Mục lục bài viết || Contents of the article
Phân tích mã độc Lab06-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)
Mẫu mã độc của Lab06-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
Phân tích
- Lab06-01.exe có chức năng duy nhất là kiểm tra kết nối Internet trên hệ thống. Nếu hệ thống có kết nối Internet, thực hiện in ra màn hình console “Success: Internet Connection”; nếu hệ thống không có kết nối Internet, thực hiện in kết quả “Error 1.1: No Internet”
- Chức năng kiểm tra kết nối Internet của Lab06-01 có thể là một thành phần trong những mẫu mã độc phức tạp hơn
Tìm hiểu cách phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab07-01 =>> CLICK NGAY
Phát hiện
Lab06-01 có thể phát hiện bằng signature:
- 20 byte tính từ fileoffset 4108 (100Ch), là đoạn kiểm tra kết nối Internet và gọi hàm in ra màn hình
- 20 byte tính từ fileoffset 4200 (1068h), là đoạn code được làm rối, có chức năng in kết quả ra mình hình
Gỡ bỏ
Chỉ cần xóa trực tiếp file thực thi của mã độc khỏi hệ thống
Đón đọc toàn bộ chuyên đề phân tích mã độc từ chuyên gia an ninh mạng SecurityBox TẠI ĐÂY
Quý khách hàng cần tư vấn hỗ trợ về dịch vụ, giải pháp hoặc sản phẩm vui lòng liên hệ:
Website: https://securitybox.vn
Hotline: 092 711 8899
Email: info@securitybox.vn
Địa chỉ: Tầng 9, 459 Đội Cấn, quận Ba Đình, thành phố Hà Nội.
