Thiết kế đối chiếu Malware
(phần 3)

Bóc trần thủ đoạn của spammer, những kẻ dưới đáy xã hội internet cùng
một số kẻ khác với các nội dung che đậy, ẩn giấu malware thực bên trong.

Như đã tìm hiểu trong phần 2, bạn có thể thấy rằng không phải cái gì cũng
giống như mắt ta nhìn thấy. Những kẻ phát tán thư rác (spammer), những kẻ
ở dưới đáy xã hội ảo internet cùng một số kẻ khác luôn luôn tìm cách che đậy
malware thực bằng vỏ bọc giả rất ư thánh thiện. Trong phần tiếp theo của loạt
bài này, chúng ta sẽ tiếp tục lột bỏ và bóc trần các kiểu hành vi của chúng.

Trong phần 2, chúng ta đang dừng lại ở thời điểm nhận ra malware download
về thực tế không phải là file nén zip vô hại, mà là định dạng thực thi PE.
Chúng ta đã xác nhận chắc chắn điều này bằng việc mở malware trong trình
soạn thảo Hex. Trình soạn thảo này cho phép kiểm tra nội dung bên trong mà
không cần thực thi file. Ký tự “MZ” trong file cho biết thực sự đây là kiểu
định dạng file PE đã nói ở trên.

Bạn cũng nên nhớ rằng các thông tin này là
hoàn toàn thông suốt, chẳng có gì là ảo thuật
hay bí ẩn về nó cả. Không phải là kinh nghiệm tích luỹ quý báu từ các tổ
chức chính phủ, cũng không phải là hệ thống lý thuyết của các nhà lý luận.
Điều chúng ta có được ở đây là thiết kế đối chiếu (reverse engineering) được
đào sâu hơn và được áp dụng thử nghiệm để tìm hiểu về nghệ thuật ngầm
trong thế giới ảo. Tài liệu tham khảo rất phong phú và hoàn toàn miễn phí.

Hãy để “bữa tiệc” được bắt đầu

Để mở gói file UPX, hãy bắt đầu bằng việc download một bản copy chương
trình UPX và cài đặt nó vào thư mục gốc của ổ C. Sau đó viện dẫn chính
chương trình và đưa thông tin dòng lệnh vào. Thông thường, cũng sẽ rất hữu
ích khi copy malware vào ổ C. Xem hình minh hoạ menu trợ giúp do UPX
cung cấp bên dưới sau khi gọi chương trình vào.

Hình 2
Bây giờ, hãy xem thông tin dòng lệnh trên hình.

Hình 3
Như bạn có thể thấy, việc mở gói file UPX khá bình thường, không có gì đặc
biệt gọi là khó khăn. Vấn đề nằm ở chỗ bạn phải xác định được kiểu đóng gói
của file malware là gì. Đó mới là cái khiến ngay cả các chuyên gia cũng phải
đau đầu.

Chúng ta đang dừng tại đâu?

Chúng ta đã khởi đầu và đang dừng lại ở thời điểm quá trình phân tích thực
malware có thể bắt đầu. Điều này được thực hiện theo nhiều cách khác nhau,
nhưng phổ biến nhất là theo hai kiểu: phân tích tĩnh và phân tích động file
thực thi malware. Động là gì mà tĩnh là gì? Phân tích tĩnh là quá trình mở
chương trình malware nhưng không thực sự thực thi chúng. Kiểu phân tích
này chủ yếu được dùng trong trình soạn thảo Hex như bạn đã thấy ở phần
trước. Nó có thể được thực hiện thông qua một số thành phần riêng rẽ.

Các thành phần này cho phép bạn xem một cách an toàn các mã thực thi mà
không phải lo lắng chúng sẽ “tác oai tác quái” trên máy tính của bạn. Đồng
thời chúng cũng cho phép bạn viết một số khoảng chứa trống (offset) cho các