Thiết kế đối chiếu Malware (phần 2)

Thiết kế đối chiếu Malware (phần 2).Phân tích một malware thựcQua phần một của loạt bài này, chúng ta đã chuẩn bị một số kiến thức và công cụ nền tảng cho hoạt động phân tích về sau. Trong phần 2 này, chúng ta sẽ được tiếp xúc với một chất liệu mới rất thú vị: phân tích malware thực.Trong phần trước chúng ta kết thúc với câu hỏi liệu malware download về của bạn có được thể hiện với biểu tượng của winzip hay winrar không. Tại sao lại có câu hỏi này? Trước đây đã có trường hợp...
Nội dung trích xuất từ tài liệu:
Thiết kế đối chiếu Malware (phần 2)Thiết kế đối chiếu Malware (phần 2)Phân tích một malware thực Qua phần một của loạt bài này, chúng ta đã chuẩn bị một số kiến thức và công cụ nền tảng cho hoạt động phân tích về sau. Trong phần 2 này, chúng ta sẽ được tiếp xúc với một chất liệu mới rất thú vị: phân tích malware thực.Trong phần trước chúng ta kết thúc với câu hỏi liệu malware download vềcủa bạn có được thể hiện với biểu tượng của winzip hay winrar không. Tạisao lại có câu hỏi này? Trước đây đã có trường hợp một học sinh sử dụngtrojan để tấn công máy tính của giáo viên dạy mình. Cậu học sinh nguỵ trangtrojan bằng một biểu tượng quen thuộc như winzip, và thầy giáo mắc bẫy củacậu. Thủ thuật khá đơn giản, chắc chắn không thể qua mặt được chuyên giaIT. Nhưng với những người không mấy am hiểu về bảo mật như hầu hếtchúng ta thì việc mắc bẫy cũng không có gì đáng ngạc nhiên.Thật hay giả?Như đã nói ở trên, chúng ta không thể chắc chắn được liệu phần malwaredownload về có thực sự là file winzip hay không. Có một cách kiểm tra làhãy kích đúp vào nó để mở ra với trình soạn thảo Hex như trong hình bêndưới. Hình 1Như bạn có thể thấy, malware thực tế được thể hiện bằng biểu tượng winzip,nhưng không phải theo lớp như trong winrar đã được cài trên ảnh VMware.Trước khi mở file trong trình soạn thảo Hex, bạn phải chú ý một số điểmquan trọng sau. Các định dạng file như winzip, winrar, hay thậm chí là địnhdạng PE đều có ký hiệu byte riêng. Chúng ta có thể nhận ra chúng theo mứcbyte và xem được dễ dàng qua trình soạn thảo Hex. Đó là lý do tại sao chúngta phải mở file trong Hex. Trình soạn thảo cho phép bạn tìm kiếm chuỗi bytecụ thể trong bản thân file. Nó sẽ cho bạn biết liệu malware download về nhưtrong hình minh hoạ ở trên có thực sự là file winzip hay không. Bạn khôngcần lo lắng liệu mình có vô tình khiến malware này phát huy tác dụng hiệuquả của nó ngay bây giờ. Đơn giản là vì trong trình soạn thảo Hex, bạn chỉ cóthể xem được nội dụng mà không thể kích hoạt file thực thi.Bit hay byteBạn có thể thấy ở hình bên dưới là file malware đã được mở trong trình soạnthảo Hex như lựa chọn. Phần cuối của màn hình có các ký tự “MZ”, thể hiệntrong Hex là “4D 5A”. “MZ” là chuỗi mở của các byte tìm thấy theo địnhdạng tiêu đề PE. Nói cách khác, “MZ” nói với chúng ta rằng, file này là mộtfile thực thi, không bị nén theo kiểu định dạng file winzip. Quá hay! Học vềmalware nên chắc hẳn các bạn cũng đoán được hầu hết các file đều là nguỵtrang. Nhưng nếu lúc này bạn không học về nó thì sao? Chắc hẳn ai cũng sẽtò mò kích thử vào file để giải nén và xem nội dung bên trong nó có gì, tức làđã dẫn gọi malware vào hệ thống. Hình 2Một câu hỏi được đặt ra là không biết định dạng file winzip trông như thế nàoở mức byte. Câu hỏi hay và chúng ta sẽ kiểm tra xem liệu có chứng minhđược sự khác nhau giữa chúng hay không. Khi định dạng PE có chuỗi bytemở của “MZ”, định dạng file winzip sẽ có ký hiệu byte mở của “PK”. Trênthông báo này, hãy xem xét định dạng file winzip hợp lệ. Hình 3Bạn có thể thấy, trên hình thực tế có hai ký tự “PK”, hay thể thể hiện dướidạng byte là “50 4B”. Có thể chứng minh chắc chắn được rằng file malwarelà kiểu thực thi mà không phải là hiểu nén winzip nào cả. Bạn nên chú ý, cácký tự ASCII sẽ được thể hiện bởi hai ký tự số theo thứ tự alphabe như đã thấytrên trang soạn thảo Hex. Cụ thể, số “50” byte thể hiện ký tự “P” và “4B” thểhiện ký tự “K” theo mã ASCII. Đây là chi tiết rất quan trọng, có thể hiểu theokiểu phân tích gói mặc dù trong phân tích gói chúng ta thường thấy đơn vịđược thể hiện bằng bit chứ không phải là toàn bộ byte.Định dạng file và những điểm quan trọngChắc hẳn ai cũng nóng lòng “bập” vào những điểm chính yếu nhất khi muốntìm hiểu về một vấn đề nào đó. Nhưng kiên nhẫn xem xét các khái niệm vàthông tin xung quanh, sau đó tiếp xúc với cái chính yếu của quá trình mới làcách học thông minh. Với reverse engineering cũng vậy. Thông tin ở đây làgì, là các định dạng file winzip đáng chú ý ở trên hay định dạng tiêu đề PE.Khi thực hiện thiết kế đối chiếu, bạn cần kiểm chứng xem định dạng của filedownload về là gì. Muốn thực hiện được điều đó, bạn cần hiểu thông tin vềnó, về cách kiểm tra như thế nào. Đó là file mở trong trình soạn thảo hex nhưở trên, và hơn nữa là thông tin bản sao của định dạng file cụ thể phải nắm ởtrong tay.Portable Executable (PE) - thực thi động, là kiểu định dạng tự nhiên củaMicrosoft Windows. Chi tiết về kiểu định dạng này rất thú vị và đáng xem.Để nâng cao và gọt giũa kiến thức bảo mật máy tính, bạn nên tăng cườngtổng hợp các vấn đề liên quan. Học về định dạng file này sẽ giúp các bạn gắnkết và ...