Ket-noi.com diễn đàn công nghệ, giáo dục ĐỀ TÀI THỰC TẬP Phân tích phần mềm độc hại ứng dụng phòng chống hack game Giảng viên hướng dẫn: Đỗ Xuân Chợ LỜI CẢM ƠN Page Ket-noi.com diễn đàn công nghệ, giáo dục Lời em xin bày tỏ lòng biết ơn sâu sắc tới thạc sĩ Đỗ Xuân Chợ, người thầy tận tình hướng dẫn bảo em suốt thời gian thực tập Nhờ quan tâm định hướng thầy, em có nhiều thong tin bổ ích phương pháp hoàn thành tốt báo cáo thực tập Tiếp đến em xin chân thành cảm ơn thầy, cô khoa công nghệ thông tin, Học viện Công nghệ Bưu Viễn thông Hà Nội tận tình dạy dỗ, trang bị kiến thức bổ ích năm học vừa qua Em xin cảm ơn anh, chị công ty VTC Intecom nói chung anh chị bên phòng RD sản phẩm nói riêng, người giúp đỡ nhiệt tình cho em thời gian thực tập công ty Em xin chân thành cảm ơn! Hà Nội, ngày 25 tháng 07 năm 2015 MỤC LỤC Page Ket-noi.com diễn đàn công nghệ, giáo dục MỞ ĐẦU Với phát triển mạnh mẽ Internet, vấn đề an ninh, an toàn hệ thống máy tính ngày trở nên cấp thiết hệ thống máy tính kết nối với với mạng Internet, chúng phải đối diện với nhiều nguy bị công lấy cắp thông tin phá hoại hệ thống Trong số tác nhân công phá hoại hệ thống máy tính mạng, phần mềm độc hại tác nhân gây nhiều thiệt hại khả lan truyền nhanh chóng Các phần mềm độc hại phát triển ngày tinh vi, nên khó phát với kỹ thuật nhận dạng thông thường, kỹ thuật phân tích tĩnh phân tích động Các kỹ thuật phân tích tĩnh phân tích động giúp phân tích, nhận dạng phần mềm độc hại dựa đặc trưng chúng dạng mẫu chữ kí Tuy nhiên, kỹ thuật viết chương trình ngày phát triển, phần mềm độc hại có khả tự biến đổi thành dạng khó phân tích, nhận dạng Page Ket-noi.com diễn đàn công nghệ, giáo dục Dựa đặc tính, tính chất phần mềm độc hại, phương pháp phân tíchhành vi tỏ có lợi nhận dạng phòng ngừa nguy phần mềmđộc hại gây ra, đặc biệt có biến đổi kỹ thuật viết chương trình phầnmềm độc hại để tránh phương pháp phân tích nhận dạng truyền thống Đề tài thực tập tập trung nghiên cứu phương pháp phân tích, nhận dạng phần mềm độc hại dựa hành vi với mục đích nâng cao khả nhận dạng phần mềm độc hại Đề tài bao gồm chương với nôi dung sau: • Chương 1: Tổng quan phần mềm độc hại Giới thiệu tổng quan phần mềm độc hại, định nghĩa phần mềm độc hại, phân loại chúng theo NIST, tác hại phần mềm độc hại hệ thống người dùng, lịch sử hình thành phát triển phần mềm độc hại • Chương 2: Các phương pháp phân tích phần mềm độc hại Trình bày phương pháp phân tích phần mềm độc hại: phân tích tĩnh, phân tích động phân tích hành vi Các bước thực phương pháp phân tích kể So sánh ưu nhược điểm phương pháp phân tích phần mềm độc hại • Chương 3: Xây dựng công cụ chống hack game ứng dụng phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi Phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi Chương trình bày tổng quan games, hành vi hack game kỹ thuật hack game Ứng dụng phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi để xây dựng công cụ chống hack game Page Ket-noi.com diễn đàn công nghệ, giáo dục CHƯƠNG I – TỔNG QUAN VỀ PHẦN MỀM ĐỘC HẠI Chương giới thiệu tổng quan phần mềm độc hại, định nghĩa phần mềm độc hại, phân loại chúng theo NIST, tác hại phần mềm độc hại hệ thống người dùng, lịch sử hình thành phát triển phần mềm độc hại Định nghĩa phần mềm độc hại Phần mềm độc hại (tên tiếng anh Malware viết tắt từ Malicious Software) định nghĩa loại phần mềm hay chương trình thường bí mật đưa vào hệ thống với mục đích làm ảnh hưởng đến tính bí mật, tính toàn vẹn tính sẵn sàng liệu, ứng dụng, hay hệ điều hành (OS) Trong năm 80 kỷ trước, phần mềm độc hại viết gây khó chịu bất tiện cho cá nhân tổ chức đến ngày hôm nay, phần mềm độc hại mối đe dọa bên nguy hiểm hầu hết hệ thống, gây thiệt hại diện rộng đòi hỏi nỗ lực làm việc phòng chống, phục hồi hầu hết tổ chức Không phần mềm độc hại công vào liệu thông tin nhậy cảm, vi phạm quyền riêng tư người dùng trở thành mối quan tâm lớn cho tổ chức Page Ket-noi.com diễn đàn công nghệ, giáo dục Phân loại phần mềm độc hại Đề tài phân loại phần mềm độc hại theo NIST (National Institute of Standards and Technology : viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ) [1, pp 15 - 23] Theo phần mềm độc hại chia thành tám nhóm chính, bao gồm: Virus, Trojan horse, Worm, Malicious mobile code, Blended attack, Tracking cookies, Attacker tools NonMalware Threats Lọai phần mềm độc hại Virus Malicious Worm Software Ví dụ Compiled Virus Michelangelo,Stoned, Jerusalem Interpreted Virus Melisa Network Service Worm Sasser Mass Mailing worm Netsky, Mydoom Trojan Horse Malicious Mobile Nimda Code Blended attacks Nimda Tracking Cookies Backdoor Back Orifice,NetBus Page Ket-noi.com diễn đàn công nghệ, giáo dục Attacker tools Keylogger KeySnatch, KeyLogger Pro Rootkits Hack Defender, Adore Web browser plus-in Attacker toolkit Non-malware Threats Post scanner,Password cracker,Attacks Phishing Virus Hoaxes Bảng 1.2 Phân loại phần mềm độc hại theo NIST 2.1 Virus Virus hay virus máy tính định nghĩa chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác (file, ổ đĩa, máy tính, ) Virus chia làm loại: • Compiled Virus: virus mà mã thực thi dịch hoàn chỉnh trình biên dịch để thực thi trực tiếp từ hệ điều hành Các loại boot virus Michelangelo Stoned, file virus Jerusalem phổ biến năm 80 kỉ trước virus thuộc nhóm Ngoài compiled virus pha trộn boot virus file virus phiên • Interpreted Virus: tổ hợp mã nguồn mã thực thi hỗtrợ ứng dụng cụ thể dịch vụ cụ thể hệ thống Virus kiểu tập lệnh, ứng dụng gọi thực thi Macro Virus scripting Virus Virus thuộc loại Virus Melisa đại diện nôi bật cho loại Virus Page Ket-noi.com diễn đàn công nghệ, giáo dục 2.2 Worm Worm hay sâu máy tính tương tự virus chương trình có khả tựnhân tự lây nhiễm hệ thống Tuy nhiên điểm khác biệt worm hoạt động mà không cần có tác động người dùng, điều có nghĩa worm không cần phải có file chủ để mang nhiễm vào hệ thống Mục tiêu worm bao gồm làm lãng phí nguồn lực băng thông mạng phá hoại hệ thống xoá file, tạo backdoor, cài đặt keylogger Tấn công Worm có đặc trưng lan rộng nhanh chóng không cần tác động người Worm chia làm loại: • Network Service Worm lan truyền cách lợi dụng lỗ hổng bảo mật củamạng, hệ điều hành ứng dụng Một ví dụ điển hình cho loạiworm Sasser • Mass Mailing Worm loại worm tập trung công qua dịch vụ mail, nhiên tự đóng gói để công lây nhiễm không bám vào vật chủ email Khi sâu lây nhiễm vào hệ thống, thường cố gắng tìm kiếm sổ địa tự gửi thân đến địa thu nhặt Việc gửi đồng thời cho toàn địa thường gây tải cho mạng cho máy chủ mail Netsky, Mydoom ví dụ điển hình cho loại worm 2.3 Trojan Horse Trojan Horse loại mã độc hại, tên xuất phát từ điển tích tiếng ngựathành Troy thần thoại Hi Lạp Khác với Virus hay Worm, Trojan horse không tựnhân bản, lây vào hệ thống với biểu ôn hoà thực chất bên có ẩn chữa đoạn mã với mục đích gây hại Trojan thường ẩn dạng chương trình hữu ích có chức mong muốn, hay chúng trông có tính Một cách bí mật, lại tiến hành thao tác khác không mong muốn Những chức mong muốn làphần bề mặt giả tạo nhằm che giấu cho thao tác Trong thực tế, nhiều Trojan horse chứa đựng phần mềm gián điệp nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng 2.4 Malicious Mobile Code Malicious Mobile Code dạng mã phần mềm gửi từ xa vào để chạytrên hệ thống mà không cần đến lời gọi thực người dùng hệ thống Điểm khác biệt malicious mobile code với virus, worm không nhiễm vào file không tìm cách tự phát tán Loại phần mềm độc hại lại tập trung khai thác vào cácđiểm yếu bảo mật hệ thống, kiểu công thường tác động đến hệ thống Page Ket-noi.com diễn đàn công nghệ, giáo dục cách tận dụng quyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lập trình Java, ActiveX, JavaScript, VBScript môi trường tốt cho malicious mobile code Mộttrong ví dụ tiếng kiểu công Nimda, sử dụng JavaScript 2.5 Blended attacks Blended attacks dạng công hỗn hợp, sử dụng pha trộn nhiều hình thức tấncông, nhiều phương thức lây nhiễm hay nhiều phương thức truyền dẫn từ loại phần mềm độc hại khác để sử dụng Sâu Nimda thực ví dụ kinh điển loại phần mềm độc hại này, gọi sâu Nimda thực tế kết hợp củaworm, virus malicious mobile code 2.6 Tracking Cookies Tracking cookie phần mềm độc hại thông qua cookie để thực việc theo dõi nắm bắt hành vi duyệt web người sử dụng Như biết cookie file liệu tạo web browser lưu thông tin liên quan đến sử dụng trình duyệt web người dùng thông tin tài khoản, mật khẩu, lịch sử truy cập Cookie chia thành loại: • Session cookies: Loại tạm thời có giá trị cho phiên làm việc Khi bạn tắt trang web: session cookie hiệu lực • Persistent cookies: Là loại cookies lưu trữ lâu dài máy bạn (cho tới bạn xóa) Mục tiêu việc trì cookie hệ thống máy tính nhằm vào để tạo giao diện, hành vi trang web cho thích hợp tương ứng với web-client, mục đích để phục vụ người dùng tốt 2.7 Attacker Tools Attacker Tools tên tập hợp công cụ sử dụng attackernhằm mục đích công vào hệ thống người dùng sau gài phần mềm độc hại lên Các công cụ thể giúp cho attacker truy nhập vào hệ thống cách bất hợp pháp làm cho hệ thống bị lây nhiễm mã độc hại Attacker tool nằm đoạn mã phần mềm độc hại (ví dụ built-in trojan) tải vào sau phần mềm độc hại nằm hệ thống Dưới số loại attacker tools thường gặp: • Backdoor thuật ngữ chung phần mềm độc hại thường trú đợilệnh điều khiển từ bên thông qua port dịch vụ TCP, UDP Đaphần loại Backdoors cho phép attacker thực thi hành vi bất Page Ket-noi.com diễn đàn công nghệ, giáo dục hợppháp hệ thống nạn nhân truyền file, dò mật khẩu, thực mãlệnh, • Keylogger hay có tên đầy đủ Keystroke logger Keylogger sử dụng đểbí mật ghi lại phím nhấn bàn phím gửi tới attacker, phầnmềm ghi lại toàn có chọn lọc thông tin mà nạn nhânđã nhập, số keyloggers có khả ghi lại thông tin bổsung khác, ảnh chụp hình Các keylogger tiếng KeySnatch,KeyLogger Pro • Rootkits tập hợp files cài đặt lên hệ thống nhằm biến đổi cácchức chuẩn hệ thống thành chức tiềm ẩn nguy tấncông nguy hiểm • Web Browser Plug-In phần mềm độc hại cài đặt thực thi tronglòng trình duyệt web Attacker lợi dụng plug-in nạp tự độnglên web browser chúng khởi động sau mã độc hại cài đặt lên web browser Nhờ loại mã độc hại attacker đánh cắp thông tin bímật thông qua việc theo dõi tất hành vi duyệt web người dùng • Email Generators dạng chương trình cho phép tạo gửi sốlượng lớn email Sau Email Generators cài đặt vào hệ thống chúng làm nhiệm vụ gửi lượng lớn loại email nguy hiểm tới vài địa định sẵn địa máy tính nạn nhân.Trên email chứa loại mã độc hại khác worm, chươngtrình gián điệp • Attacker Toolkit tập hợp công cụ có sẵn (có thể download trênmạng) attacker lập trình nên trước (để tiện dùng cho nhữnglần sau) • Non-malware Threats :Phần tập trung nói mối nguy tiềm ẩn phishing virus hoaxes,tuy chất chúng phần mềm độc hại, kết hợpvới phần mềm độc hại ảnh hưởng lớn Hai hiểm họa có tên gọi kỹ thuật chung gọi Social Engineering, thuật ngữ ám kẻ công dùng phương thức để lừa người tiết lộcác thông tin nhạy cảm thực hành động chẳng hạn nhưmở email có chứa worm, file đường dẫn có chữa mã độc … Page 10 Ket-noi.com diễn đàn công nghệ, giáo dục Thực thi phần mềm độc hại bước quan trọng trình phân tích động Trong trình chạy EXE DLL tệp tin thực thi quan trọng thường phải quan tâm Thông thường hay nhấp đúp chuột để chạy tệp tin chạy tập tin qua cửa sổ command prompt dòng lệnh, nhiên file định dạng DLL việc thực thi chúng khác Windows làm để chạy chúng cách tự động d Giám sát tiến trình phần mềm nghi ngờ độc hại Sau thực thị phần mềm nghi ngờ độc hại, nhà phân tích cần giám sát tiền trình hoạt động Process Monitor Process Explorer hai công cụ giám sát tiến trình tiêu biểu Windows cung cấp Chức hỗ trợ theo dõi registry, tập tin hệ thống, mạng, tiến trình, luồng hoạt động Giao diện Process Monitor hiển thị thông tin chi tiết tiến trình bao gồm số thứ tự (PID), dấu thời gian kiện, tên tiến trình gây sựkiện, kiện hoạt động, đường dẫn sử dụng kiện kết kiện Hình 2.2-6 Giao diện Process Monitor e Giám sát mạng chạy phần mềm nghi ngờ độc hại Page 23 Ket-noi.com diễn đàn công nghệ, giáo dục Với phát triển internet ngày nay, phần mềm độc hại không lây lan qua thiết bị lưu trữ mà lây lan mạnh mẽ qua mạng Việc giám sát mạng thi thực thi phần mềm nghi ngờ độc hại cần thiết Wireshark công cụ giám sát mạng dễ sử dụng hiệu trực quan kể với người sử dụng Chức Wireshark theo dõi lưu lượng mạng bắt gói tin thị thông tin chi tiết gói tin Hình 2.2-7 Bắt gói tin card wifi sử dụng Wireshark Wireshark cung cấp nhiều chức hiệu trình phân tích giám sát mạng tạo lọc bắt gói tin dựa thông tin cho trước địa nguồn, địa đích, giao thức Page 24 Ket-noi.com diễn đàn công nghệ, giáo dục Wireshark cho phép kiểm tra nội dung phiên TCP/UDP, cách kích chuột phải vào vào gói TCP/UDP chọn Follow UDP/TCP Stream Có thể thấy hình 2.2-20, luồng hiển thị theo thứ tự phiên, có màu sắc hiển thị kết nối Hình 2.2-8 Wireshark chụp theo luồng TCP Kết thúc trình phân tích động kết thu thông tin hoạt động chức phần mềm nghi ngờ độc hại chạy hệ thống Các thông tin hoạt động giám sát: thông tin hoạt động tiến trình, hoạtđộng registry dịch vụ hệ thống, hoạt động mạng Page 25 Ket-noi.com diễn đàn công nghệ, giáo dục 2.3 Phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi 2.3.1.Giới thiệu Phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi việc khai thác thông tin liên quan chương trình phần mềm bị nghi ngờ, cách giám sát hành động hệ thống Từ tiến hành phân tích, mô hình hóa hành vi hoạt động phần mềm độc hại Mục đích việc phân tích hành vi phần mềm độc hại giúp đánh giá ảnh hưởng, tác động đến hệ thống phần mềm độc hại thực thi 2.3.2.Các bước xây dựng hệ thống phân tích nhận dạng phần mềm độc hại dựa hành vi Phần mềm độc hại đặc trưng tập hợp hành vi khác đa dạng phức tạp Nó hành động đơn giản thay đổi tài nguyên hệ thống, khai thác lỗ hổng tồn hệ thống đến hành động cao cấp tạo kết nối mạng Các phần mềm độc hại có nhiều biến thể khác chúng xếp vào họ ví dụ phần mềm độc hại lây nhiễm vào file hệ thống sửa nội dung file xếp vào họ file virus hay phần mềm độc hại thực công hệ thống xóa file, phá hủy thông tin hệ thống dạng chương trình tiện tích thường xếp vào trojan Thực chất việc xếp thường nguyên tắc có tập hành vi tương đồng Một số hành vi cóthể thực phần mềm độc hại như: • Sinh ngẫu nhiên tên file • Tạo file mã độc • Tạo registry để thực thi mã độc hệ thống khởi động • Lây nhiễm mã độc vào user32.dll • Chặn kết nối HTTP tới www.google.com www.citibank.com • Xóa dấu vết tệp tin thực thi Để xây dựng hệ thống phân tích phần mềm độc hại dựa hành vi cần 3thành phần sau: • Giám sát hành vi cửa chương trình phần mềm mức thấp sau tổng hợp để hình thành hành vi cấp cao • Phân cụm hành vi thu phần giám sát Page 26 Ket-noi.com diễn đàn công nghệ, giáo dục • Khắc phục ảnh hưởng tới hệ thống bị nhiễm độc, dựa vào liệu hành vi thu Hành vi cấp cao hành vi hình thành từ hàm chức chuỗi hàm chức Nó khái quát hàm chức thực chương trình thực thi Tạo tài nguyên Hành vi Đối số Mô tả FileCreation Tên tệp tin nội dung Tạo tệp tin RegistryCreation Tên tệp tin nội dung Tạo giá trị Registry DropAndAutostart Tên tệp tin nội dung khóa Tạo tệp tin giá trị Registry để thực thi chương trình khởi động hệ thống Tên tệp tin tiến trình DropAndExecute Nhiễm độc tài nguyên Xóa tài nguyên Tạo thự thi tiến trình từ tệp tin tạo FileInfection Tệp tin nội dung, danh sách khu vực lây nhiễm Lây nhiễm file tồn RegistryInfection Khóa nội dung Thay giá trị Registry có FileDeletion Tên tệp tin Xóa tệp tin tồn RegistryDeletion Khóa Xóa giá trị khóa tồn Bảng 2.2-1 Một số hành vi cấp cao Page 27 Ket-noi.com diễn đàn công nghệ, giáo dục 2.4.So sánh phương pháp phân tích phần mềm độc hại Đối với phương pháp phân tích chúng có ưu nhược điểm khác Rõ ràng phương pháp có hỗ trợ bổ khuyết cho nhau, dùng phương pháp mà cần kết hợp tất lại để từ thu hiệu cao Phân tích tĩnh Ưu điểm Nhược điểm + Do không thực thi phần mềm độc hại nên giảm thiểu tối đa nguy lây lan phá hoại hệ thống + Khó phân tích phần mềm nghi ngờ độc hại bị nén, mã hóa + Từ lượng thông tin thu + Thu thập nhiều phán đoán chức thông tin cần thiết phần mềm độc hại cho bước phân tích khác không xác + Thông tin thu không đầy đủ Phân tích động + Thu thập thông tin chức + Có thể gây ảnh hưởng phần mềm độc hại thiệt hại đến hệ thống xác thực thực thi phần mềm độc hại chúng + Khó khăn trình + Đánh giá ảnh thực thi phần mềm độc hại hưởng thực tế đến hệ thống tham số đầu vào + Xây dựng môi trường ảo bị phát vượt qua Phân tích hành vi + Giám sát tác động phần mềm độc hại nên hệ thống, đưa đánh giá rủi ro, cách khắc phục hệ thống bị nhiễm độc cách cụ thể rõ ràng + Cũng cần thực phần mềm độc hại phân tích động nên có nhiều rủi ro an ninh, an toàn thông tin + Cần xây dựng hệ thống đủ mạnh Page 28 Ket-noi.com diễn đàn công nghệ, giáo dục Bảng 2.3-1 So sánh phương pháp phân tích phần mềm độc hại 2.5 Kết chương Chương tập trung giới thiệu phân tích phần mềm độc hại, phương pháp phân tích phần mềm độc hại Phương pháp phân tích tĩnh thu thập thông tin ban đầu phần mềm nghi ngờ không thực thi chúng, phân tích động dựa thực thi phần mềm nghi ngờ từ có phát chức , đánh giá ảnh hưởng phần mềm độc hại với hệ thống Đi sâu vào tìm hiểu phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi, bước xây dựng hệ thống phát hành vi, thuật toán sử dụng Page 29 Ket-noi.com diễn đàn công nghệ, giáo dục CHƯƠNG III – XÂY DỰNG CÔNG CỤ CHỐNG HACK GAME ỨNG DỤNG PHƯƠNG PHÁP PHÂN TÍCH VÀ NHẬN DẠNG PHẦN MÊM ĐỘC HẠI DỰA TRÊN HÀNH VI Chương giới thiệu tổng quan games, lịch sử phát triển game giới hành vi hack game kỹ thuật hack game Ứng dụng phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi để xây dựng công cụ chống hack game Game lịch sử phát triển game Từ xa xưa để cân lao động giải trí người nghĩ trò chơi Hiểu cách đơn giản game hay trò chơi hoạt động người nghĩ dựa quy tắc quy định Với phát triển máy móc điện tử, khái niệm trò chơi điện tử đời trò chơi phát triển dựa loại máy móc Sau với xuất máy tính, điện thoại di động, mạng internet, nhiều khái niệm trò chơi đời để hiểu rõ tìm hiểu chút trình hình thành phát triển game Tựa game đời Ở thời điểm này, giới chứng kiến nỗ lựcđầu tiên người để tạo trò chơi điện tử Và Goldsmith Ray Mann người biến nỗ lực trở thành game với tên gọi The Cathode Ray Tube Amusement Device vào năm 1948 – tạm rút gọn gọi game bắn tên lửa Vào năm 70 kỉ trước, xu thời đại game arcade hướng science-fiction với xâm chiếm giới người hành tinh Space Invader đời điều tất yếu xu Space Invader game vô quen thuộc có thời gian chơi điện tử nút mặt gameplay, bạn hình dung giống hệt với game “bắn ruồi” Page 30 Ket-noi.com diễn đàn công nghệ, giáo dục Hình 3.3-1 Giao diện game Space Invader Pacman xuất bước đột phá mớimẻ thể loại game thu hút quan tâmrất lớn không phái nam mà phái nữ Pacman xây dựng dựa mê cung với chấm vàng rải khắp đường người chơi điều khiển nhân vật ăn hết chấm để qua bàn.Sau cú vấp ngã Atari năm 1983, Nintendo chứng minh đầu tư mềm dẻo hợp lý giúphọ đứng vững ngành công nghiệp game Với cảm hứng từ câu truyện manga phim tiếng Nhật Bản, tựa game hay trở lại với thị trường Dù Donkey Kong, huyền thoại Super Mario hay Zelda, game Game Nintendo nuôi dưỡng ước mơ nhà thiết kế game tương lai phát triển rực rỡ Hình 3.1-2 Game Pacman Nếu phải nói đến tựa game FPS tiếng vào năm 90 khôngthể không nhắc đến Doom Người chơi sắm vai người anh hùng đơn độc hành tinh đỏ chiến đấu bảo vệ Trái Đất khỏi công lũ quái vật hành tinh Cũng game thể loại FPS với thiết kế đặc biệt dành cho PvP, thực làmkhông gamer phải mê mẩn Với Counter Strike, chơi game bạn bè chưa lại dễ dàng chân thực đến Game mô chiến lực lượng đặcnhiệm chống lại âm mưu đánh bom bắt cóc tin bọn khủng bố Page 31 Ket-noi.com diễn đàn công nghệ, giáo dục Hình 3.1-3 Counter Strike game bắn súng góc nhìn thứ huyền thoại Năm 2000, Sony cho đời PlayStation với khả đọc đĩa DVD cấu hình mạnh giúp cho việc xử lý đồ họa trở nên vô dễ dàng Cho tới đầu năm 2011, PS2 thống trị thị trường game console số kỉ lụcvề số game console bán với 150 triệu tiêu thụ PS2 có kiểu dáng gọn, bề mặt máy trơn bóng phủ màu đen tuyền tạo cho console vẻ đẹp huyền bí mà hút PS2 gắn liền với nhiều tựa game tiếng Grand Theft Auto III, Metal Gear Solid Năm 2006, Nintendo làm làng game giới điên đảo với xuất Wii Wii thiết bị chơi game sử dụng công nghệ điều khiển chuyển động có nghĩa người chơi thay bấm nút mà phải vận động thể để điều khiển nhân vật cử động theo ý Thêm lần nữa, lại tên Nintendo đầu cách mạng đổi cách mà người chơi game với DS, thiết bị chơi game trang bị hình cảm ứng Sau phát hành, DS độc chiếm riêng cho thị trường nhiều Page 32 Ket-noi.com diễn đàn công nghệ, giáo dục năm trước AppStore mở cửa để phục vụ cho máy điện thoại Iphone Apple AppStore với sách thông thoáng với nhà phát triển game thu hút nhiều sản phẩm game cảm ứng có giá rẻ để cung cấp cho điện thoại Iphone 2.Hack game kỹ thuật hack game Các phần mềm độc hại sử dụng hack games công cụ thiết kế để can thiệp bất hợp pháp vào game tạo sai lệch so với nguyên bản, để giúp người chơi có lợi chơi game Ngoài việc can thiệp vào game phần mềm độc hại sử dụng để làm vật dẫn cách nhúng thêm mã độc với nhiều mục đích khác vào lợi dụng suy nghĩ muốn sử dụng hack cần tắt chương trình chống virus để dễ dàng xâm nhập hệ thống Để hiểu rõ sâu vào tìm hiểu hack game, lý hack game kỹ thuật hack game 2.1 Hack game lý hack game Hack game hình thức người chơi sử dụng kiến thức tin học để tác động vào trò chơi thông qua phần mềm hỗ trợ không nhà cung cấp trò chơi cho phép lợi đụng lỗ hổng game để khiến nhân vật có lợi định game Thông thường, lý mà người chơi không hài lòng với kết đạt game, họ sử dụng kỹ thuật để sửa đổi, khai thác lỗ hổng, sử dụng phần mềm độc hại để có trải nghiệm tốt Có nhiều lý để dẫn đến hành vi hack game để tạo lợi cho bạn game ví dụ hack speed Mu, hack bắn headshot Đột kích , đơn giản thích muốn gây ý người Hậu hack game gây cân bằng, ảnh hưởng xấu đến người chơi khác làm giảm tính thu hút game, gây thiệt hại mặt tài cho nhà phát triển game Đứng góc độ pháp luật hành vi gây thiệt hại lớn cho công ty kinh doanh games dẫn tới nhiều game phải đóng cửa Ở nước pháttriển hành vi coi hành vi phá hoại, bị truy tố Mặt khác vềgóc độ an toàn bảo mật cho games việc hack games giúp nhà phát triển biếtđược lỗ hổng games để hoàn thiện tính an toàn bảo mật, giúp chogames ngày hoàn thiện 2.2 Kỹ thuật hack game Có nhiều thức, kỹ thuật khác để hack game sử dụng lỗ hồng game hay gọi sử dụng cheat bug, thay đổi file configuration/save, thay đổi thông số RAM Về kỹ thuật sử dụng lỗ hổng game để hack thông dụngnhất Sau bước để thực hack sử dụng lỗ hổng game Page 33 Ket-noi.com diễn đàn công nghệ, giáo dục • • Sử dụng phần mềm công cụ để thu thập thông tin game cao cấp tìm kiếm lỗ hổng từ khai thác lỗ hổng để công vào game Sau khai thác game, thu thập thông tin liệu cần thiết đểhack game từ tiến hành hack game thay đổi liệu lập trình nên cáccông cụ hack game để sử dụng phát tán rộng bên Sử dụng phần mềm công cụ để thu thập thông tin game trình biêndịch, engine game Sau tiến hành debug dịch ngược mã nguồn đề nghiên cứu cách khai thác công lỗ hổng games Xây dựng công cụ chống hack game Một kỹ thuật sử dụng để chống hack game debug chèn mã can thiệp Tương ứng với cụm hành vi debug chèn mã can thiệp vào thời gian game Ở mức thấp với cụm hành vi có lời gọi hàm hành vi cao cấp Cụm hành vi Debug bao gồm hành vi: • Hành vi thay đổi cờ (flag) • Hành vi kiểm tra tiến trình debug CheckRemoteDebuggerPresent • Hành vi thu thập thông tin tiến trình debug NtQueryInformationProcess • Hành vi thay đổi thời gian tiến trình debug Cụm hành vi Chèn mã can thiệp bao gồm hành vi: • Hành vi truy vấn thời gian QueryPerformanceCounter • Hành vi xác định khoảng thời gian thực thi GetTickCount, timeGetTime Tương ứng với hành vi xây dựng hàm kiểm tra để so sánh phát hành vi Ví dụ với hành vi thu thập thông tin tiến trình debug NtQueryInformationProcesschúng ta viết hàm kiểm tra Check_NtQueryInformationProcess bên dưới: bool Check_NtQueryInformationProcess() { typedef NTSTATUS (WINAPI *pNtQueryInformationProcess) Page 34 Ket-noi.com diễn đàn công nghệ, giáo dục (HANDLE ,UINT ,PVOID ,ULONG , PULONG); DWORD NoDebugInherit = 0; NTSTATUS Status; // Get NtQueryInformationProcess pNtQueryInformationProcess NtQIP = (pNtQueryInformationProcess) GetProcAddress( GetModuleHandle( TEXT("ntdll.dll") ), "NtQueryInformationProcess" ); Status = NtQIP(GetCurrentProcess(), 0x1f, // ProcessDebugFlags &NoDebugInherit, 4, NULL); if (Status != 0x00000000) return false; if(NoDebugInherit == FALSE) return true; else return false;} Hàm kiểm tra làm nhiệm vụ gọi hàm NtQueryInformationProcess lấy thông tin thông qua cờ process 0x1f in xuất kết biến NoDebugInheritnếu biến nhận giá trị False trả giá trị True tức phát có hành viNtQueryInformationProcess Tương tự với hành vi khác có tập hàm kiểm tra từ xây dựng thành tập hàm chứa DLL tạm gọi làmodule giám sát hành vi Module tạo luồng kiểm tra làm nhiệm vụ thực thi tất hàm phát hành vi suốt trình chạy game đưa đánh giá cảnh bảo, tiến hành thoát game phát có hành vi hack game Page 35 Ket-noi.com diễn đàn công nghệ, giáo dục KẾT LUẬN Với phát triển mạnh mẽ liên tục cải tiến, phần mềm độc hại ngày hiểm họa cho người sử dụng máy tính Việc nghiên cứu phân tích phần mềm độc hại đường gian nan cần nhiều công sức đam mê Đề tài thực tập giới thiệu phần mềm độc hại, kỹ thuật phân tích phần mềm độc hại Đề tài sâu vào phương pháp phân tích phần mềm độc hại dựa hành vi từ xây dựng công cụ chống hack game Cụ thể, đồ án thực nội dung sau: • Trình bày khái quát phần mềm độc hại, trình hình thành phát triển chúng • Nghiên cứu phân tích phần mềm độc hại phương pháp để phân tích phần mềm độc hại • Tìm hiểu phân tích phần mềm độc hại dựa hành vi, đưa mô bước để xây dựng hệ thống phân tích hành vi • Xây dựng chương trình chống hack game minh họa cho việc sử dụng phương pháp phân tích phân tích phần mềm độc hại dựa hành vi Page 36 Ket-noi.com diễn đàn công nghệ, giáo dục TÀI LIỆU THAM KHẢO [1] M History, “Malware History,” BitDefender, 2008-2010, pp 14-63 [2] Michael Sikorski, Andrew Honig, Pratical Malware Analysis, 2012 [3] “Tìm hiểu cấu trúc PE file,” 19 2014 [Trực tuyến] Available: http://securitydaily.net/tim-hieu-ve-cau-truc-pe-file/ [Đã truy cập 23 10 2014] [4] Jon Giffin,Roberto Paleari, Lorenzo Martignoni, Emanuele Passerini,Drew Davidson , Matt Fredrikson , Jon Giffin , Somesh Jha, Automatic Generation of Remediation Procedures for Malware Infections, 2010 [5] “25 bước đột phá vĩ đại lịch sử game,” 2012 [Trực tuyến] Available: http://gamek.vn/pc-console/25-buoc-dot-pha-vi-dai-nhat-trong-lich-su-game2012020812351892.chn [Đã truy cập 11 2014] [6] “Hack game điều cần biết,” 25 2014 [Trực tuyến] Available: http://gamek.vn/game-online/hack-game-va-nhung-dieu-can-biet20140725153836831.chn [Đã truy cập 27 10 2014] [7] Tyler Shields, Anti-Debugging – A Developers View, Burlington: Veracode Inc, 2010 [8] “Anti-Debug Time Plugin for OllyDbg,” 2013 [Trực tuyến] Available: http://www.apriorit.com/dev-blog/298-anti-debug-time-plugin [Đã truy cập 23 10 2014] [9] “An Anti-Reverse Engineering Guide,” 11 2008 [Trực tuyến] Available: http://www.codeproject.com/Articles/30815/An-Anti-Reverse-Engineering-Guide [Đã truy cập 22 10 2014] [10] Konrad Rieck, Thorsten Holz, Carsten Willems, Patrick D¨ussel, and Pavel Laskov, Learning and Classification of Malware Behavior, Berlin, Germany, 2008 Page 37 [...]... PHẦN MỀM ĐỘC HẠI Chương 2 trình bày khái quát về phân tích phần mềm độc hại, các phương pháp phân tích phần mềm độc hại: phân tích tĩnh, phân tích động và phân tích hành vi Các bước thực hiện phương pháp phân tích trên So sánh ưu nhược điểm của các phương pháp phân tích phần mềm độc hại 1.Khái quát về phân tích phần mềm độc hại Phân tích phần mềm độc hại là quá trình thực hiện các biện pháp nghiệp vụ... sâu nghiên cứu và tìm hiểu về phương pháp phân tích và nhận diện phần mềm độc hại dựa trên hành vi • Ứng dụng phương pháp phân tích phần mềm độc hại dựa trên hành vi vào xâydựng công cụ chống hack game 5 Kết chương Chương 1 đề cập đến các khái niệm cơ bản về phần mềm độc hại, định nghĩa và phân loại phần mềm độc hại, quá trình hình thành và phát triển của phần mềm độc hại cũng như tác hại của chúng... phần mềm độc hại, các kỹ thuật cơ bản phân tích phần mềm độc hại Đề tài đi sâu vào phương pháp phân tích phần mềm độc hại dựa trên hành vi từ đó xây dựng một công cụ chống hack game Cụ thể, đồ án thực hiện được các nội dung sau: • Trình bày khái quát về phần mềm độc hại, quá trình hình thành và phát triển của chúng • Nghiên cứu về phân tích phần mềm độc hại cũng như các phương pháp cơ bản để phân tích. .. toán được sử dụng trong đó Page 29 Ket-noi.com diễn đàn công nghệ, giáo dục CHƯƠNG III – XÂY DỰNG CÔNG CỤ CHỐNG HACK GAME ỨNG DỤNG PHƯƠNG PHÁP PHÂN TÍCH VÀ NHẬN DẠNG PHẦN MÊM ĐỘC HẠI DỰA TRÊN HÀNH VI Chương 3 giới thiệu tổng quan về games, lịch sử phát triển của game trên thế giới và hành vi hack game cũng như kỹ thuật hack game cơ bản Ứng dụng phương pháp phân tích nhận dạng phần mềm độc hại dựa trên... giới thiệu về phân tích phần mềm độc hại, các phương pháp phân tích phần mềm độc hại Phương pháp phân tích tĩnh thu thập thông tin ban đầu về phần mềm nghi ngờ nhưng không thực thi chúng, phân tích động dựa trên thực thi phần mềm nghi ngờ từ đó có phát hiện chức năng , đánh giá được ảnh hưởng của phần mềm độc hại với hệ thống Đi sâu vào tìm hiểu phương pháp phân tích nhận dạng phần mềm độc hại dựa trên... pháp phân tích tĩnh Các bước trong quá trình thực hiện phân tích động: • Thiết lập môi trường ảo phân tích Page 19 Ket-noi.com diễn đàn công nghệ, giáo dục • Sử dụng Sandbox • Thực thi phần mềm nghi ngờ độc hại • Giám sát tiến trình của phần mềm nghi ngờ độc hại • Giám sát mạng khi chạy phần mềm nghi ngờ độc hại 2.2.2 Các bước trong quá trình phân tích động a Thiết lập môi trường phân tích Một trong. .. lại phân tích động tìm hiểu phần mềm độc hại thông qua việc chạy nó Ngoài ra trong đồ án này còn tập trung nghiên cứu một phương pháp thứ 3 là phương pháp phân tích và nhận dạng phần mềm độc hại dựa trên hành vi Phương pháp này đầu tiên sẽ tập trung phân tích phần mềm nghi ngờ là phần mềm độc hại từ đó xác định các hành vi, phân cụm chúng và tạo thủ tục xử lý vùng nhiễm độc 2.Các phương pháp phân tích. .. sandbox, và Comodo Instant đa phần là các phần mềm miễn phí Norman SandBox và GFI Sandbox là 2 phần mềm phổ biến nhất trong các Sandbox bảo mật máy tính Hình 2.2-5 Sử dụng Cuckoo Sandbox phân tích mã độc c Thực thi phần mềm nghi ngờ độc hại Page 22 Ket-noi.com diễn đàn công nghệ, giáo dục Thực thi phần mềm độc hại là một trong những bước quan trọng trong quá trình phân tích động Trong quá trình chạy EXE và. .. của phần mềm độc hại Quét chữ ký phần mềm độc hại dựa trên các công cụ Anti-virus là bước đầu tiên trongquá trình phân tích phần mềm độc hại nhằm mục đích thu thập các thông tin ban đầu về phần mềm độc hại nếu có Tuy nhiên, như chúng ta đã biết các công cụ chống virus chủ yếu dựa trên việc so sánh chữ ký của các phần mềm độc hại nằm trong bộ cơ sở dữ liệu nhận dạng của phần mềm Rõ ràng việc xác định phần. .. trên mỗi một phần mềm độc hại thì sẽ có chữ ký tương ứng để nhận biết và phát hiện ra nó Hàm băm (hashing) là một phương pháp phổ biến được sử dụng trongchương trình chống Virus để tạo ra chữ ký cho phần mềm độc hại Các nhà phân tích sẽ sử dụng một chương trình băm nào đó để tạo chữ ký cho phần mềm độc hại Một trong những thuật toán băm phổ biến nhất được sử dụng để lấy chữ ký phần mềm độc hại Page 14 ... CÁC PHƯƠNG PHÁP PHÂN TÍCH PHẦN MỀM ĐỘC HẠI Chương trình bày khái quát phân tích phần mềm độc hại, phương pháp phân tích phần mềm độc hại: phân tích tĩnh, phân tích động phân tích hành vi Các... pháp phân tích phần mềm độc hại • Chương 3: Xây dựng công cụ chống hack game ứng dụng phương pháp phân tích nhận dạng phần mềm độc hại dựa hành vi Phương pháp phân tích nhận dạng phần mềm độc hại. .. 2: Các phương pháp phân tích phần mềm độc hại Trình bày phương pháp phân tích phần mềm độc hại: phân tích tĩnh, phân tích động phân tích hành vi Các bước thực phương pháp phân tích kể So sánh ưu