HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

MÔN HỌC PHÂN TÍCH MÃ ĐỘC

BÀI TẬP LỚP

Giảng viên hướng dẫn : Đinh Trường Duy

Sinh Viên: Nguyễn Đăng Tuấn Bảo
Mã Sinh Viên: B20DCAT015
Lớp: D20CQAT03-B

Hà Nội, tháng 10/2023

 Nguyễn Đăng Tuấn Bảo-b20dcat015

1. Tìm mỗi loại mã độc trong 9 loại đã học 1 mẫu. Phân tích nhanh nguồn gốc,
chức năng, cách hoạt động của nó.

1. Backdoor: cho phép truy nhập trực tiếp vào hệ thống mà không qua các thủ tục
kiểm tra an ninh thông thường
Nguồn gốc của Zbot: Trojan Zeus (Zbot) xuất phát từ nước Nga và đã được tạo
ra bởi một nhóm hacker hoặc tội phạm mạng không rõ danh tính. Ban đầu, nó
được phát hiện vào năm 2007 và đã trải qua nhiều biến đổi và cập nhật từ đó.
Chức năng cơ bản của Sub7:
->Đánh cắp thông tin cá nhân: Trojan Zeus được thiết kế để đánh cắp thông
tin nhạy cảm từ máy tính bị nhiễm, bao gồm tên người dùng, mật khẩu, số
thẻ tín dụng, và các thông tin liên quan đến tài khoản ngân hàng.
->Gửi thông tin đến máy chủ kiểm soát: Nó có khả năng gửi các thông tin đã
thu thập về các máy chủ kiểm soát được điều khiển bởi hacker. Điều này cho
phép hacker kiểm soát và sử dụng thông tin đánh cắp.
Cách hoạt động cụ thể của Sub7:
->Phân tán: Trojan Zeus thường được phân tán qua các phương tiện như
email spam, trang web độc hại hoặc cảnh báo giả mạo. Các tập tin độc hại
được gửi đính kèm vào email hoặc ẩn trong các tệp tin tải xuống từ các trang
web không an toàn.
->Ngự trị ẩn danh: Khi nó lọt vào máy tính, Trojan Zeus có khả năng chạy
ẩn danh, tùy biến và che giấu mình trong các tệp tin hệ thống để tránh sự
phát hiện.

1
 Nguyễn Đăng Tuấn Bảo-b20dcat015

->Săn tìm dữ liệu nhạy cảm: Zeus theo dõi các hoạt động của người dùng
trên máy tính nhiễm bệnh, đặc biệt là khi họ truy cập các trang web ngân
hàng hoặc cung cấp thông tin tài khoản cá nhân.
->Gửi thông tin đánh cắp: Thông tin thu thập được gửi về các máy chủ kiểm
soát được điều khiển bởi hacker, người có thể sử dụng nó để tiến hành các
hoạt động gian lận hoặc lừa đảo.
2. Logic bombs: được “nhúng” vào các chương trình bình thường và thường hẹn
giờ để “phát nổ” trong một số điều kiện củ thể. Khi “phát nổ” bom logic có thể
xoá dữ liệu, files, tắt cả hệ thống
Nguồn gốc:
Melissa virus (hoặc W97M/Melissa) được tạo ra bởi một người có biệt danh
"Kwyjibo" vào năm 1999. Virus này là một ví dụ tiêu biểu về logic
bomb và phần mềm độc hại.
Chức năng:
->Lây nhiễm và lan truyền: Melissa là một loại virus lây truyền qua email
dưới dạng một tệp đính kèm với tên "list.doc". Khi người dùng mở tệp tin
này, virus sẽ tự động kích hoạt.
->Gửi email truyền nhiễm: Melissa sẽ tự động gửi bản thân đến 50 địa chỉ
email ngẫu nhiên từ danh bạ email của nạn nhân. Điều này dẫn đến việc lan
truyền rộng rãi của virus.
->Logic Bomb: Melissa cũng chứa một phần logic bomb. Ngày 26 của mỗi
tháng, virus sẽ chuyển sang một giai đoạn "bẩn thỉu". Trong giai đoạn này,
nó sẽ thay đổi tài liệu văn bản được mở bằng Word bằng cách chèn các trích
dẫn từ show truyền hình "The Simpsons". Logic bomb này sẽ gây ra tình
trạng quá tải trên mạng và email servers vào ngày đó.
Cách hoạt động:
->Người dùng nhận email với tệp đính kèm "list.doc" và mở nó.
Khi tệp tin mở, virus được kích hoạt và tiến hành lây nhiễm máy tính của
nạn nhân.
Sau đó, vào ngày 26 của mỗi tháng, logic bomb được kích hoạt. Virus thực
hiện các thay đổi tài liệu văn bản và gửi email truyền nhiễm.
3. Trojan: giả danh những chương trình có ích, nhằm lừa người dùng kích hoạt
chúng

Nguồn gốc:
->Trojan Stuxnet được phát hiện vào năm 2010 và trở nên nổi tiếng vì nó là
một trong những loại Trojan phức tạp nhất và có mục tiêu rõ ràng nhất từng được
phát hiện. Mục tiêu của nó là tấn công hệ thống kiểm soát và giám sát của các nhà
máy điện hạt nhân ở Iran.

2
 Nguyễn Đăng Tuấn Bảo-b20dcat015

Chức năng:
->Phá hoại hệ thống công nghiệp: Stuxnet được thiết kế để tấn công và phá
hoại các hệ thống kiểm soát công nghiệp, đặc biệt là hệ thống điều khiển
PLC (Programmable Logic Controller).
->Lây nhiễm và lan truyền: Trojan Stuxnet sử dụng các lỗ hổng bảo mật
trong hệ điều hành Windows để lây nhiễm máy tính. Nó cũng có khả năng tự
sao chép và lan truyền thông qua các thiết bị USB và mạng local.
Cách hoạt động:
->Lây nhiễm: Stuxnet sử dụng các lỗ hổng bảo mật trong Windows để xâm
nhập vào máy tính. Khi máy tính bị nhiễm, nó bắt đầu thực hiện các
hoạt động phá hoại.
->Tấn công hệ thống điều khiển: Trojan Stuxnet sử dụng các lỗ hổng trong
hệ thống kiểm soát PLC để gửi lệnh và thay đổi các thiết lập quan trọng.
Điều này có thể gây ra sự hỏng hóc và thậm chí phá hủy các thiết bị và quy
trình trong một nhà máy điện hạt nhân.

4. Spyware: là một dạng phần mềm độc hại được cài đặt tự động nhằm giám sát,
thu thập và đánh cắp các thông tin nhạy cảm trên hệ thống nạn nhân
Nguồn gốc:
->FlexiSpy là một loại phần mềm giám sát và theo dõi dùng để theo dõi hoạt
động của điện thoại di động và các thiết bị di động khác. Nó được phát triển
bởi một công ty có cùng tên, FlexiSPY, và đã tạo ra tranh cãi lớn do việc sử
dụng không đúng cách có thể vi phạm quyền riêng tư của người khác.
Chức năng:
->Giám sát hoạt động điện thoại: FlexiSpy cho phép người sử dụng giám sát
và ghi lại các cuộc gọi, tin nhắn, ảnh, video, vị trí GPS, và nhiều hoạt
động khác trên điện thoại di động mục tiêu.
->Ghi âm cuộc gọi: Nó cung cấp tính năng ghi âm cuộc gọi điện thoại để
người sử dụng có thể nghe lại sau này.
Cách hoạt động:
->Cài đặt ẩn danh: Spyware như FlexiSpy thường được cài đặt ẩn danh trên
điện thoại mục tiêu mà người dùng không nhận ra.
->Thu thập thông tin: Sau khi được cài đặt, nó ghi lại và gửi các thông tin
nhạy cảm về các hoạt động của điện thoại di động đó đến máy chủ điều
khiển được quản lý bởi người sử dụng spyware.
->Truy cập và giám sát từ xa: Người sử dụng có thể truy cập máy chủ điều
khiển từ xa thông qua giao diện trực tuyến và xem thông tin được ghi lại từ
điện thoại di động mục tiêu

3
 Nguyễn Đăng Tuấn Bảo-b20dcat015

5. Rootkit: một loại phần mềm độc hại được thiết kế để ẩn danh trên hệ thống máy
tính và cho phép kẻ tấn công có quyền truy cập cao nhất vào hệ thống mà không bị
phát hiện.
Nguồn gốc:
->Rootkit của Sony BMG là một trường hợp nổi tiếng và gây tranh cãi năm
2005 khi hãng ghi âm Sony BMG cố gắng kiểm soát việc sao chép bất
hợp pháp của các CD âm nhạc bằng cách sử dụng rootkit.
Chức năng:
->Ẩn và che giấu: Rootkit giúp che giấu các thành phần phần mềm độc hại
trên hệ thống, làm cho chúng trở nên khó phát hiện và loại bỏ.
->Tránh bị gỡ bỏ: Nó có khả năng tự bảo vệ và tự tái cài đặt sau khi bị gỡ
bỏ, tạo ra sự khó khăn đối với việc loại bỏ rootkit.
Cách hoạt động:
->Cài đặt ẩn danh: Rootkit được cài đặt vào hệ thống một cách ẩn danh,
thường bằng cách sử dụng các lỗ hổng bảo mật hoặc kỹ thuật xâm nhập
khác.
->Che giấu các hoạt động độc hại: Rootkit thường che giấu các hoạt động
của phần mềm độc hại, làm cho chúng trở nên khó nhận diện.
->Tự bảo vệ và tự tái cài đặt: Khi rootkit bị phát hiện và loại bỏ, nó có thể cố
gắng tự bảo vệ bằng cách khắc phục lại mình hoặc triển khai các biến thể
khác để tiếp tục tấn công.
6. Viruses: là một chương trình có thể “nhiễm” vào các chương trình khác,
bằng cách sửa đổi các chương trình này. Nếu các chương trình đã bị sửa đổi
chứa vi rút được kích hoạt thì vi rút sẽ tiếp tục “lây nhiễm” sang các chương
trình khác. Vi rút máy tính cũng có khả năng tự nhân bản, tự lây nhiễm sang
các chương trình khác mà nó tiếp xúc. Có nhiều con đường lây nhiễm vi rút,
như sao chép file, gọi các ứng dụng và dịch vụ qua mạng, email...
Nguồn gốc:
->ILOVEYOU là một loại virus máy tính có hại được phát hiện vào năm
2000. Nó xuất phát từ Philippines và trở thành một trong những loại virus
phổ biến nhất trong lịch sử Internet.
Chức năng:
->Lây nhiễm và lan truyền: ILOVEYOU lây nhiễm qua email dưới dạng một
tệp tin đính kèm với tên "LOVE-LETTER-FOR-YOU.txt.vbs". Khi người
dùng mở tệp tin này, virus sẽ kích hoạt và bắt đầu lây nhiễm hệ thống.
->Ghi đè và xóa dữ liệu: Sau khi lây nhiễm, ILOVEYOU sẽ tiến hành ghi đè
lên các tệp tin hình ảnh, âm thanh và văn bản bằng cách chuyển đổi chúng
thành các bản sao của chính nó, gây ra sự mất mát dữ liệu quan trọng.
->Gửi bản thân qua email: ILOVEYOU cũng có khả năng tự gửi bản thân
đến địa chỉ email trong danh bạ của người bị nhiễm.

4
 Nguyễn Đăng Tuấn Bảo-b20dcat015

Cách hoạt động:

->Người dùng nhận email và mở đính kèm: ILOVEYOU được gửi dưới
dạng một tệp tin đính kèm với tên "LOVE-LETTER-FOR-YOU.txt.vbs".
->Kích hoạt virus: Khi tệp tin mở, virus được kích hoạt và bắt đầu lây nhiễm
hệ thống.
->Ghi đè và lan truyền: ILOVEYOU tiến hành ghi đè lên các tệp tin quan
trọng và lan truyền qua email đến các địa chỉ trong danh bạ của người bị
nhiễm.
7. Ransomware: mã hóa tệp tin và tống tiền
Nguồn gốc:
->CryptoLocker xuất hiện lần đầu vào năm 2013. Đây là một trong những
loại ransomware đầu tiên và đã gây ra nhiều thiệt hại lớn trên toàn cầu.
Chức năng:
->Mã hóa dữ liệu: CryptoLocker mã hóa dữ liệu trên máy tính mục tiêu, làm
cho chúng trở nên không thể truy cập hoặc đọc được.
->Yêu cầu tiền chuộc: Ransomware hiển thị một thông báo yêu cầu nạn
nhân trả tiền chuộc, thường được yêu cầu trả bằng tiền điện tử như Bitcoin
hoặc Monero, để nhận được chìa khóa giải mã.
Cách hoạt động:
->Lây nhiễm: CryptoLocker thường lây nhiễm qua email phishing hoặc
trang web độc hại. Khi người dùng mở tệp tin hoặc truy cập trang web bị
nhiễm, ransomware bắt đầu hoạt động.
->Mã hóa dữ liệu: Sau khi lây nhiễm, CryptoLocker bắt đầu mã hóa dữ liệu
trên máy tính và các ổ đĩa kết nối.
->Hiển thị thông báo chuộc tiền: Ransomware hiển thị một thông báo yêu
cầu nạn nhân trả tiền chuộc để nhận chìa khóa giải mã. Thông báo này
thường có hạn thời gian, đe dọa rằng nếu không trả tiền trong thời hạn, chìa
khóa giải mã sẽ bị hủy bỏ.
8. Worms: là một loại phần mềm độc hại có khả năng tự lây nhiễm từ máy này
sang máy khác mà không cần chương trình chủ, vật chủ, hoặc sự trợ giúp của
người dùng. Khi sâu lây nhiễm vào một máy, nó sử dụng máy này làm “bàn đạp”
để tiếp tục rà quét, tấn công các máy khác. Các phương pháp lây lan chính của sâu
gồm: lây lan qua thư điện tử, lây lan thông qua khả năng thực thi từ xa, lây lan
thông qua khả năng log-in (đăng nhập) từ xa
Nguồn gốc:
->Conficker (còn được gọi là Downadup) là một loại worm máy tính được
phát hiện vào cuối năm 2008. Nó đã tấn công hàng triệu máy tính trên toàn
thế giới và vẫn còn được coi là một trong những mối đe dọa tiềm ẩn trong
thế giới công nghệ.
Chức năng:

5
 Nguyễn Đăng Tuấn Bảo-b20dcat015

->Lây nhiễm và lan truyền: Conficker sử dụng các lỗ hổng bảo mật trong hệ
điều hành Windows để lây nhiễm máy tính. Nó cũng có khả năng tự sao
chép và lan truyền trong mạng nội bộ.
->Tự cập nhật: Một trong những đặc điểm đáng chú ý của Conficker là khả
năng tự cập nhật từ các máy chủ điều khiển của nó, giúp nó thích ứng với
các biện pháp bảo mật mới.
Cách hoạt động:
->Lây nhiễm: Conficker sử dụng các lỗ hổng bảo mật trong Windows để lây
nhiễm máy tính. Điều này có thể xảy ra thông qua các tệp tin đính kèm,
trang web độc hại, hoặc các lỗ hổng trong hệ điều hành.
->Cập nhật và tự cập nhật: Conficker có khả năng tải về và cài đặt các phiên
bản mới của chính nó từ các máy chủ điều khiển, giúp nó thích ứng với biện
pháp bảo mật mới.
->Tấn công: Một khi đã lây nhiễm, Conficker có thể thực hiện các hành
động gây hại, bao gồm cài đặt và chạy phần mềm độc hại khác, steal thông
tin cá nhân, và tấn công các mạng và máy tính khác trong cùng một mạng
nội bộ.
9. Zombie/Bot: là một chương trình được thiết kế để giành quyền kiểm soát một
máy tính, hoặc thiết bị tính toán có kết nối Internet và sử dụng máy tính bị kiểm
soát để tấn công các hệ thống khác, hoặc gửi thư rác. Botnet (mạng máy tính ma)
là một tập hợp các máy tính bot dưới sự kiểm soát của một, hoặc một nhóm kẻ tấn
công
Nguồn gốc:
->Storm Worm Botnet xuất hiện vào cuối năm 2006 và nhanh chóng trở
thành một trong những botnet lớn nhất và nguy hiểm nhất từng được biết đến.
Chức năng:
->Hình thành botnet: Mục tiêu của Storm Worm Botnet là tạo ra một mạng
zombie lớn bằng cách lây nhiễm hàng nghìn hoặc thậm chí hàng triệu máy tính
trên toàn thế giới.
->Thực hiện tấn công phân phối spam và phá hoại: Botnet này có thể thực
hiện các loại tấn công như gửi email spam, phá hoại hệ thống, và thậm chí tham
gia vào các cuộc tấn công phân tán (DDoS).
Cách hoạt động:
->Lây nhiễm: Storm Worm Botnet sử dụng các email spam chứa các tệp tin
đính kèm độc hại để lây nhiễm máy tính. Khi người dùng mở tệp tin, máy tính sẽ
bị lây nhiễm và trở thành một phần của botnet.
->Kết nối và tương tác với máy chủ điều khiển: Máy tính bị lây nhiễm sẽ kết
nối với các máy chủ điều khiển được quản lý bởi kẻ tấn công. Thông qua kết nối
này, máy tính có thể nhận lệnh để thực hiện các loại tấn công khác nhau.

6
 Nguyễn Đăng Tuấn Bảo-b20dcat015

->Tham gia vào hoạt động tấn công: Máy tính trong botnet có thể được điều
khiển để thực hiện các loại tấn công như gửi email spam, tấn công DDoS, hoặc
tham gia vào các hoạt động phá hoại khác.
2. Tìm hiểu cách dựng được môi trường để phân tích mã độc. Thực hiện chạy
3 mẫu mã độc và đưa ra kết quả.

Trước khi bạn chạy phần mềm độc hại để thực hiện phân tích động, bạn phải thiết
lập môi trường an toàn. Phần mềm độc hại mới có thể đầy bất ngờ, và nếu bạn
chạy nó trên một máy chạy sản xuất, nó có thể nhanh chóng lan sang các máy khác
trong mạng và rất khó loại bỏ. Môi trường an toàn sẽ cho phép bạn điều tra về phần
mềm độc hại mà không thể xâm nhập vào máy tính của bạn hoặc máy tính khác
trong mạng lưới vào rủi ro không mong muốn.
Creating Your Malware Analysis Machine sử dụng VMware

Configuring VMware
Khi phân tích phần mềm độc hại, bạn có thể muốn quan sát hoạt động mạng của
phần mềm độc hại để giúp bạn hiểu ý định của tác giả, tạo chữ ký hoặc thực hiện
chương trình một cách đầy đủ. VMware cung cấp một số tùy chọn mạng cho mạng
ảo.
Disconnecting the Network
Mặc dù bạn có thể cấu hình máy tính ảo không kết nối mạng, thường không nên tắt
kết nối mạng. Thực hiện điều này chỉ hữu ích trong một số trường hợp cụ thể. Mà
không có kết nối mạng, bạn sẽ không thể phân tích hoạt động mạng độc hại.
Setting Up Host-Only Networking
Một tính năng tạo ra một mạng LAN riêng biệt giữa hệ điều hành máy chủ và hệ
điều hành máy ảo, thường được sử dụng cho phân tích phần mềm độc hại. Mạng
chỉ cho máy chủ không được kết nối đến Internet, điều này có nghĩa là phần mềm
độc hại được giữ trong máy tính ảo của bạn nhưng vẫn có mạng.
Using Multiple Virtual Machines
Cấu hình cuối cùng kết hợp các tùy chọn tốt nhất. Nó yêu cầu nhiều máy tính ảo
được liên kết thông qua mạng LAN nhưng không được kết nối với Internet và máy
tính máy chủ, để phần mềm độc hại được kết nối với mạng, nhưng mạng không
được kết nối với bất cứ điều gì quan trọng.

Chạy và phân tích phần mềm độc hại bằng cách sử dụng VMware và máy tính ảo
đòi hỏi các bước sau:
1. Bắt đầu bằng một bản snapshot mà không có phần mềm độc hại chạy trên
đó.
2. Truyền phần mềm độc hại vào máy tính ảo.
3. Tiến hành phân tích trên máy tính ảo.

7
 Nguyễn Đăng Tuấn Bảo-b20dcat015

4. Lấy ghi chú, ảnh chụp màn hình và dữ liệu từ máy tính ảo và truyền chúng
vào máy tính vật lý.
5. Quay trở lại máy tính ảo bằng bản snapshot.

- Cài đặt cuckoo sandbox

Cuckoo là một sandbox phân tích malware. Cho phép thực thi malware trong
một môi trường máy ảo, ngoài ra nó còn cho phép phân tích trên môi trường
máy thật. Kiến trúc của cuckoo theo mô hình của một máy ảo thật sự bao gồm
host và guest.
Yêu cầu:
1. Một máy tính chạy Linux (thường là Ubuntu hoặc Debian).
2. Python 2.7.
3. QEMU (một ứng dụng ảo hóa).
4. Một máy ảo Windows để chạy các mẫu độc hại.
5. Một môi trường máy ảo hoặc thiết bị vật lý để chạy môi trường Cuckoo
Sandbox.
Bước 1: Cài đặt các phụ thuộc:
Bước 2: Cài đặt YARA:
Bước 3: Cài đặt Mongodb:
Bước 4: Cài đặt VirtualBox hoặc VMware (tuỳ chọn): Nếu bạn muốn sử
dụng VirtualBox hoặc VMware cho các máy ảo Windows, bạn cần cài đặt nó
trước.
Bước 5: Cài đặt Cuckoo Sandbox:
Bước 6: Cấu hình Cuckoo: Chỉnh sửa tệp cấu hình Cuckoo theo cách mà bạn
muốn sử dụng. Bạn cần chỉ định đường dẫn đến các công cụ bên ngoài như
QEMU, VirtualBox hoặc VMware và cấu hình các tùy chọn mạng.
Bước 7: Chạy Cuckoo:
Sau khi đã cấu hình và chạy Cuckoo, bạn có thể gửi các mẫu độc hại để phân
tích bằng cách sử dụng API hoặc giao diện web.

+ Máy host là máy được cài chương trình ảo hóa như virtualbox hay vmware.
+ Máy guest là một máy tính được cài hệ điều hành dành cho việc thực thi
malware. Có thể là máy ảo hoặc máy vật lý.

- Malware Azorult.exe Trojan

8
Nguyễn Đăng Tuấn Bảo-b20dcat015

9
Nguyễn Đăng Tuấn Bảo-b20dcat015

10
 Nguyễn Đăng Tuấn Bảo-b20dcat015

- Remcos.exe Trojan

11
Nguyễn Đăng Tuấn Bảo-b20dcat015

12
Nguyễn Đăng Tuấn Bảo-b20dcat015

13
Nguyễn Đăng Tuấn Bảo-b20dcat015

14
 Nguyễn Đăng Tuấn Bảo-b20dcat015

- Gnil.exe virus/worm

15
Nguyễn Đăng Tuấn Bảo-b20dcat015

16
 Nguyễn Đăng Tuấn Bảo-b20dcat015

3. Tìm hiểu về virustotal. Các chức năng của của công cụ này.
Virustotal là công cụ dành cho người dùng hệ điều hành Windows có công dụng
quét và phân tích các tập tin hay đường link (URL) để xem chúng có chứa mã độc
hay virus không, từ đó đưa ra các đánh giá chính xác về mức độ an toàn cho máy
tính của bạn.
Virustotal là một nhánh của Google nên bạn có thể an tâm khi sử dụng. Bên cạnh
đó, công cụ này còn chứa rất nhiều chương trình antivirus (trình quét virus và mã
độc) hàng đầu thế giới và cho phép bạn upload các tệp tin có dung lượng lên đến
550MB.
Chức năng của công cụ:
1. Quét tệp và URL: VirusTotal cho phép bạn tải lên các tệp hoặc nhập URL
để kiểm tra xem chúng có chứa mã độc hoặc không.
2. Sử dụng nhiều công cụ phát hiện: VirusTotal sử dụng hơn 70 công cụ khác
nhau (bao gồm các chương trình chống virus và phần mềm bảo mật hàng
đầu) để phân tích tệp hoặc URL của bạn. Sau đó, nó tổng hợp các kết quả từ
các công cụ này để đánh giá mức độ an toàn.

17
 Nguyễn Đăng Tuấn Bảo-b20dcat015

3. Kết quả chi tiết: VirusTotal hiển thị kết quả phân tích chi tiết về từng công
cụ, bao gồm thông tin về việc mã độc được phát hiện hay không, tên mã độc,
mã MD5/SHA-256, và hơn thế nữa.
4. Kiểm tra lịch sử: Bạn có thể kiểm tra lịch sử kiểm tra của một tệp hoặc
URL cụ thể để xem liệu chúng đã từng được báo cáo là độc hại hay không.
5. Xem cổng quét và đặc điểm hash: VirusTotal cung cấp thông tin chi tiết về
cổng quét và đặc điểm hash của một tệp để bạn có thể kiểm tra xem nó có
liên quan đến các tệp khác hay không.
6. API: VirusTotal cung cấp API cho các nhà phát triển để tích hợp VirusTotal
vào ứng dụng hoặc dịch vụ của họ.
7. Phân tích động và tĩnh: VirusTotal cung cấp khả năng phân tích động và
tĩnh của tệp, giúp bạn hiểu rõ hơn về cách tệp hoạt động.
8. Đánh giá: VirusTotal cho phép người dùng báo cáo các kết quả sai hoặc giả
mạo để cải thiện chất lượng dịch vụ.

18