Thạc Sĩ Nghiên cứu phương pháp phân tích phần mềm mã độc

3



MỤC LỤC
LỜI CẢM ƠN 2
MỤC LỤC . 3
DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT 5
DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG 6
MỞ ĐẦU . 7
CHƯƠNG 1-TỔNG QUAN VỀ MALWARE 9
1.1 Khái niệm về Malware 9
1.2 Phân loại Malware 9
1.3 Lược sử về Malware . 13
1.4 Vai trò của việc phân tích Malware . 17
CHƯƠNG 2– CƠ CHẾ HOẠT ĐỘNG CỦA MALWARE 18
2.1 Tìm hiểu về cấu trúc PE file 18
2.2 Hình thức lây nhiễm 19
2.2.1 Qua thiết bị lưu trữ . 19
2.2.2 Qua mạng Internet 20
2.3 Đối tượng lây nhiễm 22
2.3.1 Các phần mềm: 22
2.3.2 Đoạn mã (Script): . 23
2.3.3 Shortcuts: . 24
2.3.4 Một số loại tập tin khác: . 24
2.4 Khởi động cùng hệ thống 25
2.5 Phá hoại và các hoạt động khác . 28
2.6 Cơ chế tự bảo vệ của mã độc . 29
2.6.1 Cơ chế tạo áo giáp (Armouring): 29
2.6.2 Cơ chế chống theo dõi (Anti Heuristic): . 29
2.6.3 Cơ chế chống phần mềm phân tích (Anti-Analysis software) . 30
2.6.4 Chống gỡ rối và ảo hóa (Anti debugger & Virtual Machine) 30
2.7 Kỹ thuật đóng gói để che giấu mã độc . 31
2.8 Xu hướng phát triển của Malware . 33
CHƯƠNG 3- PHƯƠNG PHÁP PHÂN TÍCH MALWARE . 35
3.1 Qui trình phân tích Malware 35
3.2 Kiểm tra, phát hiện và lấy mẫu Malware . 35
3.2.1 Kiểm tra các phần mềm khởi động cùng hệ thống 35
3.2.2 Tiến trình trong Windows 36
3.2.3 Kiểm tra chuỗi (string) của các tiến trình . 37
3.2.4 Tiêm mã độc 39
3.2.5 Phát hiện che giấu mã độc với phương pháp phân tích Entropy 39 4



3.2.6 Sử dụng hàm băm (Hash) để xác định phần mềm độc hại. . 41
3.2.7 Lấy mẫu Malware 41
3.3 Thiết lập môi trường phân tích an toàn 42
3.4 Phân tích tĩnh 44
3.4.1 Phân tích các hàm Windows API để phát hiện phần mềm nghi vấn 44
3.4.1.1 API là gì : . 44
3.4.1.2 Các thành phần của Windows API . 44
3.4.1.3 Tại sao phải tìm hiểu Windows API . 44
3.4.2 Dịch ngược và phân tích mã Assembly 45
3.4.3 Unpacking 45
3.5 Phân tích động . 48
3.5.1 Sử dụng các công cụ Sandbox 49
3.5.2 Giám sát hoạt động của tiến trình . 50
3.5.3 Sử dụng các chương trình gỡ rối (Debugger) . 50
3.5.4 Sử dụng Volatility để rà quét, phân tích mã độc trên RAM 52
3.6 Một số tiêu chí đánh giá an ninh tiết trình . 53
CHƯƠNG 4 – HỆ THỐNG HỖ TRỢ PHÂN TÍCH MALWARE 54
4.1 Hệ thống phân tích Malware tự động Cuckoo Sandbox 54
4.1.1 Giới thiệu hệ thống . 54
4.1.2 Cài đặt hệ thống . 55
4.1.3 Sử dụng Cuckoo Sandbox để phân tích Malware . 56
4.2 Xây dựng phần mềm đánh giá an ninh tiến trình . 59
4.2.1 Giới thiệu phần mềm . 59
4.2.2 Biểu đồ Use case 60
4.2.3 Một số kịch bản chính của phần mềm 62
4.2.4 Chương trình 63
KẾT LUẬN 66
TÀI LIỆU THAM KHẢO 67
PHỤ LỤC: MỘT SỐ HÀM WINDOWS CẦN CHÚ Ý KHI PHÂN TÍCH
MALWARE 68