Đang tải... (xem toàn văn)
nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc
Học viện Kỹ Thuật Mật Mã MỤC LỤC MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU CHƯƠNG PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍCH MÃ ĐỘC 10 1.1 Giới thiệu mã độc hại 10 1.1.1 Khái niệm mã độc hại 10 1.1.2 Lịch sử mã độc hại 10 1.2 Cơ chế hoạt động mã độc 11 1.2.1 Cơ chế hoạt động Virus .12 1.2.2 Cơ chế hoạt động Worm 12 1.2.3 Cơ chế hoạt động Trojan Horse 12 1.3 Phương pháp thu thập mã độc 12 1.3.1 Các phương pháp thu thập mẫu 12 1.3.2 Các công cụ thu thập mẫu mã độc 16 1.4 Quy trình phân tích mã độc hại .32 1.4.1 Các phương pháp phân tích mã độc 33 1.4.2 Các bước phân tích mã độc hại 34 1.4.3 Phân tích môt mẫu mã độc cụ thể 37 CHƯƠNG NGHIÊN CỨU VỀ MỘT SỐ CƠ SỞ DỮ LIỆU MÃ ĐỘC 39 2.1 Các kiểu dấu hiệu mã độc kỹ thuật phát tương ứng 39 2.1.1 String – Chuỗi 39 2.1.2 Mã băm 40 Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã 2.1.3 Khung mã độc có sẵn .41 2.1.4 Phương pháp dựa hành vi 41 2.1.5 Kỹ thuật lọc 42 2.1.6 Phát việc giải mã tĩnh 43 2.1.7 Mã giả lập 43 2.2 Nghiên cứu chuẩn trao đổi liệu mã độc .44 2.3 Nghiên cứu sở liệu mã độc Clam AV từ xây dựng sở liệu mẫu mã độc .47 2.3.1 Clam Anti Virus .47 2.3.2 ClamAV Virus Databases 47 2.3.3 Debug thông tin từ libclamav 48 2.3.4 Định dạng chữ ký ClamAV .54 CHƯƠNG XÂY DỰNG CƠ SỞ DỮ LIỆU MÃ ĐỘC 65 3.1 Xây dựng chương trình quản lý sở liệu mẫu mã độc theo chuẩn 65 3.2 Xây dựng chương trình nhận dạng mã độc theo chuỗi 70 KẾT LUẬN 75 TÀI LIỆU THAM KHẢO 76 PHỤ LỤC 77 DANH MỤC TỪ VIẾT TẮT MS-DOS Microsoft Disk Operating System Spyware Spy software FTP File Transfer Protocol UDP User Datagram Protocol Ddos Distributed Denial of Service Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã MD5 Message-Digest algrorithm CPU Central Processing Unit HTML Hypertext Tranfer Protocol ICSG Industry Connection Sercurity Group XML Extensible Markup Language DLL Dynamic-link Library SHA Message-Digest algrorithm malware Malicious software PE Portable Executable TCP/IP Transmission Control Protocol/Internet Protocol Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã DANH MỤC HÌNH VẼ HÌNH 1.1 GIAO DIỆN CHÍNH VIRUSTOTAL 13 HÌNH 1.2 GIAO DIỆN VIRUSTOTAL SAU KHI QUÉT 13 HÌNH 1.3 GIAO DIỆN TRƯỚC KHI QUÉT CỦA THREATEXPERT 14 HÌNH 1.4 GIAO DIỆN SAU KHI QUÉT CỦA THREATEXPERT 14 HÌNH 1.5 HỆ THỐNG THREATEXPERT 15 HÌNH 1.6 NGƯỜI DUNG GỬI MẪU TỚI 15 HÌNH 1.7 THREATEXPERT TRẢ KẾT QUẢ VỀ CHO NGƯỜI DÙNG 16 HÌNH 1.8 GIAO DIỆN IDA 17 HÌNH 1.9 IDA TEXT VIEW 18 HÌNH 1.10 FUNCTION WINDOWS 18 HÌNH 1.11 IMPORT WINDOWS 19 HÌNH 1.12 CROSS – REFERENCES 19 HÌNH 1.13FUNCTION CALL 20 HÌNH 1.14 MENU JUMP 20 HÌNH 1.15 MENU SEARCH 22 HÌNH 1.16 TEXT SEARCH 23 HÌNH 1.17 MENU VIEW 23 HÌNH 1.18 COMPILER SETUP 24 HÌNH 1.19 PLUGIN .26 HÌNH 1.20 GIAO DIỆN OLLY DEBUG .27 HÌNH 1.21 TÙY CHỌN VIEW .28 HÌNH 1.22 DEBUG 29 HÌNH 2.23 BREAKPOINT 31 HÌNH 1.24 GIAO DIỆN HXD .32 HÌNH 2.1 MÔ HÌNH CHƯƠNG TRÌNH QUÉT HÀNH VI 42 HÌNH 3.1 CẤU TRÚC FILE DỮ LIỆU .65 HÌNH 3.2 NHẬP CƠ SỞ DỮ LIỆU .67 Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã HÌNH 3.4 CHI TIẾT MẪU MÃ ĐỘC 68 HÌNH 3.5 GIAO DIỆN SCAN .69 HÌNH 3.6 MÔ HÌNH CHỨC NĂNG QUÉT .69 HÌNH 3.7 TỆP DỮ LIỆU .71 HÌNH 3.8 CHUỖI STRING 72 HÌNH 3.3MÔ HÌNH CHƯƠNG TRÌNH QUÉT 73 HÌNH 3.9 GIAO DIỆN CHÍNH 73 HÌNH 3.10 DANH SÁCH MÃ ĐỘC .74 HÌNH 3.11 THÊM MẪU 74 Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã LỜI NÓI ĐẦU Khi nhu cầu việc sử dụng Internet người ngày tăng lúc mối đe dọa xuất nhiều, bật đe dọa mã độc hại Mã độc hại xuất đâu môi trường thiết bị điện tử đĩa mềm, usb, máy tính đến môi trường Internet website, tin nhắn, hòm thư điện tử người dùng, phần mềm miễn phí… Khi mã độc hại nhiễm vào máy tính lây lan sang máy tính khác nhanh thiệt hại mã độc hại gây khó lường trước Hiện để chống lại loại mã độc hại người ta thường sử dụng chương trình Antivirus Tuy nhiên để có chương trình Antivirus cách có hiệu cần có thuật toán quét cho nhanh quan trọng sở liệu đầy đủ update thường xuyên mẫu Ngoài sở liệu phải đảm bảo kiến trúc, định dạng phương pháp lưu trữ cách khoa học phép thuật toán đối sánh mẫu thực cách hiệu Đồng thời phải có chế đáp ứng tiêu chuẩn để trao đổi với sở liệu hãng khác Việc xây dựng sở liệu sử dụng để phát triển phần mềm phát ngăn chặn mã độc hiệu Ngoài sử dụng công cụ để hỗ trỡ đắc lực cho người làm công việc tác nghiệp phân tích mã độc Chính lý trên, nên mục đích dồ án để nhằm nghiên cứu để nhằm sang tỏ kiểu dấu hiệu để phát loại mã độc, chuẩn dấu hiệu để trao đổi mã độc cấu trúc chung sở liệu mã độc số hãng phần mềm lớn giới ClamAV, Kaspersky,BKAV… Đồng thời thiết kế, xây dựng sở liệu mã độc chương trình demo để quản lý sử dụng sở liệu Đồ án trình bày theo bố cục: Chương Quy trình thu thập phân tích mã độc hại Trình bày tổng quan mã độc hại, chế hoạt động mã độc quy trình thu thập, phân tích mã độc Chương Nghiên cứu số sở liệu mã độc Trình bày số phương pháp phát mã độc mà chương trình anti virus hay dùng để tìm diệt mã độc Tìm hiểu nghiên cứu chuẩn trao đổi liệu mã độc, sở liệu mã độc chương trình clamav Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã Chương 3.Xây dựng sở liệu mã độc • Xây dựng sở liệu theo chuỗi nhận dạng, theo chuẩn nêu • Xây dựng chương trình quét mã độc sử dụng chuỗi nhận dạng • Xây dựng chương trình quản lý sở liệu theo chuẩn Kết luận Trình bày kết đạt trình làm đồ án, mặt hạn chế hướng phát triển Vì điều kiện thời gian làm đồ án có hạn hiểu biết hạn chế nên chắn đề tài không tránh khỏi sai sót Rất mong thầy cô góp ý kiến để đề tài khoa học em hoàn thiện Em xin chân thành cảm ơn thầy, cô giáo Học Viện Kỹ Thuật Mật Mã tận giảng dạy giúp đỡ em có kiến thức cần thiết để hoàn thành đồ án nhận Em cảm ơn thầy Lương Thế Dũng - phó khoa An toàn thông tin, thầy Hoàng Thanh Nam giảng viên khoa An toàn thông tin giúp đỡ, hướng dẫn bảo để em hoàn thành đồ án Em xin chân thành cảm ơn! Hà Nội, ngày 11 tháng 06 năm 2013 Sinh viên thực Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã CHƯƠNG PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍCH MÃ ĐỘC Để xây dựng sở liệu mẫu mã độc đạt yêu cầu cần phải trải qua nhiều trình khác nhau, trình thu thập phân tích mã độc trình quan trọng Nó giúp cho việc xây dựng sở liệu mẫu mã độc cách hiệu qả nhanh chóng Cùng với trình đem lại cho ta nhìn rõ nét hành vi đặc điểm mà mã độc gây hại cho người dung Vì chương trình sâu vào trình thu thập phân tích mã độc 1.1 Giới thiệu mã độc hại 1.1.1 Khái niệm mã độc hại Malware (Malicious software) hay gọi mã độc hại (Malicious code) tên gọi chung cho phần mềm thiết kế, lập trình đặc biệt để phá hoại hệ thống bạn làm gián đoạn môi trường hoạt động mạng Malware thâm nhập vào hệ thống máy tính mà đồng ý chủ sở hữu 1.1.2 Lịch sử mã độc hại Internet phát triển, thực việc kết nối máy tính, máy chủ, laptop, mobile phone khắp giới, thêm vào phát triển website mã độc hại theo mà phát triển rộng khắp với số lượng lớn ngày phức tạp Một số mốc lịch sử mã độc hại giới Năm 1949 John von Neuman (1903-1957) phát triển tảng lý thuyết tự nhân chương trình cho máy tính Năm 1981 virus xuất hệ điều hành máy tính Apple II Năm 1983 Fred Cohen, sinh viên đại học Mỹ, đưa định nghĩa virus: “Là chương trình máy tính tác động chương trình máy tính khác cách sửa đổi chúng phương pháp đưa vào nó” Fred Cohen tên nhắc đến nói lịch sử virus Năm 1986 hai anh em lập trình viên người Pakistan Basit Amjad thay mã thực (executable code) rãnh ghi khởi động đĩa mềm mã riêng họ, thiết kế với mục đích phát tán từ đĩa mềm 360K cho Nghiên cứu xây dựng sở liệu mẫu mã độc 10 Học viện Kỹ Thuật Mật Mã vào ổ đĩa Loại đĩa mềm mang virus có mác “© Brain” Đây virus MS-DOS xuất sớm Năm 1987 Lehigh, virus file xâm nhập tệp lệnh command.com (virus sau tiến hoá thành virus Jerusalem) Một virus khác có tên IBM Christmas, với tốc độ phát tán cực nhanh (500.000 sao/tiếng), ác mộng máy tính lớn (mainframe) Big Blue suốt năm đồng hồ máy tính (giống bom nổ chậm cài hàng loạt cho thời điểm) Tháng 11 năm, Robert Morris chế worm chiếm máy tính ARPANET làm liệt khoảng 6.000 máy Năm 1991 virus đa hình (polymorphic virus) đời Tequilla Loại biết tự thay đổi hình thức nó, gây khó khăn cho chương trình chống virus Năm 1994 Trò lừa qua e-mail xuất cộng đồng tin học Trò cảnh báo người sử dụng loại virus xoá toàn ổ cứng mở e-mail có dòng chủ đề “Good Times” Mặc dù không gây thiệt hại mà có tính chất doạ dẫm, trò lừa tiếp tục xuất chu kỳ từ đến 12 tháng/lần Năm 1995 macro virus xuất mã macro tệp Word lan truyền qua nhiều máy Loại virus làm hư hệ điều hành chủ Năm 1999 Bubble Boy sâu máy tính không dựa vào việc người nhận email có mở file đính kèm hay không Chỉ cần thư mở ra, tự hoạt động Năm 2003 Slammer loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy 10 phút Năm 2004 đánh dấu hệ mã độc hại worm Sasser Với loại worm người ta không cần phải mở đính kèm điện thư mà cần mở thư đủ cho xâm nhập vào máy Sasser không hoàn toàn hủy hoại máy mà làm cho máy chủ trở nên chậm làm máy tự khởi động trở lại Ở Việt Nam mã độc hại gây thiệt hại đáng kể 1.2 Cơ chế hoạt động mã độc Mỗi loại mã độc có chế hoạt động khác nhiên chúng có mục đích phá hoại gây hại cho máy tình người dùng Ở em nêu chế hoạt động loại mã độc Virus, Trojan Horse, worm Nghiên cứu xây dựng sở liệu mẫu mã độc 11 Học viện Kỹ Thuật Mật Mã 1.2.1 Cơ chế hoạt động Virus Virus tồn độc lập nên cách hoạt động chúng lây lan qua file máy tính người dung Thường virus lây lan với mục đích xóa, sửa file máy tính Loại virus nguy hiểm loại virus đa hình chúng tự đính kèm vào file exe, file hoạt động bình thường Sau lần lây lan đoạn mã virus thay đổi theo phương pháp khác để che dấu đặc điểm nhận dạng 1.2.2 Cơ chế hoạt động Worm Do worm tồn cách độc lập nên cách thức hoạt động tự nhân đôi, chép không cần lân lan vào file Worm hoạt động không cần tác động người dung thường lây lan qua mạng LAN Internet 1.2.3 Cơ chế hoạt động Trojan Horse Loại mã độc thường ẩn dạng chương trình an toàn, vô hại với máy tính người dung Chính thực thực thi chức năngchương trình an toàn âm thầm thực thi chức độc hại ẩn mà cần đến thực thi 1.3 Phương pháp thu thập mã độc 1.3.1 Các phương pháp thu thập mẫu Có nhiều phương pháp thu thập mẫu mã độc xây dựng honeypot số hãng phần mềm diệt virus: • http://www.honeyclient.org/trac • http://nepenthes.carnivore.it/ • http://sourceforge.net/projects/amunhoney/ Hoặc lấy mẫu từ khách hàng tự gửi đến, lấy từ nguồn chia sẻ mạng, mua từ hãng nghiên cứu bảo mât… Ở em trình bày phương pháp thu thập dựa vào mẫu người dùng gửi đến Phương pháp thu thập nhiều mẫu ngày có nhiều tổ chức cá nhân giới gửi tới mẫu mã độc không tớ trang web, hang phần mềm diệt virus Các trang web thu thập mẫu tiếng giới là: • https://www.virustotal.com Nghiên cứu xây dựng sở liệu mẫu mã độc 12 Học viện Kỹ Thuật Mật Mã TÀI LIỆU THAM KHẢO [1] Addison and Wesley – The Art of Computer Virus Research and Defense – Feb.2005 [2] Michael Sikorski and Andrew Honig – Practical Malware analysis – 2012 [3] Chris Eagle – The IDA Pro Book - 2011 [4] https://www.hex-rays.com [5] www.ollydbg.de [6] www.threatexpert.com/ [7] www.mcafee.com [8] www.codeproject.com/ [9] http://www.securelist.com Nghiên cứu xây dựng sở liệu mẫu mã độc 76 Học viện Kỹ Thuật Mật Mã PHỤ LỤC Code chương trình quét theo chuỗi nhận dạng • Code phần quét mã độc private: System::Boolean compareStr(char *str1, char *str2) { //Hàm dùng để so sánh chuỗi ký tự có giống không //Hàm trả TRUE giống FALSE khác int i=0; while (*(str1+i) == *(str2+i)) { i++; if (i == 32) return true; } return false; } private: System::Boolean compareStr1(char *str1, char *str2, int m, int n) { //Hàm dùng để so sánh chuỗi ký tự có giống không Nghiên cứu xây dựng sở liệu mẫu mã độc 77 Học viện Kỹ Thuật Mật Mã //Hàm trả TRUE giống FALSE khác int i=0; int j; for (j=0;jLength; char *chTmpData = new char[lenght+1]; for(int i = 0; iAdd(L"Phát : " + tmp + L" đường dẫn : " + strFile); detected++; lblDetected->Text = Convert::ToString(detected); System::Windows::Forms::Application::DoEvents(); } } Nghiên cứu xây dựng sở liệu mẫu mã độc 81 Học viện Kỹ Thuật Mật Mã // int cur2; cur2=ftell(f) fread(strDatFile,32,1,fs); if (compareStr(strDatFile,sign.Sign) == true) { System::Windows::Forms::Application::DoEvents(); } } fclose(f); fclose(fs); } //Ghi listBox thông báo quét file tmp = gcnew System::String(strFile); lstFile->Items->Add(tmp); scaned++; lblScaned->Text = Convert::ToString(scaned); System::Windows::Forms::Application::DoEvents(); } //Tiến hành liệt kê tập tin thư mục Nghiên cứu xây dựng sở liệu mẫu mã độc 82 Học viện Kỹ Thuật Mật Mã for each (strFile in System::IO::Directory::GetDirectories(strPath)) { try { //Lặp đệ qui scan(strFile); } catch(Exception ^e) { //Bắt lỗi } } } } Nghiên cứu xây dựng sở liệu mẫu mã độc 83 Học viện Kỹ Thuật Mật Mã • Code nhập liệu System::String ^strFile; System::String ^tmp; FILE *f; //Mở file lấy mẫu FILE *fs; char strPathSign[]="mn.kkt"; char strDatFile[32]; m_Sign sign; System::Boolean isHave=false; int iTmpOffset; int i; strFile = txtPath->Text; //Convert từ chuỗi TextBox qua chuỗi dạng chuẩn chương trình //Từ đưa chuỗi với 18 ký tự //Chuyển từ dạng String -> Char char tmpName[18]; System::String ^strTmpName; strTmpName=txtName->Text; Nghiên cứu xây dựng sở liệu mẫu mã độc 84 Học viện Kỹ Thuật Mật Mã for (i=0; i < strTmpName->Length;i++) { tmpName[i] = strTmpName[i]; } for (int i=strTmpName->Length; i Length; char *chTmpData = new char[itmp+1]; for(int i = 0; iText); fseek(fs,iTmpOffset,SEEK_SET); fread(strDatFile,32,1,fs); //Đưa liệu vào biến theo Struct m_Sign //Hàm strcpy xử lý lỗi trường hợp (Do có ký tự NULL) //Vì hàm copy mảng char cần tự code lại for (i=0;i < 32;i++) sign.Sign[i]=strDatFile[i]; sign.lPos=iTmpOffset; strcpy(sign.Name,tmpName); //Nhảy đến cuối file fseek(f,0,SEEK_END); //Ghi liệu vào cuối file fwrite(&sign,sizeof(sign),1,f); System::Windows::Forms::MessageBox::Show(L"Đã lưu xong mẫu tin liệu virus mới",L"Thành công"); Nghiên cứu xây dựng sở liệu mẫu mã độc 88 Học viện Kỹ Thuật Mật Mã } fclose(f); fclose(fs); • Liệt kê mẫu tệp liệu FILE *f; char strPathSign[]="mn.kkt"; fopen_s(&f,strPathSign,"rb"); m_Sign sign; char chuoi[18]=""; System::String ^tmp=""; int i=0; int posEnd; //Xác định kích thước file fseek(f,0,SEEK_END); posEnd=ftell(f); //Trả vị trí ban đầu fseek(f,0,SEEK_SET); //Tiến hành vòng lặp liệt kê mã nhận dạng while (ftell(f) < posEnd) Nghiên cứu xây dựng sở liệu mẫu mã độc 89 Học viện Kỹ Thuật Mật Mã { i++; fread(&sign,sizeof(m_Sign),1,f); strncpy(chuoi,sign.Name,17); tmp = gcnew System::String(chuoi); lstVirus->Items->Add(tmp); }; fclose(f); lblCount->Text=Convert::ToString(i); Nghiên cứu xây dựng sở liệu mẫu mã độc 90 [...]... tích mã độc Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 32 Học viện Kỹ Thuật Mật Mã 1.4.1 Các phương pháp phân tích mã độc Phương pháp phân tích thì có 2 phương pháp chính : • Dynamic analysis (phân tích hành vi mã độc hại) • Static analysis (phân tích mã độc hại bằng cách xem mã dịch ngược của mã độc hại) Tuy nhiên không phải mã độc nào cũng phân tích theo hai phương pháp trên, bởi vì có những mã độc. .. valua sẽ hiện ra cửa sổ tìm kiếm cá giá trị trong các struct, data Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 22 Học viện Kỹ Thuật Mật Mã o Text tìm kiếm các chuỗi có ký tự cụ thể trong tất cả các hàm, dữ liệu Hình 1.16 Text search • Menu View Hình 1.17 Menu View Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 23 Học viện Kỹ Thuật Mật Mã o Với open subview là mở các cửa sổ view con trên các tab với:... một đoạn mã người ta phải debug mã độc hại Có nghĩa là sẽ lần từng lệnh nhỏ của mã độc hại để xem chính xác là mã độc hại đã làm những gì Mã độc hại thường có các kỹ thuật chống dịch ngược thì cũng sẽ có các kỹ thuận chống debug (anti debug) và người phân tích phải vượt qua nó (anti anti-debug) Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 36 Học viện Kỹ Thuật Mật Mã 1.4.2.5 Tìm signature của mã độc hại... cho phép ta so sánh cở sở dữ liệu hiện tại với một cơ sở dữ liệu khác Chỉ ra các function tương tự, giống nhau… Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 25 Học viện Kỹ Thuật Mật Mã Hình 1.19 Plugin 1.3.2.2 Olly Debug Olly Debug là công cụ debug có từ khá lâu và phổ biến trong cộng đồng cracker và dịch ngược, nó giúp cho người sử dụng t oàn quyền can thiệp vào chương trình mã độc sau khi nó được load... biên dịch Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 24 Học viện Kỹ Thuật Mật Mã o Tùy chọn string style chọn các kiểu string tùy theo trình biên dịch, kiểu dữ liệu o Ngoài ra còn rất nhiều các tùy chọn liên quan dến cách dặt tên cách hiển thị biểu đồ, chú thích… o Menu Edit o Chứa các tùy chọn: o Code để định nghĩa một vùng dữ liệu bytecode thành AsmCode o Data để địch nghĩa một vùng dữ liệu từ AsmCode... cơ sở dữ liệu mẫu mã độc 13 Học viện Kỹ Thuật Mật Mã • Threatepert Hình 1.3 Giao diện trước khi quét của ThreatExpert Hình 1.4 Giao diện sau khi quét của ThreatExpert ThreatExpert là một hệ thống phân tích mối đe dọa tự động được thiết kế để phân tích và báo cáo hành vi của virus máy tính, sâu, trojan, adware, spyware, và Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 14 Học viện Kỹ Thuật Mật Mã các... quan sát mã độc hại tốt hơn Bắt đầu chạy mã độc hại và quan sát các thông tin : • Khảo sát processes xem có processes lạ nào đáng ngờ không ? • Khảo sát các modules dlls có gắn vào các process hệ thống không? • Khảo sát registry xem có process nào cùng khởi động với hệ điều hành có key nào được sinh ra và bị sửa đổi không ? Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 35 Học viện Kỹ Thuật Mật Mã • Kiểm... nút trên màn hình làm việc • Menu Search với các tùy chọn tìm kiếm: Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 21 Học viện Kỹ Thuật Mật Mã Hình 1.15 Menu search o Next code sẽ đi tìm đến vùng code tiếp theo(vùng này đã được định nghĩa, Disasm o Next data là sẽ đi đến vùng chứa dữ liệu tiếp theo o Next explored sẽ đi dến vùng dữ liệu tiếp theo được định nghĩa, sử dụng thành struct o Next unexplored... Thuật Mật Mã 1.4.2.5 Tìm signature của mã độc hại và đưa vào cơ sở dữ liệu Tìm đặc điểm nhận diện mã độc hại trong hệ thống sau khi phân tích (ví dụ tại offset nào đó chứa string gì, hoặc MD5 của file) Từ những đặc điểm nhận dạng trên sẽ đưa vào cơ sở dữ liệu 1.4.3 Phân tích môt mẫu mã độc cụ thể Dưới đây là quá trình phân tích một mẫu mã độc cụ thể có tên là netui.dll được trích xuất ra từ một file... được dùng: Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc 37 Học viện Kỹ Thuật Mật Mã Từ đây ta tìm ra được đoạn code sử dụng hàm này và thấy rằng nó được dùng với mục đích là ghi lại trạng thái bàn phím Dưới đấy là đoạn chứa hàm keylog Một phần đoạn code của hàm keylog Kết Luận: Do không phải là đề tài đi sâu vào phân tích mã độc nên mẫu trên em chỉ phân tích sơ qua và đưa ra kết luận là mẫu rên là ... cứu chuẩn trao đổi liệu mã độc, sở liệu mã độc chương trình clamav Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã Chương 3 .Xây dựng sở liệu mã độc • Xây dựng sở liệu theo chuỗi... HÌNH 3.1 CẤU TRÚC FILE DỮ LIỆU .65 HÌNH 3.2 NHẬP CƠ SỞ DỮ LIỆU .67 Nghiên cứu xây dựng sở liệu mẫu mã độc Học viện Kỹ Thuật Mật Mã HÌNH 3.4 CHI TIẾT MẪU MÃ ĐỘC 68 HÌNH 3.5... ClamAV .54 CHƯƠNG XÂY DỰNG CƠ SỞ DỮ LIỆU MÃ ĐỘC 65 3.1 Xây dựng chương trình quản lý sở liệu mẫu mã độc theo chuẩn 65 3.2 Xây dựng chương trình nhận dạng mã độc theo chuỗi 70 KẾT