Thiết kế đối chiếu Malware

Trong các phần trước của bài viết này chúng tôi đã giới thiệu cho các
bạn cách nhận và mở một file UPX đã đóng gói. Trong phần tiếp theo
này chúng tôi sẽ thực sự xem xét đến một mẫu malware trong định dạng
không nén của nó.

Trong phần cuối cùng về thiết kế đối chiếu này chúng ta sẽ đi vào xem xét
một mẫu malware mở. Có một số mục đích khác nhau cho việc thực hiện
thiết kế đối chiếu và cũng có một số phương pháp khác nhau. Tuy nhiên,
trong trường hợp của chúng ta đang thực hiện phân tích malware thì những gì
muốn rút ra từ phân tích này là những hiểu biết kỹ hơn, sâu hơn về những gì
mà malware thực hiện và cả một số phạm vi khác. Chúng ta vẫn sử dụng cả
nguyên lý động và tĩnh như đã được miêu tả trong các phần trước.

Việc thực hiện reverse engineering để triển khai cho một ví dụ hoàn toàn
không có hại. Với mỗi một ví dụ mà bạn thực hiện phân tích trên một chương
trình đang tồn tại ví dụ như Windows XP hoặc một số chương trình máy chủ
FTP khác. Những gì bạn tìm kiếm cũng khác khác nhau. Có thể bạn sẽ tìm
kiếm bất kỳ ví dụ nào có thể gây ra việc tràn bộ đệm, các vấn đề định dạng
chuỗi và lỗ hổng về mã liên quan tới nó. Để thực hiện điều này bạn thực sự
phải đi từng toán hạng một trong các chương trình con. Vấn đề này nghe có
vẻ khó khăn và tốn thời gian và ngoài ra nó cũng yêu cầu một sự khá hiểu

hổng liên quan đến dll này và như vậy đây chắc chắn là một malware.

Hình 3
Sau khi xem xét nó xong. Chúng tôi tiếp tục kéo thanh cuộn xuống để tìm ra
malware nhị phân. Đa số chúng đều được viết, mở, lồng với các phím đăng
ký. Cũng có một danh sách dài các chuỗi ASCII dường như là những mẫu
malware, khi được thực thi sẽ xuất hiện người dùng với một số kiểu cửa sổ.
Tôi đã đưa ra giả định này đối với chuỗi “CreateWindowExA” như hình
dưới.

Hình 4
Việc đánh vần các chuỗi ASCII đó dường như không rắc rối lắm, nhưng hãy
thử thông qua Google để xem chúng ta có thể đưa ra một sự giải thích tốt hơn
về nó là cái gì. Đó là những gì tôi đã làm như hình dưới. Sự nghi ngờ của tôi
đã được xác nhận, một cửa sổ sẽ hiện ra đối với người dùng khi malware
được thực thi.

Hình 5
Các chuỗi còn lại gồm có một số từ khác cũng cần thiết nhanh chóng phải
phát hiện ra xem chúng có phải là malware không và là malware gì. Các hành
động này được thực hiện trong giai đoạn tĩnh. Như bạn có thấy, có một số
lượng lớn các thông tin có thể tích cóp được từ malware nhị phân.

Từ tĩnh tới động

Tôi thực sự muốn tìm ra những thứ khá thú vị và đi đến phần cốt lõi của vấn
đề. Điều đó làm cho tôi chuyển sang tiếp tục nghiên cứu phần động của phân
tích. Bạn sẽ phải cài đặt và chạy cả regmon và filemon. Khi đã cài đặt và
chạy phải đảm bảo rằng bạn đã loại trừ tất cả các thứ đang chạy được tìm
thấy trong hai ứng dụng. Điều đó sẽ giúp bạn có thể bắt được tất cả các hành

làm thế nào để phân tích được nó. Qua bài viết này, chúng tôi hy vọng nó sẽ
hữu ích đối với bạn và luôn mong có được các phản hồi góp ý của các bạn về
vấn đề này.