MĐ C2

phân tích tĩnh

phân tích động

quét chữ ký

so sánh mã băm

dịch ngược mã nguồn

Phân tích chuỗi (String Analysis)

Phân tích cấu trúc (Structure Analysis)

Giải mã (Disassembly/Decompilation)

Phân tích dòng dữ liệu (Data Flow Analysis)

Phân tích luồng điều khiển (Control Flow Analysis)

Xác định giao diện người dùng của chương trình

Kiểm tra chữ ký số và thông tin chứng thực

Hiểu rõ hành vi, luồng điều khiển và luồng dữ liệu bên trong chương trình

Đánh giá khả năng kết nối mạng của chương trình

Phát hiện các tệp đính kèm độc hại trong email

Địa chỉ IP mà tệp kết nối đến

Loại và định dạng tệp, từ đó xác định chương trình dùng để mở

Ngày giờ tạo tệp trên hệ thống

Độ dài và dung lượng của tệp

Cấu trúc mã nguồn được sử dụng trong tệp

4D 5A (ASCII MZ) ; 7F 45 4C 46 (ASCII \x7FELF)

50 45 00 00 (ASCII PE\0\0) ; 23 21 (ASCII #!)

4D 5A (ASCII MZ) ; 7E 45 4C 46

25 50 44 46 (ASCII %PDF) ; 7F 45 4C 46

7F 45 4C 46 ; 4D 5A

Tệp chỉ là phần mềm nén thông thường

Tệp chứa dữ liệu văn bản vô hại

Tệp có khả năng chứa mã độc hoặc hành vi tấn công

Tệp thuộc loại script tự động cập nhật

Tệp là bản vá (patch) an toàn của hệ điều hành

Tăng tốc độ thực thi của chương trình bằng cách tối ưu hóa bytecode.

Bảo đảm tính toàn vẹn dữ liệu bằng cách áp dụng hàm băm một chiều.

Che giấu hành vi và làm khó việc phát hiện/phân tích (trong đó chuỗi bị ẩn để tránh bị phát hiện bởi các công cụ trích xuất chuỗi)

Chuyển đổi mã nguồn sang dạng ngôn ngữ khác để tương thích hệ điều hành.

Giảm kích thước file bằng thuật toán nén không mất dữ liệu.

Làm cho mã chạy nhanh hơn nên khó bắt kịp hành vi của nó.

Giảm kích thước binary làm việc tải lên sandbox nhẹ hơn.

Giảm khả năng công cụ trích xuất chuỗi (strings utility) và engine chữ ký dựa trên chuỗi phát hiện IoC, từ đó giảm tỷ lệ phát hiện tĩnh

Tự động làm cho chương trình tương thích đa nền tảng.

Bảo đảm rằng các mẫu malware đều có chữ ký duy nhất dễ nhận diện.

PEiD

FLOSS

RDG Packer Detector

strace

Ghidra

Chuỗi bị mã hóa lưu trên đĩa và không bao giờ giải mã.

Chuỗi bị mã hóa và chỉ được giải mã tại runtime bởi chương trình khi thực thi.

Chuỗi được mã hóa bằng Base64 nhưng nằm tĩnh trong file.

Chuỗi dùng thuật toán băm để xác thực tính toàn vẹn.

Chuỗi chỉ tồn tại trong tài liệu hướng dẫn (documentation).