Thiết kế đối chiếu Malware
(phần 2)
Phân tích một malware thực
Qua phần một của loạt bài này, chúng ta đã chuẩn bị
một số kiến thức và công cụ nền tảng cho hoạt động
phân tích về sau. Trong phần 2 này, chúng ta sẽ được
tiếp xúc với một chất liệu mới rất thú vị: phân tích
malware thực.
Trong phần trước chúng ta kết thúc với câu hỏi liệu malware download về
của bạn có được thể hiện với biểu tượng của winzip hay winrar không. Tại
sao lại có câu hỏi này? Trước đây đã có trường hợp một học sinh sử dụng
trojan để tấn công máy tính của giáo viên dạy mình. Cậu học sinh nguỵ trang
trojan bằng một biểu tượng quen thuộc như winzip, và thầy giáo mắc bẫy của
cậu. Thủ thuật khá đơn giản, chắc chắn không thể qua mặt được chuyên gia
IT. Nhưng với những người không mấy am hiểu về bảo mật như hầu hết
chúng ta thì việc mắc bẫy cũng không có gì đáng ngạc nhiên.
Thật hay giả?
Như đã nói ở trên, chúng ta không thể chắc chắn được liệu phần malware
download về có thực sự là file winzip hay không. Có một cách kiểm tra là
hãy kích đúp vào nó để mở ra với trình soạn thảo Hex như trong hình bên
dưới.
Hình 1
Như bạn có thể thấy, malware thực tế được thể hiện bằng biểu tượng winzip,
nhưng không phải theo lớp như trong winrar đã được cài trên ảnh VMware.
Trước khi mở file trong trình soạn thảo Hex, bạn phải chú ý một số điểm
quan trọng sau. Các định dạng file như winzip, winrar, hay thậm chí là định
dạng PE đều có ký hiệu byte riêng. Chúng ta có thể nhận ra chúng theo mức
byte và xem được dễ dàng qua trình soạn thảo Hex. Đó là lý do tại sao chúng
ta phải mở file trong Hex. Trình soạn thảo cho phép bạn tìm kiếm chuỗi byte
cụ thể trong bản thân file. Nó sẽ cho bạn biết liệu malware download về như
trong hình minh hoạ ở trên có thực sự là file winzip hay không. Bạn không
cần lo lắng liệu mình có vô tình khiến malware này phát huy tác dụng hiệu
quả của nó ngay bây giờ. Đơn giản là vì trong trình soạn thảo Hex, bạn chỉ có
thể xem được nội dụng mà không thể kích hoạt file thực thi.
Bit hay byte
Bạn có thể thấy ở hình bên dưới là file malware đã được mở trong trình soạn
thảo Hex như lựa chọn. Phần cuối của màn hình có các ký tự “MZ”, thể hiện
trong Hex là “4D 5A”. “MZ” là chuỗi mở của các byte tìm thấy theo định
dạng tiêu đề PE. Nói cách khác, “MZ” nói với chúng ta rằng, file này là một
file thực thi, không bị nén theo kiểu định dạng file winzip. Quá hay! Học về
malware nên chắc hẳn các bạn cũng đoán được hầu hết các file đều là nguỵ
trang. Nhưng nếu lúc này bạn không học về nó thì sao? Chắc hẳn ai cũng sẽ
tò mò kích thử vào file để giải nén và xem nội dung bên trong nó có gì, tức là
đã dẫn gọi malware vào hệ thống.
Hình 2
Một câu hỏi được đặt ra là không biết định dạng file winzip trông như thế nào
ở mức byte. Câu hỏi hay và chúng ta sẽ kiểm tra xem liệu có chứng minh
được sự khác nhau giữa chúng hay không. Khi định dạng PE có chuỗi byte
mở của “MZ”, định dạng file winzip sẽ có ký hiệu byte mở của “PK”. Trên
thông báo này, hãy xem xét định dạng file winzip hợp lệ.
![Pure Spam là gì? 10+ ví dụ Pure Spam từ Google [Cập nhật 2024]](https://cdn.tailieu.vn/images/document/thumbnail/2013/20130831/lilinn/135x160/8051377918232.jpg)
![Tài liệu kỹ thuật Hệ thống giám sát, bảo đảm an ninh mạng [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2026/20260401/baobinh_011/135x160/81151775182908.jpg)
![Giáo trình Hướng dẫn thực hành Quản trị an toàn hệ thống: Phần 2 [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2026/20260306/hoaphuong0906/135x160/83901773031107.jpg)
