Giới thiệu công cụ CFF đọc thông tin PE file

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 23/05/19, 05:05 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 304
    Đã được thích: 148
    Điểm thành tích:
    43
    [​IMG]
    Các bạn bắt đầu làm quen với virus không thể không biết tới cấu trúc PE file. PE file hiểu tóm lược là một định dạng thực thi trên hệ điều hành Windows. Đa số file muốn thực thi trên windows đều phải có cấu trúc PE file. Virus cũng vậy, muốn thực thi được trên windows cũng phải theo chuẩn định dạng của Windows.

    Công cụ CFF rất hữu ích giúp các chuyên gia phân tích virus nhận dạng virus. Tại sao lại nói như vậy, bởi vì cấu trúc PE file của virus chứa những bất thường khác với phần mềm. Ví dụ như, từ cấu trúc PE chúng ta có thể xem được các thông tin như: icon, data, string, entrypoint, đấu hiệu pack, version...Các thông tin này rất hay được virus biến đổi nên xem qua cấu trúc PE file chúng ta đã đoán được phần nào 1 file là virus.

    [​IMG]
    Trên đây là một virus dụ: Hiển thị PE file của một mẫu virus có tên là svchost.exe bằng công cụ CFF. Các bạn có thể nhận ra ngay đây là virus dựa vào tên svchost là một tên chuẩn của Windows vì thế phải có version của Microsoft, file này không có version vì vậy có thể xác định 50% là virus giả mạo chương trình chuẩn của Windows.

    Các bạn có thể tải công cụ CFF tại link sau: https://ntcore.com/?page_id=388
     
    Last edited by a moderator: 23/05/19, 05:05 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 23
    Đã được thích: 14
    Điểm thành tích:
    3
    Cảm ơn mod, bài viết rất hữu ích!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan