Phát hiện các phần mềm Độc hại dựa trên phân tích hành vi và Ứng dụng trong chống hack game (tt)

phân tích, xác định thuộc tính và trình biên dịch dược sử dụng và một só đặc điểm khác 2.1.1.2 Quét chữ kỷ phân mềm độc hại dựa trên các công cụ Anti-virus 2.1.1.3 Phân tích các phan mém

Trang 1

PHÁT HIỆN CÁC PHẢN MÈM ĐỘC HẠI DỰA TRÊN PHAN TÍCH HÀNH

VI VÀ ỨNG DỤNG TRONG ‘CHONG HACK GAME

Chuyên ngành: KHOA HỌC MÁY TÍNH

Mã số: 60.48.01

TOM TAT LUAN VAN THAC SĨ

HANOI - 2013

Trang 2

Có thể tìm hiển luận văn tại

- Thu viện của Học viện Công nghệ Bưu chính Viễn thông,

Trang 3

MG DAU

Với sự phát triển mạnh rnế của Internet, vân dé an ninh, an toan các hệ thống thông, tin ngày cảng trở nên cấp thiết khi cáo hệ thông thông tin được kết nối với nhau và với mạng Internet, chúng phải đổi điện với nhiều nguy cơ bị tân công, lấy cắp thông tin hoặc phá hoại

hé thang Trong số các tác nhân lẫn công phả hoại các hệ thông thông tưi và mạng, các phan mềm độc hại là một trong các dang gây nhiều thiệt hại nhất do khả năng lan truyền nhanh chóng Các phản mềm độc hại được phát triển ngày càng tinh vi, rat khé phat hiện với các

kỹ thuật nhận dạng thông thường, như kỹ thuật phân tích tĩnh và phân tích dộng Các kỹ thuật phân tích tĩnh vả phân tịch động giúp chúng ta phân tích, nhận dạng được các phân mém độc hại dựa trên oác đặc trưng của chúng đưới đạng cáo chữ kí Tuy nhiên, khủ các kỹ

thuật viết chương trinh ngày càng phát triển, càc phản mềm độc hại có khả năng tự biến dối thành một dạng mới rất khó phân tích, nhận đạng

Dựa trên các đặc tình, tỉnh chất của các phần mềm độc hại, phương pháp tiếp cận

phân tích hành vi tỏ ra có lợi thế trong nhận dang và phòng ngừa các nguy cơ do các phần mềm dộc hại gây ra, dặc biệt khi có những sự biến dỗi của kỹ thuật viết chương trinh phan mềm độc hại đề tránh các phương pháp phân tích nhận đạng truyền thống Luận văn này tập

trung nghiên cứu phương pháp phân tích, nhận dạng các phân mềm độc hại dựa trên hành vi với inue dich năng cao khả năng nhận đạng các phẩn mỗm độc hại

Tuiận văn bao gồm bạ chương chỉnh với nội dụng như sau:

+ Chương 1: Giới thiện tổng quau về các phần mềm: độc lại: khái niệm chúng về phần mềm độc hại, phân loại chúng theo NHŠT, tác hại của phan mềm độc hại đốt với

hệ thống vả người dùng, quá trình hình thánh và phát triển của phần mềm độc hại

+ Chương 2: Trinh bảy các phương pháp phân tích phản mềm độc hại: phương pháp

phân tích tĩnh, phương pháp phân tích động, phương pháp phân tích hành vỉ So sánh

am nhược điểm của các phương pháp phân tích phẩn mồm độc hại

| Chuong 3: Noi dung trình bảy tổng quan về games, quá trính hình thành và phát triển của game trên thế giới và Việt Nam Ứng dụng phân tích hành vì trong chống

hack game Minh họa ứng đụng đụng phân tích bảnh vi chẳng hack cho game Pikachu

Trang 4

‘Trong phần ứng dụng phân tích hành vi tập trung vào hai hanh vi debug va chèn mã

để chồng hack game cho same Pikachu

Hanh vi debug gém cé :

@ [anh vi debug voi ngắt AT 3ÿ

@ [anh vi truy vin dé debug NiQuerpInformationPracess

« Hành vị kiểm tra tiến trinh debug CheckRemoteDebuggerPresent

Hành vi chèn mã can thiệp về thời gian hoạt động của game Pikachu

©_ Tlành vi thay đổi bộ đếm thời gian GefTickCount

2 Phân cụm hành vì hack game Pikachu

Với cáo hành vì đường và chèn mã được khai tháp trong phần 3.3.1, sử dụng thuật

toàn 1 trong phan 2.2.3 dé phan cum hank vi Ta sẽ due bai cum dược đặt tên là Debug và

Inject

3.3.3 Cài dét chwong trinh chéng hack cho game Pikachu

Do chương trinh game Pikachu 1a mét chuong tinh game déc lập đã được đồng gói,

để nạp được madule giám sát hành vi vao game Pikachu can có chương trình thục hiện gọi

la Leader Chuong trình “Luader.cxe” sẽ làm nhiệm vu ihuc ii game Pikachu va nap module giam sát hành vi vào tiền trinh chinh ctia game Pikachu

Module giam sát hành vì “Behaviour.dll” khi thực hiện sẽ liên lục kiểm tra các hành

vi can thiệp vào game dễ phân tích và đưa ra thông báo và thoát game khi phát hiện hack,

Trang 5

vi, giúp chủng ta dánh giá dược tác động ảnh hướng của phần mềm dộc hại déi với hệ thống, cũng như đưa ra giải pháp phòng ngừa khắc phục bậu qua do phần mềm độc hại gây ra.

Trang 6

CHƯƠNG 1 - TONG QUAN VE CAC PHAN MEM DOC HAL

1.1 Dịnh nghĩa phần mềm độc hại

Thần mềm độc hại (tiếng Anh: malwzre là sự ghép của hai chit malicious va soRware) lả một loại phần mềm hệ thống do các tin tặc hoặc các lập trinh viên tạo ra nhằm

sây hại cho các máy tính và người đừng, Tủy theo cách thức mà tin tặc sử dụng, sự nguy hại

của các loại phần mềm độc hạt là khác nhau Một số phân mềm độc hại chỉ đơn giần hiển thị các thông điệp không mong muốn, gay kho chịu cho người dùng, Tuy nhiên, nhiều phần mềm độc hại hỗ trợ tin tặc tân công, đột nhập đánh cắp thông tin, chiếm quyền điều khiến máy tỉnh Nhiều phân mềm độc hại có khả nắng lày lan sang các máy tinh khác Lương tự như virus trong, cơ thể các sinh vật

12 Phânloại

Theo NIST(National Institute of Standards and Technology : viện tiéu chuẩn và công

nghé quéc gia Hoa Ky) Phần mém dée hại được chữa thành tăm nhóm chính, bao gồm: Virus,

‘Trojan horse, Won, Malicious mobile code, Blended attack, Tracking cookies, Attacker tools

va Non-Malware Threats

1.3 Tac hai của phần mềm độc hại

Dựa trên các loại phần mềm độc hại khác nhau mà tác hại của chúng đối với hệ thống,

của chúng ta là khác nhau, nhưng cơ bản có những tác bại chính sau:

« Giảm hiệu răng tnấy lính

«© Thiệt hại tài chính

« Mắt thông tin cả nhân

e Anh bung tdi hoat động sắn xuất

1.4 Lịch sử phát triển phần mềm độc hại

1.5 Kết chương

Chương Ì của luận văn đề cập tới khái niệm cơ bản vẻ phân mềm độc hại, phân loại

phần mềm độc hại theo viên tiêu chuẩn và công nghệ quốc gia Hơa Kỳ, lịch sử hình thành

và phát triển từ trước tới nay, các tác hại đối của phân mẫm độc hại đổi với chúng †a

Với những tác hại của phân mềm độc hại đối với hệ thông sũng chính là vẫn đẻ đặt ra cho luận vấn phát triển một giải nhấp phân tích phần mềm độc hại dựa trên phân tích hành

Trang 7

Trang 8

Tir Video trang Video game la cách gọi truyền thông cho mối thiết bị hiển thị Tuy nhiên,

với sự phổ biến của thuật ngữ “Video game”, giờ đây nó ngụ ý tất cả các dạng thiết bị hiển thi 118 théng thiét bị điện tử sử dụng để chơi Video game được gọi là các hệ máy, ví dụ như may tỉnh cá nhân hay các hệ máy console Những hệ máy này có kích thước từ chiếc máy tỉnh đỗ sô cho dến những thiết bị nhỏ gọu câm tay

31.2 Lịch sử phát triễn của game

3.2Sử dụng các phân mềm độc hại trong hack games

3.2.1 Lý Áo hack games

Những lý do chính mà người chơi sử dụng công cụ dễ hack games

« Đế tầng điểm kinh nghiệm chơi game

«_ Dễ thách thức bản thân, cũng như nhà phát triển games

« Gây sự chủý

3.2.2 Kỹ thuật cơ bản để hack games

Để hack games co rit uhiéu cách tiếp cận khác nhau nhưng cơ bản là có 2 bước chính

sau:

«_ Sử dụng các công cụ phần mẻm để kiểm tra, khai thác các lỗ hỏng đề tắn công game

« _ Sau khi đã khai thác được game thu thập được các dữ liệu về game thi hacker od thé

sử đựng dé haok game thay đối các đữ liệu, hoặc lập trình viết thành các công cụ

back game đề phát tán rộng ra bên ngoài

3.3 Ứng dụng phân tích hành vi trong chéng hack games

3.3.1 Khai thac hanh vi hack game Pikachu

7

Trang 9

Trang 10

Inject

Trang 11

Trang 12

tỉ điểm Nhược điểm

phan mềm độc hại khi thực hiện trên | mềm độc hại làm cho hệ

+ Dánh giá được các ảnh hướng thực | rủi ro về an nỉnh,an toàn

mềm độc hại như phân tích

thông tim

2.4KẾt chương

Chương 2 trình bảy chỉ tiết về các phương pháp phân tích phân mêm độc hại Phương pháp phân tích tĩnh không yêu câu thực thí phản mềm độc hại giảm khả năng lây nhiễm sang hệ

thông khác Phương pháp phân tích động theo đời các hoạt động của phần mêm độc hại khi

thực thí trang hệ thẳng, Phương pháp phân tích hành ví phát triển dựa trên phương pháp

phân tích động với khái niệm lành vị tương ứng với các bảnh động xảy ra trong hệ thống,

+khi thực thi phần mềm độc hại Mục tiêu cuối cùng đối với chứng ta là xây đựng một hệ

thủ tục khắc phục an toản vá hiệu quả

Để cải đặt phương pháp phân tích hành vị trên hệ thông thục cần mở rộng thêm nhiều hành

vi cần giảm sát đề sát với thực tế cũng như mỏi trường thục của hệ điều hành

Trang 13

CHƯƠNG 2 - CÁC PHƯƠNG PHÁP PHÂẦN TÍCH,

PHAN MEM DOC TIAI

2.1Các nhương pháp nhân tích, nhận dạng phần mềm dặc hại

tich tinh bao gam việc kiểm tra đanh sách các chuỗi

phân tích, xác định thuộc tính và trình biên dịch dược sử dụng và một só đặc điểm khác

2.1.1.2 Quét chữ kỷ phân mềm độc hại dựa trên các công cụ Anti-virus

2.1.1.3 Phân tích các phan mém déc hai da ap dung dong gói và xão trôn mã

2.1.1.4 Phân tích các phần mềm độc hại trên nên hệ diều hành Windows

2.1.2 Phương phúp phân tích động

2.1.2.1 Giới thiệu

Phương pháp phân tích động là phân tích, kiểm tra các phần mềm độc hại khi ching dang được thực thí Phân tích đông là bước thứ hai trong quả tình phân tích phần mềm dộc

hại Phân tích động thưởng được thực hiện sau khi hoàn tất quá trình phân tích tỉnh Phân

tích động liên quan đến việc giảm sát phần mẻm độc hại khi chúng đang được thục thị, kiếm

tra các lệ thông sau khi đá thực hiện các phần tmễm độc hại

Khi phân tích một phần mềm độc hại bằng phương phép phân tích động cần thục

hiện các bước sau :

'Thiết lập môi trường phần tích

Chạy phần mềm nghỉ ngờ độc hại

Giảm sát tiến trình của phần mềm nghỉ ngờ độc hại

Giám sat mang khi chạy phần mềm nghỉ ngò độc hại

Trang 14

sau:

7

Trang 15

thông tim

2.4KẾt chương

thống Lự động phâu tích phần mém độc hai, ong hop đữ liêu đưa ra œ: p danh id d 6 duce thủ tục khắc phục an toản vá hiệu quả

Trang 16

12 Phânloại

1.5 Kết chương

Trang 17

PHAN MEM DOC TIAI

Trang 18

sau:

7

Trang 19

thông tim

2.4KẾt chương

Trang 20

sau:

7

Trang 21

sau:

Trang 22

Inject

Trang 23

sau:

Trang 24

sau:

7

Trang 25

PHAN MEM DOC TIAI

Trang 26

2.1.3.2 Thiết lập môi trường phân tich

2.1.2.3 Chạy phân mềm độc hại

2.1.3.4 Giảm sát tiên trình cũa phần mêm nghỉ ngờ độc hai

2.1.2.5 Giảm sát mạng khi chạy phần mềm nghi ngờ độc hại

2.2 Phương pháp phân tích, nhận dạng phẫn mềm độc hại dụa trên hành vì

Phương pháp phân tích phân mềm độc hại dựa trên hành vĩ Hà việc khai thác thông lin

liên quan vẻ một chương trình bị nghỉ ngờ, bằng cách giám sát các hoạt động, hành động của nó trong hệ thống

Trong phần này, luận vẫn tập Irung dưa ra một ví dụ vé phan Lich hành vì và rnô hình hóa nó Mục địch của việc phân tích hành vị phần mềm độc hại giúp đánh giá các ánh tưởng, tác động đến hệ thống ki một phần mềm độc hại được thực thì Do vậy, một hệ thông phân tích sử dụng phương pháp phân tích hành vị cân có 3 thành phan chính

1 Giảm sát hành vi ủng dựng ớ múc thấp tổng hợp để hình thành hành vị cấp

cap

2 Phan cum các hành vị thu được ở phần giám sát

3 Khắc phục các ảnh hưởng tới hệ thống bị nhiễm độc, dựa vào các dữ liệu hành

3.3.5 Tạo thi tue xt lý vừng nhiễm độc

2.3So sánh các phương pháp phân tích phần mềm độc hại

Bang 2.3 Su sanh ưu nhược điểm các phương pháp phân tích phần mềm dộc hại

+ Không thực hiện chạy mã độc, giảm

Phân tích tĩnh many eo Hy lan phá hoại hộ thông xmêm nghỉ ngờ độc hại bị

+ Dựa lrên câu lrúc iép tin due thi

(Pi file) dé phan tich Phân tích động, + Giám sát được các hành động của | + Khi thực hiện chạy phần

1 Khó phân tích khi phần

nén, mã hóa.

Trang 27

12 Phânloại

1.5 Kết chương

Trang 28

cap

nén, mã hóa.

Trang 29

Inject

Trang 30

cap

nén, mã hóa.

Trang 31

PHAN MEM DOC TIAI

Trang 32

12 Phânloại

1.5 Kết chương

Trang 33

PHAN MEM DOC TIAI

Trang 34

Trang 35

thông tim

2.4KẾt chương

Trang 36

cap

nén, mã hóa.

Trang 37

cap

nén, mã hóa.

Tiêu đề	Phát hiện các phần mềm Độc hại dựa trên phân tích hành vi và Ứng dụng trong chống hack game (tt)
Tác giả	ĐỒ ANH TUẦN
Người hướng dẫn	Tiến sĩ HOÀNG XUÂN ĐẠU
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	Khoa học máy tính
Thể loại	Luận văn thạc sĩ
Năm xuất bản	2013
Thành phố	Hà Nội

Định dạng
Số trang	75
Dung lượng	345 KB