Lab7 Nguyễn Thành Đạt

1.Chọn 2 file, 1 PE và 1 không phải PE và chụp hình chứng minh, đối với PE file phải chỉ ra được là 32 hay 64
bit.

quét toàn bộ thư mục malware để tìm ra 1 file PE và non-PE.

ExploitKit_keyword /home/remnux/remnux/yara/theZoo-master//malware/Binaries/Ransomware.WannaCry_Plus/
Ransomware.WannaCry_Plus/Win32.Wannacry.exe

remnux/yara/theZoo-master/malware/Binaries/OSX.Wirenet/OSX.Wirenet/OSX_Wirenet/
D048F7AE2D244A264E58AF67B1A20DB0
 PE:
00000000: 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 MZ..............

00000010: b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@.......

Chuỗi "4d 5a" là mã hex đầu tiên trong tệp tin được mô tả bởi đường dẫn
~/remnux/yara/theZoo-master/malware/Binaries/Ransomware.WannaCry_Plus/Ransomware.WannaCry_Plus/
Win32.Wannacry.exe. Đây là chữ ký của định dạng tệp tin PE (Portable Executable), được sử dụng trên hệ điều hành
Windows.

non-PE:
00000000: ce fa ed fe 07 00 00 00 03 00 00 00 02 00 00 00 ................

00000010: 10 00 00 00 d8 07 00 00 85 00 00 01 01 00 00 00 ................

Chuỗi "ce fa ed fe" là mã hex đầu tiên trong tệp tin được mô tả bởi đường dẫn
~/remnux/yara/theZoo-master/malware/Binaries/OSX.Wirenet/OSX.Wirenet/OSX_Wirenet/
D048F7AE2D244A264E58AF67B1A20DB0. Đây là mã chữ ký của định dạng tệp tin Mach-O, được sử dụng trên hệ điều hành
macOS và các phiên bản trước đó của hệ điều hành của Apple.

Để xác định xem tệp tại đường dẫn đã cho là tệp PE 32 bit hay 64 bit bằng lệnh tệp, bạn có thể sử dụng lệnh sau:

2. Tìm mã hash của file: MD5, SHA1, SHA-256

MD5:

SHA1:
 SHA256:

3. Dùng API của VirusTotal để truy vấn các hash ở trên với database của VirusTotal và xuất kết quả

Sử dụng khóa API giống như một tấm khiên chống lại “con dao hai lưỡi”. VirusTotal, là một nền tảng nguồn mở, ghi lại công
khai các giá trị băm của phần mềm độc hại đã tải lên. Điều này có khả năng cho phép tin tặc tìm kiếm hàm băm của các sáng
tạo độc hại của chính chúng, tiết lộ liệu phần mềm độc hại của chúng có bị phát hiện hay không. Được trang bị kiến thức này,
họ có thể sửa đổi một số phần nhất định của mã nguồn để tránh bị phát hiện và bỏ qua các giá trị băm được ghi lại, giống
như lọt qua tay các nhà điều tra. Tuy nhiên, điều cần thiết là luôn cảnh giác và sử dụng khóa API để tận dụng các khả năng
mạnh mẽ của VirusTotal trong cuộc chiến đang diễn ra chống lại các mối đe dọa trên mạng.
File này sẽ trả về kết quả của những công cụ/nhà cung cấp bảo mật đã phát hiện nó và ghi nhận vào cơ sở dữ liệu của họ,
những dòng trả về chữ None cho thể hiểu họ chưa ghi nhận malware này.
4. Xuất các string ASCII và Unicode trong file 
7. Handle Obfuscated Strings by FLOSS
sử dụng lệnh `floss` với đường dẫn đến malware. Công cụ này cũng có thể sử dụng để
extract ra các chuỗi ASCII và Unicode.
 6.Determine Packer

Sử dụng `TrID` để xác định packer trên hệ thống CLI.

Kiểm tra lại
7.DLL (Dynamic Link Libraries):