Kỹ thuật chống máy ảo và mô phỏng

Các máy ảo là công cụ hạ tầng quan trọng trong phân tích mã độc. Chúng cung cấp phương pháp an toàn nhưng chính xác để đánh giá hành vi và ảnh hưởng của mã thực thi trong thực tế, từ đó giúp hiểu rõ hơn về các đoạn mã bị làm khó hiểu hoặc không thông thường trong tệp nhị phân. Nhiều máy ảo, chẳng hạn như VMware, Qemu, VirtualBox và các SandBox, có sẵn và được các nhà nghiên cứu và phân tích mã độc áp dụng rộng rãi. Hơn nữa, nhiều phần mềm quét virus có triển khai riêng của họ về các trình giả lập để đạt được kết quả tương tự bằng cách chạy mã độc trong môi trường kiểm soát nhằm giải mã mã bị làm khó hiểu. Các tác giả viết virus luôn phản ứng với những công nghệ này. Hầu hết mã độc hiện nay sử dụng kỹ thuật chống gỡ lỗi để đối phó với việc phân tích và né tránh phát hiện của phần mềm antivirus. Gần đây, các mã độc như Zeus/SpyEye và các họ liên quan như Smoaler, Dromedan, Kazy, Yakes, cùng với các mã độc khác như Spyrat hay W32.Pilleuz, đã triển khai các kỹ thuật để làm gián đoạn việc sử dụng máy ảo và trình giả lập. Các họ mã độc này có khả năng thực hiện những biến thể khác nhau của các kỹ thuật gián đoạn trong các mẫu đơn lẻ hoặc trong các nhóm mã độc có liên quan trước khi phát tán. Bài báo này sẽ trình bày một nghiên cứu về các kỹ thuật chống mô phỏng và chống máy ảo.