Micheal Murr công tác tại viện SANS. trong bài phỏng vấn, anh ấy sẽ chia sẻ quan điểm của mình về vai trò của phân tích code trong quá trình dịch ngược, và làm thế nào một người có thể cải thiện tốt hơn trong khía cạnh này của malware forensics.
Mức độ dịch ngược code đóng vai trò gì trong việc tìm hiểu cách malware cư xử trong môi trường lab ?
Phân tích code của một mẫu thử cho phép bạn hiểu hơn về những gì thực sự xảy ra "đằng sau hậu trường". Nếu các chiến thuật anti-analysis được sử dụng (ví dụ VMware detection ) bạn có thể tìm ra chúng qua việc phân tích code. Bạn có thể biết nhiều hơn về khả năng của mẫu thử, giống như là commands nó có thể support nếu nó cho phép remote control. Một bất lợi lớn nhất của việc phân tích code đó là nó tiêu tốn khá nhiều thời gian.
Khi tôi chat với với IR và forensics professionals làm việc trong ngành phân tích mã độc, họ thường bày tỏ quan ngại về sự thiếu hụt kiến thức lập trình nền tảng. Một nền tảng phát triển phần mềm đóng vai trò quan trọng thế nào trong phân tích mã độc ?
Tôi tin rằng tất cả kiến thức đều hữu dụng :). Nhưng trong ý nghĩ, một nền tảng phát triển phần mềm là hữu dụng, nhưng không thực sự cần thiết. Tôi tìm ra những gì giúp đỡ hầu hết mọi người là hai thứ: Một kiến thức cơ bản về kiến trúc máy tính và một kiến thức cơ bản về assembly. Một cuốn sách tôi giới thiệu là Kip Irvine's Assembly Language for x86 Processors. Cuốn sách là sách giáo khoa và bao gồm hầu hết những thứ cần thiết để bước chân vào quá trình dịch ngược code.
Các công cụ ưa thích của anh khi phân tích mã độc?
Tôi cố gắng để đưa ra những thứ đơn giản... Tôi là fan cuồng của IDA pro và Python. IDA pro là một công cụ thương mại, nhưng nếu bạn dịch ngược code như là nhu cầu thường xuyên nó là sự đầu tư đáng giá. Python thật tuyệt vời bởi vì nó tích hợp tốt với IDA pro, và có một lượng kha khá Pytho scripts dành cho dịch ngược code [(và exploit development :)]
Có nhiều công việc lặp đi lặp lại được giải quyết bằng viết code.
Việc phân tích code chịu ảnh hưởng thế nào bởi packers những gì che dấu code ?
Thông thường packers không phải là vấn đề chính. Sử dụng kết hợp giữa phân tích code, phân tích bộ nhớ và các kĩ thuật phân tích cư xử chúng ta sẽ có được những gì chúng ta cần. Có một vài packers thường gây khó khăn và tiêu tốn thời gian.
Những gợi ý của anh cho các chuyên gia an ninh để có thể có được hoặc là cải thiện các kĩ năng dịch ngược code ?
1. Practice: không có thiếu malware cho bạn phân tích.
2. Đọc những gì người khác đã làm được: Có một vài người thông minh nằm trong lĩnh vực này, hãy để mắt đến blog của họ, papers, presentations bạn có thể học được những thứ có ích.
3. kiên trì: Đừng bỏ cuộc, thỉnh thoảng nó gây ra những khó khăn (đặc biệt khi bạn là người không dư giả thì giờ) Tham khảo những người khác, hỏi họ để có được những phản hồi, những lời khuyên. khi bạn đang dịch ngược malware chìa khóa là sử dụng bất cứ cái gì bạn cần đến, giống như cả phân tích code và phân tích cứ xử, để hoàn thành công việc. :)
Không có nhận xét nào:
Đăng nhận xét