Nghiên cứu kỹ thuật nhận dạng và phân tích mã độc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.66 MB, 24 trang )

Trang 1<div class="page_container" data-page="1">

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIÊN THƠNG

</div>Trang 2<div class="page_container" data-page="2">

Luận văn được hồn thành tại:

HỌC VIEN CƠNG NGHỆ BƯU CHÍNH VIÊN THONG

Người hướng dẫn khoa học: PGS.TS Lê Hữu Lập

Phản biện 1: TS. Hoàng Xuân Dậu

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện

Công nghệ Bưu chính Viễn thơng

Vào lúc: 13 giờ 00 ngày 27 tháng 02 năm 2016

Có thê tìm hiệu luận văn tại:

- Thư viện của Học viện Cơng nghệ Bưu chính Viễn thơng

</div>Trang 3<div class="page_container" data-page="3">

MỞ DAU

Ngày nay, công nghệ thông tin đóng vai trị quan trọng trong sự phát triển của xã hội. Công nghệ thông tin đã trở thành nhân tố quan trọng, là một phần không thể thiếu của mỗi tổ chức, doanh nghiệp. Tuy nhiên, sự phát triển “thần tốc” của công nghệ thông tin đang trở thành môi trường cho những mối đe dọa mới mà chúng ta phải tìm cách để vượt qua. Các cá nhân, tổ chức luôn phải đối mặt với nhiều nguy cơ bị tấn công lấy cắp thông tin hoặc phá hoại hệ thống với mức độ ngày càng gia tăng với quy mô lớn nhỏ khác nhau gây ra hậu quả và thiệt hại vô cùng lớn về kinh tế, uy tín khơng chỉ riêng với một tổ chức nào đó mà đã ảnh hưởng đến cả quốc gia, thế giới. Trong số các tác nhân phá hoại hệ thống thông tin và mạng thì tấn cơng bằng mã độc (Malware hay Maliciuos code) là một trong các dạng gây nhiều thiệt hại nhất do khả năng lan truyền nhanh chóng.

Theo Báo cáo của hãng bảo mat Kaspersky và Symantec: Viét Nam đứng thứ 3 sau

Nga và An Độ về số người dùng di động bị mã độc tan công nhiều nhất thé giới. Nam 2014 có 1,4 triệu vụ tấn công người dùng bằng mã độc trên Android, tăng gấp 4 lần so với năm 2013. Việt Nam cũng đứng thứ 6 trên thế giới về số lượng địa chỉ IP trong nước được dùng tong các mang máy tính ma tấn công nước khác. Về việc phát tán tin nhắn rác, Việt Nam đứng thứ 7 toàn thế giới. Nguy cơ mất an tồn thơng tin ở mức báo động khi có gần 50% người dùng có nguy cơ nhiễm mã độc khi sử dung Internet trên máy tinh, xếp hang 4 trên

tồn thé giới. Việt Nam cịn đứng dau thé giới về nguy cơ bị nhiễm mã độc, phần mềm độc hại cục bộ (qua USB, thẻ nhớ...) với gần 70% người dùng máy tính có nguy cơ cao bị lây nhiễm. Ông Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam

(VNCERT) cho biết: guy 1⁄2015, phát hiện hơn 1,2 triệu (IP) mã độc trong các máy tính ở

VN. [10]

Trong 9 tháng đầu năm 2015, VNCERT đã phát hiện hơn 3.296.200 địa chỉ IP bị nhiễm mã độc và bị điều khiển bởi các máy chủ bên ngoài lãnh thổ, 18.085 website bị nhiễm mã độc và lây lan mã độc đến các máy tính trong mạng, trong đó có 88 website/cơng thông tin điện tử của các cơ quan nhà nước, 5.368 website bị tắn công và cài mã lừa đảo phishing, 7.421 tan công thay đổi giao diện (deface), trong đó có 164 website/cơng thơng tin điện tử của các cơ quan nhà nước. Theo báo cáo của các hãng bảo mật, nguy co mat an tồn thơng tin ở Việt Nam là rất cao với gần 50% người dùng có nguy cơ nhiễm mã độc khi sử

dụng Internet trên máy tính, xếp hạng Š trên tồn thế giới. [7][8]

</div>Trang 4<div class="page_container" data-page="4">

Van dé phân tích, phịng chống mã độc đã được rất nhiều công ty bảo mật trên thé giới tiến hành đầu tư nghiên cứu; từ các hãng lớn như Internet MeAfee, Kaspersky, Norton ... cho tới các nhóm phát triển phần mềm đơn lẻ. Một số ứng dụng điền hình có thé kể đến

như: McAfee Antivirus, Kaspersky Antivirus, Norton Antivirus, Microsoft SecurityEssentials, AVG Antivirus, Bitdefender Antivirus, Avast Antivirus, Avira Antivirus,...duoc

sử dung trên toàn thé giới. Tại Việt Nam, một số công ty như Công ty cô phan Bkav, Cơng ty cơ phần An ninh an tồn thông tin CMC, Công ty TNHH Công nghệ phần mềm D2.... đã và đang nghiên cứu mã độc với các ứng dụng phần mềm diét mã độc như: Bkav Antivirus,

CMC Antivirus, D32 Antivirus,... được sử dụng rộng rãi cho cá nhân hay các cơ quan tô chức. Tuy nhiên, sự phát triển của mã độc luôn đi trước các chương tình diét mã độc

một bước nên việc nghiên cứu kỹ thuật nhận dạng, phân tích mã độc càng trở nên quan

trọng và cấp thiết để hạn chế được tối đa những thiệt hại do phần mềm mã độc gây ra, từ đó xây dựng thử nghiệm một chương trình phát hiện và diệt mã độc để đảm bảo an ninh an tồn máy tính. Đây cũng là mục đích của tôi lựa chọn đề tài luận văn: “Nghiên cứu kỹ thuật

nhận dạng và phân tích mã độc”.

Luận văn bao gồm ba chương chính với nội dung như sau:

Chương 1: Tổng quan về mã độc: Tìm hiểu khái niệm mã độc, mục tiêu của mã độc, ảnh hưởng, tác hại của mã độc, lịch sử phát triển mã độc, các dạng mã độc và biện pháp phòng chống.

Chương 2: Các kỹ thuật nhận dạng và phân tích mã độc: Tìm hiểu các kỹ thuật nhận dạng và phân tích mã độc sau đó đưa ra các so sánh ưu nhược điểm các phương pháp phân

tích mã độc, xây dựng mơi trường phân tích mã độc.

Chương 3: Xây dựng chương trình nhận dạng mã độc và thử nghiệm: Ứng dụng nhận dạng chính xác mẫu dé xây dựng chương trình phát hiện và diệt mã độc trên máy tính.

Trong q trình thực hiện dé tài của luận văn do thời gian và trình độ có hạn nên khơng tránh khỏi những hạn chế thiếu sót. Kính mong các Thay (cơ) và đồng nghiệp trao đổi và góp ý.

Tran trọng cảm on!

</div>Trang 5<div class="page_container" data-page="5">

CHUONG 1: TONG QUAN VE MÃ ĐỘC

1.1 Khai niệm mã độc

Theo quan điểm của Viện tiêu chuẩn — công nghệ quốc gia Hoa Kỳ (NIST- National

Institute of Standart and Technology) mã độc (Malware hay Maliciuos code) được định

nghĩa là một chương trình được chèn một cach bi mật vào hệ thống với mục đích làm tơn

hại đến tính bí mật, tính tồn vẹn và tính sẵn sảng của hệ thống. [4. tr15]

Virus máy tính (gọi tắt là virus) là những chương trình hay đoạn mã được thiết kế dé tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, 6 đĩa, máy tinh...).

Từ các định nghĩa trên, virus máy tính chỉ là một dạng của mã độc. Mã độc bao hàm

rất nhiều thể loại mà ở Việt Nam vẫn quen gọi chung là virus máy tính như: worm, trojan, spy-ware, ransomware,... thậm chí là virus hoặc các bộ cơng cu dé tấn công hệ thong ma

các hacker thường sử dung như: backdoor, rootkit, keylogger.

1.2 Mục tiêu của mã độc

Mục tiêu của mã độc là đánh cắp các thông tin nhạy cảm như tài khoản và mật khẩu, phá hủy hay làm hư hỏng hệ thống hoặc phục vụ cho những mục đích kinh tế, thậm chí là

các thơng tin về qn sự quốc phịng nhằm mang lại lợi ích cho tin tặc.

Các cuộc tấn cơng hiện nay ngày càng có mục tiêu và đối tượng rõ ràng hơn. Máy tính có chứa thơng tin quan trọng chính là đối tượng của các dot tan cơng có chủ đích. Tan cơng của mã độc quy mô ngày càng lớn chủ yếu nhắm vào chính phủ, các tơ chức tài chính, sau đó là các công ty, dịch vụ về công nghệ thông tin.

1.3 Lịch sử phát triển và dự đoán xu hướng sự phát triển mã độc

Có nhiều quan điểm khác nhau về lịch sử phát triển của mã độc, trong luận văn này sẽ chỉ nêu van tắt những dấu mốc phát triển nồi bật nhất.

Dựa vào thực tế sự phát triển mã độc hiện nay, một số dự đoán xu hướng phát triển của mã độc trong tương lai:

- Các loại mã độc với các kỹ thuật chống lại các phần mềm phân tích được cải tiến. — Mã độc trong các thiết bị di động bùng phát do xu hướng sử dụng điện thoại di

động thông minh đã và sẽ phát triển mạnh trong tương lai.

- Mã độc được cải tiễn đảm bảo sao cho chúng có thể lây nhiễm trên diện rộng

dong thời trên nhiêu nên tảng khác nhau.

- Mã độc được sử dụng như là một công cụ quan trọng trong chiến tranh mạng

giữa các tô chức hay các quôc gia.

</div>Trang 6<div class="page_container" data-page="6">

1.4.2.1 Network Service Worm

1.4.2.2 Mass Mailing Worm

1.5.1.1. Qua thiết bị lưu trữ di động

Cách lây nhiễm cô điển phổ biến nhất của mã độc trước đây là qua các thiết bị lưu trữ di động, dù là thời sử dung đĩa mềm ngày xưa hay thẻ nhớ, USB ngày nay. Hiện nay, các 6 USB, các đĩa cứng di động hoặc thẻ nhớ trong các thiết bị di động thông minh, hay thiết bị ghi âm, thiết bị giải trí kỹ thuật số cũng là một vật trung gian hiệu quả cho việc lan truyền

mã độc.

</div>Trang 7<div class="page_container" data-page="7">

1.5.1.2 Qua mạng Internet

a. Lây nhiễm qua các file tài liệu, các phần mềm:

Bằng cách tải file tài liệu hay các phần mềm trên internet có chứa sẵn mã độc hay các phần mềm chính thống bị sửa đổi dé thêm mã độc vào được phat tán tràn lan trên mạng Internet. Các phần mềm bẻ khóa (cịn gọi phần mềm Crack) có tỉ lệ chứa mã độc trong đó rất cao. Nhiều khi vì chủ quan hay vì muốn dùng phần mềm mà không phải trả tiền, người dùng sẵn sang bat chấp mọi nguy cơ bị lây nhiễm mã độc dé dùng những phần mềm này.

b. Lây nhiễm qua các trang web

Khi truy cập các trang web, hệ thong có thé bi nhiễm mã độc bất kỳ lúc nào, nhất là khi truy cập vào các trang không đáng tin cậy. Đôi khi chúng ta chỉ mở xem trang web nhưng có thé các thành phan của trình duyệt được phát triển bởi hãng thứ 3 (plugin) an chứa rất nhiều nguy cơ mất an tồn, chính lỗ hỏng đó là cơ hội dé mã độc lợi dụng lây nhiễm vào hệ thống.

c. Lây nhiễm qua thư điện tử

Thư điện tử (email) được sử dụng ngày càng rộng rãi thì đây là một nguồn lây nhiễm rất hiệu quả. Khi đã lây nhiễm vào máy nạn nhân, mã độc có thé tu tim ra danh

sách các dia chỉ thu điện tử trong máy tính va nó tự gửi di hang loạt cho những dia chỉ

thư tìm thấy.

d. Lây nhiễm qua các dịch vụ chat

Chat là dịch vụ cho phép hai người trở lên nói chuyện trực tuyến với nhau qua một

mạng máy tính. Tương tự như lây nhiễm qua thư điện tử, mã độc lây nhiễm qua chat cũng

có những phương thức tương tự như gửi file hay gửi link chữa mã độc.

1.5.2 Triệu chứng khi nhiễm mã độc

Một số triệu chứng thơng thường khi nhiễm mã độc:

— Máy tính chạy chậm hơn bình thường.

— Máy tính dừng đáp ứng, hoặc thường xun bị khóa.

— Cứ sau vài phút máy tính bị treo và sau đó khởi động lại.

— Máy tính tự khởi động lại, máy tính khơng chạy như bình thường.

— Các ứng dụng trong máy tính khơng hoạt động đúng cách.

1.6 Những ảnh hưởng, tác hại của mã độc

— Ảnh hưởng tới hoạt động bình thường của hệ thống, thậm chí gây gián đoạn hệ thống.

</div>Trang 8<div class="page_container" data-page="8">

— Ảnh hưởng tới hoạt động hệ thống file như: Nhân bản mã độc, lây nhiễm vào file,

giấu trong thư mục hệ thống, thiết lập thuộc tính an, file hệ thong nhằm gây khó khăn cho

việc tìm diệt, ẩn trong hệ thống file NTFS.

— Ảnh hưởng đến Registry: Day chính là data base lưu trữ thơng tin cau hình hệ thống. — Ảnh hưởng đến tiến trình: khởi tạo tiến trình mới, tạo những khóa mới dé lưu giữ thơng tin, thay đổi giá trị của hệ thống, đọc những thuộc tính thơng tin quan trọng, thường

dùng dé thiết lập chạy khi khởi động.

— Ảnh hưởng đến hoạt động mạng.

— Gây mất mát thông tin, sai lệch thông tin.

— BỊ theo dõi các hành vi, lợi dụng dé tan công các hệ thống khác.

— Gây ra các sự khó chịu khác cho người dùng.

1.7 Biện pháp phịng chống mã độc

Cơng cụ phòng chong mã độc

Những biện pháp phòng chống mã độc cơ bản

Biện pháp phòng chong mã độc đối với người dùng

Biện pháp đối phó với loại tấn cơng sử dụng kỹ nghệ xã hội

1.8 Kết chương

Trong chương nay luận van đã nêu khái niệm mã độc, mục tiêu của mã độc, lịch sử

phát triển của mã độc và dự đoán sự phát triển của mã độc trong tương lai. Luận văn cũng đã phân loại mã độc đồng thời nêu ra cách thức lây nhiễm mã độc, triệu chứng khi nhiễm mã độc, những ảnh hưởng, tác hại của mã độc từ đó đưa ra biện pháp phịng chống mã độc.

Chương tiếp theo luận văn sẽ trình bày các kỹ thuật nhận dạng và phân tích mã độc.

</div>Trang 9<div class="page_container" data-page="9">

CHƯƠNG 2: CÁC KỸ THUẬT NHẬN DẠNG VÀ PHAN TÍCH MÃ ĐỘC

2.1 Nhận dạng tuyệt đối

Nhận dạng tuyệt đối hay nhận dạng chính xác mẫu (Signature Based Detection) là nhận dạng mã độc khi các phần mềm diệt mã độc đã có mẫu chính xác của mã độc, việc nhận dang đơn giản là việc so sánh đối tượng cần quét với mẫu trong kho mau mã độc, nếu

có mẫu trùng thì xác định đây chắc chan là mã độc. Ưu điểm:

— Độ chính xác cao, ít nhằm lẫn. — Kết quả diệt mã độc tốt hơn.

— Nhận diện chính xác mẫu cho phép phát hiện chính xác, loại bỏ các triệu chứng di

kèm với mã độc, khôi phục lại hệ thong sạch trước khi bi nhiễm mã độc trong khi đó phương pháp nhận dạng tương đối chỉ cho phép nghi ngờ 1 file có phải là mã độc hay

Nhược điểm:

— Khuyết điểm lớn nhất của nhận dạng chính xác mẫu là kỹ thuật này khơng thể đối phó được với các mã độc mới xuất hiện hoặc các biến thể của mã độc cũ do chưa có mẫu

nhận diện trong kho dữ liệu.

— Khả năng nhận diện các biến thé của mã độc theo họ không cao.

— Kích thước kho mẫu mã độc lớn, kích thước chủ yếu của một phần mềm diệt mã độc

phụ thuộc vào lượng mẫu nhận diện này.

— Phải cập nhật liên tục, địi hỏi nhiều chỉ phí cao về thời gian, tiền bạc.

2.1.1 Nhận dạng theo mã hash

Hash còn được gọi là “hàm băm” hay “bảng băm”. Hàm băm là một hàm tốn học

chun đổi một thơng điệp đầu vào có độ dài bat kỳ thành một dãy bit có độ dài cố định (tuỳ

thuộc vảo thuật toán băm). Day bit này được gọi là thông điệp rút gon (message digest) hay

giá trị băm (hash value), đại diện cho thông điệp ban đầu. Hàm băm là hàm một chiều nên không thé tái tạo lại thông điệp ban đầu từ một chuỗi băm có sẵn. Moi sự thay đồi dù là nhỏ nhất ở thông điệp đầu vào cũng cho ra kết quả là một dãy số hoàn toàn khác nhau nên đây là cách tốt nhất dé kiểm tra tính toan vẹn của một tập tin. Trong nhiều chuẩn và ứng dụng, hai hàm băm thông dụng nhất là MD5 và SHA.[13]

</div>Trang 10<div class="page_container" data-page="10">

Ban chat của một file bat kỳ là một chuỗi binary dài, nên chúng ta có thé coi chúng là một chuỗi string và tiến hành lấy mã hash của file. Do tính chất của mình, mã hash này gần như là duy nhất. [13]

Xác định giá trị Hash của mã độc là một trong những bước đầu tiên trong phân tích mã độc. Do đặc tính duy nhất kết quả trả về của Hash với cùng một đầu vào, nên giá trị này cũng có thể được coi là tiêu chí để xác định mã độc. Có 2 hướng tiếp cận về việc sử dụng giá

trị Hash trong phân tích mã độc:

— So sánh giá trị Hash của phần mềm nghi vấn với cơ sở dir liệu mã độc đã được xác định trước đó, việc nay sẽ tiết kiệm thời gian phân tích và đảm bảo được bí mật về mẫu phân tích (trong nhiều trường hợp, cá nhân hoặc tô chức bị nhiễm mã độc không muốn mã độc này được công bố rộng rãi). Tổ chức cung cấp cơ sở dữ liệu khơng lồ về Hash của các mã độc có thê ké đến như .

— Sử dụng thư viện Hash các phần mềm và thành phần đi kèm của chúng đã được

chứng thực an toàn. Đại diện cho hướng nghiên cứu nay có thư viện National Software

Reference Library (NSRL). Thư viện này được thiết kế để thu thập Hash các phần mềm từ các nguồn khác nhau do National Institute of Standards and Technology (NIST) của Hoa Kỳ

xây dựng.

Hàm băm MDS5Ham băm SHA1

Ham băm SHA256

2.1.1.1Băm toàn bộ file

Cách đơn giản nhất dé tạo dau hiệu (signature) nhận diện đặc trưng cho một mẫu mã

độc là tạo mã băm cho toàn bộ file mẫu. Các thuật toán băm thường được sử dụng trong

trường hợp này là MD5, SHA1, SHA256... có xác xuất trùng lặp đủ thấp dé có thé sử dụng làm dấu hiệu (signature) đặc trưng cho một file.

Khi quét mã độc online trên virustotal () mã băm được

xem là thông số đại diện của file. Chúng ta có thể tải toàn bộ file lên để virustotal nhận dạng hoặc chỉ cần gửi mã băm của tồn bộ file đó dé nhận dang tệp tin đó có phải mã độc

hay khơng.

Ưu điểm: Cách thực hiện đơn giản, mã nhận dạng của mã độc được cung cấp miễn phí trên mạng tại nhiều website chuyên về mã độc, bảo mật.

Nhược điểm: Chi phí tính tốn cao, thời gian băm tồn bộ file chậm, nhất là với

</div>Trang 11<div class="page_container" data-page="11">

file có kích thước lớn. Hạn chế này bộc lộ rõ khi quét mã độc cho tất cả các tệp trong toàn bộ hệ thống.

2.1.1.2 Lay mã băm theo 1 phan thông tin quan trong

Đề khắc phục nhược điểm trên người ta đã cải tiến bang cách chi tính mã bam của

một vùng nhỏ chứa thơng tin quan trọng nào đó như file thực thi (.exe, .com, .dll, .ocx,

.SYS,...). Việc lựa chon vùng thông tin nao là quan trọng phụ thuộc vào chiến lược riêng của

từng hãng diệt mã độc.

Phần thông tin quan trọng được dùng thường là:

— Phần thông tin đầu - PE header (Portable executable).

— Vùng nhớ xung quan điểm bắt đầu của chương trình (Entry Point).

2.1.2 Nhận dạng theo chuỗi

2.1.2.1 Nhận dạng theo các chuỗi đặc trưng

Phương pháp nhận dạng theo chuỗi đặc trưng là cách nhận dạng căn cứ vào giá trị

một chuỗi tại vị trí nào đó được xác định trong file, nếu chuỗi tại vị trí này trùng với chuỗi được trích xuất tại cùng vị trí đó của mẫu có chứa mã độc thì kết luận file này là chứa mã độc. Day là cách cô điển nhất và vẫn được sử dụng phổ biến trong hầu hết các phần mềm

diệt mã độc hiện nay sử dụng.

2.1.2.2 Các hình thức khác nhau định dạng 1 chuỗi đặc trưng

Chuỗi đơn giản: sử dung string đơn giản, tức là chỉ lay một đoạn chuỗi từ mẫu mã độc và thêm vào bảng mã nhận dạng cùng với tham số về offset.

Chuỗi phức hợp: dé gia tang khả năng nhận dang một số mã độc tự biến đổi cấu trúc

nhất định khi nhân bản cũng như khả năng dùng một mã nhận dạng dé nhận dang những mã độc thuộc cùng một dòng. Chuỗi phức hợp là chuỗi được tạo ra từ một số chuỗi theo một quy tắc này đó. Don giản nhất của hình thức kết hợp này có thê là nối tiếp, đảo ngược, dan xen...

2.2 Nhận dạng tương đối

2.2.1 Kỹ thuật nhận dạng mã độc theo Heuristic

2.2.1.1 Tìm chuỗi đơn

Phương pháp tìm chuỗi đơn hoạt động trên nguyên tắc quét chuỗi, nhưng việc xác

định đặc trưng này căn cứ vào các chuỗi thường được mã độc sử dụng. Hay nói các khác,

</div>Trang 12<div class="page_container" data-page="12">

nếu một chương trình sử dụng một đoạn mã mà đoạn mã nó thường được mã độc sử dụng

thì chúng ta nghi đây là mã độc.

2.2.1.2 Sử dụng các string với các toán tử logic

Với nguyên tắc nhận dạng chuỗi đơn trên khá mập mờ, rất nhiều phần mềm bị quy kết là mã độc, do đó khơng thể chỉ nhận ra một đoạn code gửi mail mà quy kết mã độc được. Để nâng cao độ chính xác trong nhận dạng, chúng ta có thể dùng các tốn tử hợp (và),

Ưu điểm: Cho phép nhận dạng những loại mã độc ngay cả khi chưa có mẫu mã

độc đó (Thậm chí mã độc đó cịn chưa xuất hiện).

Nhược điểm:

— Việc cập nhật đòi hỏi nhiều thời gian và kiến thức của người cập nhật.

— Do tính chất của cơ chế này, nên việc nhận dạng nhằm là tồn tại với một tỷ lệ nhất định, thông thường là thấp ở một mức độ chấp nhận được. Và vấn đề tỉ lệ nhận dạng sai có thê kiểm tra lại lần 2 bằng phương pháp khác như vậy vẫn đảm bảo được tốc độ phát hiện,

giảm tỉ lệ nhằm.

Việc nhận dạng theo chuỗi dù vẫn tỏ ra hiệu quả, nhưng rõ ràng chúng ta đã nhận ra

yếu điểm của kỹ thuật này là ln có những phương pháp tránh né. Đó là thay vì ước đốn tệp thực thi sẽ làm gì, tốt hơn là hãy xem nó chắc chắn sẽ làm gì. Đó là ý tưởng để xây

dựng cơ chế nhận dang theo hành vi.

2.2.2 Kỹ thuật nhận dạng theo hành vi và hành vi thời gian thực2.2.2.1 Nhận dạng theo hành vi

Nhận dạng theo hành vi là phương pháp phát hiện, nhận dạng các hành vi nghi ngờ

của một chương trình, thơng qua đó dé đánh giá nó có phải là mã độc hay không. Đây là một chức năng "thơng minh" chưa phổ cập hồn tồn trong các phần mềm diệt mã độc.

2.2.2.2 Nhận dạng theo hành vi thời gian thực

Bằng các kỹ thuật tương tác với hệ thống một cách nhất định (Ví dụ như các hình thức Hook - cơ chế mà nhờ đó một hàm có thể chặn các sự kiện như Message, Mouse Actions, Keystrokes trước khi chúng được gửi đến hàng đợi của ứng dụng). Do tính chất

của phương pháp này là cảnh báo trên thời gian thực, nên mức độ cảnh báo một tập thực

thi dang làm việc trong hệ thống có thé liên tục thay đổi phụ thuộc các hành vi tập thực thi

đó thực hiện.

Ưu điểm:

</div>