1.
1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
Nội dung: Nghiên cứu tìm hiểu
cơ bản về phân tích mã độc trên
Windows.
Nơi thực tập : Viện CNTT&TT-CDIT
Người hướng dẫn : Thầy Hoàng Mạnh Thắng
Tên sinh viên: Phạm Trung Đức
Mã sinh viên: B13DCAT056
Hà nội, 08/ 2017

2.
2
LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ,
giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian
từ khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất nhiều sự
quan tâm, giúp đỡ của quý thầy cô, gia đình và bạn bè. Với lòng biết ơn sâu sắc nhất, em
xin gửi đến quý thầy cô ở viện CDIT đã cùng với tri thức và tâm huyết của mình để truyền
đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường. Và đặc
biệt, trong học kỳ này, khoa đã tổ chức cho chúng em được tiếp cận với môn học mà
theo em là rất hữu ích đối với sinh viên ngành khoa An toàn thông tin cũng như tất cả
các sinh viên thuộc các chuyên ngành khoa khác. Em xin chân thành cảm ơn thầy Hoàng
Mạnh Thắng đã tận tâm hướng dẫn chúng em qua từng buổi học trên lớp cũng như
những buổi nói chuyện, thảo luận về lĩnh vực sáng tạo trong nghiên cứu khoa học. Nếu
không có những lời hướng dẫn, dạy bảo của thầy thì em nghĩ bài thu hoạch này của em
rất khó có thể hoàn thiện được. Một lần nữa, em xin chân thành cảm ơn thầy. Bài thu
hoạch được thực hiện trong khoảng thời gian gần 2 tuần. Bước đầu đi vào thực tế, tìm
hiểu về lĩnh vực sáng tạo trong nghiên cứu khoa học, kiến thức của em còn hạn chế và
còn nhiều bỡ ngỡ. Do vậy, không tránh khỏi những thiếu sót là điều chắc chắn, em rất
mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và các bạn học cùng
lớp để kiến thức của em trong lĩnh vực này được hoàn thiện hơn.

3.
3
Mục lục
Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP............................................................. 4
I. Chức năng:....................................................................................................................4
II. Tổ chức: ........................................................................................................................4
III. Các lĩnh vực hoạt động: ............................................................................................4
Phần B: NỘI DUNG THỰC TẬP............................................................................. 6
I. Phần giới thiệu chung: .................................................................................................6
Tên chủ đề thực tập: Tìm hiểu cơ bản về cơ chế phân tích mã độc Win 32...................6
II. Các hoạt động thực tập:...............................................................................................6
Chương I: Nền tảng lý thuyết............................................................................. 7
Phần 1: Phân tích tĩnh......................................................................................................7
I, Xác định Malware:..................................................................................... 7
II, Phân tích các chuỗi nhúng trong Malware: .............................................. 8
III, Phân tích PE headers: .............................................................................. 9
Phần 2: Phân tích động. .................................................................................................12
A, Phát hiện thay đổi hành vi khi thực thi Malware: .................................. 12
B, Phát hiện hành vi thực thi của Malware ................................................. 13
Chương 2: Thực hiện Lab ................................................................................ 14
Lab 1: Phân tích tĩnh......................................................................................................14
Lab2: Phân tích động .....................................................................................................28

4.
4
Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP
I. Chức năng:
Viện công nghệ Thông tin và Truyền thông CDIT, trước đây là Trung tâm Công nghệ thông tin
CDIT, được Tổng giám đốc Tổng Công ty Bưu chính Viễn thông Việt Nam (VNPT) ký quyết định
thành lập số 636/QĐ-TCCB-LĐ ngày 22 tháng 3 năm 1999, trên cơ sở sắp xếp lại hai đơn vị thành
viên của các đơn vị trực thuộc Học viện Công nghệ Bưu chính Viễn thông:
 Trung tâm Nghiên cứu Phát triển Phần mềm thuộc Viện KHKT Bưu điện
 Trung tâm Đào tạo Phát triển Phần mềm thuộc Trung tâm Đào tạo BCVT1 (cũ)
Từ 01/01/2012, để phù hợp với xu thế phát triển mới của VNPT và Học viện CNBCVT, Trung tâm
Công nghệ Thông tin được đổi tên thành Viện công nghệ Thông tin và Truyền thông CDIT (Quyết
định số 1973/QĐ-VNPT-TCCB ký ngày 07 tháng 11 năm 2011 của Tổng giám đốc Tập đoàn Bưu
chính Viễn thông Việt Nam).
Từ 01/7/2014, thực hiện các quyết định: 888/QĐ-TTg ngày 10/06/2014 của Thủ tướng Chính phủ
về việc “Phê duyệt Đề án tái cơ cấu Tập đoàn Bưu chính Viễn thông Việt Nam VNPT giai đoạn
2014 – 2015” và 878/QĐ-BTTTT ngày 27/06/2014 của Bộ trưởng Bộ Thông tin và Truyền thông về
việc “Chuyển Học viện Công nghệ Bưu chính Viễn thông từ Tập đoàn Bưu chính Viễn thông Việt
Nam về trực thuộc Bộ Thông tin và Truyền thông quản lý”, cùng với các đơn vị trực thuộc Học
viện, CDIT được chuyển về thuộc Bộ Thông tin và Truyền thông.
II. Tổ chức:
 Ban Lãnh đạo Viện
 Phòng Tổng hợp
 Phòng Hợp tác và Chuyển giao công nghệ
 Phòng Nghiên cứu phát triển Hạ tầng và An toàn thông tin
 Phòng Nghiên cứu phát triển Ứng dụng Đa phương tiện
 Phòng Nghiên cứu phát triển Dịch vụ
III.Các lĩnh vực hoạt động:
Giải thưởng Sáng tạo Khoa học Kỹ thuật Việt Nam (VIFOTEC)

5.
5
1. Năm 2000, Giải Ba – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Máy chủ Dịch vụ Đa
phương tiện MUCOS” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học
Kỹ thuật Việt Nam;
2. Năm 2000, Giải Khuyến Khích – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Cung cấp
dịch vụ Thư thoại Thư thông tin Bưu điện” của Bộ Khoa học Công nghệ – Môi trường và Liên
hiệp các Hội Khoa học Kỹ thuật Việt Nam;
3. Năm 2000, Giải Nhì – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Tính cước và Chăm
sóc khách hàng BCSS” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học
Kỹ thuật Việt Nam;
4. Năm 2002, Giải Nhì – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Nhắn tin ngắn qua
mạng thông tin di động SMSC” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội
Khoa học Kỹ thuật Việt Nam;
5. Năm 2002, Giải Ba – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Thông tin Giáo Dục”
của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam.
6. Năm 2007, Giải Khuyến khích - Giải thưởng Sáng tạo KHKT VIFOTEC dành cho lĩnh vực Công
nghệ thông tin choPhần mềm phục vụ “Quản lý, điều hành và doanh thác các dịch vụ chuyển
tiền dựa trên qui định nghiệp vụ mới”.
Các sản phẩm được hợp chuẩn quốc gia
1. Năm 1999, Hệ thống Máy chủ thông tin đa phương tiện MUCOS-1.
2. Năm 2000, Phần mềm tính cước và in hóa đơn cho Bưu điện cấp tỉnh, thành.
3. Năm 2001, Gói phần mềm giải pháp mạng Intranet/ISP COSA/ISP.
4. Năm 2001, Phần mềm quản lý mạng ngoại vi CABMAN/GIS.
5. Năm 2004, Hệ thống nhắn tin ngắn SMSC.
6. Năm 2004, Máy điện thoại tự động loại cố định.
7. Năm 2006, Phần mềm hệ thống chuyển mạch mềm.

6.
6
Phần B: NỘI DUNG THỰC TẬP
I. Phần giới thiệu chung:
Chỉ mục Nội dung
Đặt vấn đề Tìm hiểu về cách phân tích cơ bản về Malware trên Windows
Kết quả cần đạt
Sử dụng thành thạo được các công cụ Tools để phân tích cơ
bản được Malware trên Windows bằng hai phương pháp phân
tích động và phân tích tĩnh.
Phương pháp thực hiện Nghiên cứu, tìm hiểu, google.
Nội dung
- Phân tích tĩnh Malware.
- Phân tích động Malware.
Tên chủ đề thực tập: Tìm hiểu cơ bản về cơ chế phân tích mã độc Win 32.
II. Các hoạt động thực tập:
Hoạt động Nội dung
Đào tạo Đào tạo về an toàn bảo mật mạng doanh nghiệp
Hướng nghiệp Hướng nghiệp về các ngành nghề trong CNTT

7.
7
Chương I: Nền tảng lý thuyết
Mở đầu: Việc phân tích Malware trong thời đại các nhu cầu về an toàn thông tin ngày
nay với nhu cầu lớn là điều cần thiết. Qua hai chức năng phân tích tĩnh và phân tích động một
Malware Trojan, bài tìm hiểu giới đây giúp người đọc thực hiện, nắm rõ cơ chế thực thi phân
tích mã độc cơ bản qua việc sử dụng các công cụ phổ biến như PE Studio, ProToc.
Phần 1: Phân tích tĩnh.
Phân tích tĩnh được hiểu đơn giản là tìm hiểu thông tin, các chức năng và cách vận động của
một Malware qua các chương trình bên thứ ba mà không cần phải thực thi nó.
I, Xác định Malware:
Các tools trong Lab đều là miễn phí, và dễ sử dụng cho người mới bắt đầu.
1. File: http://gnuwin32.sourceforge.net/packages/file.htm
2. ExeinfoPE: http://exeinfo.atwebpages.com/
3. TrID: http://mark0.net/soft-trid-e.html
4. ComputeHash: http://www.subisoft.net/ComputeHash.aspx
Sử dụng hàm băm trong mã hóa để xác định xem Malware có trên cơ sở dữ liệu của các trang như
VirusTotal.
Đây là những điều ta cần rút ra và đặt câu hỏi trong các phiên phân tích Malware tĩnh:
- Đây là loại File gì?
- Đã có bất kì thông tin gì về nó chưa?
- Các chuỗi nhúng trong File cho ta biết những gì?
- Có gì khác thường ở PE Headers của file không?

8.
8
- Malware đã được đóng gói chưa? Và nếu có, thì nó sử dụng cơ chế đóng gói nào.
Xác định loại tệp thực thi:
- Xác định loại file mà ta đang phân tích.
- Những kẻ tấn công có thể ngụy trang loại file này. (Như là cơ chế Double Extension)
- Xác định được cơ chế đóng gói cho Malware.
Tổng kết: Việc nhận biết file Malware giúp ta xác định được rõ những cái cần phân tích. Ngoài ra,
việc sử dụng hàm băm mã hóa cũng giúp chúng ta xác định được các phân tích khác đã tồn tại
trên mạng.
II, Phân tích các chuỗi nhúng trong Malware:
Tools sử dụng:
1. String: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
2. BinText: https://www.mcafee.com/us/downloads/free-tools/bintext.aspx
3. XorSearch: https://blog.didierstevens.com/programs/xorsearch/
C:UserNameDesktop > String –o budget –malware.exe > strings.txt
Trong phần này, ta sử dụng phương pháp phân tích chuỗi nhúng, hoặc các chuỗi ẩn
trong Malware để có thể xác định được những thông tin hữu ích có thể cho việc phân tích.
Phân tích chuỗi nhúng là việc tách và quan sát các chuỗi nhúng trong file có thể đọc
được như URL, filename…
Dưới đây ta có ví dụ về chuỗi nhúng:
Việc phân tích chuỗi nhúng trong một tệp có thể giúp chúng ta biết được những thông tin quan
trọng như tên, địa chỉ IP, tên tác giả phần mềm.

9.
9
Có hai loại chuỗi chúng ta sẽ sử dụng khi phân tích: ASCII và Unicode, trong đó tính chất của
chúng được minh họa dưới đây:
Việc phân tích các chuỗi nhúng sẽ có rất nhiều chuỗi không có giá trị, việc chắt lọc
chuỗi giá trị là kĩ năng cần thiết. Đôi khi các Malware đã được đóng gói để đánh lừa việc
phân tích, việc này đặt thêm vấn đề phân tích các chuỗi ẩn được nhúng trong Malware.
Các chuỗi ẩn trong Malware có thể được giấu nhờ các thủ thuật sau:
- Packers (chương trình đóng gói) có thể đặt các giá trị ngẫu nhiên hoặc
trông có vẻ hợp lí để đánh lừa người dùng.
- Mã hóa chuỗi để người dùng không thể đọc được bằng hai phương
pháp: Base 64 và XOR
III, Phân tích PE headers:
Tools sử dụng:

10.
10
1. CFF Explore: http://www.ntcore.com/exsuite.php
2. PE Studio: https://www.winitor.com/
Windows PE headers cho phép cung cấp những thông tin cần thiết trong Hệ điều Hành
để chạy một chương trình. Vì Headers có thể tiết lộ các thông tin ở mức độ thấp, nên ta có thể
sử dụng nó để phân tích Malware:
- Trích xuất những thông tin quí giá từ PE Header
- Xác định chức năng Malware.
- Có thể xác định nguồn gốc Malware.
PE Header được sử dụng bởi Windows vì hai lí do:
- Nó chứa tất cả những thông tin cần thiết cho HĐH để thực thi chương trình như là những
DLL được nạp, đây là chương trình sử dụng GUI hay Console…
- Chỉ dẫn cho HĐH những thông tin được nạp vào bộ nhớ.
Ta có thể quan sát sơ đồ chức năng của PE Headers trong Windows, như File-headers,
Optional-headers…
Ví dụ: nhờ có PE File Headers mà ta có thể xác định ngày tháng xuất hiện Malware

11.
11
PE Sections: là các phân vùng của dữ liệu với tên và đặc tính của nó. Rất có ích nếu cần
xác định Malware có bị đóng gói hay không.
VD: Nếu thấy các Section PE có tên như là UPX1, UPX2, UPX3 thì có thể xác định là
Malware được đóng gói bởi phần mềm nguồn mở UPX.
Khi điều tra PE Headers, ta cần phải quan sát kĩ khu vực Import Address Table bao gồm
một danh sách các DLL và API được nạp bởi Malware, từ đó cho biết được hành vi chức
năng hoạt động của Malware.
Các API phổ biến trong hành vi của Malware:

12.
12
Resource: là các dữ liệu thô như là Icon, Picture, Images, Menu đi kèm với chương trình
Malware. Những thông tin trong Resource có thể đem lại những thông tin thú vị.
Kết luận: PE Headers có thể được sử dụng để phân tích các Section, IAT từ đó xác định
các thông tin về Malware như thời điểm được tạo, chức năng hoạt động và cách nạp hàm sử
dụng trong HĐH để thực thi chương trình.
Phần 2: Phân tích động.
Phân tích động là việc thực thi chương trình Malware rồi quan sát những sự thay đổi về
hệ thống và các hành vi hoạt động, từ đó ta có thể hiểu rõ được cơ chế hoạt động của phần
mềm độc hại. Việc kết hợp phân tích động và tĩnh một phần mềm độc hại giúp ta có cái nhìn
tổng quan về Malware.
Các câu hỏi được đặt ra khi phân tích động:
- Khi được thực thi, Malware có tác động hay thay đổi file thế nào?
- Khi được thực thi, Malware tác động lên Registry trong windows thế nào?
- Khi được thực thi, Malware có kết nối mạng nào không?
- Cơ chế để Malware tự thực thi khởi động?
- Nó còn chạy chương trình nào không?
Cơ chế đánh lừa của Malware bao gồm:
- Tác động vào Registry
- Thay đổi thứ tự tìm kiếm DLL để nạp chương trình độc hại.
A, Phát hiện thay đổi hành vi khi thực thi Malware:
Tool sử dụng:
1. Regshot: https://sourceforge.net/projects/regshot/
2. FakeNet: https://github.com/fireeye/flare-fakenet-ng
Để thực hiện các bước này, ta quét một lượt các file hệ thống, sau đó chạy Malware, rồi
sau đó quét thêm một lượt nữa, để xác định được những điểm khác biệt trước và sau khi thực
thi chương trình. Các làm này có lợi thế là xác định được tính toàn vẹn của các tệp và registry

13.
13
trong Windows, tuy nhiên nó không xác định được đối tượng gây ra sự thay đổi, và lưu được
quá trình các tệp tạm thời do Malware xuất hiện.
B, Phát hiện hành vi thực thi của Malware
Tool sử dụng:
1. ProcMon: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
2. ProcDot: http://www.procdot.com/
Trong quá trình này, ta quan sát hành vi của Malware bằng hai công cụ ProcMon và ProcDot,
nhằm phát hiện ra những thay đổi Malware gây ra khi được thực thi.

14.
14
Chương 2: Thực hiện Lab
Link Malware lab: https://drive.google.com/drive/folders/0BwIb8VrPCDKCVEstYlFjSzhGWW8
Lab 1: Phân tích tĩnh
Các tool thực hiện:
1. File: http://gnuwin32.sourceforge.net/packages/file.htm
2. ExeinfoPE: http://exeinfo.atwebpages.com/
3. TrID: http://mark0.net/soft-trid-e.html
4. ComputeHash: http://www.subisoft.net/ComputeHash.aspx
5. String: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
6. BinText: https://www.mcafee.com/us/downloads/free-tools/bintext.aspx
7. XorSearch: https://blog.didierstevens.com/programs/xorsearch/
8. CFF Explore: http://www.ntcore.com/exsuite.php
9. PE Studio: https://www.winitor.com/
Chúng ta sẽ tận dụng tất cả những kiến thức vừa qua thực hiện phân tích tĩnh trên
Malware mà không cần thực thi để xác định nó sẽ làm gì, nó có thể làm gì, nó liên lạc với bên
nào. Trong phần phân tích tĩnh cơ bản, chúng ta vẫn tìm đặc tính Malware qua ba bước phân
tích tệp, phân tích chuỗi nhúng, và phân tích PE Headers của tệp.
Phân tích tệp:

15.
15
Malware trông có vẻ sử dụng double extension, có icon Excel nhưng thực ra là đuôi thực
thi .exe nhằm đánh lừa người dùng.
Xác định file, ta dùng câu lệnh file malware.exe, sau đó xác định được file này là PE32
cho Window.

16.
16
Đến lượt Trid, thì chương trình xác định được file Malware.exe chiếm phần lớn code là
loại nén file UPX. Đây là điều tốt, khi giờ đây ta có thể xác định cách giải nén và phân tích
Malware, chỉ cần sử dụng chương trình mã nguồn mở UPX.
Đến ExeInfoPE, ta cũng xác định được phiên bản UPX đóng gói Malware là 3.92
Chúng ta sử dụng câu lệnh UPX để giải nén Malware.exe, lưu ý, file nén ra sẽ đặt tên là
Malware-unpacked.exe để không bị ghi đè lên file Malware.exe gốc.

17.
17
Sau đó tiếp tục qui trình như vậy với file Malware-unpacked.exe.
Phân tích bằng Trids, ta có thể thấy mã nguồn Malware là Microsoft Visual C++

18.
18
ExeInfoPE thì cảnh báo đây là mã nguồn thực thi Delphi/C++.
Phân tích chuỗi nhúng:
Tiếp đến đây, chúng ta phân tích các chuỗi nhúng có sẵn trong Malware để xác định tính
chất, đặc tính cơ bản nhất của Malware.
Dùng Bintext đẻ phân tích chuỗi nhúng. Ta phát hiện ra nhiều điều thú vị.
Microsoft Visual C++ Runtime Library String, xác nhận rằng phần lớn của nó là C++

19.
19
Tiếp đến, chúng ta phát hiện ra đoạn mã HTML JavaScript, có dòng chữ “Windows
Security Center…..”, đặt ra nghi vấn rằng Malware này là Fake Anti Virus.
Kéo xuống một chút, ta phát hiện URL với địa chỉ IP 69.50.175.81 và có host
Download.Bravesentry.com, điều này đặt ra nghi vấn Malware sẽ kết nối với Host này để tải dữ
liệu độc hại về máy. Chúng ta sẽ thực hiện phân tích động sau để xác nhận rằng liệu file Malware
có đang cố gắng kết nối đến host bravesentry.com để tải mã độc về không. %u, %p có thể là
username và password.

20.
20
Kéo xuống dưới có String C:Program FilesBraveSentryBraveSentry.exe, nghi vấn rằng
Malware khi chạy sẽ cài đặt file BraveSentry.exe vào đường dẫn kia.
Chuỗi cảnh báo của Fake Antivirus Malware được nhúng sẵn.

21.
21
Registry Key: SOFTWAREMicrosoftWindowsCurrentVersionRun: đây là Key trong
Windows cho phép chương trình được thực thi mỗi khi khởi động Hệ Điều Hành.
C:Windowsxpupdate.exe -> rất có thể Malware sẽ update vào đó. Nhưng đường dẫn
C:Windows là được bảo vệ bởi cơ chế an ninh User Account Control đặc trưng của Windows nên
khi thực hiện phân tích động file Malware.exe, ta phải thực thi bằng quyền Admin để xác nhận
xem file Virus có update vào đường dẫn Windows không.
Các trường liên quan đến chỉnh sửa Register trong Windows.
Và khi kiểm tra chuỗi nhúng trong file Malware.exe, ta không phát hiện được ra bất kì chuỗi
nhúng được mã hóa nào cả.
Phân tích PE Headers tệp:

22.
22
Đến lượt PE Header, sử dụng PE Studio, ta quan sát time-stamp từ File-header, có thể
thấy được Malware được tạo vào tháng 5/2007. Nhưng trường time-stamp có thể bị làm giả để
đánh lừa các phần mềm diệt virus cũng như là người dùng.
Trong phần Optional-header, subsystem, ta có thể thấy phần GUI Header, đặc trưng cho
cửa sổ giao diện, với khả năng là cửa sổ Pop-up sẽ hiện ra nếu chạy chương trình Malware.exe

23.
23
Trong phần Library, Malware.exe có 7 thư viện được nạp vào. Nằm trong danh sách bị
cảnh báo, chỉ có thư viện wsock32.dll là nghi vấn. Khi tra cứu trên mạng, wsock32.dll là thư viện
C++ được nạp vào với mục đích là tạo ra kết nối mạng, giúp Malware có khả năng kết nối với
host chủ.

24.
24
Trong phần Imports, tra cứu các API của Malware.exe, ta có thể phát hiện ra khả năng
thực hiện của Malware, bao gồm WriteFile, DeleteFile.
Hàm Sleep (giúp cho phần mềm độc hại chưa thực thi luôn ngay khi chạy để tránh bị phát
hiện bởi người sử dụng, việc này cũng tạo lợi thế cho Malware khi ta phân tích động và không thể
phát hiện ra có sự thay đổi nào lên hệ thống)
WinExec: thực thi một chương trình khác. Rất có thể Malware sẽ thực thi chương trình
được tải về từ host chủ BraveSentry của nó. RegDeleteKeyA, RegSetValueExA,
RegDeleteValueA: đây là ba hàm chỉnh sửa các trường Register trong Windows. Bằng cách nạp

25.
25
vào các thư viện này, thì Malware sẽ tác động chỉnh sửa Register Key trong Windows, giúp nó có
khả năng khởi động cùng hệ điều hành.
Recourses: Trong trường này, file Malware.exe có type là icon – giả file Excel như ta đã
thấy.
Và có ngôn ngữ Russia, đặt ra vấn đề có thể file mã độc này được tạo ra từ Nga.

26.
26
PE Studio có sẵn chế độ Virus Total tích hợp trong chương trình. Sử dụng Virus Total
phân tích, có thể thấy phần lớn các Engine AV đều phát hiện và định dạng con Malware.exe
là kiểu Trojan, FakeAV lừa đảo.

27.
27
Tổng kết:
Sau khi phân tích tĩnh Malware ví dụ, ta có thể thấy được những đặc tính của mã độc:
Bước thực hiện Tổng kết đặc tính Malware
Phân tích file
- Phát hiện Malware được đóng gói nhờ UPX packed,
từ đó ta có thể sử dụng phần mềm UPX để giải nén
Malware để phân tích sâu hơn.
- Phát hiện Malware có nền tảng Visual C++ Win 32
Phân tích chuỗi
nhúng
- Tên miền download.bravestrentry.com
- Phát hiện địa chỉ IP mà Malware kết nối tới
69.50.175.181
- Phát hiện file lạ BraveStrentry.exe có thể được ghi
- Phát hiện đường dẫn Registry
SOFTWAREMicrosoftWindowsCurrentVersion
Run: chứng tỏ Malware can thiệp vào đây để có thể
Boot vào OS.
- Phát hiện chuỗi cảnh báo “Your computer is in
Dangerous”, chứng tỏ Malware này giả dạng
FakeAntivirus
Phân tích PE
Headers
- Phát hiện được thông tin May 7, 2007 – có thể là
ngày viết Malware.
- Thay đặc tính của WriteFile.
- Có Winexe, và wsock32.dll chứng tỏ Malware có API
kết nối mạng ra bên ngoài.

28.
28
Lab2: Phân tích động
1. Tools thực hiện: Regshot: https://sourceforge.net/projects/regshot/
2. FakeNet: https://github.com/fireeye/flare-fakenet-ng
3. ProcMon: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
4. ProcDot: http://www.procdot.com/
Ta sử dụng RegShot để “chụp” lại các file hệ thống trong Windows. Chụp một lần trước khi thực
thi Malware.exe, và chụp lần thứ hai khi Malware đã chạy xong, sau đó so sánh sự thay đổi trước
và sau của Malware tác động lên hệ thống.
Thực thi Malware, ta dùng quyền Admin để theo dõi xem hành vi Malware tác động lên file
Windows.

29.
29
Sử dụng FakeNet để tạo môi trường mạng ảo khiến Malware tưởng rằng máy ảo đang có kết
nối. Sau khi thực thi một lúc, FakeNet đã phát hiện ra Malware đang kết nối với máy chủ
download.bravesentry.com đúng như dự đoán ban đầu khi chúng ta phân tích chuỗi nhúng ở Lab
đầu tiên.

30.
30
RegShot sau khi quét xong lần thứ hai, sẽ xuất ra một file text so sánh sự thay đổi trước và
sau khi thực thi Malware.exe. Ta có thể thấy hai tệp đã được thêm vào hệ điều hành, đúng như dự
đoán trước đó trong khi phân tích tĩnh.
Có thể thấy được Malware cập nhập file xpupdate.exe vào đường dẫn này.
Sử dụng Procmon, ta phát hiện ra Malware.exe đã Copy bản gốc của nó từ ngoài Desktop rồi
xóa bản gốc. Sau đó thay tên thành xpupdate.exe để tại đường dẫn Windows nhằm tác động lên hệ
thống.
Sau khi phân tích động Malware ví dụ, ta rút ra kết luận sau:
Bước thực hiện Tổng kết đặc tính Malware
Quan sát hành vi
- Thay đổi file hệ thống
C:Windowsxpupdate.exe
- Install.dat
- Xuất hiện giá trị Registry HKCU.

31.
31
- Malware cố gắng kết nối và download nội dung
lạ từ download.bravesentry.com
Tổng kết: Sau khi kết hợp hai phương pháp phân tích tĩnh và phân tích động Malware
với một loạt các công cụ khác nhau, ta có thể đưa ra kết luận về các hành vi đặc trưng nhất
của một mã độc như nguồn gốc, cách thức hoạt động, nguy cơ nó có thể gây ra. Trên đây là
những đặc trưng cơ bản nhất về phân tích mã độc, để có thể đi sâu và kết luận lâu dài hơn,
những kĩ năng cao cấp hơn về phân tích mã độc như dịch ngược, tự động hóa cần được áp
dụng. Các kĩ năng cao cấp trong phân tích mã độc này có thể được nghiên cứu cho các đồ án
lớn sau này.