ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG HOÀNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2014 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG HOÀNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH Chuyên Ngành : Khoa Học Máy Tính Mã số : 60 48 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hƣớng dẫn: TS.NGUYỄN NGỌC CƢƠNG Thái Nguyên - 2014 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ i LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu thực hiện. Các số liệu, kết nêu luận văn trung thực chƣa đƣợc công bố công trình khác. Thái Nguyên, Ngày 29 tháng 12 năm 2014 Tác giả Hoàng Thị Ngọc Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ ii MỤC LỤC LỜI CAM ĐOAN . i MỤC LỤC . ii DANH MỤC HÌNH ẢNH iv MỞ ĐẦU . CHƢƠNG I - TỔNG QUAN VỀ MÃ ĐỘC 1.1 Khái niệm 1.2. Mục tiêu mã độc 1.3. Lịch sử phát triển 1.4. Phân tích dạng mã độc . 1.4.1. Trojan…………………………………………………………… 1.4.2. Virus . 10 1.4.3. Worm . 16 1.4.4. Backdoor . 19 1.5. Dự đoán xu hƣớng phát triển mã độc tƣơng lai . 21 CHƢƠNG II CÁC PHƢƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC . 23 2.1 Phân tích Tĩnh . 23 2.2 Phân tích động . 25 2.3 Phân tích Entropy 28 2.4 Phân tích điểm yếu mã độc 33 2.5 Nhận dạng xác mẫu…………………………………….…39 2.6 Nhận dạng Virus theo Heuristic…………………………………51 2.7 Các chế nhận dạng theo hành vi hành vi thực……….……54 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ iii CHƢƠNG III XÂY DỰNG CHƢƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ THỬ NGHIỆM . 57 3.1 Mô hình hệ thống ………………………………………………… .57 3.2 Quá trình thực tìm diệt mã độc …………………………… 60 3.3 Kết thử nghiệm ……………………………………………… .61 KẾT LUẬN . 69 TÀI LIỆU THAM KHẢO . 70 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ iv DANH MỤC HÌNH ẢNH Hình 1.1. Lây nhiễm virus boot sector . 12 Hình 1.2 Phá hoại làm file phân mảnh B- virus . 14 Hình 2.1: Độ xác thống kê entropy dựa tập liệu 32 Hình 2.2: Một thao tác MD5………………………………………… …….45 Hình 2.3: Kiểm tra mã độc virustotal qua mã băm…………………… .46 Hình 2.4: Mã nhận dạng virus FunnyIM . 48 Hình 2.5.So sánh hai vị trí offset . 49 Hình 3.1: Quy trình phân tích mã độc . 58 Hình 3.2 Sơ đồ chƣơng trình phát mã độc 60 Hình 3.3: Giao diện bảng kết 65 Hình 3.4: Giao diện bảng thông tin chi tiết…………………………….… .66 Hình 3.5: Giao diện khởi động chƣơng trình 67 Hình 3.6: Giao diện kết chƣơng trình …………………………….… 68 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ MỞ ĐẦU Những năm gần công mã độc giới Việt Nam có qui mô lớn ngày gia tăng chủ yếu nhắm vào phủ tổ chức tài gây nên thiệt hại nghiêm trọng nguy hại cho kinh tế, an ninh quốc phòng. Mã độc chương trình cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính, thiết bị di động. Có nhiều loại mã độc ngày cải tiến. Những loại mã độc phổ biến nhƣ: Virus, Trojan House, worm, Attach script, Java applet- Active X, Malicious mobible code… mà nguy chúng gây hoàn toàn rõ ràng vô phong phú. Khi xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ công truy cập làm việc máy nạn nhân, ghi lại thông tin sử dụng máy tính. Đi với phức tạp thiết kế hành vi thực thi mã độc kỹ thuật ngăn chặn việc phân tích hoạt động mã độc khiến cho việc phân tích mã độc ngày trở nên khó khăn phức tạp. Hiện có nhiều công cụ chuyên nghiệp để phân tích diệt mã độc nhƣ sản phẩm hãng nƣớc ngoài, nƣớc. Tuy nhiên việc sử dụng công cụ nhƣ hộp đen chứa nhiều nguy tiềm ẩn. Do việc nghiên cứu để xây dựng chƣơng trình diệt mã độc yêu cầu có tính cấp thiết nhằm làm chủ công nghệ, kỹ thuật đảm bảo an ninh an toàn máy tính mạng. Do luận văn nghiên cứu phƣơng pháp phân tích phát mã độc, từ xây dựng thử nghiệm chƣơng trình phát diệt mã độc. Cụ thể Luận văn có cấu trúc nhƣ sau: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/  Chƣơng 1: Tổng quan mã độc : Tìm hiểu tổng quan loại mã độc.  Chƣơng 2: Các phƣơng pháp phân tích phát mã độc: Tìm hiểu kỹ thuật phân tích, phát Mã độc ƣu điểm nhƣợc điểm kỹ thuật.  Chƣơng 3: Xây dựng chƣơng trình phát mã độc thử nghiệm: Thử nghiệm chƣơng trình phát diệt mã độc dựa vào kỹ thuật nhận dạng xác mẫu. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ CHƢƠNG I – TỔNG QUAN VỀ MÃ ĐỘC Mã độc từ đời tận dụng kỹ thuật tiên tiến công nghệ thông tin truyền thông nhƣ lợi dụng lổ hổng nguy hiểm hệ thống tin học để khuyếch trƣơng ảnh hƣởng mình. Mặc dù việc sử dụng thiết bị phần mềm bảo mật trở nên phổ biến nhƣng mã độc tiếp tục phát triển mạnh mẽ chúng thƣờng đƣợc viết có mục đích rõ ràng, phục vụ đối tƣợng cụ thể không ngừng cải tiến qua phiên để đạt đƣợc phiên hiệu nhất. Vậy để phát diệt đƣợc mã độc trƣớc hết phải hiểu rõ chất chúng. Về nguyên tắc chung, công việc diệt mã độc đa phần làm ngƣợc lại mà mã độc làm. Vì chƣơng tập trung nghiên cứu nội dung liên quan đến chế hoạt động loại mã độc để làm rõ chất chúng. Từ xây dựng chƣơng trình tìm diệt mã độc. 1.1 Khái niệm Mã độc chƣơng trình đƣợc cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính. Đi với phát triển internet năm gần đây; Mã độc nhanh chóng trở thành mối nguy hại tiềm tàng ảnh hƣởng đến ngƣời sử dụng, tổ chức hay phủ toàn giới.[5] 1.2 Mục tiêu mã độc Các thống kê cho thấy,các công mã độc quy mô lớn chủ yếu nhắm vào phủ tổ chức tài chính. Tiếp công ty, dịch vụ công nghệ thông tin. Điều lý giải cho mục tiêu mã độc nhắm tới lợi nhuận lây lan rộng. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 1.3 Lịch sử phát triển Mã độc Năm Phân loại Chú thích Thompson’s 1984 TrojanHorse Ken Thompson thêm vào trình biên dịch C Trojan horse có khả compiler trick tự chèn vào chƣơng trình đƣợc biên dịch. Morris worm 1988 Worm Sâu máy tính đƣợc phát tán mạng internet. Có khoảng 6000 máy bị lây nhiễm ( chiếm 10% lƣợng máy tính sử dụng internet thời giờ). Java Attack 1996- Applets 1999 Mobile code Lợi dụng lỗi Java để công thông qua applets java đặt web. ActiveX 1997 Mobile code Bị công lần đầu vào thời gian kể từ đến hệ thống ( scripting) ActiveX Microsoft liên tục bị phát dính phải lỗi bảo mật nghiêm trọng. Melissa 1999 Mobile code Virus lây lan nhanh thứ hai thời virus đại, sử dụng email để phát tán. Lây nhiễm cho triệu máy tính vài giờ. Trinoo 2000 Attack Chƣơng trình công từ chối dịch script DDoS vụ ( DDoS ) gây tác hại lớn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 55 Bảng theo dõi thao tác Tập tin thực thi Thao tác Xyz.exe … Trong : 1. Tạo khóa khởi động registry 2. Tự chép tập tin vào hệ thống 3. Sao chép tập tin vào thiết bị lƣu trữ (Nhƣ đĩa USB) 4. Khởi động tập thực thi khác 5. Tiến hành download liệu mạng 6. Ghi lại thao tác bàn phím Để đơn giản hóa thao tác nhận dạng, dùng hình thức tính điểm để xem xét mức độ cảnh báo. Xét trƣờng hợp lấy mốc điểm cảnh báo 12. Một ví dụ cho cảnh báo dựa vào bảng số liệu nhƣ sau : Không thiết phải thiết lập bảng cộng nhƣ phía sau mà cần số điểm liên tục cộng dồn tích lũy điểm (Dựa vào bảng điểm mức cảnh báo). Việc xây dựng bảng số liệu xác, với thang điểm thích hợp… phụ thuộc nhiều vào bảng tính toán thống kê lƣợng mẫu lớn tập thực thi mã độc để tính toán số. Với chế trên, việc lấy tên dòng cảnh báo phụ thuộc số thao tác gây “điểm số” nguy cao phụ thuộc cách xử lý khác phần Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 56 mềm nhận dạng. Do tính chất phƣơng pháp cảnh báo thời gian thực, nên mức độ cảnh báo tập thực thi làm việc hệ thống liên tục thay đổi phụ thuộc hành vi tập thực thi thực hiện. Ƣu điểm: - Có khả phát loại virus chƣa cập nhật mẫu loại virus đó. - Bảo vệ ngƣời dùng thời gian thực hiệu quả. Hạn chế: - Việc lập bảng số liệu để đƣa mức độ cảnh báo phức tạp, đòi hỏi khối lƣợng lớn mẫu tập tin nhƣ thời gian. - Việc theo dõi làm chậm thao tác làm việc hệ thống nhiều hàm hệ thống bị AntiVirus kiểm soát. - Không phát mã độc trạng thái tĩnh - tức chƣa thực thi, chặn đƣợc mã độc đƣợc thực thi. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 57 CHƢƠNG III : XÂY DỰNG CHƢƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ THỬ NGHIỆM Hiện có nhiều công cụ chuyên nghiệp để phân tích diệt mã độc nhƣ sản phẩm hãng nƣớc ngoài, nƣớc. Tuy nhiên việc sử dụng công cụ nhƣ hộp đen chứa nhiều nguy tiềm ẩn. Do việc nghiên cứu để xây dựng chƣơng trình phát diệt mã độc yêu cầu có tính cấp thiết nhằm làm chủ công nghệ, kỹ thuật đảm bảo an ninh an toàn máy tính mạng. 3.1. Mô hình hệ thống Hệ thống phân tích mã độc hại xây dựng bao gồm máy tính (1 máy thật làm giả lập Internet, máy ảo để phân tích). Trong đó, máy thật cài phần mềm InetSim để giả lập môi trƣờng Internet (DNS, WebServer,IRC server .). Máy ảo để phân tích mã độc hại.[2] Hệ thống phân tích mã độc hại đƣợc xây dựng dựa hệ thống phân tích thông thƣờng, nhiên bƣớc phân tích đƣợc tự động hóa script kịch bản. Bƣớc 1: Đầu tiên ngƣời dùng vào Website phân tích mã độc hại khai báo thông tin email, thông tin sơ lƣợc mã độc hại, upload file nghi ngờ mã độc hại lên site. Bƣớc 2: Thông tin ngƣời dùng đƣợc gửi đến server lƣu lại, file nghi ngờ đƣợc đƣa vào hàng đợi để chờ tới lƣợt xử lý. Có môđun kiểm tra trạng thái tiến trình hệ thống, tiến trình chạy chƣa cho phép chạy file đó. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 58 Bƣớc 3: Khi file đƣa vào hệ thống đƣợc đƣa vào máy ảo, có cài phần mềm tự động phân tích đƣợc điều khiển script viết AutoIT, hành vi file đƣợc ghi lại sinh log file để đƣa máy ảo. Bƣớc 4: Các log file đƣợc môđun phân tích trích xuất thông tin thành dạng dễ đọc hiểu. Bƣớc 5: Thông tin đƣợc gửi trở lại website, lúc có môđun khác gửi kết phân tích file lên website. Bƣớc 6: Sau thực xong hệ thống lại tự kiểm tra xem có file mẫu mã độc nằm hàng đợi không, có lại tự động xử lý tiếp, quay lại từ bƣớc 1. Quá trình tiếp diễn nhƣ vậy. Hình 3.1: Qui trình phân tích mã độc Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 59 Thành phần hệ thống Hệ thống cho phép ngƣời dùng gửi mẫu mã độc hại lên đến hệ thống. Mẫu mã độc sau đƣợc phân tích gửi trả kết lại cho ngƣời dùng qua website email ngƣời dùng khai báo. Vì hệ thống gồm thành phần chính. + Front- end (phần phía trƣớc) website làm nhiệm vụ nhận mẫu mã độc ngƣời dùng gửi vào hệ thống, đƣa kết phân tích lại cho ngƣời dùng. Hệ thống phân tích lần lƣợt quét hàng đợi dựa theo ƣu tiên. Khi hết mẫu yêu cầu hệ điều hành ƣu tiên chuyển sang hệ điều hành khác. Khi hết mẫu cần phân tích hệ thống phân tích chuyển sang trạng thái nghỉ chờ mẫu ngƣời dùng. Phần Webiste đƣợc viết PHP. + Back- end (phần phía sau) phần hệ thống phía sau nhà quản trị cấu hình với mục đích tự động phân tích mã độc hại, sau có kết phân tích mẫu gửi kết lại cho ngƣời dùng email cho ngƣời dùng khai báo gửi thông tin công bố Website. - Xây dựng hệ thống phía sau, phần chịu trách nhiệm phân tích mẫu nhận đƣợc từ phía ngƣời dùng. Nhiệm vụ chƣơng trình diệt mã độc sơm đƣa chứng xuất có loại mã độc biết. Vấn đề giải tiếp cận chuỗi mã giai đoạn tiền xử lý. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 60 3.2 Quá trình thực tìm diệt mã độc Hình 3.2: Sơ đồ chƣơng trình phát mã độc Bƣớc 1: Chƣơng trình quét tập tin cách băm file tính giá trị băm, sau đem giá trị băm đƣợc so sánh với giá trị bảng băm sở liệu (ở ta sử dụng MD5). Khi trình quét bắt đầu, chƣơng trình quét tất trình mô-đun nó. Chƣơng trình dừng phát file quét bị nhiễm mã độc hại. Bƣớc 2: Chƣơng trình bắt đầu quét đến thƣ mục hệ thống tìm thấy xóa file bị nhiễm mã độc giá trị ghi . Ví dụ: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 61 C:\User \Username\ AppData\ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run Bƣớc 3: Chƣơng trình tìm kiếm toàn ổ đĩa cứng tìm thấy xoá phần mềm độc hại tìm đƣợc. 3.3 Kết thử nghiệm Nhƣ biết, trang web VirusTotal sử dụng số dịch vụ online hãng bảo mật: Kaspersky, AVG, Symatic, … Chƣơng trình phân tích phát mã độc có tích hợp API dịch vụ Virustotal, nhiên có cải tiến hơn: - Việc tính giá trị hash file đƣợc tính trực tiếp máy, tốc độ tính toán nhanh so với việc file tải lên VirusTotal phải nằm hàng đợi để tính hash. - Xử lí kích thƣớc file có dung lƣợng 100Mb Quá trình xử lý file nhƣ sau: Khi đƣa file vào, chƣơng trình tiến hành tính toán giá trị băm file public string convertir_md5(string text) { MD5 convertirmd5 = MD5.Create(); byte[] infovalor = convertirmd5.ComputeHash(Encoding.Default.GetBytes(text)); StringBuilder guardar = new StringBuilder(); for (int numnow = 0; numnow < infovalor.Length; numnow++) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 62 { guardar.Append(infovalor[numnow].ToString("x2")); } return guardar.ToString(); } public string md5file(string file) { string code = ""; try { var gen = MD5.Create(); var ar = File.OpenRead(file); code = BitConverter.ToString(gen.ComputeHash(ar)).Replace("-", "").ToLower(); } catch { code = "Error"; } Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 63 return code; } - Lấy địa IP máy, ta gửi giá trị hàm băm file lên services cần thông báo với service thông tin host. public string getip(string host) { string code = ""; try { IPAddress[] find = Dns.GetHostAddresses(host); code = find[0].ToString(); } catch { code = "Error"; } return code; } - Giá trị băm file sau đƣợc hàm upload đƣa lên service để so sánh public string upload(string link, string archivo) { String code = ""; Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 64 try { WebClient nave = new WebClient(); nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0"; byte[] codedos = nave.UploadFile(link, "POST", archivo); code = System.Text.Encoding.UTF8.GetString(codedos, 0, codedos.Length); - Sau có kết đối sánh với services, ta dùng hàm dowload để tải kết hiển thị listbox public string download(string url, string savename) { String code = ""; WebClient nave = new WebClient(); nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0"; try { nave.DownloadFile(url, savename); Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 65 code = "OK"; } catch { code = "Error"; } return code; } Kết thông báo: với trình diệt mã độc báo kết mã độc Hình 3.3 Bảng kết Để có thêm nhiều thông tin file, lấy thêm thông tin nhƣ: hệ điều hành, public string getos() { string code = ""; Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 66 try { System.OperatingSystem os = System.Environment.OSVersion; code = Convert.ToString(os); } catch { code = "?"; } return code; } Hình 3.4 Bảng thông tin chi tiết Chạy thử nghiệm chƣơng trình Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 67 Hình 3.5 Giao diện khởi động chƣơng trình Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 68 Hình 3.6 Giao diện kết chƣơng trình sau quét file Khi phát file có nhiễm mã độc, đƣa lựa chọn xóa hoàn toàn file ổ cứng. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 69 KẾT LUẬN Mã Độc loại hình công nguy hiểm lan truyền nhanh chóng, sức tàn phá rộng khắp hậu nặng nề mang lại cho cộng đồng mạng. Khả phát triển, lây lan công Mã độc ngày tinh vi, phức tạp với phát triển công nghệ mới. Do đó, việc nghiên cứu, phân tích, phát Mã độc để tránh lan truyền điều khó khăn, có nhiều thách thức, nhƣng vô cấp thiết. Do luận văn nghiên cứu chất, cách thức hoạt động,khả phƣơng thức lây lan chúng để mô hình hoá đƣa phƣơng pháp phòng chống ngăn chặn có hiệu quả. Đề tài tập trung nghiên cứu kỹ thuật phát virus truyền thống: nhận dạng theo mã hash MD5 để phân tích phần mềm độc hại, sở đề đƣợc phƣơng pháp phòng chống, khắc phục hậu phần mềm độc hại gây ra. Một số kết đạt đƣợc luận văn: Giới thiệu khái niệm phần mềm độc hại, lịch sử hình thành phát triển chúng. Đƣa đƣợc phƣơng pháp kỹ thuật phát để phân tích phần mềm độc hại. Đƣa đƣợc mô hình thuật toán cho phƣơng pháp nhận dạng theo mã Hash MD5. Xây dựng đƣợc ứng dụng minh họa cho việc phát diệt mã độc dựa phƣơng pháp nhận dạng theo mã Hash MD5. Một số hƣớng nghiên cứu phát triển luận văn tƣơng lai: Sử dụng kỹ thuật phức tạp nhƣ chèn mã rác, thay lệnh, hoán vị mã, tích hợp mã để phát chúng cách toàn diện hơn. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 70 TÀI LIỆU THAM KHẢO [1] Nguyễn Thành Cƣơng (2005), “Hƣớng dẫn phòng diệt vi rút máy tính”, Nhà xuất thống kê. [2] Hoàng Thanh (2014), “Xây dựng hệ thống tự động phân tích mã độc hại”,Tạp chí an toàn thông tin,Ban yếu phủ [3] Đỗ Anh tuấn (2013), “Phát phần mềm độc hại dựa phân tích hành vi ứng dụng chống hack game”, Học viện công nghệ bƣu viễn thông.2013 [4] Nguyễn Hồng Văn (05-2012),”Lock PC phƣơng thức khai thác tử huyệt mã độc”, Tạp chí Nghiên cứu KH&CN quân sự, số đặc san ATTT&CNTT‟12. [5] Quyển 2: Tổng hợp công nghệ đảm bảo an toàn cho mạng chuyên dùng. Đề tài cấp nhà nƣớc. Ban yếu phủ.Hà nội 2013 [6] http://www.virusvn.com/2014/05/cac-ky-thuat-nhan-dang-virus.html [7] JEONG, G. et al ( 2010), "Generic unpacking using entropy analysis," Malicious and Unwanted Software (MALWARE), 2010 5th International Conference on. [8] R. Rivest (1992), “The MD5 Message-Digest Algorithm”, MIT Laboratory for Computer Science and RSA Data Security, Inc. Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ [...]... diệt đƣợc mã độc thì trƣớc tiên chúng ta phải phát hiện ra nó Vì vậy trong chƣơng này tôi tập trung tìm hiểu về một số kỹ thuật phân tích và phát hiện mã độc Từ đó có thể xây dựng một chƣơng trình phát hiện và diệt mã độc hiệu quả 2.1 Phân tích Tĩnh Phân tích tĩnh (Static analysis): dựa vào mã thực thi để hiểu chi tiết luồng thực thi và hành vi của mã độc Phân tích tĩnh thƣờng đòi hỏi ngƣời phân tích xem... kê trong tệp tin nhiễm mã độc, cho phép ngƣời phân tích nhanh chóng và hiệu quả xác định các mẫu mã độc đã nén hoặc mã hóa [7] Kỹ thuật đóng gói để che giấu mã độc Kỹ thuật đóng gói (bao gồm kỹ thuật nén và mã hóa) với mục đích che giấu mã độc đƣợc kẻ viết mã độc thƣờng sử dụng để chuyển đổi mã thực thi nhị phân sang một định dạng khác nhằm thu gọn mã độc và biến dạng khác biệt hẳn so với ban đầu để... bị mã hóa hay nén để thực hiện việc giải nén cũng nhƣ giải mã một cách nhanh chóng và hiệu quả trƣớc khi bắt tay vào thực hiện quá trình phân tích mã độc Do nhiều mẫu virus vẫn duy trì trạng thái mã hóa và nén, ngƣời phân tích phải xác định chúng bằng phân tích thủ công hoặc sử dụng kỹ thuật phân tích ngƣợc (reverse engineering) Yêu cầu đặt ra là cần phải xác định nhanh chóng và chính xác đoạn mã độc. .. điểm vào (entry point) của đoạn mã thực thi Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 29 Kỹ thuật đóng gói xuất hiện trong phần lớn các mẫu mã độc hại do đó điều này tạo ra một thách thức vô cùng lớn cho ngƣời phân tích mã, đặc biệt là sử dụng phƣơng pháp phân tích tĩnh để phân tích một lƣợng lớn mẫu mã độc hại Bởi vì, ngƣời phân tích cần phải xác định đoạn mã độc. .. đề nhƣ: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu … Chỉ cần có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích chúng ta vô tình thực thi mã độc (click đúp, hoặc chạy thƣ viện mã độc) Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên môi trƣờng mà nó không thực thi ( ví dụ phân tích mã độc trên Windows trong hệ... trong tƣơng lai:  Các loại mã độc với các kỹ thuật chống phân tích đƣợc cải tiến  Mã độc trong các thiết bị di động bùng phát do xu hƣớng di động đã và sẽ phát triển mạnh trong tƣơng lai  Mã độc với những kỹ thuật đƣợc cải tiến đảm bảo sao cho chúng có thể lây nhiễm trên diện rộng đồng thời trên nhiều nền tảng khác nhau  Mã độc đƣợc sử dụng nhƣ là một công cụ quan trọng trong chiến tranh mạng giữa... các đoạn mã mong muốn Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 28 Mỗi phƣơng pháp đều có điểm mạnh, điểm yếu riêng Vì thế khi phân tích mã độc cần kết hợp cả 2 phƣơng pháp phân tích tĩnh và phân tích động mới hiệu quả 2.3 Phƣơng pháp Phân tích Entropy để phát hiện che giấu Mã độc Phân tích entropy kiểm tra sự đa dạng về mặt thống kê trong tệp tin nhiễm mã độc, cho... năng đƣa ra mã assembly của những đoạn đó, giúp cho ngƣời phân tích dễ dàng thấy đƣợc các hoạt động của mã độc 2.2 Phân tích động Phân tích động(Dynamic analysis): dựa vào hành vi thực thi của mã độc để đƣa ra đánh giá về ảnh hƣởng của mã độc đối với hệ thống Phân tích động là phân tích cách hoạt động của virus khi nó đƣợc thực thi, nó kết nối đến đâu, lây lan nhƣ thế nào, cài đặt những gì vào hệ thống,... thƣờng việc phân tích động mã độc thƣờng thông qua hệ thống máy ảo Sandbox Phân tích động thƣờng dựa vào các công cụ monitor hệ thống mạng (nhƣ ProcessMon, TCPView, Autoruns …) Ƣu điểm:  Cho cái nhìn nhanh chóng và tổng quát về mã độc đƣợc phân tích  Giám sát đƣợc các hành động của phần mềm độc hại khi thực hiện trên hệ thống Nhƣợc điểm:  Với những hành vi bất thƣờng của mã độc thì việc phân tích còn... khi virus máy tính bám vào và trở thành một phần của mã máy tính để có thể thi hành thì sâu máy tính là một chƣơng trình độc lập không nhất thiết phải là một phần của một chƣơng trình máy tính khác để có thể lây nhiễm Sâu máy tính thƣờng đƣợc thiết kế để khai thác khả năng truyền thông tin có trên những máy tính có các đặc điểm chung – cùng hệ điều hành hoặc cùng chạy một phần mềm mạng – và đƣợc nối . THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH Chuyên Ngành : Khoa Học Máy Tính Mã số : 60 48 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên. THÔNG HOÀNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2014 . mã độc trong tƣơng lai 21 CHƢƠNG II CÁC PHƢƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC 23 2.1 Phân tích Tĩnh 23 2.2 Phân tích động 25 2.3 Phân tích Entropy 28 2.4 Phân tích điểm yếu của mã độc