Giới thiệu công cụ CFF đọc thông tin PE file
Các bạn bắt đầu làm quen với virus không thể không biết tới cấu trúc PE file. PE file hiểu tóm lược là một định dạng thực thi trên hệ điều hành Windows. Đa số file muốn thực thi trên windows đều phải có cấu trúc PE file. Virus cũng vậy, muốn thực thi được trên windows cũng phải theo chuẩn định dạng của Windows.
Công cụ CFF rất hữu ích giúp các chuyên gia phân tích virus nhận dạng virus. Tại sao lại nói như vậy, bởi vì cấu trúc PE file của virus chứa những bất thường khác với phần mềm. Ví dụ như, từ cấu trúc PE chúng ta có thể xem được các thông tin như: icon, data, string, entrypoint, đấu hiệu pack, version...Các thông tin này rất hay được virus biến đổi nên xem qua cấu trúc PE file chúng ta đã đoán được phần nào 1 file là virus.
Trên đây là một virus dụ: Hiển thị PE file của một mẫu virus có tên là svchost.exe bằng công cụ CFF. Các bạn có thể nhận ra ngay đây là virus dựa vào tên svchost là một tên chuẩn của Windows vì thế phải có version của Microsoft, file này không có version vì vậy có thể xác định 50% là virus giả mạo chương trình chuẩn của Windows.
Các bạn có thể tải công cụ CFF tại link sau: https://ntcore.com/?page_id=388
Công cụ CFF rất hữu ích giúp các chuyên gia phân tích virus nhận dạng virus. Tại sao lại nói như vậy, bởi vì cấu trúc PE file của virus chứa những bất thường khác với phần mềm. Ví dụ như, từ cấu trúc PE chúng ta có thể xem được các thông tin như: icon, data, string, entrypoint, đấu hiệu pack, version...Các thông tin này rất hay được virus biến đổi nên xem qua cấu trúc PE file chúng ta đã đoán được phần nào 1 file là virus.
Các bạn có thể tải công cụ CFF tại link sau: https://ntcore.com/?page_id=388
Chỉnh sửa lần cuối bởi người điều hành: