2.4.1.1 Xây dựng môi trường phân tích tĩnh
Mã độc luôn tiềm ẩn các hành vi nghi ngờ và rất dễ lây lan, vì vậy việc xây dựng môi trường phân tích mã độc là công việc quan trọng và cần thiết. Để tạo ra được môi trường an toàn trong khi phân tích mã độc hại, trong phương pháp phân tích tĩnh để phân tích mã độc hại người ta dùng 2 cách:
• Xây dựng môi trường ảo để phân tích mã độc: sử dụng máy ảo để phân tích, setup mạng cách ly với mạng thật để tránh bị ảnh hưởng đến hệ thống mạng xung quanh.
• Xây dựng môi trường thật để phân tích mã độc.
Sau khi xây dựng môi trường để phân tích xong thì sẽ tiến hành cài đặt các công cụ, phần mềm phục vụ việc phân tích. Đối với phân tích tĩnh, các công cụ hữu ích cần cài đặt như là Pestudio, strings, CFF Explorer, peframe, Detect It Easy, HxD,… và nhóm các công cụ để decompile phân tích code như là IDA, x32dbg, OllyDumpEx, jmp2it, Scylla,…
2.4.1.2 Công cụ Peid
Các hacker viết mã độc thường sử dụng kỹ thuật packed và obfuscated để làm cho mã độc khó bị phân tích hơn. Một chương trình được làm rối là một chương trình mà mã nguồn của nó được xáo trộn, làm cho rối rắm, gây khó khăn trong việc phân tích tĩnh. Một chương trình được đóng gói là chương trình đã được nén lại và không thể phân tích tĩnh được. Cả hai kỹ thuật này đều gây ra trở ngại lớn cho việc phân tích tĩnh một mã độc.
Để xem được file đó có bị pack hay không, công cụ hữu ích có thể kể đến như Peid, Detect It Easy để kiểm tra dạng pack và các thông tin khác về PE của file.
Hình 2.15 Hình minh hoạ công cụ PEid
Hình 2.16 Hình minh hoạ công cụ Detect It Easy
Ngoài ra còn có công cụ nữa là Xvolkolak vừa có thể phát hiện loại pack, và cũng có thể dùng unpack một số loại pack đơn giản.
Hình 2.17 Hình minh hoạ công cụ Xvolkolak
Không chỉ dừng lại ở các công cụ, mà ngày nay còn có trang web hỗ trợ việc unpack như https://www.unpac.me/#/
Chúng ta có thể upload mẫu lên trang và trang này sẽ có các API giúp unpack file.
Hình 2.18 Hình ảnh mô tả quá trình unpack file
Tuy nhiên, các mẫu mã độc APT ngày nay càng tinh vi và khó phát hiện, chúng sử dụng các kỹ thuật pack nâng cao hơn vì thế đòi hỏi các nhà nghiên cứu, phân tích phải phân tích tay, và fix các IAT, và thực hiện dump file bằng tay.
2.4.1.3 Nhóm các công cụ để phân tích PE và chỉnh sửa mã hex
Các nhóm công cụ PE có thể kể đến như là PE bear, PE studio, exeinfo PE, PE tools, CFF explorer…được dùng để xem cấu trúc PE của file, và có thể dùng để fix lại cho đúng format PE của file.
Hình 2.19 Hình ảnh công cụ Exeinfo PE
Hình 2.21 Hình ảnh công cụ CFF explorer
2.4.1.4 IDA Pro
IDA Pro là công cụ được sử dụng rộng rãi nhất để phân tích phần mềm độc hại. IDA pro giúp dịch ngược các mã độc hại về các đoạn mã 131 assembly. Nó là một công cụ dễ đọc, trực quan và tiện dụng với nhiều chức năng nhưng cũng chính vì vậy mà việc sử dụng IDA Pro cũng khá phức tạp. đi kèm với IDA ta có thể cài đặt thêm nhiều plugin như Bindiff, Hex-Rays Decompiler. Đây là hai plugin hỗ trợ đắc lực cho IDA giúp so sánh các biến thể của phần mềm độc hại, xác định các chức năng mới trong biến thể đó và cho biết nếu có bất kỳ chức năng tương tự bị mất đi.
Hình 2.22 Hình minh họa IDA
2.4.1.5 x32dbg/x64dbg
Ngoài IDA ra thì còn . x32dbg/x64dbg cũng là 1 công cụ decompile hiệu quả, giúp ta có thể debug thuận tiện và theo dõi được các giá trị biến đổi trên các thanh ghi.