MỘT SỐ KỸ THUẬT TẠO CƠ SỞ DỮ LIỆU MẪU MÃ ĐỘC

Tóm tắt

Hiện nay các cuộc tấn công bằng mã độc đang phát triển với một tốc độ rất nhanh, số lượng mã độc mới xuất hiện ngày càng nhiều, đặc biệt có nhiều loại mã độc nguy hiểm mà các phần mềm diệt virus còn chưa phát hiện được. Bên cạnh đó, những thiệt hại do mã độc gây ra ngày càng nghiêm trọng hơn. Do vậy, việc xây dựng một hệ thống có khả năng tự động nhận diện và phát hiện mã độc là hết sức cần thiết. Bài báo này trình bày ba kỹ thuật chính dựa trên dấu hiệu đó là kỹ thuật dựa trên mã băm, dựa trên mã byte và dựa trên kinh nghiệm để tạo cơ sở dữ liệu mẫu mã độc phục vụ cho quá trình quét mã độc. Các kỹ thuật này đã được thử nghiệm trên các tệp tin đã bị nhiễm mã độc trên hệ điều hành Microsoft Windows để tạo ra một bộ cơ sở dữ liệu mẫu mã độc mới. Kết quả cho thấy khi sử dụng ba công cụ quét mã độc ClamAV, Yara và Ssdeep kết hợp với cơ sở dữ liệu mẫu này, có khoảng 90% mẫu mã độc đã được phát hiện.