Những công nghệ được dùng trong phân tích mã độc
Những công nghệ được dùng trong phân tích mã độc
Trong những năm gần đây, số lượng của malware đã gia tăng một cách rất nhanh chóng và kèm theo những kĩ thuật rất tinh vi nhằm chiếm quyền điều khiển và đánh cắp các thông tin người dùng. Hàng năm, số tiền thất thoát của các công ty liên quan đến hoạt động của malware là rất lớn và ngày càng gia tăng.
Để có các biện pháp phòng chống cũng như xử lý mã độc thì trước hết các nhà nghiên cứu phải xây dựng phương pháp phân tích mã độc từ đó xem xét xem nên sử dụng công nghệ gì để có thể phân tích mã độc.
Hầu hết mã độc ở dạng các chương trình, dịch vụ (dạng binary) không thể đọc thông thường. Cách phân tích mã độc chính là: sử dụng các công cụ và các kĩ thuật phân tích. Có hai kĩ thuật phân tích chính:
+ Phân tích tĩnh (Phân tích mà không cần mã độc chạy trong hệ thống)
+ Phân tích động (Phân tích mã độc chạy thật trong hệ thống).
Phân tích tĩnh và phân tích động thường có thể giải quyết phần lớn công việc phân tích mã độc. Tuy nhiên, có nhiều trường hợp mã độc quá phức tạp, sử dụng nhiều lớp bảo vệ, hay mã hóa các phương thức, mã hóa dữ liệu truyền đi như botnet, backdoor, thì debug là một kỹ thuật cần được sử dụng.
Phân tích tĩnh có ưu điểm là an toàn hơn phân tích động; vì mã thực thi không thực sự chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu… Chỉ có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích, chúng ta vô tình thực thi mã độc (click đúp, hoặc chạy thư viện chứa mã độc). Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên một môi trường mà nó không thực thi được (ví dụ phân tích mã độc trên Windows trong hệ điều hành Linux).
Trong những năm gần đây, số lượng của malware đã gia tăng một cách rất nhanh chóng và kèm theo những kĩ thuật rất tinh vi nhằm chiếm quyền điều khiển và đánh cắp các thông tin người dùng. Hàng năm, số tiền thất thoát của các công ty liên quan đến hoạt động của malware là rất lớn và ngày càng gia tăng.
Để có các biện pháp phòng chống cũng như xử lý mã độc thì trước hết các nhà nghiên cứu phải xây dựng phương pháp phân tích mã độc từ đó xem xét xem nên sử dụng công nghệ gì để có thể phân tích mã độc.
Hầu hết mã độc ở dạng các chương trình, dịch vụ (dạng binary) không thể đọc thông thường. Cách phân tích mã độc chính là: sử dụng các công cụ và các kĩ thuật phân tích. Có hai kĩ thuật phân tích chính:
+ Phân tích tĩnh (Phân tích mà không cần mã độc chạy trong hệ thống)
+ Phân tích động (Phân tích mã độc chạy thật trong hệ thống).
Phân tích tĩnh và phân tích động thường có thể giải quyết phần lớn công việc phân tích mã độc. Tuy nhiên, có nhiều trường hợp mã độc quá phức tạp, sử dụng nhiều lớp bảo vệ, hay mã hóa các phương thức, mã hóa dữ liệu truyền đi như botnet, backdoor, thì debug là một kỹ thuật cần được sử dụng.
Phân tích tĩnh có ưu điểm là an toàn hơn phân tích động; vì mã thực thi không thực sự chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu… Chỉ có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích, chúng ta vô tình thực thi mã độc (click đúp, hoặc chạy thư viện chứa mã độc). Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên một môi trường mà nó không thực thi được (ví dụ phân tích mã độc trên Windows trong hệ điều hành Linux).
