Phân tích mã độc (Malware Analysis) – Kỹ thuật phân tích malware
Khang Duong
Các kỹ thuật phân tích Malware
Có 2 phương pháp cơ bản để phân tích Malware là phân tích tĩnh và phân tích động. Phân tích tĩnh là phương pháp phân tích, kiểm tra các phần mềm độc hại mà không cần chạy chúng. Phân tích động là phương pháp mà phần mềm độc hại sẽ được chạy lên trong quá trình phân tích. Cả hai kỹ thuật này còn được phân loại thành phân tích cơ bản (basic) và phân tích nâng cao (advanced).
Phân tích tĩnh cơ bản
Phương pháp phân tích tĩnh cơ bản bao gồm việc kiểm tra các tập tin thực thi. Phân tích tĩnh cơ bản có thể xác định một tập tin là độc hại, cung cấp các thông tin chức năng của tập tin độc hại đó, và đôi khi cung cấp thông tin mà sẽ cho phép bạn tạo ra các chữ ký mạng đơn giản. Phân tích tĩnh cơ bản thì đơn giản và nhanh chóng, tuy nhiên nó sẽ không hiệu quả khi gặp phải các phần mềm độc hại tinh vi hơn.
Phân tích động cơ bản
Các phương pháp phân tích động cơ bản liên quan tới việc chạy các phần mềm độc hại và quan sát hành vi của chúng trên hệ thống để loại bỏ sự lây nhiễm, cung cấp các chữ ký hiệu quả, hoặc là cả hai điều này. Tuy nhiên, trước khi bạn có thể chạy phần mềm độc hại một cách an toàn, bạn phải thiết lập một môi trường mà sẽ cho phép bạn nghiên cứu các phần mềm độc hại đang chạy mà không ảnh hưởng tới hệ thống mạng của bạn. Cũng giống như phương pháp phân tích tĩnh cơ bản, phương pháp phân tích động cơ bản có thể được sử dụng bởi hầu hết mọi người không cần có kiến thức lập trình chuyên sâu, tuy nhiên điều này sẽ không hiệu quả với tất cả các phần mềm độc hại.
Phân tích tĩnh nâng cao
Phương pháp phân tích tĩnh nâng cao bao gồm kỹ thuật dịch ngược (Reverse Engineering) nội dung bên trong của Malware bằng cách đọc tập tin thực thi vào một bộ phân tách và xem xét các chỉ thị của chương trình để phát hiện các chương trình nghi ngờ. Các chỉ thị được thực thi bởi CPU, phân tích tĩnh nâng cao sẽ cho bạn biết chương trình nào là bị nghi ngờ. Tuy nhiên, phân tích tĩnh nâng cao đòi hỏi kiến thức chuyên môn về lập trình, cấu trúc mã lệnh, và các khái niệm về hệ điều hành Windows.
Bigguy
(Tham khảo: Practical Malware Analysis)
