Mục đích Giúp sinh viên tìm hiểu về mã, dữ liệu, cấu trúc của phần mềm độc hại Giúp sinh viên nắm được cách sử dụng các công cụ phân tích phần mềm độc hại cơ bản trên Windows 1.1.2..
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA AN TOÀN THÔNG TIN
Bài 1:ptit-static-analysis-on-windows
Họ và tên: Tô Quang Huy
Mã sinh viên: B21DCAT104
Nhóm: 7 Giảng viên: Đinh Trường Duy
Trang 2Mục lục
1 Bài thực hành phân tích tĩnh trên Windows 3
1.1 Nội dung và hướng dẫn bài thực hành 3
1.1.1 Mục đích 3
1.1.2 Nội dung thực hành 3
Trang 31 Bài thực hành phân tích tĩnh trên Windows
1.1.Nội dung và hướng dẫn bài thực hành
1.1.1 Mục đích
Giúp sinh viên tìm hiểu về mã, dữ liệu, cấu trúc của phần mềm độc hại
Giúp sinh viên nắm được cách sử dụng các công cụ phân tích phần mềm độc hại cơ bản trên Windows
1.1.2 Nội dung thực hành
a) Nhiệm vụ 1: Xác định thông tin cơ bản về mẫu phần mềm độc hại Sử dụng
công cụ CFF Explorer để kiểm tra thông tin về loại tệp của phần mềm độc hại financials-xls.exe
- Loại tệp: Portable Executable (PE) 32-bit
Trang 4- Chữ ký tệp: M Z (4D5A)
b) Nhiệm vụ 2: Xác định mã nhận dạng, dấu vân tay duy nhất cho mẫu phần
mềm độc hại Mã nhận dạng thường có dạng hàm băm mật mã MD5, SHA1 hoặc SHA256
Trang 5- Mã của hàm băm MD5: 27599C22E0EBA42F3E91E27FE1D04598
- Mã của hàm băm SHA256:
F09FFE74770A7229DDEF667BC95FA73E0886ADF8739CDFFF3610144397 5E5B5A
c) Nhiệm vụ 3: Kiểm tra hàm băm tệp được tạo với VirusTotal một công cụ
quét phần mềm độc hại trực tuyến, kết hợp với nhiều nhà cung cấp phần mềm chống virus khác nhau, cho phép tìm kiếm hàm băm của tệp
- File imphash_calc.py:
Trang 6- Mã IMPHASH cho tệp financials-xls.exe từ file imphash_calc.py:
- Mã IMPHASH cho tệp financials-xls.exe trên VirusTotal: 4a5ebec485beb64f91edf76f986f8113
Trang 7- Hai mã IMPHASH trùng khớp nhau
d) Nhiệm vụ 4: Fuzzy Hashing (SSDEEP), còn được gọi là băm từng phần, là
một kỹ thuật băm được thiết kế để tính toán giá trị băm biểu thị sự giống nhau về nội dung giữa hai tệp
- Sử dụng công cụ ssdeep để thực hiện tính mã SSDEEP cho tệp độc hại:
Trang 8- Mã SSDEEP:
384:b6sus8sjumVO2DdGfa8BeQVaZbsjmisNp8UhGWqkLNRaPX1:2seCum VO2DdGf/evVsjLs8UvAPl
- Hai mã SSDEEP là giống nhau
e) Nhiệm vụ 5: Section hashing, (băm các phần PE) là một kỹ thuật mạnh mẽ
cho phép các nhà phân tích xác định các phần của tệp (PE) đã được sửa đổi
Trang 9Bằng cách áp dụng section hashing, các nhà phân tích bảo mật có thể xác định các phần của tệp PE đã bị giả mạo hoặc thay đổi
- File section_hashing.py:
- Kết quả băm:
- Các mã băm của PEStudio :
Trang 10f) Nhiệm vụ 6: Mục tiêu của nhiệm vụ này là trích xuất các chuỗi (ASCII &
Unicode) từ tệp nhị phân Các chuỗi có thể cung cấp manh mối và thông tin chi tiết có giá trị về chức năng của phần mềm độc hại
- Sử dụng strings:
- Sử dụng floss:
Trang 11- Strings tìm kiếm và trích xuất tất cả các chuỗi có thể đọc được (chuỗi ASCII hoặc Unicode) từ một tệp
- FLOSS phát hiện và giải mã các chuỗi đã bị ẩn hoặc mã hóa trong mã độc
g) Nhiệm vụ 7: Trong phân tích tĩnh, có thể phát hiện một mẫu phần mềm độc
hại đã được nén hoặc làm xáo trộn bằng kỹ thuật được gọi là đóng gói Điều này có thể làm giảm khả năng phân tích chuỗi vì các tham chiếu đến chuỗi thường bị che khuất hoặc bị loại bỏ Kết quả là, tệp phần mềm độc hại trở nên khó phân tích hơn vì không thể quan sát trực tiếp mã gốc
- Nếu trong đầu ra của file có chứa các chuỗi bao gồm từ "UPX", có thể kết luận rằng file này đã được nén hoặc đóng gói bằng UPX (Ultimate Packer for Executables) Đây là một công cụ phổ biến để nén file thực thi (EXE) nhằm giảm kích thước và đôi khi để làm khó việc phân tích
- Sử dụng UPX để giải nén:
Trang 12- Phân tích Strings của tệp đã giải nén:
- Sau khi giải nén, phân tích chuỗi sẽ cho ra các chuỗi có nghĩa, không bị mã hóa
Check work: