tử huyệt
của mã độc”, Tạp chí Nghiên cứu KH&CN quân sự, số đặc san
ATTT&CNTT‟12.
[5] Quyển 2: Tổng hợp các công nghệ cơ bản đảm bảo an toàn cho các mạng chuyên dùng. Đề tài cấp nhà nƣớc. Ban cơ yếu chính phủ.Hà nội 2013
[6] http://www.virusvn.com/2014/05/cac-ky-thuat-nhan-dang-virus.html
[7] JEONG, G. et al ( 2010), "Generic unpacking using entropy analysis," Malicious and Unwanted Software (MALWARE), 2010 5th International Conference on.
[8] R. Rivest (1992), “The MD5 Message-Digest Algorithm”, MIT Laboratory for Computer Science and RSA Data Security, Inc.