ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG HOÀNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2014 ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG HOÀNG THỊ NGỌC NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH Chuyên Ngành : Khoa Học Máy Tính Mã số : 60 48 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hướng dẫn: TS.NGUYỄN NGỌC CƯƠNG Thái Nguyên - 2014 i LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu thực Các số liệu, kết nêu luận văn trung thực chưa công bố công trình khác Thái Nguyên, Ngày 29 tháng 12 năm 2014 Tác giả Hoàng Thị Ngọc ii MỤC LỤC LỜI CAM ĐOAN i MỤC LỤC ii DANH MỤC HÌNH ẢNH iv MỞ ĐẦU CHƯƠNG I - TỔNG QUAN VỀ MÃ ĐỘC 1.1 Khái niệm 1.2 Mục tiêu mã độc 1.3 Lịch sử phát triển 1.4 Phân tích dạng mã độc 1.4.1 Trojan…………………………………………………………… 1.4.2 Virus 10 1.4.3 Worm 16 1.4.4 Backdoor 19 1.5 Dự đoán xu hướng phát triển mã độc tương lai 21 CHƯƠNG II CÁC PHƯƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC 23 2.1 Phân tích Tĩnh 23 2.2 Phân tích động 25 2.3 Phân tích Entropy 28 2.4 Phân tích điểm yếu mã độc 33 2.5 Nhận dạng xác mẫu…………………………………….…39 2.6 Nhận dạng Virus theo Heuristic…………………………………51 2.7 Các chế nhận dạng theo hành vi hành vi thực……….……54 iii CHƯƠNG III XÂY DỰNG CHƯƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ THỬ NGHIỆM 57 3.1 Mô hình hệ thống ………………………………………………… 57 3.2 Quá trình thực tìm diệt mã độc …………………………… 60 3.3 Kết thử nghiệm ……………………………………………… 61 KẾT LUẬN 69 TÀI LIỆU THAM KHẢO 70 iv DANH MỤC HÌNH ẢNH Hình 1.1 Lây nhiễm virus boot sector 12 Hình 1.2 Phá hoại làm file phân mảnh B- virus 14 Hình 2.1: Độ xác thống kê entropy dựa tập liệu 32 Hình 2.2: Một thao tác MD5………………………………………… …….45 Hình 2.3: Kiểm tra mã độc virustotal qua mã băm…………………… 46 Hình 2.4: Mã nhận dạng virus FunnyIM 48 Hình 2.5.So sánh hai vị trí offset 49 Hình 3.1: Quy trình phân tích mã độc 58 Hình 3.2 Sơ đồ chương trình phát mã độc 60 Hình 3.3: Giao diện bảng kết 65 Hình 3.4: Giao diện bảng thông tin chi tiết…………………………….… 66 Hình 3.5: Giao diện khởi động chương trình 67 Hình 3.6: Giao diện kết chương trình …………………………….… 68 MỞ ĐẦU Những năm gần công mã độc giới Việt Nam có qui mô lớn ngày gia tăng chủ yếu nhắm vào phủ tổ chức tài gây nên thiệt hại nghiêm trọng nguy hại cho kinh tế, an ninh quốc phòng Mã độc chương trình cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính, thiết bị di động Có nhiều loại mã độc ngày cải tiến Những loại mã độc phổ biến như: Virus, Trojan House, worm, Attach script, Java applet- Active X, Malicious mobible code… mà nguy chúng gây hoàn toàn rõ ràng vô phong phú Khi xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ công truy cập làm việc máy nạn nhân, ghi lại thông tin sử dụng máy tính Đi với phức tạp thiết kế hành vi thực thi mã độc kỹ thuật ngăn chặn việc phân tích hoạt động mã độc khiến cho việc phân tích mã độc ngày trở nên khó khăn phức tạp Hiện có nhiều công cụ chuyên nghiệp để phân tích diệt mã độc sản phẩm hãng nước ngoài, nước Tuy nhiên việc sử dụng công cụ hộp đen chứa nhiều nguy tiềm ẩn Do việc nghiên cứu để xây dựng chương trình diệt mã độc yêu cầu có tính cấp thiết nhằm làm chủ công nghệ, kỹ thuật đảm bảo an ninh an toàn máy tính mạng Do luận văn nghiên cứu phương pháp phân tích phát mã độc, từ xây dựng thử nghiệm chương trình phát diệt mã độc Cụ thể Luận văn có cấu trúc sau:  Chương 1: Tổng quan mã độc : Tìm hiểu tổng quan loại mã độc  Chương 2: Các phương pháp phân tích phát mã độc: Tìm hiểu kỹ thuật phân tích, phát Mã độc ưu điểm nhược điểm kỹ thuật  Chương 3: Xây dựng chương trình phát mã độc thử nghiệm: Thử nghiệm chương trình phát diệt mã độc dựa vào kỹ thuật nhận dạng xác mẫu CHƯƠNG I – TỔNG QUAN VỀ MÃ ĐỘC Mã độc từ đời tận dụng kỹ thuật tiên tiến công nghệ thông tin truyền thông lợi dụng lổ hổng nguy hiểm hệ thống tin học để khuyếch trương ảnh hưởng Mặc dù việc sử dụng thiết bị phần mềm bảo mật trở nên phổ biến mã độc tiếp tục phát triển mạnh mẽ chúng thường viết có mục đích rõ ràng, phục vụ đối tượng cụ thể không ngừng cải tiến qua phiên để đạt phiên hiệu Vậy để phát diệt mã độc trước hết phải hiểu rõ chất chúng Về nguyên tắc chung, công việc diệt mã độc đa phần làm ngược lại mà mã độc làm Vì chương tập trung nghiên cứu nội dung liên quan đến chế hoạt động loại mã độc để làm rõ chất chúng Từ xây dựng chương trình tìm diệt mã độc 1.1 Khái niệm Mã độc chương trình cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính Đi với phát triển internet năm gần đây; Mã độc nhanh chóng trở thành mối nguy hại tiềm tàng ảnh hưởng đến người sử dụng, tổ chức hay phủ toàn giới.[5] 1.2 Mục tiêu mã độc Các thống kê cho thấy,các công mã độc quy mô lớn chủ yếu nhắm vào phủ tổ chức tài Tiếp công ty, dịch vụ công nghệ thông tin Điều lý giải cho mục tiêu mã độc nhắm tới lợi nhuận lây lan rộng 1.3 Lịch sử phát triển Mã độc Năm Phân loại Chú thích Thompson’s 1984 TrojanHorse Ken Thompson thêm vào trình biên compiler trick dịch C Trojan horse có khả tự chèn vào chương trình biên dịch Morris worm 1988 Worm Sâu máy tính phát tán mạng internet Có khoảng 6000 máy bị lây nhiễm ( chiếm 10% lượng máy tính sử dụng internet thời giờ) Java Attack 1996- Applets 1999 Mobile code Lợi dụng lỗi Java để công thông qua applets java đặt web ActiveX 1997 Mobile code ( scripting) Bị công lần đầu vào thời gian kể từ đến hệ thống ActiveX Microsoft liên tục bị phát dính phải lỗi bảo mật nghiêm trọng Melissa 1999 Mobile code Virus lây lan nhanh thứ hai thời virus đại, sử dụng email để phát tán Lây nhiễm cho triệu máy tính vài Trinoo 2000 Attack Chương trình công từ chối dịch script DDoS vụ ( DDoS ) gây tác hại lớn 56 mềm nhận dạng Do tính chất phương pháp cảnh báo thời gian thực, nên mức độ cảnh báo tập thực thi làm việc hệ thống liên tục thay đổi phụ thuộc hành vi tập thực thi thực Ưu điểm: - Có khả phát loại virus chưa cập nhật mẫu loại virus - Bảo vệ người dùng thời gian thực hiệu Hạn chế: - Việc lập bảng số liệu để đưa mức độ cảnh báo phức tạp, đòi hỏi khối lượng lớn mẫu tập tin thời gian - Việc theo dõi làm chậm thao tác làm việc hệ thống nhiều hàm hệ thống bị AntiVirus kiểm soát - Không phát mã độc trạng thái tĩnh - tức chưa thực thi, chặn mã độc thực thi 57 CHƯƠNG III : XÂY DỰNG CHƯƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ THỬ NGHIỆM Hiện có nhiều công cụ chuyên nghiệp để phân tích diệt mã độc sản phẩm hãng nước ngoài, nước Tuy nhiên việc sử dụng công cụ hộp đen chứa nhiều nguy tiềm ẩn Do việc nghiên cứu để xây dựng chương trình phát diệt mã độc yêu cầu có tính cấp thiết nhằm làm chủ công nghệ, kỹ thuật đảm bảo an ninh an toàn máy tính mạng 3.1 Mô hình hệ thống Hệ thống phân tích mã độc hại xây dựng bao gồm máy tính (1 máy thật làm giả lập Internet, máy ảo để phân tích) Trong đó, máy thật cài phần mềm InetSim để giả lập môi trường Internet (DNS, WebServer,IRC server ) Máy ảo để phân tích mã độc hại.[2] Hệ thống phân tích mã độc hại xây dựng dựa hệ thống phân tích thông thường, nhiên bước phân tích tự động hóa script kịch Bước 1: Đầu tiên người dùng vào Website phân tích mã độc hại khai báo thông tin email, thông tin sơ lược mã độc hại, upload file nghi ngờ mã độc hại lên site Bước 2: Thông tin người dùng gửi đến server lưu lại, file nghi ngờ đưa vào hàng đợi để chờ tới lượt xử lý Có môđun kiểm tra trạng thái tiến trình hệ thống, tiến trình chạy chưa cho phép chạy file 58 Bước 3: Khi file đưa vào hệ thống đưa vào máy ảo, có cài phần mềm tự động phân tích điều khiển script viết AutoIT, hành vi file ghi lại sinh log file để đưa máy ảo Bước 4: Các log file môđun phân tích trích xuất thông tin thành dạng dễ đọc hiểu Bước 5: Thông tin gửi trở lại website, lúc có môđun khác gửi kết phân tích file lên website Bước 6: Sau thực xong hệ thống lại tự kiểm tra xem có file mẫu mã độc nằm hàng đợi không, có lại tự động xử lý tiếp, quay lại từ bước Quá trình tiếp diễn Hình 3.1: Qui trình phân tích mã độc 59 Thành phần hệ thống Hệ thống cho phép người dùng gửi mẫu mã độc hại lên đến hệ thống Mẫu mã độc sau phân tích gửi trả kết lại cho người dùng qua website email người dùng khai báo Vì hệ thống gồm thành phần + Front- end (phần phía trước) website làm nhiệm vụ nhận mẫu mã độc người dùng gửi vào hệ thống, đưa kết phân tích lại cho người dùng Hệ thống phân tích quét hàng đợi dựa theo ưu tiên Khi hết mẫu yêu cầu hệ điều hành ưu tiên chuyển sang hệ điều hành khác Khi hết mẫu cần phân tích hệ thống phân tích chuyển sang trạng thái nghỉ chờ mẫu người dùng Phần Webiste viết PHP + Back- end (phần phía sau) phần hệ thống phía sau nhà quản trị cấu hình với mục đích tự động phân tích mã độc hại, sau có kết phân tích mẫu gửi kết lại cho người dùng email cho người dùng khai báo gửi thông tin công bố Website - Xây dựng hệ thống phía sau, phần chịu trách nhiệm phân tích mẫu nhận từ phía người dùng Nhiệm vụ chương trình diệt mã độc sơm đưa chứng xuất có loại mã độc biết Vấn đề giải tiếp cận chuỗi mã giai đoạn tiền xử lý 60 3.2 Quá trình thực tìm diệt mã độc Hình 3.2: Sơ đồ chương trình phát mã độc Bước 1: Chương trình quét tập tin cách băm file tính giá trị băm, sau đem giá trị băm so sánh với giá trị bảng băm sở liệu (ở ta sử dụng MD5) Khi trình quét bắt đầu, chương trình quét tất trình mô-đun Chương trình dừng phát file quét bị nhiễm mã độc hại Bước 2: Chương trình bắt đầu quét đến thư mục hệ thống tìm thấy xóa file bị nhiễm mã độc giá trị ghi Ví dụ: 61 C:\User \Username\ AppData\ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run Bước 3: Chương trình tìm kiếm toàn ổ đĩa cứng tìm thấy xoá phần mềm độc hại tìm 3.3 Kết thử nghiệm Như biết, trang web VirusTotal sử dụng số dịch vụ online hãng bảo mật: Kaspersky, AVG, Symatic, … Chương trình phân tích phát mã độc có tích hợp API dịch vụ Virustotal, nhiên có cải tiến hơn: - Việc tính giá trị hash file tính trực tiếp máy, tốc độ tính toán nhanh so với việc file tải lên VirusTotal phải nằm hàng đợi để tính hash - Xử lí kích thước file có dung lượng 100Mb Quá trình xử lý file sau: Khi đưa file vào, chương trình tiến hành tính toán giá trị băm file public string convertir_md5(string text) { MD5 convertirmd5 = MD5.Create(); byte[] infovalor = convertirmd5.ComputeHash(Encoding.Default.GetBytes(text)); StringBuilder guardar = new StringBuilder(); for (int numnow = 0; numnow < infovalor.Length; numnow++) 62 { guardar.Append(infovalor[numnow].ToString("x2")); } return guardar.ToString(); } public string md5file(string file) { string code = ""; try { var gen = MD5.Create(); var ar = File.OpenRead(file); code = BitConverter.ToString(gen.ComputeHash(ar)).Replace("-", "").ToLower(); } catch { code = "Error"; } 63 return code; } - Lấy địa IP máy, ta gửi giá trị hàm băm file lên services cần thông báo với service thông tin host public string getip(string host) { string code = ""; try { IPAddress[] find = Dns.GetHostAddresses(host); code = find[0].ToString(); } catch { code = "Error"; } return code; } - Giá trị băm file sau hàm upload đưa lên service để so sánh public string upload(string link, string archivo) { String code = ""; 64 try { WebClient nave = new WebClient(); nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0"; byte[] codedos = nave.UploadFile(link, "POST", archivo); code = System.Text.Encoding.UTF8.GetString(codedos, 0, codedos.Length); - Sau có kết đối sánh với services, ta dùng hàm dowload để tải kết hiển thị listbox public string download(string url, string savename) { String code = ""; WebClient nave = new WebClient(); nave.Headers["User-Agent"] = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0"; try { nave.DownloadFile(url, savename); 65 code = "OK"; } catch { code = "Error"; } return code; } Kết thông báo: với trình diệt mã độc báo kết mã độc Hình 3.3 Bảng kết Để có thêm nhiều thông tin file, lấy thêm thông tin như: hệ điều hành, public string getos() { string code = ""; 66 try { System.OperatingSystem os = System.Environment.OSVersion; code = Convert.ToString(os); } catch { code = "?"; } return code; } Hình 3.4 Bảng thông tin chi tiết Chạy thử nghiệm chương trình 67 Hình 3.5 Giao diện khởi động chương trình 68 Hình 3.6 Giao diện kết chương trình sau quét file Khi phát file có nhiễm mã độc, đưa lựa chọn xóa hoàn toàn file ổ cứng 69 KẾT LUẬN Mã Độc loại hình công nguy hiểm lan truyền nhanh chóng, sức tàn phá rộng khắp hậu nặng nề mang lại cho cộng đồng mạng Khả phát triển, lây lan công Mã độc ngày tinh vi, phức tạp với phát triển công nghệ Do đó, việc nghiên cứu, phân tích, phát Mã độc để tránh lan truyền điều khó khăn, có nhiều thách thức, vô cấp thiết Do luận văn nghiên cứu chất, cách thức hoạt động,khả phương thức lây lan chúng để mô hình hoá đưa phương pháp phòng chống ngăn chặn có hiệu Đề tài tập trung nghiên cứu kỹ thuật phát virus truyền thống: nhận dạng theo mã hash MD5 để phân tích phần mềm độc hại, sở đề phương pháp phòng chống, khắc phục hậu phần mềm độc hại gây Một số kết đạt luận văn:  Giới thiệu khái niệm phần mềm độc hại, lịch sử hình thành phát triển chúng  Đưa phương pháp kỹ thuật phát để phân tích phần mềm độc hại  Đưa mô hình thuật toán cho phương pháp nhận dạng theo mã Hash MD5  Xây dựng ứng dụng minh họa cho việc phát diệt mã độc dựa phương pháp nhận dạng theo mã Hash MD5 Một số hướng nghiên cứu phát triển luận văn tương lai: Sử dụng kỹ thuật phức tạp chèn mã rác, thay lệnh, hoán vị mã, tích hợp mã để phát chúng cách toàn diện 70 TÀI LIỆU THAM KHẢO [1] Nguyễn Thành Cương (2005), “Hướng dẫn phòng diệt vi rút máy tính”, Nhà xuất thống kê [2] Hoàng Thanh (2014), “Xây dựng hệ thống tự động phân tích mã độc hại”,Tạp chí an toàn thông tin,Ban yếu phủ [3] Đỗ Anh tuấn (2013), “Phát phần mềm độc hại dựa phân tích hành vi ứng dụng chống hack game”, Học viện công nghệ bưu viễn thông.2013 [4] Nguyễn Hồng Văn (05-2012),”Lock PC phương thức khai thác tử huyệt mã độc”, Tạp chí Nghiên cứu KH&CN quân sự, số đặc san ATTT&CNTT’12 [5] Quyển 2: Tổng hợp công nghệ đảm bảo an toàn cho mạng chuyên dùng Đề tài cấp nhà nước Ban yếu phủ.Hà nội 2013 [6] http://www.virusvn.com/2014/05/cac-ky-thuat-nhan-dang-virus.html [7] JEONG, G et al ( 2010), "Generic unpacking using entropy analysis," Malicious and Unwanted Software (MALWARE), 2010 5th International Conference on [8] R Rivest (1992), “The MD5 Message-Digest Algorithm”, MIT Laboratory for Computer Science and RSA Data Security, Inc [...]... diệt được mã độc thì trước tiên chúng ta phải phát hiện ra nó Vì vậy trong chương này tôi tập trung tìm hiểu về một số kỹ thuật phân tích và phát hiện mã độc Từ đó có thể xây dựng một chương trình phát hiện và diệt mã độc hiệu quả 2.1 Phân tích Tĩnh Phân tích tĩnh (Static analysis): dựa vào mã thực thi để hiểu chi tiết luồng thực thi và hành vi của mã độc Phân tích tĩnh thường đòi hỏi người phân tích xem... và hiệu quả trước khi bắt tay vào thực hiện quá trình phân tích mã độc Do nhiều mẫu virus vẫn duy trì trạng thái mã hóa và nén, người phân tích phải xác định chúng bằng phân tích thủ công hoặc sử dụng kỹ thuật phân tích ngược (reverse engineering) Yêu cầu đặt ra là cần phải xác định nhanh chóng và chính xác đoạn mã độc nén và giải nén Phương pháp phân tích entropy là một kỹ thuật hỗ trợ cho người phân. .. đoạn mã mong muốn 28 Mỗi phương pháp đều có điểm mạnh, điểm yếu riêng Vì thế khi phân tích mã độc cần kết hợp cả 2 phương pháp phân tích tĩnh và phân tích động mới hiệu quả 2.3 Phương pháp Phân tích Entropy để phát hiện che giấu Mã độc Phân tích entropy kiểm tra sự đa dạng về mặt thống kê trong tệp tin nhiễm mã độc, cho phép người phân tích nhanh chóng và hiệu quả xác định các mẫu mã độc đã nén hoặc mã. .. đến điểm vào (entry point) của đoạn mã thực thi 29 Kỹ thuật đóng gói xuất hiện trong phần lớn các mẫu mã độc hại do đó điều này tạo ra một thách thức vô cùng lớn cho người phân tích mã, đặc biệt là sử dụng phương pháp phân tích tĩnh để phân tích một lượng lớn mẫu mã độc hại Bởi vì, người phân tích cần phải xác định đoạn mã độc hại bị mã hóa hay nén để thực hiện việc giải nén cũng như giải mã một cách... hóa [7] Kỹ thuật đóng gói để che giấu mã độc Kỹ thuật đóng gói (bao gồm kỹ thuật nén và mã hóa) với mục đích che giấu mã độc được kẻ viết mã độc thường sử dụng để chuyển đổi mã thực thi nhị phân sang một định dạng khác nhằm thu gọn mã độc và biến dạng khác biệt hẳn so với ban đầu để tránh sự phát hiện của các chương trình diệt virus dựa trên cơ sở mẫu nhận dạng Trong nhiều trường hợp, kẻ viết mã độc hại... cuộc chiến tranh mạng lan rộng 22 Dựa vào thực tế sự phát triển mã độc hiện nay, một số dự đoán xu hướng phát triển của mã độc trong tương lai:  Các loại mã độc với các kỹ thuật chống phân tích được cải tiến  Mã độc trong các thiết bị di động bùng phát do xu hướng di động đã và sẽ phát triển mạnh trong tương lai  Mã độc với những kỹ thuật được cải tiến đảm bảo sao cho chúng có thể lây nhiễm trên... boot máy tính với ổ đĩa bootable đã bị nhiễm - Hiểu biết về mối đe dọa virus mới nhất và cập nhật thông tin - Kiểm tra CD và DVD có bị nhiễm hay không - Đảm bảo cửa sổ pop-up blocker được bật và sử dụng tường lửa internet 1.4.3 Worm Sâu máy tính( worm) là một chương trình máy tính có khả năng tự nhân bản giống như virus máy tính Trong khi virus máy tính bám vào và trở thành một phần của mã máy tính. .. đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu … Chỉ cần có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích chúng ta vô tình thực thi mã độc (click đúp, hoặc chạy thư viện mã độc) Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên môi trường mà nó không thực thi ( ví dụ phân tích mã độc trên Windows trong hệ... tấn công vào hệ thống với sự đảm bảo rằng nếu cuộc tấn công đó thất bại, kẻ tấn công có thể sử dụng mã độc đó cho một cuộc tấn công khác vào thời gian sau đó với một hình thức hay cách tiếp cận khác Trong những mã độc được phân tích, người ta còn nhận thấy xu hướng cải tiến phức tạp trong việc đánh cắp dữ liệu – một trong những mục đích quan trọng của mã độc Cách thức mà mã độc sử dụng phải đảm bảo dữ... trước và sau khi hệ thống bị lây nhiễm mã độc Giả sử có một file chưa lây nhiễm, và một người gửi đến trung tâm phân tích một file đã nhiễm mã độc, thì đây là công cụ cần sử dụng đầu tiên Không chỉ đưa ra thông tin về những byte khác nhau, các công cụ này còn có khả năng đưa ra mã assembly của những đoạn đó, giúp cho người phân tích dễ dàng thấy được các hoạt động của mã độc 2.2 Phân tích động Phân tích