tiếp nối phần 1, nội dung của giáo trình Mã độc phần 2 gồm các chương: chương 4 - các kỹ thuật phân tích tĩnh: kỹ thuật phân tích tĩnh ứng dụng vào việc phân tích mã độc; chương 5 - các kỹ thuật phân tích động: kỹ thuật phân tích động ứng dụng vào việc phân tích mã độc. Mời các bạn tham khảo tài liệu! | Chương 4 CÁC KỸ THUẬT PHÂN TÍCH TĨNH Trong các chương trước giáo trình đã trình bày quy trình phân tích mã độc trong quy trình phân tích có mô tả các phương pháp sử dụng để phân tích mã. Chương 4 này sẽ giúp sinh viên hiểu rõ hơn phương pháp phân tích tĩnh. Trước khi phân tích thì sinh viên cần cách xây dựng môi trường hỗ trợ công việc phân tích. Xây dựng môi trường phân tích tĩnh Xây dựng môi trường phân tích mã độc là công việc quan trọng. Như đã biết mã độc luôn tiềm ẩn các hành vi nghi ngờ và rất dễ lây lan. Việc xây dựng môi trường phân tích mã phù hợp và an toàn là việc cần thiết. Để tạo ra được môi trường an toàn trong khi phân tích mã độc hại trong phương pháp phân tích tĩnh để phân tích mã độc hại người ta dùng 2 cách - Xây dựng môi trường ảo để phân tích mã độc. - Xây dựng môi trường thật để phân tích mã độc. Xây dựng môi trường ảo. Việc xây dựng môi trường ảo đảm bảo cho các loại mã độc hại không phá hoại được hệ thống máy tính thật. Các phần mềm để xây dựng môi trường ảo như Vmware workstation virtualbox . Ở đây sẽ lựa chọn xây dựng môi trường phân tích với VM workstation. Phương án xây dựng như sau - Một máy tính thật cài Windows 7 - Trên Win 7 cài đặt một máy ảo Vmware trong máy ảo cài đặt Windows XP môi trường để chạy malware và thực hiện phân tích . - Cài đặt mạng phù hợp với việc phân tích. - Cài các tool cần thiết phục vụ việc phân tích Thực hiện việc cài đặt Vmware sao cho memory 515 mb và Hard Disk 10Gb sau khi thực hiện cài đặt xong tùy thuộc vào từng loại mã độc hại để cài cấu hình mạng. 125 Hình 4-1 Chọn cấu hình mạng Sau khi cài đặt xong Vmware sẽ tạo nên 2 card mạng Vmware 1 và Vmware 8 trên máy thật và máy thật có thể sử dụng 2 card mạng này để kết nối với các máy ảo. khi lựa chon cấu hình mạng cho máy ảo ta có thể chọn một trong các chế độ sau Bridged networking Card mạng của máy ảo sẽ được gắn trực tiếp với card mạng của máy thật sử dụng switch ảo VMnet0 . Lúc này máy ảo sẽ đóng vai trò như một máy trong mạng thật có thể nhận