18/09/2018, 14:54

Phương pháp phân tích mã độc (Phần 2)

Để có thể nhận biết được các loại mã độc các kỹ thuật viên phải dùng đến rất nhiều công cụ. Ở bài viết về phương pháp phân tích mã độc phần 2 hãy cùng chuyên gia an ninh mạng Bùi Đình Cường tìm hiểu về các công cụ hỗ trợ tìm kiếm và phát hiện mã độc tiên tiến nhất hiện nay nhé. CÁC CÔNG ...

Để có thể nhận biết được các loại mã độc các kỹ thuật viên phải dùng đến rất nhiều công cụ. Ở bài viết về phương pháp phân tích mã độc phần 2 hãy cùng chuyên gia an ninh mạng Bùi Đình Cường tìm hiểu về các công cụ hỗ trợ tìm kiếm và phát hiện mã độc tiên tiến nhất hiện nay nhé.

CÁC CÔNG CỤ PHÂN TÍCH MÃ ĐỘC THÔNG DỤNG

Có rất nhiều công cụ sử dụng trong quá trình phân tích mã độc, mỗi công cụ đều có điểm mạnh, điểm yếu riêng. Nếu chúng ta có thể phát huy được sức mạnh của các bộ công cụ và sử dụng chúng một cách linh hoạt và hợp lí, quá trình phân tích mã độc sẽ nhanh hơn và hiệu quả hơn. Sau đây tôi sẽ liệt kê các công cụ theo từng nhóm mục đích sử dụng khác nhau:

1.Nhóm công cụ hỗ trợ phát hiện mã độc

cong-cu-phan-tich-ma-doc

Bộ công cụ phát hiện và phân tích mã độc

  • AnalyzePE: Bao gồm rất nhiều công cụ hỗ trợ cảnh báo file PE trên Windows.
  • chkrootkit, Rootkit Hunter: Phát hiện rootkit trên Linux
  • Loki: Công cụ quét dựa trên một số nhận diện mã độc: chữ kí, hash MD5.
  • Detect-It-Easy: Công cụ phát hiện loại file.
  • totalhash.py: Script python tìm kiếm mã hash trên cơ sở dữ liệu của trang: totalhash.cymru.com
  • YARA: Công cụ quét, phân tích dựa trên các pattern.

 Xem thêm: Các bước phân tích mã độc – Phần 3

2.Công cụ quét Online và sanboxes

  • VirusTotal: Công cụ phân tích online (File và URLs).
  • NVISO ApkScan, APK Analyzer: Phân tích động file APKs.
  • AndroTotal: Phân tích online file APK .
  • AVCaesar: Công cụ quét và phân tích mã độc online.
  • Crytam: Phân tích các file office nghi ngờ.
  • Cuckoo Sandbox: Hệ thống phân tích tự động mã nguồn mở.
  • Malwr: Hệ thống phân tích online sử dụng Cuckoo Sandbox.
  • JoseSandbox: Phát hiện và phân tích hành vi đa nền tảng cho cả file, URLs.
  • Firrmware.re: Công cụ giải nén (Unpack), quét và phân tích các firmware.
  • Jotti: Công cụ quét mã độc online.
  • Limon: Sandbox phân tích mã độc trên Linux.
  • PDF Examiner: Công cụ phân tích các file PDF nghi ngờ.

3.Công cụ Deobfuscation

Công cụ Deobfuscation

  • Balbuzard: Công cụ phân tích hỗ trợ làm rõ mã nguồn bị xáo trộn.
  • de4dot: Công cụ hỗ trợ obfucate và unpack.
  • FLOSS: Công cụ tự động deobfucate chuỗi từ tệp nhị phân.
  • PackerAttacker: Công cụ tìm ra các mã ẩn của mã độc (Windows).
  • unpacker: Công cụ tự động unpack mã độc trên Windows.
  • JS Beautifier, JS Deobfuscator: unpack và deobfucate mã nguồn Javascript.

4.Công cụ gỡ rối (Debugging) và dịch ngược (Reverse Engineering)

công cụ gỡ rối

  • IDA Pro: Công cụ disassembler và debugger.
  • OllyDbg: Công cụ debugger trên windows.
  • pestudio: Công cụ phân tích tĩnh cho Windows.
  • PPEE (puppy), PE Insider, CFF Explorer : Công cụ hỗ trợ xử lí PE file.
  • binnavi: IDE phân tích file nhị phân, hỗ trợ dịch ngược, được phát triển bởi Google.
  • Capstone : Disassembly framework phân tích và dịch ngược file nhị phân.
  • GDB : GNU debugger.
  • GEF : Bản nâng cao tính năng của GDB, hỗ trợ exploit và reverse.
  • angr : Framework phân tích file nhị phân.
  • BARF: Framework mã nguồn mở hỗ trợ phân tích và dịch ngược các loại file nhị phân.
  • dnSpy : Công cụ hỗ trợ debug, chỉnh sửa và đóng gói lại file nhị phân trên nền tảng .NET.
  • Fibratus: Công cụ hỗ trợ làm việc với Windows kernel.
  • ltrace , strace : Công cụ phân tích động trên Linux.
  • objdump: Công cụ phân tích tĩnh trên Linux.
  • Process Monitor : Công cụ giám sát ứng dụng Windows.
  • Process Explorer: Công cụ giám sát các tiến trình.
  • Process Hacker: Công cụ giám sát tài nguyên hệ thống.
  • FileInsight, Hex Editor Neo, FlexHex, 010 Editor: Công cụ xem và chỉnh sửa file nhị phân

5.Điều tra bộ nhớ

Điều tra bộ nhớ

  • Volatility: Framework hỗ trợ điều tra chứng cứ số.
  • evolve : Giao diện web cho Volatility.
  • WinDbg : Kernel debugger cho Windows.

6.Phân tích gói tin

Phân tích gói tin

  • Wireshark : Phân tích các giao thức.
  • Network Miner : Công cụ phân tích và điều tra mạng cho Windows.
  • NetworkTotal: Công cụ phân tích file pcap online để phát hiện mã độc.
  • PacketTotal: Công cụ phân tích online file .pcap và hiển thị các thông tin.

7.Phân tích website

  • Whois: Công cụ hỗ trợ phân tích tên miền.
  • URLQuery : Công cụ quét URL
  • SenderBase : Tìm kiếm thông tin IP, tên miền, người sở hữu.
  • Sucuri SiteCheck : Kiểm tra mã độc và quét an ninh cho website.
  • ZScalar Zulu: Phân tích địa chỉ URL.

8.Các công cụ khác

Rất nhiều công cụ phân tích mã độc khác được tổng hợp tại địa chỉ sau:

  • https://github.com/rshipp/awesome-malware-analysis

Để hiểu thế nào lã mã độc hãy đọc bài viết: Hiểm họa từ mã độc đến vấn đề an ninh mạng (Phần 2)

Theo chuyên gia Bùi Đình Cường

0