Trước khi chúng ta cùng nhau tìm hiểu chi tiết cụ thể như thế nào để phân tích mã độc, chúng ta cần xác định một số thuật ngữ, bao gồm các loại mã độc phổ biến, và giới thiệu các phương pháp tiếp cận cơ bản để phân tích mã độc. Bất kỳ phần mềm nào mà có thể gây tổn hại cho người dùng, máy tính, hoặc hệ thống mạng như là viruses, trojan horses, worms, rootkits, scareware, và spyware đều bị xem là mã độc. Trong khi các mã độc xuất hiện dưới nhiều hình thức khác nhau, nhiều kỹ thuật phổ biến được sử dụng để phân tích mã độc. Bạn lựa chọn sử dụng kỹ thuật phân tích nào còn tùy thuộc vào mục tiêu mà bạn hướng đến.

3d white person. Antivirus metaphor. Knight fighting worm virus. 3d image. Isolated white background.
3d white person. Antivirus metaphor. Knight fighting worm virus. 3d image. Isolated white background.

Mục đích của việc phân tích Malware thường là để cung cấp thông tin mà bạn cần để cho việc xác minh, phản hồi của một cuộc xâm nhập mạng trái phép. Mục tiêu của bạn thường sẽ xác định chính xác những gì đã xảy ra, và để đảm bảo rằng bạn đã xác định được vị trí của các máy tính và tập tin đã bị nhiễm mã độc. Khi quá trình phân tích nghi ngờ các Malware, mục tiêu của bạn thường xác định một cách chính xác một chuỗi nhị phân nghi ngờ có thể làm được gì, làm thế nào để phát hiện chúng trên mạng của bạn, và làm như thế nào để đo lường, đánh giá mức độ tác hại của chúng.

Một khi bạn đã xác định các tập tin yêu cầu phân tích đầy đủ, đó là thời điểm để phát triển các chữ ký để phát hiện các Malware lây nhiễm trong hệ thống. Như các bạn sẽ đọc thêm trong các bài sau của chủ đề này, việc phân tích Malware có thể được sử dụng để phát triển các chữ ký (signatures) cho máy chủ và hệ thống mạng.

Các chữ ký dựa trên máy chủ, hay còn gọi là các chỉ số, được sử dụng để phát hiện các mã độc hại trên các máy tính nạn nhân. Các chỉ số này thường xác định các tập tin được tạo ra hoặc chỉnh sửa bởi mã độc hay những thay đổi cụ thể mà tác động tới Registry. Không giống như các chữ ký của Virus, các chỉ số của Malware tập trung vào việc Malware sẽ làm gì tác động lên hệ thống, không dựa trên các đặc điểm của chính nó, điều mà làm chúng bị xác định dễ dàng hơn trong việc phát hiện Malware như thay đổi hình thức hay là bị xóa từ ổ cứng.

Chữ ký mạng (Network Signature) được dùng để phát hiện các mã nguồn độc hại bằng cách theo dõi các lưu lượng mạng. Các chữ ký mạng có thể được tạo ra mà không cần phân tích mã độc, tuy nhiên các chữ ký được tạo ra với sự hỗ trợ của việc phân tích mã độc thường sẽ hiệu quả hơn rất nhiều, cung cấp một tỷ lệ phát hiện Malware hiệu quả và ít sai sót hơn.

Sau khi thu được các chữ ký, mục tiêu cuối cùng là tìm ra chính xác các Malware hoạt động như thế nào. Điều này luôn là câu hỏi nhiều nhất bởi các nhà quản lý cấp cao, những người luôn mong đợi một câu giải thích đầy đủ nhất của một cuộc xâm nhập mạng trái phép quy mô.

Bigguy

(Tham khảo: Practical Malware Analysis)