Thiết kế đối chiếu Malware (phần 1)

Với nhiều người hiện nay, thiết kế đối chiếu (reverse engineering) là cơ chế còn khá lạ lẫm. Họ thậm chí không biết nó là cái gì và sử dụng ra sao. Trong loạt bài này chúng tôi sẽ giới thiệu với các bạn nội dung cơ bản cách áp dụng phương thức reverse engineering trong lĩnh vực bảo mật vốn phát triển và biến đổi hết sức nhanh chóng.

Tiếp tục đọc

Thiết kế đối chiếu Malware (phần 2)

Phân tích một malware thực

malware2.jpgQua phần một của loạt bài này, chúng ta đã chuẩn bị một số kiến thức và công cụ nền tảng cho hoạt động phân tích về sau. Trong phần 2 này, chúng ta sẽ được tiếp xúc với một chất liệu mới rất thú vị: phân tích malware thực.

Trong phần trước chúng ta kết thúc với câu hỏi liệu malware download về của bạn có được thể hiện với biểu tượng của winzip hay winrar không. Tại sao lại có câu hỏi này? Trước đây đã có trường hợp một học sinh sử dụng trojan để tấn công máy tính của giáo viên dạy mình. Cậu học sinh nguỵ trang trojan bằng một biểu tượng quen thuộc như winzip, và thầy giáo mắc bẫy của cậu. Thủ thuật khá đơn giản, chắc chắn không thể qua mặt được chuyên gia IT. Nhưng với những người không mấy am hiểu về bảo mật như hầu hết chúng ta thì việc mắc bẫy cũng không có gì đáng ngạc nhiên.

Tiếp tục đọc

Thiết kế đối chiếu Malware (phần 3)

Bóc trần thủ đoạn của spammer, những kẻ dưới đáy xã hội internet cùng một số kẻ khác với các nội dung che đậy, ẩn giấu malware thực bên trong.

Như đã tìm hiểu trong phần 2, bạn có thể thấy rằng không phải cái gì cũng giống như mắt ta nhìn thấy. Những kẻ phát tán thư rác (spammer), những kẻ ở dưới đáy xã hội ảo internet cùng một số kẻ khác luôn luôn tìm cách che đậy malware thực bằng vỏ bọc giả rất ư thánh thiện. Trong phần tiếp theo của loạt bài này, chúng ta sẽ tiếp tục lột bỏ và bóc trần các kiểu hành vi của chúng.

Tiếp tục đọc

Thiết kế đối chiếu Malware (phần 4)

Trong các phần trước của bài viết này chúng tôi đã giới thiệu cho các bạn cách nhận và mở một file UPX đã đóng gói. Trong phần tiếp theo này chúng tôi sẽ thực sự xem xét đến một mẫu malware trong định dạng không nén của nó.

Tiếp tục đọc