Thiết kế đối chiếu Malware
(phần 2)

Phân tích một malware thực

Qua phần một của loạt bài này, chúng ta đã chuẩn bị
một số kiến thức và công cụ nền tảng cho hoạt động
phân tích về sau. Trong phần 2 này, chúng ta sẽ được
tiếp xúc với một chất liệu mới rất thú vị: phân tích
malware thực.

Trong phần trước chúng ta kết thúc với câu hỏi liệu malware download về
của bạn có được thể hiện với biểu tượng của winzip hay winrar không. Tại
sao lại có câu hỏi này? Trước đây đã có trường hợp một học sinh sử dụng
trojan để tấn công máy tính của giáo viên dạy mình. Cậu học sinh nguỵ trang
trojan bằng một biểu tượng quen thuộc như winzip, và thầy giáo mắc bẫy của
cậu. Thủ thuật khá đơn giản, chắc chắn không thể qua mặt được chuyên gia
IT. Nhưng với những người không mấy am hiểu về bảo mật như hầu hết
chúng ta thì việc mắc bẫy cũng không có gì đáng ngạc nhiên.

Thật hay giả?

Như đã nói ở trên, chúng ta không thể chắc chắn được liệu phần malware
download về có thực sự là file winzip hay không. Có một cách kiểm tra là
hãy kích đúp vào nó để mở ra với trình soạn thảo Hex như trong hình bên
dưới.

được sự khác nhau giữa chúng hay không. Khi định dạng PE có chuỗi byte
mở của “MZ”, định dạng file winzip sẽ có ký hiệu byte mở của “PK”. Trên
thông báo này, hãy xem xét định dạng file winzip hợp lệ.

Hình 3
Bạn có thể thấy, trên hình thực tế có hai ký tự “PK”, hay thể thể hiện dưới
dạng byte là “50 4B”. Có thể chứng minh chắc chắn được rằng file malware
là kiểu thực thi mà không phải là hiểu nén winzip nào cả. Bạn nên chú ý, các
ký tự ASCII sẽ được thể hiện bởi hai ký tự số theo thứ tự alphabe như đã thấy
trên trang soạn thảo Hex. Cụ thể, số “50” byte thể hiện ký tự “P” và “4B” thể
hiện ký tự “K” theo mã ASCII. Đây là chi tiết rất quan trọng, có thể hiểu theo
kiểu phân tích gói mặc dù trong phân tích gói chúng ta thường thấy đơn vị
được thể hiện bằng bit chứ không phải là toàn bộ byte.

Định dạng file và những điểm quan trọng

Chắc hẳn ai cũng nóng lòng “bập” vào những điểm chính yếu nhất khi muốn
tìm hiểu về một vấn đề nào đó. Nhưng kiên nhẫn xem xét các khái niệm và
thông tin xung quanh, sau đó tiếp xúc với cái chính yếu của quá trình mới là
cách học thông minh. Với reverse engineering cũng vậy. Thông tin ở đây là
gì, là các định dạng file winzip đáng chú ý ở trên hay định dạng tiêu đề PE.
Khi thực hiện thiết kế đối chiếu, bạn cần kiểm chứng xem định dạng của file
download về là gì. Muốn thực hiện được điều đó, bạn cần hiểu thông tin về
nó, về cách kiểm tra như thế nào. Đó là file mở trong trình soạn thảo hex như
ở trên, và hơn nữa là thông tin bản sao của định dạng file cụ thể phải nắm ở
trong tay.

Portable Executable (PE) - thực thi động, là kiểu định dạng tự nhiên của
Microsoft Windows. Chi tiết về kiểu định dạng này rất thú vị và đáng xem.
Để nâng cao và gọt giũa kiến thức bảo mật máy tính, bạn nên tăng cường