tailieunhanh - Các bước xây dựng một hệ thống phân tích malware tự động

Như các bạn đã biết, hiện nay có rất nhiều malware xuất hiện, do vậy với lượng malware ngày càng nhiều thì việc phân tích chúng cũng rất mất nhiều thời gian, chưa kể đến những malware phức tạp. Bài viết Các bước xây dựng một hệ thống phân tích malware tự động này với mong muốn giúp các bạn có thể hiểu sơ lược về hoạt động malware và cách thức xây dựng một hệ thống phân tích malware tự động.  | Như các bạn đã biết hiện nay có rất nhiều malware xuất hiện do vậy với lượng malware ngày càng nhiều như vậy thì việc phân tích chúng cũng rất mất nhiều thời gian chưa kể đến những malware phức tạp. Bài viết này với mong muốn giúp các bạn có thể hiểu sơ lược về hoạt động malware và cách thức xây dựng một hệ thống phân tích malware tự động như thế nào Theo ý kiến của seamoun thì không tham vọng xây dựng một hệ thống phân tích malware tự động mà có thể phân tích được tất cả malware xuất hiện bởi vì malware hiện nay xuất hiện với nhiều hình thức khác nhau và hoạt động của chúng thì rất phức tạp người phân tích soi còn không ra huống gì hệ thống tự động thứ hai mà hệ thống có thể phân tích được tất cả các malware xuất hiện thì seamoun chắc nộp đơn xin nghỉ việc vì mình chẳng có việc gì phải làm . Nhưng tại sao vẫn phát triển hệ thống phân tích malware tự động bởi vì hệ thống này sẽ giúp đỡ cho người phân tích bớt thời gian hơn cho những công đoạn mà người phân tích malware và cũng có cái nhìn tổng quát về những hành động hành vi ban đầu của malware. Ví dụ Khi có một malware mới xuất hiện thì ban đầu để phân tích chúng thì phải chạy malware cho một môi trường độc lập tức là môi trường khi mà malware thực hiện sẽ không gây hại gì cho hệ thống môi trường như vậy người ta gọi là sandbox. Tiếp đến người phân tích sử dụng các công cụ phân tích sơ bộ rằng malware thực hiện những hành động gì khi chạy chúng lưu registry key nào tạo file gì mới trên hệ thống thay đổi tiêm nhiễm gì . sau đó sử dụng các công cụ như Ollydbg IDA . để tiến hành phân tích code . ngồi đọc code và phân tích mấy con malware này chắc hacnho mrro . các anh em khác trong HVA chắc rành hơn còn seamoun nhìn thấy là hoa cả mắt . Như vậy có một số hoạt động phân tích sơ bộ về malware lặp đi lặp lại trong quá trình phân tích malware thì có thể chuyển nó cho một hệ thống phân tích tự động trước khi người phân tích malware tiến hành phân tích sâu hơn. Ý tưởng và triển khai như sau Sẽ có một máy Linux làm master .