Đồ án: Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc

87 416 3
Đồ án: Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Khi nhu cầu và việc sử dụng Internet của con người ngày càng tăng thì cũng là lúc những mối đe dọa xuất hiện càng nhiều, nổi bật là đe dọa của mã độc hại. Mã độc hại xuất hiện bất kỳ ở đâu trên môi trường của các thiết bị điện tử như các đĩa mềm, usb, máy tính đến môi trường Internet trong các website, trong các tin nhắn, trong hòm thư điện tử của người dùng, trong các phần mềm miễn phí…. Khi mã độc hại đã nhiễm vào một máy tính nào đó thì nó lây lan sang các máy tính khác là khá nhanh và thiệt hại do mã độc hại gây ra là khó có thể lường trước được.Hiện tại để chống lại các loại mã độc hại người ta thường sử dụng các chương trình Antivirus. Tuy nhiên để có được một chương trình Antivirus một cách có hiệu quả cần có một thuật toán quét sao cho nhanh nhất và quan trọng là một cơ sở dữ liệu đầy đủ và update thường xuyên những mẫu mới. Ngoài ra cơ sở dữ liệu đó phải đảm bảo kiến trúc, định dạng và phương pháp lưu trữ một cách khoa học để cho phép các thuật toán đối sánh mẫu được thực hiện một cách hiệu quả nhất. Đồng thời nó phải có các cơ chế đáp ứng được các tiêu chuẩn để có thể trao đổi với các cơ sở dữ liệu cả các hãng khác. Việc xây dựng được cơ sở dữ liệu như vậy có thể sử dụng để phát triển các phần mềm phát hiện và ngăn chặn mã độc hiệu quả. Ngoài ra nó cũng có thể sử dụng như một công cụ để hỗ trỡ đắc lực cho những người làm công việc tác nghiệp phân tích mã độc.Chính vì những lý do trên, nên mục đích của dồ án này là để nhằm nghiên cứu để nhằm sang tỏ các kiểu dấu hiệu để phát hiện ra các loại mã độc, các chuẩn dấu hiệu để trao đổi mã độc và cấu trúc chung của cơ sở dữ liệu mã độc của một số hãng phần mềm lớn trên thế giới như ClamAV, Kaspersky,BKAV… Đồng thời thiết kế, xây dựng một cơ sở dữ liệu mã độc và một chương trình demo để quản lý và sử dụng cơ sở dữ liệu đó.

Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã MỤC LỤC MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU CHƯƠNG PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍCH MÃ ĐỘC .10 1.1 Giới thiệu mã độc hại 10 1.1.1 Khái niệm mã độc hại 10 1.1.2 Lịch sử mã độc hại 10 1.2 Cơ chế hoạt động mã độc 12 1.2.1 Cơ chế hoạt động Virus .12 1.2.2 Cơ chế hoạt động Worm 12 1.2.3 Cơ chế hoạt động Trojan Horse 12 1.3 Phương pháp thu thập mã độc 12 1.3.1 Các phương pháp thu thập mẫu 12 1.3.2 Các công cụ thu thập mẫu mã độc 17 1.4 Quy trình phân tích mã độc hại .33 1.4.1 Các phương pháp phân tích mã độc 34 1.4.2 Các bước phân tích mã độc hại 35 1.4.3 Phân tích mơt mẫu mã độc cụ thể 38 CHƯƠNG NGHIÊN CỨU VỀ MỘT SỐ CƠ SỞ DỮ LIỆU MÃ ĐỘC 40 2.1 Các kiểu dấu hiệu mã độc kỹ thuật phát tương ứng 40 2.1.1 String – Chuỗi 40 2.1.2 Mã băm 41 Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã 2.1.3 Khung mã độc có sẵn .42 2.1.4 Phương pháp dựa hành vi 42 2.1.5 Kỹ thuật lọc 43 2.1.6 Phát việc giải mã tĩnh 44 2.1.7 Mã giả lập 44 2.2 Nghiên cứu chuẩn trao đổi liệu mã độc .45 2.3 Nghiên cứu sở liệu mã độc Clam AV từ đố xây dựng sở liệu mẫu mã độc .48 2.3.1 Clam Anti Virus .48 2.3.2 ClamAV Virus Databases 48 2.3.3 Debug thông tin từ libclamav 49 2.3.4 Định dạng chữ ký ClamAV .55 CHƯƠNG XÂY DỰNG CƠ SỞ DỮ LIỆU MÃ ĐỘC 66 3.1 Xây dựng chương trình quản lý sở liệu mẫu mã độc theo chuẩn 66 3.2 Xây dựng chương trình nhận dạng mã độc theo chuỗi 71 KẾT LUẬN 76 TÀI LIỆU THAM KHẢO 77 PHỤ LỤC 78 DANH MỤC TỪ VIẾT TẮT MS-DOS Microsoft Disk Operating System Spyware Spy software FTP File Transfer Protocol UDP User Datagram Protocol Ddos Distributed Denial of Service Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã MD5 Message-Digest algrorithm CPU Central Processing Unit HTML Hypertext Tranfer Protocol ICSG Industry Connection Sercurity Group XML Extensible Markup Language DLL Dynamic-link Library SHA Message-Digest algrorithm malware Malicious software PE Portable Executable TCP/IP Transmission Control Protocol/Internet Protocol Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã DANH MỤC HÌNH VẼ HÌNH 1.1 GIAO DIỆN CHÍNH VIRUSTOTAL 13 HÌNH 1.2 GIAO DIỆN VIRUSTOTAL SAU KHI QUÉT 13 HÌNH 1.3 GIAO DIỆN TRƯỚC KHI QUÉT CỦA THREATEXPERT 15 HÌNH 1.4 GIAO DIỆN SAU KHI QUÉT CỦA THREATEXPERT 15 HÌNH 1.5 HỆ THỐNG THREATEXPERT 16 HÌNH 1.6 NGƯỜI DUNG GỬI MẪU TỚI 16 HÌNH 1.7 THREATEXPERT TRẢ KẾT QUẢ VỀ CHO NGƯỜI DÙNG 17 HÌNH 1.8 GIAO DIỆN IDA 18 HÌNH 1.9 IDA TEXT VIEW 19 HÌNH 1.10 FUNCTION WINDOWS 19 HÌNH 1.11 IMPORT WINDOWS 20 HÌNH 1.12 CROSS – REFERENCES 20 HÌNH 1.13FUNCTION CALL 21 HÌNH 1.14 MENU JUMP 21 HÌNH 1.15 MENU SEARCH 23 HÌNH 1.16 TEXT SEARCH 24 HÌNH 1.17 MENU VIEW 24 HÌNH 1.18 COMPILER SETUP 25 HÌNH 1.19 PLUGIN .27 HÌNH 1.20 GIAO DIỆN OLLY DEBUG 28 HÌNH 1.21 TÙY CHỌN VIEW .29 HÌNH 1.22 DEBUG 30 HÌNH 2.23 BREAKPOINT 32 HÌNH 1.24 GIAO DIỆN HXD .33 HÌNH 2.1 MƠ HÌNH CHƯƠNG TRÌNH QT HÀNH VI 43 HÌNH 3.1 CẤU TRÚC FILE DỮ LIỆU 66 HÌNH 3.2 NHẬP CƠ SỞ DỮ LIỆU .68 Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã HÌNH 3.4 CHI TIẾT MẪU MÃ ĐỘC 69 HÌNH 3.5 GIAO DIỆN SCAN .70 HÌNH 3.6 MƠ HÌNH CHỨC NĂNG QUÉT .70 HÌNH 3.7 TỆP DỮ LIỆU .72 HÌNH 3.8 CHUỖI STRING 73 HÌNH 3.3MƠ HÌNH CHƯƠNG TRÌNH QT 74 HÌNH 3.9 GIAO DIỆN CHÍNH 74 HÌNH 3.10 DANH SÁCH MÃ ĐỘC .75 HÌNH 3.11 THÊM MẪU 75 Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã LỜI NÓI ĐẦU Khi nhu cầu việc sử dụng Internet người ngày tăng lúc mối đe dọa xuất nhiều, bật đe dọa mã độc hại Mã độc hại xuất đâu môi trường thiết bị điện tử đĩa mềm, usb, máy tính đến môi trường Internet website, tin nhắn, hòm thư điện tử người dùng, phần mềm miễn phí… Khi mã độc hại nhiễm vào máy tính lây lan sang máy tính khác nhanh thiệt hại mã độc hại gây khó lường trước Hiện để chống lại loại mã độc hại người ta thường sử dụng chương trình Antivirus Tuy nhiên để có chương trình Antivirus cách có hiệu cần có thuật toán quét cho nhanh quan trọng sở liệu đầy đủ update thường xuyên mẫu Ngoài sở liệu phải đảm bảo kiến trúc, định dạng phương pháp lưu trữ cách khoa học phép thuật toán đối sánh mẫu thực cách hiệu Đồng thời phải có chế đáp ứng tiêu chuẩn để trao đổi với sở liệu hãng khác Việc xây dựng sở liệu sử dụng để phát triển phần mềm phát ngăn chặn mã độc hiệu Ngồi sử dụng công cụ để hỗ trỡ đắc lực cho người làm công việc tác nghiệp phân tích mã độc Chính lý trên, nên mục đích dồ án để nhằm nghiên cứu để nhằm sang tỏ kiểu dấu hiệu để phát loại mã độc, chuẩn dấu hiệu để trao đổi mã độc cấu trúc chung sở liệu mã độc số hãng phần mềm lớn giới ClamAV, Kaspersky,BKAV… Đồng thời thiết kế, xây dựng sở liệu mã độc chương trình demo để quản lý sử dụng sở liệu Đồ án trình bày theo bố cục: Chương Quy trình thu thập phân tích mã độc hại Trình bày tổng quan mã độc hại, chế hoạt động mã độc quy trình thu thập, phân tích mã độc Chương Nghiên cứu số sở liệu mã độc Trình bày số phương pháp phát mã độc mà chương trình anti virus hay dùng để tìm diệt mã độc Tìm hiểu nghiên cứu chuẩn trao đổi liệu mã độc, sở liệu mã độc chương trình clamav Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã Chương 3.Xây dựng sở liệu mã độc  Xây dựng sở liệu theo chuỗi nhận dạng, theo chuẩn nêu  Xây dựng chương trình quét mã độc sử dụng chuỗi nhận dạng  Xây dựng chương trình quản lý sở liệu theo chuẩn Kết luận Trình bày kết đạt trình làm đồ án, mặt hạn chế hướng phát triển Vì điều kiện thời gian làm đồ án có hạn hiểu biết cịn hạn chế nên chắn đề tài không tránh khỏi sai sót Rất mong thầy góp ý kiến để đề tài khoa học em hoàn thiện Em xin chân thành cảm ơn thầy, cô giáo Học Viện Kỹ Thuật Mật Mã tận giảng dạy giúp đỡ em có kiến thức cần thiết để hoàn thành đồ án nhận Em cảm ơn thầy Lương Thế Dũng - phó khoa An tồn thơng tin, thầy Hoàng Thanh Nam giảng viên khoa An toàn thông tin giúp đỡ, hướng dẫn bảo để em hoàn thành đồ án Em xin chân thành cảm ơn! Hà Nội, ngày 11 tháng 06 năm 2013 Sinh viên thực Trần Văn Khang Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã CHƯƠNG PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍCH MÃ ĐỘC Để xây dựng sở liệu mẫu mã độc đạt yêu cầu cần phải trải qua nhiều q trình khác nhau, q trình thu thập phân tích mã độc q trình quan trọng Nó giúp cho việc xây dựng sở liệu mẫu mã độc cách hiệu qả nhanh chóng Cùng với q trình đem lại cho ta nhìn rõ nét hành vi đặc điểm mà mã độc gây hại cho người dung Vì chương trình sâu vào trình thu thập phân tích mã độc 1.1 Giới thiệu mã độc hại 1.1.1 Khái niệm mã độc hại Malware (Malicious software) hay gọi mã độc hại (Malicious code) tên gọi chung cho phần mềm thiết kế, lập trình đặc biệt để phá hoại hệ thống bạn làm gián đoạn môi trường hoạt động mạng Malware thâm nhập vào hệ thống máy tính mà khơng có đồng ý chủ sở hữu 1.1.2 Lịch sử mã độc hại Internet phát triển, thực việc kết nối máy tính, máy chủ, laptop, mobile phone khắp giới, thêm vào phát triển website mã độc hại theo mà phát triển rộng khắp với số lượng lớn ngày phức tạp Một số mốc lịch sử mã độc hại giới Năm 1949 John von Neuman (1903-1957) phát triển tảng lý thuyết tự nhân chương trình cho máy tính Năm 1981 virus xuất hệ điều hành máy tính Apple II Năm 1983 Fred Cohen, sinh viên đại học Mỹ, đưa định nghĩa virus: “Là chương trình máy tính tác động chương trình máy tính khác cách sửa đổi chúng phương pháp đưa vào nó” Fred Cohen ln tên nhắc đến nói lịch sử virus Năm 1986 hai anh em lập trình viên người Pakistan Basit Amjad thay mã thực (executable code) rãnh ghi khởi động đĩa mềm Nghiên cứu xây dựng sở liệu mẫu mã độc 10 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã mã riêng họ, thiết kế với mục đích phát tán từ đĩa mềm 360K cho vào ổ đĩa Loại đĩa mềm mang virus có mác “© Brain” Đây virus MS-DOS xuất sớm Năm 1987 Lehigh, virus file xâm nhập tệp lệnh command.com (virus sau tiến hố thành virus Jerusalem) Một virus khác có tên IBM Christmas, với tốc độ phát tán cực nhanh (500.000 sao/tiếng), ác mộng máy tính lớn (mainframe) Big Blue suốt năm đồng hồ máy tính (giống bom nổ chậm cài hàng loạt cho thời điểm) Tháng 11 năm, Robert Morris chế worm chiếm máy tính ARPANET làm liệt khoảng 6.000 máy Năm 1991 virus đa hình (polymorphic virus) đời Tequilla Loại biết tự thay đổi hình thức nó, gây khó khăn cho chương trình chống virus Năm 1994 Trị lừa qua e-mail xuất cộng đồng tin học Trò cảnh báo người sử dụng loại virus xố tồn ổ cứng mở e-mail có dịng chủ đề “Good Times” Mặc dù khơng gây thiệt hại mà có tính chất doạ dẫm, trò lừa tiếp tục xuất chu kỳ từ đến 12 tháng/lần Năm 1995 macro virus xuất mã macro tệp Word lan truyền qua nhiều máy Loại virus làm hư hệ điều hành chủ Năm 1999 Bubble Boy sâu máy tính khơng dựa vào việc người nhận email có mở file đính kèm hay khơng Chỉ cần thư mở ra, tự hoạt động Năm 2003 Slammer loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy 10 phút Năm 2004 đánh dấu hệ mã độc hại worm Sasser Với loại worm người ta khơng cần phải mở đính kèm điện thư mà cần mở thư đủ cho xâm nhập vào máy Sasser khơng hồn tồn hủy hoại máy mà làm cho máy chủ trở nên chậm đơi làm máy tự khởi động trở lại Ở Việt Nam mã độc hại gây thiệt hại đáng kể Nghiên cứu xây dựng sở liệu mẫu mã độc 11 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã 1.2 Cơ chế hoạt động mã độc Mỗi loại mã độc có chế hoạt động khác nhiên chúng có mục đích phá hoại gây hại cho máy tình người dùng em nêu chế hoạt động loại mã độc Virus, Trojan Horse, worm 1.2.1 Cơ chế hoạt động Virus Virus tồn độc lập nên cách hoạt động chúng lây lan qua file máy tính người dung Thường virus lây lan với mục đích xóa, sửa file máy tính Loại virus nguy hiểm loại virus đa hình chúng tự đính kèm vào file exe, file hoạt động bình thường Sau lần lây lan đoạn mã virus thay đổi theo phương pháp khác để che dấu đặc điểm nhận dạng 1.2.2 Cơ chế hoạt động Worm Do worm tồn cách độc lập nên cách thức hoạt động tự nhân đơi, chép khơng cần lân lan vào file Worm hoạt động không cần tác động người dung thường lây lan qua mạng LAN Internet 1.2.3 Cơ chế hoạt động Trojan Horse Loại mã độc thường ẩn dạng chương trình an tồn, vơ hại với máy tính người dung Chính ngồi thực thực thi chức năngchương trình an tồn cịn âm thầm thực thi chức độc hại ẩn mà cần đến thực thi 1.3 Phương pháp thu thập mã độc 1.3.1 Các phương pháp thu thập mẫu Có nhiều phương pháp thu thập mẫu mã độc xây dựng honeypot số hãng phần mềm diệt virus:  http://www.honeyclient.org/trac  http://nepenthes.carnivore.it/  http://sourceforge.net/projects/amunhoney/ Hoặc lấy mẫu từ khách hàng tự gửi đến, lấy từ nguồn chia sẻ mạng, mua từ hãng nghiên cứu bảo mât… Ở em trình bày phương pháp thu thập dựa vào mẫu người dùng gửi đến Phương pháp thu thập Nghiên cứu xây dựng sở liệu mẫu mã độc 12 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã KẾT LUẬN Sau thời gian tập trung nghiên cứu, hạn chế kiến thức nên đồ án nhiều hạn chế.Kết đạt đồ án thực số nội dung sau: Về phần lý thuyết:  Tìm hiểu tổng quan mã độc hại, tình hình phát triển mã độc hại giới năm gần  Tìm hiểu cách thức phát mã độc  Tìm hiểu cách thức thu thập mẫu mã độc  Tìm hiểu xây dựng sở liệu mã độc theo chuẩn chung Về phần thực nghiệm:  Xây dựng chương trình quét mã độc theo chuỗi nhận dạng  Xây dựng chương trình quản lý sở liệu mã độc Hạn chế: Chưa xây dựng sở liệu cách đầy đủ thành phần, sở liệu xây dựng yếu tổ chủ quan, chế sử dụng sở liệu chưa hoàn thiện, thực thuật toán chưa tốt Hướng phát triển Áp dụng thêm phương pháp phát mã độc khác để hoàn thành chương trình quét mã độc dần tiến tới thử nghiệm áp dụng thực tế từ quy mô nhỏ tới lớn Xây dựng sở liệu mã độc đầy đủ hơn, truy xuất nhanh có tính áp dụng thực tế cao Xây dựng chương trình nhận dạng mã độc sử dụng khơng sở liệu có sẵn mà sử dụng sở liệu hãng, tổ chức cá nhân khác Nghiên cứu xây dựng sở liệu mẫu mã độc 75 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã TÀI LIỆU THAM KHẢO [1] Addison and Wesley – The Art of Computer Virus Research and Defense – Feb.2005 [2] Michael Sikorski and Andrew Honig – Practical Malware analysis – 2012 [3] Chris Eagle – The IDA Pro Book - 2011 [4] https://www.hex-rays.com [5] www.ollydbg.de [6] www.threatexpert.com/ [7] www.mcafee.com [8] www.codeproject.com/ [9] http://www.securelist.com Nghiên cứu xây dựng sở liệu mẫu mã độc 76 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã PHỤ LỤC Code chương trình quét theo chuỗi nhận dạng  Code phần quét mã độc private: System::Boolean compareStr(char *str1, char *str2) { //Hàm dùng để so sánh chuỗi ký tự có giống khơng //Hàm trả TRUE giống FALSE khác int i=0; while (*(str1+i) == *(str2+i)) { i++; if (i == 32) return true; } return false; } private: System::Boolean compareStr1(char *str1, char *str2, int m, int n) { //Hàm dùng để so sánh chuỗi ký tự có giống khơng Nghiên cứu xây dựng sở liệu mẫu mã độc 77 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã //Hàm trả TRUE giống FALSE khác int i=0; int j; for (j=0;jLength; char *chTmpData = new char[lenght+1]; for(int i = 0; iAdd(L"Phát : " + tmp + L" đường dẫn : " + strFile); detected++; lblDetected->Text = Convert::ToString(detected); System::Windows::Forms::Application::DoEvents(); } Nghiên cứu xây dựng sở liệu mẫu mã độc 81 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã } // int cur2; cur2=ftell(f) fread(strDatFile,32,1,fs); if (compareStr(strDatFile,sign.Sign) == true) { System::Windows::Forms::Application::DoEvents(); } } fclose(f); fclose(fs); } //Ghi listBox thông báo quét file tmp = gcnew System::String(strFile); lstFile->Items->Add(tmp); scaned++; lblScaned->Text = Convert::ToString(scaned); System::Windows::Forms::Application::DoEvents(); } Nghiên cứu xây dựng sở liệu mẫu mã độc 82 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã //Tiến hành liệt kê tập tin thư mục for each (strFile in System::IO::Directory::GetDirectories(strPath)) { try { //Lặp đệ qui scan(strFile); } catch(Exception ^e) { //Bắt lỗi } } } } Nghiên cứu xây dựng sở liệu mẫu mã độc 83 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã  Code nhập liệu System::String ^strFile; System::String ^tmp; FILE *f; //Mở file lấy mẫu FILE *fs; char strPathSign[]="mn.kkt"; char strDatFile[32]; m_Sign sign; System::Boolean isHave=false; int iTmpOffset; int i; strFile = txtPath->Text; //Convert từ chuỗi TextBox qua chuỗi dạng chuẩn chương trình //Từ đưa chuỗi với 18 ký tự //Chuyển từ dạng String -> Char char tmpName[18]; System::String ^strTmpName; strTmpName=txtName->Text; Nghiên cứu xây dựng sở liệu mẫu mã độc 84 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã for (i=0; i < strTmpName->Length;i++) { tmpName[i] = strTmpName[i]; } for (int i=strTmpName->Length; i Length; char *chTmpData = new char[itmp+1]; for(int i = 0; iText); fseek(fs,iTmpOffset,SEEK_SET); fread(strDatFile,32,1,fs); //Đưa liệu vào biến theo Struct m_Sign //Hàm strcpy xử lý lỗi trường hợp (Do có ký tự NULL) //Vì hàm copy mảng char cần tự code lại for (i=0;i < 32;i++) sign.Sign[i]=strDatFile[i]; sign.lPos=iTmpOffset; strcpy(sign.Name,tmpName); //Nhảy đến cuối file fseek(f,0,SEEK_END); //Ghi liệu vào cuối file fwrite(&sign,sizeof(sign),1,f); System::Windows::Forms::MessageBox::Show(L"Đã lưu xong mẫu tin Nghiên cứu xây dựng sở liệu mẫu mã độc 88 Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã liệu virus mới",L"Thành công"); } fclose(f); fclose(fs);  Liệt kê mẫu tệp liệu FILE *f; char strPathSign[]="mn.kkt"; fopen_s(&f,strPathSign,"rb"); m_Sign sign; char chuoi[18]=""; System::String ^tmp=""; int i=0; int posEnd; //Xác định kích thước file fseek(f,0,SEEK_END); posEnd=ftell(f); //Trả vị trí ban đầu fseek(f,0,SEEK_SET); //Tiến hành vịng lặp liệt kê mã nhận dạng Nghiên cứu xây dựng sở liệu mẫu mã độc 89 ... trao đổi liệu mã độc, sở liệu mã độc chương trình clamav Nghiên cứu xây dựng sở liệu mẫu mã độc Trần Văn Khang – AT5B Học viện Kỹ Thuật Mật Mã Chương 3 .Xây dựng sở liệu mã độc  Xây dựng sở liệu. .. Kỹ Thuật Mật Mã CHƯƠNG NGHIÊN CỨU VỀ MỘT SỐ CƠ SỞ DỮ LIỆU MÃ ĐỘC Để xây dựng sở liệu mã độc trước tiên cần phải có kiến thức việc phát mã độc cách nào, kỹ thuật thu thập mã phát mã độc Chương trình... ClamAV .55 CHƯƠNG XÂY DỰNG CƠ SỞ DỮ LIỆU MÃ ĐỘC 66 3.1 Xây dựng chương trình quản lý sở liệu mẫu mã độc theo chuẩn 66 3.2 Xây dựng chương trình nhận dạng mã độc theo chuỗi 71 KẾT

Ngày đăng: 26/10/2018, 15:49

Từ khóa liên quan

Mục lục

  • MỤC LỤC

  • DANH MỤC TỪ VIẾT TẮT

  • DANH MỤC HÌNH VẼ

  • LỜI NÓI ĐẦU

  • CHƯƠNG 1. PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍCH MÃ ĐỘC

    • 1.1 Giới thiệu về mã độc hại

      • 1.1.1 Khái niệm mã độc hại

      • 1.1.2 Lịch sử mã độc hại

    • 1.2 Cơ chế hoạt động của mã độc

      • 1.2.1 Cơ chế hoạt động của Virus

      • 1.2.2 Cơ chế hoạt động của Worm

      • 1.2.3 Cơ chế hoạt động của Trojan Horse

    • 1.3 Phương pháp thu thập mã độc

      • 1.3.1 Các phương pháp thu thập mẫu

      • 1.3.2 Các công cụ thu thập mẫu mã độc

        • 1.3.2.1 IDA

        • 1.3.2.2 Olly Debug

        • 1.3.2.3 HxD

    • 1.4 Quy trình phân tích mã độc hại

      • 1.4.1 Các phương pháp phân tích mã độc

        • 1.4.1.1 Static analysis

        • 1.4.1.2 Dynamic analysis

      • 1.4.2 Các bước cơ bản phân tích mã độc hại

        • 1.4.2.1 Phân tích thông tin sơ bộ

        • 1.4.2.2 Quan sát hành vi mã độc hại (Dynamic analysis)

        • 1.4.2.3 Phân tích mã dịch ngược ( Static Analynis)

        • 1.4.2.4 Trace Code Debug

        • 1.4.2.5 Tìm signature của mã độc hại và đưa vào cơ sở dữ liệu

      • 1.4.3 Phân tích môt mẫu mã độc cụ thể

  • CHƯƠNG 2. NGHIÊN CỨU VỀ MỘT SỐ CƠ SỞ DỮ LIỆU MÃ ĐỘC

    • 2.1 Các kiểu dấu hiệu mã độc và kỹ thuật phát hiện tương ứng

      • 2.1.1 String – Chuỗi

      • 2.1.2 Mã băm

      • 2.1.3 Khung mã độc có sẵn

      • 2.1.4 Phương pháp dựa trên hành vi

      • 2.1.5 Kỹ thuật lọc

      • 2.1.6 Phát hiện bằng việc giải mã tĩnh

      • 2.1.7 Mã giả lập

    • 2.2 Nghiên cứu chuẩn trao đổi dữ liệu mã độc

    • 2.3 Nghiên cứu cơ sở dữ liệu mã độc Clam AV từ đố xây dựng cơ sở dữ liệu mẫu mã độc

      • 2.3.1 Clam Anti Virus

      • 2.3.2 ClamAV Virus Databases

      • 2.3.3 Debug thông tin từ libclamav

      • 2.3.4 Định dạng chữ ký của ClamAV

        • 2.3.4.1 MD5

        • 2.3.4.2 Tạo MD5 cho một phần PE file

        • 2.3.4.3 Chữ ký đựa trên phần thân chương trình

          • 2.3.4.3.1 Định dạng hexa]

          • 2.3.4.3.2 Ký tự đại diện

          • 2.3.4.3.3 Định dạng chữ ký cơ bản

          • 2.3.4.3.4 Định dạng chữ ký mở rộng

        • 2.3.4.4 Chữ ký biểu tượng cho PE file

        • 2.3.4.5 Chữ ký cho các siêu dữ liệu thông tin phiên bản trong PE file

        • 2.3.4.6 Chữ ký dựa trên siêu dữ liệu

        • 2.3.4.7 Chữ ký trên siêu dữ liệu ZIP/RAR

        • 2.3.4.8 Danh sách trắng

        • 2.3.4.9 Danh sách chữ ký theo tên

        • 2.3.4.10 File đặc biệt

          • 2.3.4.10.1 HTML

          • 2.3.4.10.2 Tập tin văn bản

          • 2.3.4.10.3 Tập tin thực thi di động đã nén

  • CHƯƠNG 3. XÂY DỰNG CƠ SỞ DỮ LIỆU MÃ ĐỘC

    • 3.1 Xây dựng chương trình quản lý cơ sở dữ liệu mẫu mã độc theo chuẩn

    • 3.2 Xây dựng chương trình nhận dạng mã độc theo chuỗi

  • KẾT LUẬN

  • TÀI LIỆU THAM KHẢO

  • PHỤ LỤC

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan