CHIA SẺ KIẾN THỨC KỸ THUẬT

Feb 10, 2017

Nghiên cứu xây dựng cơ sở dữ liệu mẫu mã độc


Khi nhu cầu và việc sử dụng Internet của con người ngày càng tăng thì cũng là lúc những mối đe dọa xuất hiện càng nhiều, nổi bật là đe dọa của mã độc hại. Mã độc hại xuất hiện bất kỳ ở đâu trên môi trường của các thiết bị điện tử như các đĩa mềm, usb, máy tính đến môi trường Internet trong các website, trong các tin nhắn, trong hòm thư điện tử của người dùng, trong các phần mềm miễn phí…. Khi mã độc hại đã nhiễm vào một máy tính nào đó thì nó lây lan  sang các máy tính khác là khá nhanh và thiệt hại do mã độc hại gây ra là khó có thể lường trước được.
Hiện tại để chống lại các loại mã độc hại người ta thường sử dụng các chương trình Antivirus. Tuy nhiên để có được một chương trình Antivirus một cách có hiệu quả cần có một thuật toán quét sao cho nhanh nhất và quan trọng là một cơ sở dữ liệu đầy đủ và update thường xuyên những mẫu mới. Ngoài ra cơ sở dữ liệu đó phải đảm bảo kiến trúc, định dạng và phương pháp lưu trữ một cách khoa học để cho phép các thuật toán đối sánh mẫu được thực hiện một cách hiệu quả nhất. Đồng thời nó phải có các cơ chế đáp ứng được các tiêu chuẩn để có thể trao đổi với các cơ sở dữ liệu cả các hãng khác. Việc xây dựng được cơ sở dữ liệu như vậy có thể sử dụng để phát triển các phần mềm phát hiện và ngăn chặn mã độc hiệu quả. Ngoài ra nó cũng có thể sử dụng như một công cụ để hỗ trỡ đắc lực cho những người làm công việc tác nghiệp phân tích mã độc.

Chính vì những lý do trên, nên mục đích của dồ án này là để nhằm nghiên cứu để nhằm sang tỏ các kiểu dấu hiệu để phát hiện ra các loại mã độc, các chuẩn dấu hiệu để trao đổi mã độc và cấu trúc chung của cơ sở dữ liệu mã độc của một số hãng phần mềm lớn trên thế giới như ClamAV, Kaspersky,BKAV… Đồng thời thiết kế, xây dựng một cơ sở dữ liệu mã độc và một chương trình demo để quản lý và sử dụng cơ sở dữ liệu đó.

DANH MỤC TỪ VIẾT TẮT 5
DANH MỤC HÌNH VẼ 6
LỜI NÓI ĐẦU 8
CHƯƠNG 1. PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍCH MÃ ĐỘC 10
1.1 Giới thiệu về mã độc hại 10
1.1.1 Khái niệm mã độc hại 10
1.1.2 Lịch sử mã độc hại 10
1.2 Cơ chế hoạt động của mã độc 11
1.2.1 Cơ chế hoạt động của Virus 12
1.2.2 Cơ chế hoạt động của  Worm 12
1.2.3 Cơ chế hoạt động của Trojan Horse 12
1.3 Phương pháp thu thập mã độc 12
1.3.1 Các phương pháp thu thập mẫu 12
1.3.2 Các công cụ thu thập mẫu mã độc 16
1.4 Quy trình phân tích mã độc hại 30
1.4.1 Các phương pháp phân tích mã độc 30
1.4.2 Các bước cơ bản phân tích mã độc hại 31
1.4.3 Phân tích môt mẫu mã độc cụ thể 34
CHƯƠNG 2. NGHIÊN CỨU VỀ MỘT SỐ CƠ SỞ DỮ LIỆU MÃ ĐỘC 36
2.1 Các kiểu dấu hiệu mã độc và kỹ thuật phát hiện tương ứng 36
2.1.1 String – Chuỗi 36
2.1.2 Mã băm 37
2.1.3 Khung mã độc có sẵn 38
2.1.4 Phương pháp dựa trên hành vi 38
2.1.5 Kỹ thuật lọc 39
2.1.6 Phát hiện bằng việc giải mã tĩnh 40
2.1.7 Mã giả lập 40
2.2 Nghiên cứu chuẩn trao đổi dữ liệu mã độc 41
2.3 Nghiên cứu cơ sở dữ liệu mã độc Clam AV từ đố xây dựng cơ sở dữ liệu mẫu mã độc 44
2.3.1 Clam Anti Virus 44
2.3.2 ClamAV Virus Databases 44
2.3.3 Debug thông tin từ libclamav 45
2.3.4 Định dạng chữ ký của ClamAV 51
CHƯƠNG 3. XÂY DỰNG CƠ SỞ DỮ LIỆU MÃ ĐỘC 61
3.1 Xây dựng chương trình quản lý cơ sở dữ liệu mẫu mã độc theo chuẩn 61
3.2 Xây dựng chương trình nhận dạng mã độc theo chuỗi 65
KẾT LUẬN 69
TÀI LIỆU THAM KHẢO 70

Loading...

DMCA.com Protection Status

Loading...

0 nhận xét:

Post a Comment

 
All Rights Reserved by EBOOKBKMT © 2015 - 2017