NgMSon
Well-Known Member
-
22/03/2017
-
747
-
669 bài viết
Một số công cụ phân tích phần mềm độc hại [Cơ bản]
I. Process Minitor
Process Monitor là một công cụ giám sát tiên tiến cho Windows hiển thị hệ thống tập tin theo thời gian thực, hoạt động của Registry và process / thread. Nó kết hợp các tính năng của hai tiện ích Sysinternals là Filemon (giám sát file) và Regmon (giám sát registry), Process Monitor có cơ chế lọc khá phức tạp mà không sử dụng cơ chế lọc đơn giản theo chuỗi . Các tính năng mạnh mẽ độc nhất của nó sẽ làm cho Process Monitor trở thành một tiện ích cơ bản trong bộ công cụ xử lý sự cố và bộ công cụ tìm kiếm phần mềm độc hại.
II. WireShark
Wireshark là một công cụ theo dõi , kiểm tra và phân tích các loại mã độc, thông tin mạng được phát triển bởi Gerald Combs. WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại). Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất do đó nó thân thiện với người dùng. Vì nó có thể bắt đường đi của gói tin, nên nosconf được ứng dụng vào quá trình phân tích lỗ hổng, mã độc.
Tuy nhiên, điểm yếu lớn nhất của nó khi phân tích các mã độc là không cho biết chính xác ứng dụng nào tạo ra gói tin gửi đi, mà chỉ biết gói tin đó có thành phần gì, gửi từ đâu, và đến đâu… Vì thế, cần kết hợp với những công cụ khác như Process Monitor.
III. OllyDBG
OllyDBG hay còn gọi tắt là Olly là công cụ debug 32-bit rất phổ biến cho Microsoft Windows. Nhấn mạnh vào phân tích mã nhị phân làm cho nó đặc biệt hữu ích trong trường hợp nguồn không có sẵn. Bạn có thể tải về và sử dụng nó miễn phí.
Nhờ giao diện trực quan và dễ sử dụng nên Olly phù hợp với người dùng ở mọi trình độ khác nhau. Nó hỗ trợ debug file thực thi và file thư viện. Thêm vào đó, script và bộ plug-in của nó rất phong phú vì có một cộng đồng sử dụng đông đảo. Một số plug-in quan trọng đó là Olly Advanced, PhantOm,StrongOD. Chúng cung cấp các cơ chế anti-anti debug, hook vào một số hàm quan trọng, ẩn tiến trình-tên cửa số Ollydbg … nhằm làm cho chương trình bị debug không biết mình đang bị debug.
IV. Immunity Debugger
Cũng giống như OllyDbg, tuy nhiên ngôn ngữ kịch bản mà Immunity Debugger hỗ trợ là Python, một ngôn ngữ rất mạnh, tự động debug và được giới bảo mật, phân tích thường dùng. Nó giảm nhẹ và debug nhanh để tránh bị fail trong quá trình phân tích mã độc phức tạp. Immunity Debugger cũng có giao diện đơn giản, dễ hiểu.
V. Windbg
Windbg: là một công cụ debug mạnh mẽ được phát hành bởi Microsoft. Nó có khả năng debug trên cả user-mode và kernel-mode . WinDbg cung cấp debug cho hạt nhân Windows, trình điều khiển chế độ hạt nhân, và dịch vụ hệ thống, cũng như các ứng dụng chế độ người dùng và trình điều khiển.
WinDbg có thể xem mã nguồn, thiết lập các điểm ngắt, xem các biến (bao gồm cả các đối tượng C ++), ngăn xếp dấu vết, và bộ nhớ. Cửa sổ Debugger Command của nó cho phép người dùng thực hiện nhiều lệnh. Tuy nhiên để sử dụng được WinDbg đòi hỏi có nhiều kinh nghiệm về Reverse Engineering cũng như programming.
VI. PEiD
PEiD là một ứng dụng trực quan dựa trên giao diện người dùng thân thiện của nó để phát hiện đóng gói, crypters và trình biên dịch được tìm thấy trong PE file thực thi - Tỷ lệ phát hiện của nó là cao hơn so với các công cụ tương tự khác kể từ khi ứng dụng gói hơn 600 chữ ký khác nhau trong các tập tin PE.
Process Monitor là một công cụ giám sát tiên tiến cho Windows hiển thị hệ thống tập tin theo thời gian thực, hoạt động của Registry và process / thread. Nó kết hợp các tính năng của hai tiện ích Sysinternals là Filemon (giám sát file) và Regmon (giám sát registry), Process Monitor có cơ chế lọc khá phức tạp mà không sử dụng cơ chế lọc đơn giản theo chuỗi . Các tính năng mạnh mẽ độc nhất của nó sẽ làm cho Process Monitor trở thành một tiện ích cơ bản trong bộ công cụ xử lý sự cố và bộ công cụ tìm kiếm phần mềm độc hại.
II. WireShark
Wireshark là một công cụ theo dõi , kiểm tra và phân tích các loại mã độc, thông tin mạng được phát triển bởi Gerald Combs. WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại). Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất do đó nó thân thiện với người dùng. Vì nó có thể bắt đường đi của gói tin, nên nosconf được ứng dụng vào quá trình phân tích lỗ hổng, mã độc.
Tuy nhiên, điểm yếu lớn nhất của nó khi phân tích các mã độc là không cho biết chính xác ứng dụng nào tạo ra gói tin gửi đi, mà chỉ biết gói tin đó có thành phần gì, gửi từ đâu, và đến đâu… Vì thế, cần kết hợp với những công cụ khác như Process Monitor.
III. OllyDBG
OllyDBG hay còn gọi tắt là Olly là công cụ debug 32-bit rất phổ biến cho Microsoft Windows. Nhấn mạnh vào phân tích mã nhị phân làm cho nó đặc biệt hữu ích trong trường hợp nguồn không có sẵn. Bạn có thể tải về và sử dụng nó miễn phí.
Nhờ giao diện trực quan và dễ sử dụng nên Olly phù hợp với người dùng ở mọi trình độ khác nhau. Nó hỗ trợ debug file thực thi và file thư viện. Thêm vào đó, script và bộ plug-in của nó rất phong phú vì có một cộng đồng sử dụng đông đảo. Một số plug-in quan trọng đó là Olly Advanced, PhantOm,StrongOD. Chúng cung cấp các cơ chế anti-anti debug, hook vào một số hàm quan trọng, ẩn tiến trình-tên cửa số Ollydbg … nhằm làm cho chương trình bị debug không biết mình đang bị debug.
IV. Immunity Debugger
Cũng giống như OllyDbg, tuy nhiên ngôn ngữ kịch bản mà Immunity Debugger hỗ trợ là Python, một ngôn ngữ rất mạnh, tự động debug và được giới bảo mật, phân tích thường dùng. Nó giảm nhẹ và debug nhanh để tránh bị fail trong quá trình phân tích mã độc phức tạp. Immunity Debugger cũng có giao diện đơn giản, dễ hiểu.
V. Windbg
Windbg: là một công cụ debug mạnh mẽ được phát hành bởi Microsoft. Nó có khả năng debug trên cả user-mode và kernel-mode . WinDbg cung cấp debug cho hạt nhân Windows, trình điều khiển chế độ hạt nhân, và dịch vụ hệ thống, cũng như các ứng dụng chế độ người dùng và trình điều khiển.
WinDbg có thể xem mã nguồn, thiết lập các điểm ngắt, xem các biến (bao gồm cả các đối tượng C ++), ngăn xếp dấu vết, và bộ nhớ. Cửa sổ Debugger Command của nó cho phép người dùng thực hiện nhiều lệnh. Tuy nhiên để sử dụng được WinDbg đòi hỏi có nhiều kinh nghiệm về Reverse Engineering cũng như programming.
VI. PEiD
PEiD là một ứng dụng trực quan dựa trên giao diện người dùng thân thiện của nó để phát hiện đóng gói, crypters và trình biên dịch được tìm thấy trong PE file thực thi - Tỷ lệ phát hiện của nó là cao hơn so với các công cụ tương tự khác kể từ khi ứng dụng gói hơn 600 chữ ký khác nhau trong các tập tin PE.