banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Bộ công cụ cần có để phân tích virus  XML
  [Document]   Bộ công cụ cần có để phân tích virus 26/07/2010 12:38:52 (+0700) | #1 | 216335
gonzo1982
Member

[Minus]    0    [Plus]
Joined: 19/06/2009 19:33:28
Messages: 1
Offline
[Profile] [PM]
1. Các công cụ để debug:
+ OllyDbg: Dĩ nhiên rồi! Olly luôn là sự lựa chọn số một! Không phải bàn cãi
+ Borland Turbo Debugger : công cụ cơ bản để bạn debug virus trên DOS.
+ WinDbg: Rất cần thiết nếu bạn muốn viết, phân tích rootkit (hoạt động ở chế độ kernel của OS)
+ SoftICE: Là công cụ có tính năng tương tự WinDbg nhưng giao diện thân thiện hơn. Tuy nhiên hay trục trặc . Khi phải lựa chọn mình sẽ chọn WinDbg.
+ Một số Soft hỗ trợ debug VB: SmartCheck, VB Decompiler

2. Các công cụ để disassemblers:
+ IDA Pro : Chỉ có thể nói rằng: quá tuyệt vời!
Tương tự Olly, IDA có rất nhiều plugin hỗ trợ, trong sô đó nổi đình nổi đám nhất hiện nay là: Hex-Rays. Bạn có thể xem demo tại đây!
+ Win32dasm: Là công cụ disassembler tốt nhất trước khi IDA ra đời Dĩ nhiên là nó vẫn còn rất hữu dụng.
+ Windows Disassembler: Công dụng, tính năng, mọi thứ gần giống Win32dasm. Khác biệt duy nhất có lẽ là kích thước chương trình. Tuy nhiên nếu phải lựa chọn tôi sẽ chọn Win32dasm. ( dĩ nhiên không tính IDA: với tôi IDA mãi là tình yêu lớn nhất )

3. Các công cụ hỗ trợ Unpack:
+ PE Explorer: Một công cụ mạnh để xem, chỉnh sửa, fix dump ... một file PE. PE Explorer còn tích hợp thêm tính năng unpack UPX. Đây là một tính năng được ưa thích của PE Explorer đơn giản vì UPX được sử dụng rất nhiều trên thực tế.
+ PEiD: Là công cụ tốt nhất hỗ trợ bạn phát hiện xem virus đã được pack bởi công cụ (giải thuật) nào. Tuy nhiên PEID không unpack giúp bạn.
+ LordPE: Công cụ mạnh để hỗ trợ dump file.
+ ImpRec: LordPE và ImpRec là một cặp trời sinh Bạn hãy sử dụng đồng thời cả 2 công cụ này.
+ ProcDump32:

4. Các công cụ hỗ trợ hex editor:
+ Hexworkshop: Một công cụ mạnh, nhiều tính năng. You have to try it to belive it!
+ Hiew: Nổi tiếng chả kém gì Hexworkshop
+ Hex view

Trên đây chỉ là những core item cơ bản, đối với mỗi người, trong từng trường hợp chúng ta sẽ cần thêm rất nhiều những công cụ mạnh khác nữa. Để chống lại virus chúng ta không thể sử dụng tay không. Để chống được virus chúng ta phải có những công cụ thật mạnh!
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 26/07/2010 20:32:25 (+0700) | #2 | 216376
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Copy ở đâu thì chịu khó ghi rõ nguồn gốc ra cái cậu gonzo1982.
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 27/07/2010 08:16:31 (+0700) | #3 | 216410
[Avatar]
pooky
Member

[Minus]    0    [Plus]
Joined: 16/06/2010 12:21:45
Messages: 5
Offline
[Profile] [PM]
mới gửi bài đầu tiên đã leech rùi. Có tương lai.smilie)
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 27/07/2010 13:25:26 (+0700) | #4 | 216456
[Avatar]
IT_Amatuer
Member

[Minus]    0    [Plus]
Joined: 04/05/2009 11:04:32
Messages: 103
Location: The Hell
Offline
[Profile] [PM] [Email] [Yahoo!]
Nói đã rồi cũng chẳng cho được cái link down, đã thế copy thì không ghi nguồn!
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 27/07/2010 19:36:19 (+0700) | #5 | 216496
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Nói chung là nó cũng gần giống với những cái tool dùng để crack.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 27/07/2010 19:44:32 (+0700) | #6 | 216497
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]
Mình thấy liệt kê nhiều vậy ra chỉ càng làm "choáng" cho những ai muốn tìm hiểu thôi. Mình nghĩ chỉ cần chính xác 2 công cụ là đủ rồi: đó là bộ não và google smilie
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 29/07/2010 19:05:13 (+0700) | #7 | 216803
huyannet
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]
Bộ công cụ ở trên dùng để bung nén file, bung nén code, bung nén bit,...
Bung nén xong thì phân tích xem có phải virus hay là không.
Nghĩ đơn giản như vậy sẽ không phức tạp đâu.
Những Tools ở trên thiên về crack hơn là phân tích virus.

Đụng virus mini thì diệt bằng tay được, chứ đụng virus khủng thì phải dùng tools trên để crack.
Dùng bộ não và google thôi thì sẽ không chuyên nghiệp, vì không hiểu được bản chất vấn đề.
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 29/07/2010 19:16:13 (+0700) | #8 | 216805
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]

huyannet wrote:

Đụng virus mini thì diệt bằng tay được, chứ đụng virus khủng thì phải dùng tools trên để crack.
Dùng bộ não và google thôi thì sẽ không chuyên nghiệp, vì không hiểu được bản chất vấn đề.  


Mình thấy bạn phát biểu ngược rồi, ai đời dùng kiến thức và suy nghĩ, khả năng phân tích tổng hợp để giải quyết vấn đề mà lại không chuyên nghiệp bằng ngồi dùng tool smilie với lại cái câu không hiểu bản chất vấn đề nó lại càng ngược nữa, có mấy thằng xài tool mới không hiểu bản chất thì còn đúng chứ bạn suy nghĩ phân tích ra mà không hiểu bản chất được à smilie
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 29/07/2010 23:36:02 (+0700) | #9 | 216855
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cách Dùng Tool chỉ giúp hiểu được hành vi thôi. Người ta không hiểu được bản chất ở mức code "virus" sẽ hoạt động như thế nào. Nếu người đó là chuyên viên lập trình thì mọi chuyện lại khác.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 30/07/2010 14:41:32 (+0700) | #10 | 216914
huyannet
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]

H3x4 wrote:

huyannet wrote:

Đụng virus mini thì diệt bằng tay được, chứ đụng virus khủng thì phải dùng tools trên để crack.
Dùng bộ não và google thôi thì sẽ không chuyên nghiệp, vì không hiểu được bản chất vấn đề.  


Mình thấy bạn phát biểu ngược rồi, ai đời dùng kiến thức và suy nghĩ, khả năng phân tích tổng hợp để giải quyết vấn đề mà lại không chuyên nghiệp bằng ngồi dùng tool smilie với lại cái câu không hiểu bản chất vấn đề nó lại càng ngược nữa, có mấy thằng xài tool mới không hiểu bản chất thì còn đúng chứ bạn suy nghĩ phân tích ra mà không hiểu bản chất được à smilie 


Bạn hiểu sai ý mình rồi, dùng tools thì ai cũng dùng được, cái tools chuyên nghiệp chứ người dùng tools đâu có chuyên nghiệp, đúng ko nè smilie

Những tools ở trên dùng để crack chứ đâu phải để diệt virus. Trong trường hợp các chuơng trình diệt virus không thể phát hiện, nhưng bản cảm thấy nghi ngờ 1 file nào đó bị nhiễm virus thì phải del file đó hoặc crack (nếu là file quan trọng) để phân tích coi nó có bị nhiễm virus hay không từ đó đưa ra phương án giải quyết.

Như bác TMP nói, để hiểu đúng bản chất thì phải có kiến thức về virus, crack và cả lập trình nữa. smilie
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 30/07/2010 14:52:07 (+0700) | #11 | 216917
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Như bác TMP nói, để hiểu đúng bản chất thì phải có kiến thức về virus, crack và cả lập trình nữa. smilie 

Tui không nói như vậy, cái dòng trên là ý kiến riêng của bạn huyannet. Mà bạn huyannet rõ ràng không hiểu bản chất đâu, cho nên bạn ấy mới phát biểu như trên. Ý nghĩa của lập trình rộng lắm, bao gồm cả lập trình hệ thống trong đó. Người ta hiểu hệ thống thì có thể hiểu được phần mềm hoạt động. Dựa vào cơ sở hiểu biết rõ ràng, chuyên viên lập trình dùng tool theo dõi "hiệu quả" hơn rất nhiều so với những người không hiểu biết nhiều.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 30/07/2010 15:00:25 (+0700) | #12 | 216920
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

H3x4 wrote:
Mình thấy liệt kê nhiều vậy ra chỉ càng làm "choáng" cho những ai muốn tìm hiểu thôi. Mình nghĩ chỉ cần chính xác 2 công cụ là đủ rồi: đó là bộ não và google smilie 

Ừm, thích nhất câu này ---> Tư duy + Kỹ thuật.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 31/07/2010 11:02:09 (+0700) | #13 | 216990
huyannet
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]
Thanks bác TMP, bây giờ mới hiểu ra vấn đề.
[Up] [Print Copy]
  [Document]   Bộ công cụ cần có để phân tích virus 11/08/2010 23:42:39 (+0700) | #14 | 218199
[Avatar]
Repleh
Member

[Minus]    0    [Plus]
Joined: 27/03/2009 03:20:06
Messages: 15
Offline
[Profile] [PM]
Các bác đi hơi lạc đề thì phải, e xin đóng góp vài công cụ cho những ai muốn nghịch virus.
1. VMware Workstation (bản mới nhất đến thời điểm này là 7.1)
Cho phép ta tạo các máy tính ảo, có vai trò như bãi đất trống để thử boom min. Sau khi cài đặt VMware ta có thể tiến hành tạo các máy ảo và cài vào đó những hệ điều hành cùng các công cụ phân tích mong muốn. Cuối cùng là tạo bản snapshot hoặc clone lại trạng thái sạch rồi tiến hành thử virus.

2. IDA (và sách hướng dẫn sử dụng nếu bạn chưa biết dùng)
Đây là công cụ dịch ngược tính năng tương tự như ollydbg, softice,... nhưng mạnh mẽ hơn hẳn nếu không nói là mạnh nhất (theo vốn liếng ít ỏi của mìnhsmilie)

3. AVZ
Đây là bộ công cụ tìm diệt virus miễn phí AVZ từ Kaspersky. Tính năng của nó khá toàn diện và không thể thiếu khi phân tích worm.
Link down: http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip

4. PEHeader, PEID, TotalCommander, HexEditor.
Đây là những công cụ để phân tích PE header và so sánh file nhị phân, những công cụ dạng này rất nhiều, bạn có thể dùng cái nào cũng đc miễn sao thấy thoải mái là ok.

PS: các công cụ này (trừ AVZ) đều có thể tìm thấy ở http://thepiratebay.org/
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|