5. Phương pháp nghiên cứu
4.2 Môi trường phân tích mãđộc
Môi trường phân tích mã độc là một môi trường an toàn để phân tích các loại mã độc. Về cơ bản, nó là một môi trường cô lập, trong đó có nhiều công cụ hữu ích cho các chuyên gia phân tích mã độc, giúp họ trong việc phân tích các loại mã độc này một cách nhanh chóng và thuận tiện. Nếu có thể, chúng ta nên xây dựng một phòng thí nghiệm phần mềm độc hại để chủ động hơn mối đe dọa mới và hiện đại, có thể bất ngờ tấn công tổ chức của chúng ta. Nó cũng là một hình thức phát hiện tiên tiến trước khi các tổ chức chống virus cập nhật một mẫu mã độc hại mới vào cơ sở dữ liệu của họ. Kết quả cuối cùng của các phòng thí nghiệm phân tích phần mềm độc hại sẽ được xử lý bởi các chuyên gia phân tích mã độc.
Phân tích tĩnh liên quan đến việc phân tách và dịch ngược mã độc. Điều này có thể được thực hiện trong trạng thái tĩnh, khi mà đoạn mã độc đó còn chưa được thực thi.
Không có cấu hình phức tạp là cần được thiết lập trong môi trường phân tích mã độc, bởi vì thực ra chúng ta còn chưa thực thi nó. Môi trường phân tích này sẽ cung cấp cho chúng ta một môi trường an toàn nếu như chúng ta chẳng may thực thi mã độc này khi đang phân tích. Đối với phân tích động, ta cần phải thiết lập phức tạp hơn, vì chúng ta cần phải thực thi mã độc ở pha này. Malware đôi khi còn hành xử khác nhau tùy thuộc vào môi trường hệ điều hành, nơi họ đang được thực thi.
Chúng ta còn phải chú ý tới vị trí của máy chủ phân tích mã độctrong mạng của mình. Trojan, worms, và một số loại mã độc có thể có tính năng lây lan, vì vậy việc thực thi một file mã độc có thể dẫn đến các máy tính khác trên cùng một mạng bị lây nhiễm. Xây dựng một môi trường phân tích mã độc không quá khó và đòi hỏi rất ít chi phí về phần cứng. Cô lập môi trường phân tích mã độc khỏi các máy khác trong mạng là chưa hoàn toàn đủ. Ngoài ra, chúng ta cũng cần phải cô lập môi trường này khỏi Internet. Nhưng chúng ta cần cân nhắc lựa chọn này, bởi vì mã độc đôi khi cần phải giao tiếp với server điều khiển từ bên ngoài. Ví dụ như Botnet.
Có hai lựa chọn trong việc xây dựng một môi trường phân tích mã độc, đó là một môi trường vật lý hoặc là một môi trường ảo hóa. Cả hai đều có những ưu điểm và nhược điểm của riêng nó. Xây dựng môi trường vật lý sẽ đòi hỏi rất nhiều tiền bạc và thời gian trong việc xây dựng được một môi trường thực sự tốt. Trong tình huống này, việc xây dựng một môi trường phân tích mã độc bằng cách sử dụng kỹ thuật ảo hóa sẽ tiết kiệm tiền bạc và thời gian của chúng ta. Phần mềm ảo hóa cho phép bạn lưu các trạng thái của một máy ảo và chúng ta có thể phục hồi trở lại trạng thái lúc trước khi cần thiết. Thành phần này được gọi là Snapshot.Sử dụng tính năng Snapshot này, bạn có thể có một môi trường máy ảo có chứa một hệ điều hành với một bộ đầy đủ các công cụ phân tích động và tĩnh, và cuối cùng chúng tacó thể lưu lại phiên làm việc ban đầu bằng cách sử dụng tính năng Snapshot, do đó chúng ta có thể trở lại trạng thái ban đầu trước khi quá trình lây nhiễm của mã độc trên hệ thống xảy ra. Sau khi hoàn thành phân tích phần mềm độc hại, chúng tacó thể chọn để lưu lại hoặc loại hủy Snapshot đó và quay trở lại với trạng thái ban đầu. Do đó, bằng cách sử dụng tính năng Snapshot, chúng ta không phải lo lắng về việc các loại mã độc hại sẽ lây nhiễm vào môi trường phân tích mã độc của bạn, vì chúng ta sẽ có thể dễ dàng khôi phục nó lại trạng thái trước đó
Như vậy, từ đó chúng ta có thể suy ra được rằng quá trình phân tích tự động mã độc sẽ sử dụng môi trường ảo hóa, việc này sẽ giúp chúng ta rút ngắn thời gian trong việc phân tích các loại mã độc. Công nghệ ảo hóa đã trở thành một thành phần quan trọng trong việc phân tích mã độc một cách tự động vì tính hiệu quả về chi phí trong tiêu thụ phần cứng và sử dụng tài nguyên của CPU. Bằng cách sử dụng một hệ điều hành phổ biến và cố ý lây nhiễm nó với một loại mã độc được định trước, nó sẽ hữu ích trong việc theo dõi các hoạt động của loại mã độc này và phát hiện các hành vi đáng ngờ có thể xảy ra. Hạn chế của việc thực hiện phân tích mã độc một cách tự động ở chỗ các nhà phát triển mã độc thường xuyên sử dụng các kỹ thuật che giấu quá trình hoạt động của mã độc như anti-debug ( chống dịch ngược ), packer ( đóng gói mã nguồn), mã hóa, obfuscating code (làm cho mã nguồn trở nên khó phân tích ), và nhiều kỹ thuật khác nữa.
Hình 10: Sơ đồ thực hiện hệ thống cơ bản