DANH MỤC TÀI LIỆU
Phương pháp phân tích mã độc
PH NG PHÁP PHÂN TÍCH MÃ Đ CƯƠ Ộ
Phân tích mã đ c g m hai ph ng pháp chính là phân tích tĩnh và ồ ươ
phân tích đ ng. Trong bài này, chúng ta s tìm hi u v nh ng công c , ể ề
ph ng pháp phân tích mã đ c, d a trên n n t ng c th Windows.ươ ề ả ụ ể
Phân tích đ ng mã đ c là gì?ộ ộ
Nó là ph ng pháp phân tích cách ho t đ ng c a mã đ c khi mã đ c đ c ươ ạ ộ ượ
th c thi, xem xét mã đ c ho t đ ng ra sao, lây lan nh th nào, nó k t n i ạ ộ ư ế ế ố
đ n đâu, cài đ t nh ng gì vào h th ng, thay đ i thành ph n nào nh m ế ệ ố
m c đích ngăn ch n vi c lây nhi m, t o ra các d u hi u nh n d ng hi u ậ ạ
qu .
Vi c phân tích mã đ c đòi h i quá trình theo dõi liên t c và l p đi l p l i. ặ ạ
N u th c hi n trên h th ng thi t b th t s m t r t nhi u công s c và ế ệ ố ế ị ậ ẽ ấ
th i gian. Nó cũng có th gây thi t h i l n cho c h th ng c a b n. Vì ệ ạ ệ ố
th , b n c n ph i thi t l p m t môi tr ng an toàn cho vi c ch y mã đ c ế ế ậ ườ
đ có th thu th p thông tin v mã đ c m t cách t t nh t.ể ể ề ộ
Process Monitor
Process Monitor là m t công c giám sát tiên ti n cho Windows hi n th h ế ị ệ
th ng t p tin theo th i gian th c, ho t đ ng c a Registry và process / ạ ộ
thread. Nó k t h p các tính năng c a hai ti n ích Sysinternals là Filemon ế ợ
(giám sát file) và Regmon (giám sát registry), Process Monitor có c ch l cơ ế ọ
khá ph c t p mà không s d ng c ch l c đ n gi n theo chu i . Các tính ơ ế ọ ơ
năng m nh m đ c nh t c a nó s làm cho Process Monitor tr thành m t ẽ ộ
ti n ích c b n trong b công c x lý s c và b công c tìm ki m ph n ơ ự ố ế
m m đ c h i. ộ ạ
WireShark
Wireshark là m t công c theo dõi , ki m tra và phân tích các lo i mã đ c, ạ ộ
thông tin m ng đ c phát tri n b i Gerald Combs. WireShark v t tr i v ượ ượ ộ ề
kh năng h tr các giao th c (kho ng 850 lo i). Giao di n c a Wireshark ỗ ợ
là m t trong nh ng giao di n ph n m m phân tích gói d dùng nh t do đó ầ ề
nó thân thi n v i ng i dùng. Vì nó có th b t đ ng đi c a gói tin, nên ườ ể ắ ườ
nosconf đ c ng d ng vào quá trìnhượ ứ phân tích l h ng, mã đ c.ỗ ổ
Tuy nhiên, đi m y u l n nh t c a nó khi ế ấ ủ phân tích các mã đ c là không
cho bi t chính xác ng d ng nào t o ra gói tin g i đi, mà ch bi t gói tin đó ế ỉ ế
có thành ph n gì, g i t đâu, và đ n đâu… Vì th , c n k t h p v i nh ng ử ừ ế ế ế
công c khác nh Process Monitor.ụ ư
OllyDBG