HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

MÔN HỌC PHÂN TÍCH MÃ ĐỘC

BÁO CÁO BÀI TẬP LỚN

Đề tài: Phát hiện mã độc bằng phương pháp động
Lớp 4 - Nhóm 3

Giảng viên hướng dẫn : Đinh Trường Duy

Thành viên: Nguyễn Đăng Tuấn Bảo - B20DCAT015

Bùi Quang Anh - B20DCAT003
Ninh Văn Cường - B20DCAT023
Đào Văn Chung - B20DCAT027
Trần Lê Cao Sơn - B20DCAT156

Hà Nội, tháng 10/2023

Contents
1. Mục đích yêu cầu ...........................................................................................................................2
+ Mục đích .....................................................................................................................................2
+ Yêu cầu ....................................................................................................................................... 2
2. Lý thuyết ........................................................................................................................................ 2
● Khái niệm mã độc: .................................................................................................................... 2
● Các thành phần của mã độc: .................................................................................................... 2
● Phát hiện mã độc là gì ............................................................................................................... 3
● Phát hiện mã độc bằng phương pháp động là gì ................................................................ 4
● Phát hiện mã độc bằng phương pháp tĩnh là gì ..................................................................4
● So sánh 2 phương pháp .........................................................................................................5
● Tìm hiểu về mã độc 000.exe ...................................................................................................... 6
● Tìm hiểu về ransomware wannacry .........................................................................................6
● Tìm hiểu về kĩ thuật ẩn mình cơ bản .......................................................................................7
● Tìm hiểu về Sandbox .................................................................................................................7
● Giới thiệu về cuckoo sandbox ...................................................................................................8
● Giới thiệu về windows sandbox ................................................................................................8
Các đặc tính của Windows Sandbox: .................................................................................................. 9
● Tìm hiểu về công cụ process monitor ...................................................................................... 9
● Tìm hiểu về công cụ malwarebyte ..........................................................................................10
3. Demo ............................................................................................................................................. 12
- Wannacry trên cuckoo sandbox .............................................................................................12
- Thực thi wannacry trên windows sandbox ........................................................................... 20
4: Kết luận: ...........................................................................................................................................24
5: Phụ lục DEMO ................................................................................................................................ 25

1
1. Mục đích yêu cầu
+ Mục đích
- Mục đích của báo cáo về phát hiện mã độc bằng phương pháp động là cung cấp kiến
thức và hướng dẫn về cách xác định, giải quyết, và ngăn chặn các loại mã độc trong
hệ thống máy tính và phần mềm.
- Tập trung vào việc nghiên cứu và trình bày các phương pháp động để phát hiện mã
độc, giúp người đọc hiểu về cơ chế hoạt động của chúng và cách áp dụng chúng trong
thực tế.
+ Yêu cầu
1. Xác định mục tiêu nghiên cứu:
Nghiên cứu, phân tích, và đánh giá hiệu suất các phương pháp phát hiện mã độc bằng
phương pháp động trong môi trường thực tế
2. Xác định phạm vi nghiên cứu:
Định rõ phạm vi của nghiên cứu, bao gồm các loại mã độc cụ thể hoặc môi trường thử
nghiệm.
3. Phương pháp nghiên cứu:
Mô tả cụ thể về các phương pháp và kỹ thuật bạn sẽ sử dụng để phát hiện mã độc
bằng phương pháp động. Bao gồm cả các công cụ và phần mềm bạn sẽ áp dụng.
4. Thực hiện thử nghiệm:
Giải thích cách bạn sẽ tiến hành thử nghiệm các phương pháp động và thu thập dữ
liệu để đánh giá hiệu suất của chúng.
2. Lý thuyết
● Khái niệm mã độc:
- Mã độc (Malware hay Malicious software) là một loại phần mềm được tạo ra và chèn
vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống, lấy cắp
thông tin, làm gián đoạn hoặc tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng
của hệ thống hay các máy tính cá nhân
- Nó có thể có dạng một tập tin thực thi, script, mã nguồn hoặc
bất kỳ phần mềm nào khác.
- Kẻ tấn công sử dụng mã độc để đánh cắp thông tin nhạy cảm, giám sát hệ thống bị
nhiễm và chiếm quyền kiểm soát hệ thống.
- Thông thường, mã độc xâm nhập trái phép vào hệ thống của nạn nhân và có thể lây
lan qua các kênh truyền thông khác nhau như email, web hoặc ổ đĩa USB
- Các mục tiêu chính nhất có thể được phân loại thành:
+ Gây gián đoạn hoạt động của hệ thống máy chủ
+ Đánh cắp thông tin quan trọng, chẳng hạn như thông tin cá nhân và tài chính
+ Truy cập trái phép vào hệ thống hoặc tài khoản
+ Gián điệp
+ Gửi thư rác
+ Sử dụng hệ thống của nạn nhân để thực hiện tấn công DDoS
+ Khóa tệp tin của nạn nhân trên máy chủ và yêu cầu tiền chuộc để mở khóa
● Các thành phần của mã độc:
- Mã độc (malware), có thể bao gồm nhiều thành phần khác nhau để thực hiện các mục
tiêu và chức năng cụ thể. Dưới đây là các thành phần cơ bản thường xuất hiện trong
một mã độc:
1. Loader (bộ nạp): Thành phần này thường xuất hiện ban đầu và có nhiệm vụ tải mã
độc lên hệ thống mục tiêu. Nó có thể được gửi dưới dạng tệp đính kèm trong email,
hoặc thông qua lỗ hổng bảo mật trong phần mềm hoặc hệ thống mục tiêu.

2
2. Payload (nội dung chính): Payload là phần chính của mã độc, thường được thiết kế để
thực hiện các mục tiêu xác định. Điều này có thể bao gồm các chức năng như lấy dữ
liệu trực tiếp từ máy tính mục tiêu, truyền dữ liệu đến máy chủ từ xa, hoặc thậm chí
tạo ra các kết nối sau lưng và kiểm soát máy tính mục tiêu.
3. Rootkit: Rootkit là một thành phần được sử dụng để che giấu sự tồn tại của mã độc
trên hệ thống mục tiêu. Nó thường thay đổi hệ thống hoặc tệp tin để che giấu mã độc
và các hoạt động độc hại khỏi quá trình kiểm tra và phân tích.
4. Backdoor (cửa sau): Cửa sau là một thành phần cho phép tấn công viên truy cập và
kiểm soát máy tính từ xa mà không cần xác thực bình thường. Cửa sau thường được
sử dụng để duyệt qua các tường lửa và truy cập máy tính mục tiêu sau lưng.
5. Keylogger: Một keylogger là một thành phần thu thập thông tin về các phím được
nhấn trên bàn phím máy tính mục tiêu. Thông tin này sau đó có thể được gửi đến kẻ
tấn công, cho phép họ thu thập thông tin đăng nhập và mật khẩu.
6. Spyware (phần mềm giám sát): Spyware là các thành phần được thiết kế để thu thập
thông tin cá nhân và hoạt động trên máy tính mục tiêu, chẳng hạn như lịch sử duyệt
web, tệp tin cá nhân, hoặc dữ liệu ngân hàng.
7. Trojan Horse (ngựa Troy): Trojan horse là một loại mã độc giả mạo thành phần hợp
pháp hoặc hữu ích để lừa người sử dụng cài đặt nó. Sau khi được cài đặt, nó có thể
thực hiện các hoạt động độc hại mà người dùng không biết.
8. Botnet Agent: Nếu mã độc là một phần của một mạng botnet, nó sẽ chứa thành phần
để kết nối và điều khiển máy tính mục tiêu từ xa, thường thông qua một máy chủ điều
khiển.
9. Polymorphic Code (mã đa biến): Mã độc có thể được thiết kế để tự động thay đổi
hoặc biến đổi trong mỗi lần thực thi để tránh phát hiện dựa trên chữ ký hoặc mã hóa.
10. Obfuscation (ẩn mã): Thành phần này sử dụng các kỹ thuật để làm cho mã độc khó
hiểu hơn và ngăn người phân tích từ việc đọc và hiểu mã nguồn.
- Các mã độc có thể có sự kết hợp của các thành phần này hoặc sử dụng các kỹ thuật ẩn
mình khác nhau để đảm bảo sự tồn tại của chúng không bị phát hiện và loại bỏ dễ
dàng.
● Phát hiện mã độc là gì
- Phát hiện mã độc (malware detection) là quá trình xác định sự tồn tại của phần mềm
độc hại (malware) hoặc mã độc trên một hệ thống máy tính hoặc mạng. Mã độc là một
loại phần mềm được tạo ra với mục đích gây hại cho hệ thống, truy cập trái phép vào
dữ liệu, hoặc thực hiện các hành động độc hại khác mà không được sự cho phép của
người sở hữu hệ thống hoặc người dùng. Mã độc có thể bao gồm virus, trojans,
worms, spyware, ransomware và nhiều loại phần mềm độc hại khác.
- Phát hiện mã độc là một phần quan trọng của bảo mật mạng và bảo mật máy tính. Nó
giúp ngăn chặn, xác định và loại bỏ các mối đe dọa từ mã độc trước khi chúng có cơ
hội gây hại. Các kỹ thuật phát hiện mã độc bao gồm:
1. Phần mềm chống virus (Antivirus Software): Phần mềm chống virus quét và
so sánh các tệp tin và hoạt động trên máy tính với cơ sở dữ liệu của nó để xác
định các tệp tin bị nhiễm malware. Nếu phát hiện, nó cố gắng cách ly hoặc xóa
malware.
2. Phân tích hành vi (Behavior Analysis): Các hệ thống bảo mật có thể theo dõi
hành vi của các ứng dụng và quy trình trên máy tính để phát hiện các hoạt
động đáng ngờ như việc tạo và truy cập các tệp tin bất thường.
3. Chữ ký số (Signature-based Detection): Các phần mềm chống virus và các
công cụ bảo mật có thể dựa vào các chữ ký số đã biết để xác định mã độc dựa
trên các biểu hiện cụ thể của nó.

3
 4. Phân tích động (Dynamic Analysis): Đây là việc chạy mã độc trong môi
trường kiểm tra để xem nó thực hiện các hành động độc hại. Các công cụ động
này có thể phát hiện các hoạt động không mong muốn.
5. Thám tử hành vi (Behavioral Detectors): Các công cụ này theo dõi hành vi hệ
thống và ứng dụng để phát hiện các hành vi bất thường hoặc đáng ngờ.
- Phát hiện mã độc là một phần quan trọng của bảo mật mạng và máy tính, và nó đóng
một vai trò quan trọng trong việc bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa từ
malware.
● Phát hiện mã độc bằng phương pháp động là gì
- Phát hiện mã độc bằng phương pháp động là quá trình xác định sự tồn tại hoặc hoạt
động của mã độc bằng cách thực hiện thử nghiệm và theo dõi hành vi của nó trong
một môi trường thực tế hoặc giả lập. Phương pháp này tập trung vào việc quan sát các
hoạt động thực tế của mã độc khi nó thực hiện các hành vi độc hại, thay vì phân tích
cấu trúc tĩnh của mã.
- Các phần cơ bản của phương pháp động để phát hiện mã độc:
+ Thực Thi Mã Độc: Mã độc được thực thi trong một môi trường kiểm tra, chẳng hạn
như một máy tính ảo (virtual machine) hoặc một môi trường sandbox. Môi trường này
được tạo ra để đảm bảo rằng mã độc không gây hại đến hệ thống thật và có thể theo
dõi mọi hoạt động của nó.
+ Theo Dõi Hoạt Động Mã Độc: Trong quá trình thực thi, các công cụ và quy trình
kiểm tra sẽ theo dõi các hoạt động của mã độc. Điều này bao gồm việc ghi lại tất cả
các hành động như tạo ra hoặc thay đổi tệp, truy cập registry, thực hiện kết nối mạng,
và tương tác với hệ thống hoặc ứng dụng khác.
+ Phân Tích Luồng Mã: Các công cụ phân tích động thường theo dõi luồng mã (code
execution) của mã độc và ghi lại các hàm, chức năng, và lệnh được thực thi. Điều này
giúp xác định xem mã độc có thực hiện các hành động độc hại không.
+ Theo Dõi Kết Nối Mạng: Nếu mã độc có khả năng kết nối mạng, các công cụ động có
thể theo dõi các yêu cầu và phản hồi mạng để xác định xem có sự tương tác độc hại
nào với máy chủ từ xa.
+ Phát Hiện Hành Vi Độc Hại: Các công cụ động thường kiểm tra các hành vi độc hại,
chẳng hạn như tạo ra phần mềm độc hại khác, thay đổi cấu hình hệ thống, ẩn mình
khỏi các công cụ an ninh, và nhiều hành vi khác có thể đặc trưng cho mã độc.

=> Phương pháp động là một phần quan trọng của quá trình phát hiện và phân tích mã độc,
giúp xác định các mối đe dọa mà mã có thể gây ra khi thực hiện trong môi trường thực tế.

● Phát hiện mã độc bằng phương pháp tĩnh là gì

- Phát hiện mã độc bằng phương pháp tĩnh (Static Analysis) là quá trình xác định tính
độc hại của một tệp hoặc ứng dụng dựa trên thông tin tĩnh, tức là thông tin liên quan
đến cấu trúc và nội dung của tệp mà không cần thực hiện thử nghiệm thực tế (chạy
nó). Phương pháp này tập trung vào việc phân tích các đặc điểm tĩnh của tệp để xác
định xem nó có dấu hiệu của mã độc hoặc phần mềm độc hại không.

- Các phần cơ bản của phương pháp tĩnh để phát hiện mã độc:
+ Phân Tích File Header: Kiểm tra thông tin trong tiêu đề tệp (file header) để xác định
loại tệp, định dạng, và tên tệp. Điều này có thể giúp xác định xem tệp có phù hợp với
loại nó khẳng định mình là không.
+ Xem Xét Mã Nguồn: Phân tích mã nguồn của tệp hoặc ứng dụng để xem xét các đoạn
mã có dấu hiệu của mã độc, chẳng hạn như chức năng ghi dữ liệu không mong muốn
vào hệ thống.

4
 + Kiểm Tra Chữ Ký Số: Kiểm tra chữ ký số hoặc hash được tạo ra bằng các công cụ
phát triển hoặc phân phối tệp. Kiểm tra chữ ký số có thể giúp xác định tính toàn vẹn
của tệp và xác định xem tệp có bị sửa đổi hay không.
+ Phân Tích Nội Dung Tệp: Xem xét nội dung của tệp để xác định xem có chứa chuỗi
bí danh, mã độc, hoặc cấu trúc đáng ngờ nào không. Các phần mềm phát hiện mã độc
thường tìm kiếm các chữ ký của phần mềm độc hại đã biết và các mẫu mã độc hại đã
được đăng ký trước đó.
+ Kiểm Tra Cấu Trúc Tệp: Kiểm tra cấu trúc của tệp để xác định xem có sự thay đổi
hoặc chèn dữ liệu không mong muốn nào. Điều này có thể bao gồm việc kiểm tra các
đoạn mã bổ sung hoặc các phần cố ý được che giấu.
+ Phân Tích Cấu Trúc Hệ Thống: Phân tích cấu trúc hệ thống để xem xét các phần tử có
liên quan đến mã độc, chẳng hạn như dịch vụ Windows, quyền truy cập hệ thống, và
ảnh hưởng đến hệ thống.

● So sánh 2 phương pháp

So sánh Phân Tích Tĩnh (Static Analysis) Phân Tích Động (Dynamic Analysis)

Ưu điểm ● Tốn ít thời gian và tài nguyên:
Phân tích tĩnh thường nhanh hơn
và tiết kiệm tài nguyên hơn do
không cần thực hiện thử nghiệm
thực tế.
● Phát hiện mã độc đã biết trước:
Hiệu quả trong việc phát hiện
các loại mã độc đã biết trước và
tìm kiếm các đặc điểm tĩnh độc
hại cụ thể trong tệp.
● Không gây nguy hại: Không có
rủi ro gây nguy hại cho môi
trường thực tế do không thực thi
mã độc.
● Phát hiện hành vi thực tế: Cho
phép quan sát hành vi thực tế
của mã độc khi thực thi, bao
gồm tạo ra và thay đổi tệp, kết
nối mạng và tương tác với hệ
thống.
● Phát hiện mã độc mới: Có khả
năng phát hiện các loại mã
độc mới mà chưa biết trước.
● Xử lý thời gian thực: Cho
phép ngăn chặn hoạt động
độc hại ngay khi nó xảy ra

Hạn chế ● Không phát hiện được mã độc
đã mã hóa mạnh: Không thể
phát hiện được các mã độc đã
được mã hóa mạnh hoặc sử
dụng kỹ thuật ẩn mình mạnh
mẽ.
● Không xác định hành vi thực tế:
Không thể xác định hành vi thực
tế của mã độc khi không thực
thi.
● Bỏ sót các tương tác động:
Không theo dõi được các hoạt
động động của mã độc như kết
nối mạng, tạo ra tệp, hoặc tương
● Tốn thời gian và tài nguyên:
Phương pháp động thường
tốn nhiều thời gian và tài
nguyên hơn, đặc biệt khi thực
hiện trong môi trường thực tế
hoặc sandbox.
● Không phát hiện được mã độc
đã mã hóa mạnh: Các mã độc
rất tinh vi hoặc đã được mã
hóa mạnh có thể không tiết lộ
hành vi độc hại ngay khi thực
thi.

5
 tác với hệ thống.

=> Phương pháp phân tích mã độc tĩnh thường nhanh hơn và hiệu quả trong việc phát hiện
các mẫu mã độc hại đã biết trước. Trong khi đó, phương pháp phân tích mã độc động cho
phép xem xét hành vi thực tế của mã và có khả năng phát hiện các mẫu mã độc hại mới. Do
đó, thường tốt nhất là sử dụng cả hai phương pháp kết hợp để tăng cường khả năng phát hiện
và đảm bảo tính toàn diện trong việc bảo vệ hệ thống khỏi mã độc và phần mềm độc hại.
● Tìm hiểu về mã độc 000.exe
Chúng ta có thể tìm thấy nó trên internet dưới dạng tập tin nén , ở định dạng ZIP hoặc
RAR. Hơn nữa, điều quan trọng cần biết là nó chỉ có thể lây nhiễm cho chúng ta nếu chúng ta
chạy nó trên máy tính của mình. Mã độc hại ban đầu được tạo cho một YouTube nhưng cuối
cùng nó lại lan truyền trên mạng. Và đó là người dùng của kênh được đề cập đã xuất bản một
liên kết có vi-rút và một số người dùng đã tải nó xuống.

Điều nổi bật cũng như đáng sợ ở loại virus này là khi chúng ta chạy nó ngay lập tức
trên màn hình sẽ thấy một loạt hình ảnh đen trắng ảm đạm. Sau đó, máy tính khởi động lại và
chúng tôi sẽ thấy rằng người dùng của chúng tôi đã được đổi tên TIẾP THEO . Với mọi thứ
và với nó, chúng tôi có thể truy cập vào hệ thống, nhưng đó là nơi bắt đầu khủng bố thực sự.
Điều này là bởi vì chúng tôi sẽ tìm thấy chính mình với một máy tính để bàn đầy các phím tắt
tham chiếu đến một số tệp có cùng tên với URNEXT.

Rõ ràng là tất cả những điều này sẽ không cho phép chúng ta làm việc bình thường
với máy tính. Sau một thời gian, a vô số hộp thoại bắt đầu xuất hiện với một thông báo lỗi
đọc cùng một thông báo. Ngoài ra, nếu chúng ta cố gắng đóng những cửa sổ nhỏ này, những
cửa sổ mới sẽ xuất hiện. Cũng cần biết rằng vi rút 000.exe tắt Trình quản lý tác vụ để ngăn
người dùng chấm dứt các quy trình của nó.

● Tìm hiểu về ransomware wannacry

WannaCry là một loại mã độc tống tiền (ransomware), với các tên gọi khác nhau như
WannaCrypt0r 2.0 hay WCry. Phần mềm độc hại này mã hóa dữ liệu của máy tính và ngăn
cản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Các chuyên
gia cho rằng, mã độc này nguy hiểm vì, nó hỗ trợ tin tặc “giữ” dữ liệu của người dùng làm
“con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp. Việc làm này được cho là hiệu
quả hơn việc đánh cắp hoặc xóa đi dữ liệu trên máy tính.
Khi được cài đặt vào máy tính, WannaCry sẽ tìm kiếm các tập tin (thông thường là
các tập tin văn bản) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thông
báo yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu. Mã độc WannaCry khai thác lỗ hổng
của hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) đã nắm giữ. Tội phạm
mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã độc.
Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận được
thông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa. Để khôi phục dữ liệu,
người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấn công.
Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7 ngày, dữ
liệu của người dùng sẽ bị mất. Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị đầy đủ
thông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian và được thể hiện bằng
28 ngôn ngữ khác nhau.
WannaCry có 2 cách thức lây lan chính:

6
 Cách 1: Phát tán qua phương thức thông thường là đính kèm vào các bản “bẻ khóa”
của phần mềm rồi chia sẻ lên các trang web có nhiều người truy cập. Mục đích là để người
dùng tải về và kích hoạt hoặc truy cập vào các trang web độc hại để lây nhiễm mã độc. Về
mặt kỹ thuật, WannaCry phát tán qua các mạng lưới phát tán mã độc và bộ khai thác Exploit
Kit.
Cách 2: Lây lan qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của dịch
vụ SMB mà NSA phát triển bí mật, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh cắp
và phát hành công khai. Cách này đã làm cho WannaCry lây lan một cách nhanh chóng trên
toàn thế giới.
● Tìm hiểu về kĩ thuật ẩn mình cơ bản
Sử dụng Tên và Đường dẫn Giả mạo: Mã độc có thể sử dụng tên tệp và đường dẫn giả
mạo để làm cho nó trông như một tệp hoặc chương trình hợp pháp. Điều này làm cho việc
phát hiện trở nên khó khăn hơn.
Tạo Thay Đổi Trong Registry (Windows): Mã độc có thể tạo các mục registry giả
mạo hoặc thay đổi các giá trị registry để tự khởi động cùng hệ thống. Điều này giúp nó ẩn
mình và khởi động mỗi khi máy tính được bật.
Tự Điểm Đặt Lịch Trình (Cron Jobs Trên Unix/Linux): Trên các hệ điều hành
Unix/Linux, mã độc có thể tự động đặt lịch trình để chạy vào thời gian cố định, làm cho việc
phát hiện trở nên khó khăn.
Sử Dụng Mã Hóa: Mã độc có thể sử dụng mã hóa để che giấu nội dung của nó. Nó sẽ
giải mã nội dung chỉ khi cần thiết để thực hiện chức năng độc hại.
Injecting vào Tiến trình Khác: Mã độc có thể tiêm chính nó vào tiến trình khác chạy
trên hệ thống. Điều này có thể làm cho việc phát hiện trở nên khó khăn hơn vì nó tồn tại dưới
dạng một phần của một tiến trình hợp pháp.
Sử Dụng Giao Tiếp Không Rõ Ràng: Mã độc có thể sử dụng các kênh giao tiếp không
rõ ràng hoặc mã hóa thông tin giao tiếp để tránh bị phát hiện trong quá trình truyền dữ liệu
đến hoặc từ máy chủ điều khiển.
Sử Dụng Kỹ Thuật Anti-Debugging và Anti-Analysis: Mã độc có thể sử dụng các kỹ
thuật để phát hiện khi máy tính đang được kiểm tra hoặc phân tích bởi các công cụ debug
hoặc sandboxing và sau đó thực hiện hành động tương ứng để tránh bị phát hiện.
Thay Đổi Chữ Ký: Mã độc có thể thay đổi các phần của chính nó để tránh sự phát
hiện dựa trên chữ ký của các phần mềm bảo mật.
Tự Xóa Sau Khi Hoàn Thành Nhiệm Vụ: Mã độc có thể được thiết lập để tự xóa
chính nó sau khi hoàn thành mục tiêu độc hại, làm cho việc phát hiện trở nên khó khăn hơn.
Sử Dụng Kỹ Thuật Mã đa Biến: Kỹ thuật mã đa biến làm thay đổi mã độc mỗi lần
chạy, làm cho các chữ ký và phân tích dựa trên mẫu trở nên vô dụng.
Các kỹ thuật này giúp cho mã độc tránh bị phát hiện và nắm quyền kiểm soát trên
máy tính mục tiêu một cách ẩn danh. Để bảo vệ hệ thống, việc sử dụng phần mềm bảo mật,
cập nhật hệ thống, và thực hiện các biện pháp an ninh hợp lý là rất quan trọng.

● Tìm hiểu về Sandbox

Sandbox là một kỹ thuật giúp cô lập các ứng dụng, giúp bảo vệ và không cho các
phần mềm độc hại xâm nhập vào máy tính, điện thoại để hạn chế hỏng hệ thống máy hoặc rò
rỉ các thông tin cá nhân.
Sandbox đóng vai trò là một môi trường dùng để chạy phần mềm và môi trường đó
được kiểm soát nghiêm ngặt và chặt chẽ.

7
 Sandbox sẽ giới hạn chức năng của một đoạn mã nào đó và cấp quyền cho chúng chỉ
được hiện một số chức năng nhất định, không cho nó thực hiện những chức năng khác gây
nguy hại đến máy tính của bạn.

● Giới thiệu về cuckoo sandbox

Cuckoo Sandbox là hệ thống phân tích mã độc tự động mã nguồn mở hàng đầu. Bạn
có thể đưa bất kỳ tệp đáng ngờ nào vào nó và chỉ trong vài phút, Cuckoo sẽ cung cấp một báo
cáo chi tiết về hành vi của tệp khi chạy trong một môi trường cách ly thực tế nhưng ảo.

Mã độc là công cụ đa năng của các kẻ tấn công mạng và bất kỳ kẻ thù nào đối với tập
đoàn hoặc tổ chức của bạn.

Trong thời đại tiến triển này, phát hiện và loại bỏ các dấu vết của mã độc không đủ:
quan trọng là hiểu cách chúng hoạt động để hiểu ngữ cảnh, động cơ và mục tiêu của việc xâm
nhập.

Cuckoo Sandbox là phần mềm miễn phí tự động hóa công việc phân tích bất kỳ tệp
độc hại nào trên Windows, macOS, Linux và Android.

Nó có thể làm gì? Cuckoo Sandbox là hệ thống phân tích mã độc tự động cấp tiến,
cực kỳ mô-đun hóa và 100% mã nguồn mở với vô số cơ hội ứng dụng. Theo mặc định, nó có
khả năng:

+ Phân tích nhiều loại tệp độc hại khác nhau (tệp thực thi, tài liệu văn phòng, tệp PDF,
email, vv) cũng như các trang web độc hại trong môi trường ảo Windows, Linux, mac
OS và Android.
+ Theo dõi các cuộc gọi API và hành vi chung của tệp và trích xuất chúng thành thông
tin cấp cao và chữ ký có thể hiểu được bởi bất kỳ ai.
+ Ghi và phân tích lưu lượng mạng, ngay cả khi bị mã hóa bằng SSL/TLS. Hỗ trợ định
tuyến mạng cơ bản để loại bỏ toàn bộ lưu lượng hoặc định tuyến nó qua InetSIM, một
giao diện mạng hoặc một VPN.
+ Thực hiện phân tích bộ nhớ nâng cao của hệ thống ảo bị nhiễm qua công cụ Volatility
cũng như trên mức bộ nhớ của quá trình sử dụng YARA.

Nhờ tính chất mã nguồn mở và thiết kế mô-đun mạnh mẽ của Cuckoo, bạn có thể tùy
chỉnh bất kỳ khía cạnh nào của môi trường phân tích, xử lý kết quả phân tích và giai đoạn báo
cáo. Cuckoo cung cấp cho bạn tất cả các yêu cầu để dễ dàng tích hợp hệ thống cát hộp vào
khung làm việc và hệ thống sau lưng hiện có của bạn theo cách bạn muốn, với định dạng bạn
muốn, và tất cả điều đó không đòi hỏi bất kỳ yêu cầu về cấp phép nào.

● Giới thiệu về windows sandbox

Windows Sandbox được thiết kế cho mục đích bảo mật và dùng một lần, do đó, khi
bạn đã hoàn thành việc chạy ứng dụng ở chế độ này, toàn bộ Sandbox cũng sẽ bị xóa. Với
Windows Sandbox, bạn sẽ không cần phải thiết lập một máy ảo, nhưng nó sẽ yêu cầu khả
năng ảo hóa được kích hoạt trong BIOS. Microsoft đang cung cấp Windows Sandbox dưới
dạng một tính năng của Windows 10 Pro hoặc Windows 10 Enterprise, và công cụ này rõ
ràng là hướng tới đối tượng người dùng là các doanh nghiệp hoặc những người dùng chuyên
sâu, có nhu cầu cao về bảo mật.

8
 Ngoài ra, cũng sẽ có một tính năng mới khá thông minh, đó là mỗi khi Windows
Sandbox được kích hoạt, nó chỉ đơn giản là tạo ra một bản cài đặt Windows nhẹ (100MB)
mới để chạy ứng dụng. Microsoft sẽ sử dụng trình ảo hóa riêng của mình để tạo ra một nhân
(kernel) riêng biệt, cách ly hoàn toàn với PC chủ. Người dùng Windows 10 sẽ có thể bắt đầu
thử nghiệm tính năng mới này sau khi Microsoft phát hành bản cập nhật 18305 trở về sau.
Các đặc tính của Windows Sandbox:
● Sandbox là một phần của Windows - mọi thứ cần thiết cho tính năng này đều đi
kèm với Windows 10 Pro và Enterprise.
● Nguyên bản - mỗi khi Windows Sandbox được khởi chạy, nó sẽ hoạt động như
một bản cài đặt hoàn toàn mới của Windows, và hoàn toàn “sạch sẽ”.
● Dùng một lần - không có gì được giữ lại, mọi thứ sẽ bị xóa bỏ hoàn toàn sau khi
bạn đóng ứng dụng.
● Bảo mật - Sandbox sử dụng ảo hóa dựa trên phần cứng để cách ly kernel, dựa
trên bộ ảo hóa Microsoft để chạy kernel riêng biệt, đồng thời cũng cách ly
Windows Sandbox khỏi máy tính chủ.
● Hiệu quả - Sandbox sử dụng bộ lập lịch kernel tích hợp, quản lý bộ nhớ và GPU

ảo một cách thông minh.

● Tìm hiểu về công cụ process monitor

- Process Monitor (ProcMon) là một công cụ mạnh mẽ được phát triển bởi Microsoft,
được sử dụng để theo dõi và ghi lại hoạt động liên quan đến tiến trình (process) trên hệ thống
Windows. Nó cho phép bạn xem các sự kiện hệ thống chi tiết liên quan đến tệp, registry,
mạng, tiến trình, và nhiều khía cạnh khác của hoạt động hệ thống.
- Process Monitor thường được sử dụng cho mục đích phân tích hệ thống, gỡ lỗi ứng
dụng, và giám sát hoạt động không mong muốn.
Một số đặc điểm quan trọng của công cụ Process Monitor:
- Real-time Monitoring: Process Monitor cho phép bạn theo dõi các hoạt động hệ thống
và ghi lại sự kiện một cách thời gian thực. Bạn có thể xem các hoạt động ngay lập tức khi
chúng xảy ra trên hệ thống của bạn.
- Sự Kiện Ghi Chép Chi Tiết: ProcMon ghi lại mọi hoạt động chi tiết, bao gồm thông
tin về tệp tin, registry, quyền truy cập, thời gian thực thi, và nhiều thông tin khác. Điều này
giúp bạn phân tích các vấn đề hệ thống chi tiết.

9
- Bộ Lọc Tùy Chọn: Process Monitor cho phép bạn áp dụng các bộ lọc để tìm kiếm
hoạt động cụ thể hoặc tập hợp các sự kiện. Bạn có thể lọc dựa trên quyền, tên tệp, tiến trình,
và nhiều tiêu chí khác.
- Ghi lại Log File: Bạn có thể xuất kết quả ghi lại thành một tệp log để xem lại sau hoặc
để chia sẻ với người khác để giải quyết các vấn đề hệ thống.
- Hỗ Trợ cho Người Dùng Thường Xuyên và Chuyên Gia: ProcMon có giao diện dễ sử
dụng cho người dùng thông thường, nhưng cũng cung cấp tính năng mạnh mẽ để phân tích
sâu hơn cho các chuyên gia.
- Miễn Phí: Process Monitor là một công cụ miễn phí và có sẵn để tải xuống và sử dụng
trên các hệ thống Windows.
- Các chức năng chính của Process Monitor bao gồm:
+ Theo dõi tất cả các hoạt động hệ thống: Process Monitor ghi lại tất cả các sự kiện
hệ thống như tạo, mở, đóng tệp, ghi vào Registry, gọi hàm hệ thống, và nhiều hoạt
động hệ thống khác. Điều này giúp bạn xem được toàn bộ quá trình diễn ra trong hệ
thống.
+ Hiển thị thông tin chi tiết: Công cụ này cung cấp thông tin chi tiết về mỗi sự kiện,
bao gồm đường dẫn tệp, tên tiến trình, mã hóa hệ thống, thời gian thực hiện, và nhiều
thông tin khác. Thông tin chi tiết này giúp bạn theo dõi và phân tích từng hoạt động
một.
+ Ghi lại Thời Gian Thực: Process Monitor hoạt động trong thời gian thực, cho phép
bạn xem các sự kiện hệ thống ngay lập tức khi chúng xảy ra. Điều này giúp bạn kiểm
tra và theo dõi hoạt động hệ thống trong thời gian thực.
+ Hỗ Trợ Cho Trình Theo Dõi Lưu Lượng Mạng: Bạn có thể theo dõi và ghi lại hoạt
động lưu lượng mạng liên quan đến các tiến trình và ứng dụng trên hệ thống.
+ Lọc và tìm kiếm sự kiện: Process Monitor cho phép bạn áp dụng bộ lọc để chỉ hiển
thị các sự kiện cụ thể, giúp làm sạch thông tin và tập trung vào điều bạn quan tâm.
Bạn cũng có thể tìm kiếm sự kiện dựa trên nhiều tiêu chí để nhanh chóng tìm kiếm
thông tin cụ thể.
+ Xuất Kết Quả Ghi Lại: Process Monitor cho phép bạn lưu lại kết quả ghi lại hoạt
động hệ thống thành một tệp log để xem lại sau, phân tích hoặc chia sẻ với người khác.
+ Xác định sự cố và lỗi hệ thống: Process Monitor là một công cụ mạnh mẽ để xác
định và giải quyết các sự cố và lỗi hệ thống. Bằng cách xem các sự kiện hệ thống liên
quan đến một ứng dụng hoặc tiến trình cụ thể, bạn có thể tìm ra vấn đề gốc rễ và thực
hiện các biện pháp sửa chữa.
+ Kiểm tra tác động của phần mềm độc hại: Process Monitor cũng được sử dụng để
phát hiện và phân tích phần mềm độc hại. Bằng cách theo dõi các hoạt động không
thường xuyên hoặc đáng ngờ, bạn có thể phát hiện sự tồn tại của phần mềm độc hại
trên hệ thống.
+ Hỗ trợ trong phát triển ứng dụng: Nhà phát triển phần mềm có thể sử dụng Process
Monitor để theo dõi hoạt động của ứng dụng trong quá trình phát triển và kiểm tra các
vấn đề liên quan đến I/O, Registry, hoặc hành vi tiến trình khác.

● Tìm hiểu về công cụ malwarebyte

- Malwarebytes là một phần mềm bảo mật nổi tiếng khắp thế giới về khả năng chống
lại tất cả các mối đe dọa từ những loại mã độc, virus tinh vi. Tính năng diệt virus của
Malwarebytes được đánh giá hữu hiệu hơn những phần mềm anti-virus truyền thống.
- Malwarebytes có các tính năng sau:
+ Tính năng bảo vệ máy tính khỏi malware: Ứng dụng có khả năng ngăn chặn các
loại phần mềm độc hại đối với máy tính và dữ liệu ở trong đó. Ngăn chặn các phần
mềm gián điệp, malware, trojan, worm, ransomware,…

10
+ Tính năng xác định Virus khác: Xác định một số loại virus khác nhất định không
chỉ malware.
+ Tính năng xác định mối nguy hại: Phương pháp Heuristics, Malwarebytes sẽ có khả
năng xác định xem đối tượng có nguy cơ xâm hại đến máy tính hay dữ liệu hay không.
+ Nhiều tùy chọn quét khác nhau: Nhiều mức độ quét như Threat Scan, Hyper Scan
hay Custom Scan, bạn có thể yên tâm về độ chính xác mà Malwarebytes mang lại.
+ Ngăn chặn tấn công mạng: Ứng dụng được cập nhật thường xuyên, và luôn trong
tình trạng sẵn sàng cho việc ngăn chặn tấn công mạng hay các loại phần mềm độc hại
mới được phát tán,...
+ Cập nhật liên tục: Cập nhật liên tục đảm bảo các công cụ mới các tính năng mới
luôn được update liên tục. Nâng cao hiệu quả bảo vệ của Malwarebytes đối với cơ sở
dữ liệu của người dùng.
- Quy trình quét virus của Malwarebytes trải qua 7 bước:
+ Bước 1: Kiểm tra bản dữ liệu đã cập nhật hay chưa (Check for updates).
+ Bước 2: Chuẩn bị quét (Pre-Scan Operations).
+ Bước 3: Quét bộ nhớ (Scan Memory).
+ Bước 4: Quét file khởi động của Windows (Scan Startup files).
+ Bước 5: Quét Registry (Scan Registry).
+ Bước 6: Quét toàn bộ file hệ thống (Scan File System).
+ Bước 7: Phân tích các hành động khả nghi (Heuristic Analysis).

- Một số lý do mà Malwarebytes có thể phát hiện một tệp là virut có thể bao gồm:
+ Chữ ký chính xác: Malwarebytes có thể có dữ liệu chữ ký của virut trong cơ sở dữ
liệu của nó. Nếu tệp hoặc chương trình trên hệ thống của bạn có chữ ký tương tự hoặc
giống với dữ liệu chữ ký của virus, phần mềm có thể xác định rằng đó là một loại
virut.
+ Hành vi đáng ngờ: Malwarebytes theo dõi hành vi của các tiến trình và ứng dụng.
Nếu một tệp hoặc tiến trình hoạt động theo cách đáng ngờ và tương tự như cách mà
virus thường hoạt động, phần mềm có thể báo cáo rằng đó là một mối đe dọa.
+ Kiểm tra heuristics: Malwarebytes sử dụng thuật toán heuristics để xác định các hoạt
động bất thường có thể liên quan đến phần mềm độc hại. Nếu tệp hoặc tiến trình hiển
thị các đặc điểm bất thường, nó có thể được xem xét là một tiềm ẩn đối tượng độc hại.
+ Cơ sở dữ liệu cập nhật: Phần mềm chống malware thường cập nhật cơ sở dữ liệu
của nó để phát hiện các mối đe dọa mới. Nếu virus mới được phát hiện sau khi bạn
cập nhật Malwarebytes, nó có thể xác định được nó.
 Tìm hiểu về Process Explorer
Process Explorer là một phần mềm miễn phí cho Microsoft
Windows do Sysinternals tạo ra, và được tập đoàn Microsoft mua lại.
Process Explorer là tiện ích theo dõi và kiểm tra hệ thống, có thể sử dụng như một công
cụ gỡ rối cho các phần mềm cũng như các vấn đề phát sinh của hệ thống. Có thể dùng
như một tiện ích thay thế Task Manager của Windows.
Process Explorer có thể được sử dụng để theo dõi về các vấn đề. Ví dụ như, xem tiến
trình nào đang chạy, theo dõi những tệp tin đang được mở bởi các chương trình,
hiện dòng lệnh đã được sử dụng để khởi động chương trình. Nó cũng được dùng
như Task Manager để quản lý tài khoản từng chương trình chiếm dụng, thiết lập mức độ
ưu tiên của từng tiến trình,v.v...

11
 Process Explorer là một trong những tiện ích quản lý vào theo dõi hệ thống sẵn dùng
tại Microsoft Sysinternals website.
Hiện nay Process Explorer làm việc trên Windows XP, Windows Server 2003, Windows
Vista, Windows 7 và các phiên bản sau này của Windows bao gồm cả các phiên bản 64-
bit.
Chức năng
 Xem các quá trình theo cấu trúc cây.
 Có khả năng hiện biểu tượng và tên nhà sản xuất của từng quá trình.
 Có khả năng tạm dừng/tiếp tục một quá trình.
 Diệt một cây quá trình.
 Tìm kiếm dll, tài nguyên đang bị chiếm giữ, giải phóng tài nguyên bị chiếm giử.
 Đặt mức độ ưu tiên cho các tiến trình
 Đồ thị trạng thái ở khay hệ thống
 Khởi chạy các tiến trình với quyền hạn chế/ nâng cao.
 Tìm hiểu về công cụ TCPVIEW
- TCPView có tác dụng là liệt kê các tiến trình có hoạt động giao tiếp với bên ngoài. Công cụ
này tương tự với netstat tuy nhiên nó hiệu quả hơn rất nhiều khi chỉ rõ được ứng dụng nào
đang chạy tiến trình đó
- Người quản trị hệ thống Windows thường xuyên cần phải theo dõi các cổng, dịch vụ, địa
chỉ IP, trạng thái kết nối các hoạt động trong mạng để xác định cổng mạng máy chủ ứng dụng
đang hoạt động, đảm bảo rằng các cổng không bị mở không kiểm soát, hoặc tìm hiểu các
được kết nối tới hệ thống đang truy cập. Người quản trị có thể dùng kết hợp nhiều công cụ
như ngay trong Windows là trình netstat để có được thông tin như vậy, nhưng netstat có một
số hạn chế. Các phiên bản có sẵn trong Windows 2000 và các phiên bản trước đó không có
báo cáo về quá trình liên kết với một thiết bị đầu cuối; các phiên bản tích hợp sẵn trong
Windows Server 2003 và Windows XP cho thấy tiến trình chủ sở hữu các tiến trình
khác(Process ID), nhưng không phải là image name của tiến trình. Những hạn chế này làm
cho khó khăn để xác định tiến trình nào sở hữu một cổng mạng đang mở. Hơn
nữa, netstat không thuận tiện để xem các thay đổi trong giao thức TCP / IP việc sử dụng các
cổng.
- Trong bộ công cụ Sysinternals, phần mềm công cụ TCPView là một ứng dụng miễn phí
chạy trên Windows NT 4.0 và trên các nền tảng NT sau này. Phần mềm hiển thị một tập các
thông tin mà chương trình giống như netstat, hơn thế nữa cung cấp cho người quản trị một
cách dễ dàng theo dõi những thay đổi để sử dụng cổng theo thời gian.

3. Demo
- Wannacry trên cuckoo sandbox
+ Khởi động cuckoo

12
+ Đánh giá mức độ nguy hiểm

+ Thông tin về file

+ Các tiến trình

13
 + Phát hiện registry: HKEY_LOCAL_MACHINE:
Tạo một khóa Registry (khoản nhập trong Registry) trên máy tính. thông tin này mô tả
một tác vụ sử dụng hàm RegCreateKeyExW, một hàm API được sử dụng trong lập trình
Windows để tạo hoặc mở một khóa Registry mới cho phép chạy Wanacrypt0r
NtQueryValueKey là một API hệ điều hành Windows được sử dụng để truy vấn giá
trị của một khóa trong sổ đăng ký.
RegOpenKeyExW là một API hệ điều hành Windows được sử dụng để mở một khóa
trong sổ đăng ký.
RegQueryValueExW là một API hệ điều hành Windows được sử dụng để truy vấn giá
trị của một khóa trong sổ đăng ký.
Một quy trình đã cố gắng truy cập vào các giá trị của khóa "Enable" và
"Disable"trong nhánh "SOFTWARE\Microsoft\Windows\Windows Error
Reporting\Windows Error Reporting" của sổ đăng ký. Quy trình này cũng đã cố gắng truy
cập vào khóa "MartaExtension" trong nhánh
"System\CurrentControlSet\Control\LSA\AccessProviders" của sổ đăng ký.
Khóa "Enable" kiểm soát xem Windows Error Reporting có được bật hay không.
Khóa "Disable" kiểm soát xem Windows Error Reporting có bị tắt hay không. Khóa
"MartaExtension" liên quan đến một tính năng bảo mật của Windows được gọi là "Access
Protection".

14
+ Sử dụng hàm NtAllocateVirtualMemory trong một quá trình hoạt động. Hàm này
thường được sử dụng trong lập trình Windows để cấp phát hoặc quản lý bộ nhớ ảo
cho một quá trình cụ thể. Chiếm bộ nhớ của máy tính.
+ stack_dep_bypass,stack_pivoted, heap_dep_bypass: Đây là các giá trị đến việc kiểm
tra về bảo mật và kỹ thuật gian lận trong việc quản lý bộ nhớ. Chúng cho biết liệu có
những hoạt động đặc biệt nào đó được thực hiện để bypass. Giá trị 0 trong trường hợp
này có thể nghĩa là không có sự bypass.các cơ chế bảo vệ hay không. Giá trị 0 trong
trường hợp này có thể nghĩa là không có sự bypass.

15
+ Đồng bộ hóa:
- NtCreateMutant là một API hệ điều hành Windows được sử dụng để tạo một mutex.
Một mutex là một đối tượng được sử dụng để đảm bảo rằng chỉ một quy trình tại một
thời điểm có thể truy cập vào một tài nguyên.
- NtOpenMutant là một API hệ điều hành Windows được sử dụng để mở một mutex đã
tồn tại.
- GetSystem TimeAsFileTime là một API hệ điều hành Windows được sử dụng để lấy
thời gian hiện tại của hệ thống dưới dạng một số nguyên.

16
+ Tiến trình con

17
—---------------------------
+ Phân tích mạng: Các máy chủ đã được gọi

+ Tiến trình bộ nhớ: Dựa trên danh sách các URL được tìm thấy trong bộ nhớ của tiến
trình chương trình @WanaDecryptor@.exe (với PID là 744), cố gắng phân tích các
hoạt động mạng của chương trình này.

18
19
+ Dropped File: Phát hiện các file mã độc được thả vào trong máy

- Thực thi wannacry trên windows sandbox

+ Mở windows sandbox và thêm các công cụ

20
- Tắt kết nối mạng, Khởi chạy Process và wannacry

+ Khởi động procMon

+ Xem processTree thấy có mã độc

21
+ Tiến hành lọc

22
+ Quét file trên malbyte

23
4: Kết luận:
 Cuckoo Sandbox:
Cuckoo Sandbox là một môi trường sandboxing mở rộng, được sử dụng để phân tích
và xác định các mẫu malware bằng cách chạy chúng trong môi trường cách ly và theo
dõi các hoạt động của chúng.
Chủ yếu được sử dụng cho mục đích nghiên cứu và phân tích malware.
Cuckoo Sandbox có thể chạy trên nhiều hệ điều hành như Linux và Windows, nhưng
nó thường được triển khai trên Linux.
 Windows Sandbox: Windows Sandbox là một công cụ cung cấp một môi trường
sandbox để chạy ứng dụng Windows mà bạn không tin tưởng, hoặc để thử nghiệm
ứng dụng trước khi cài đặt chúng trên hệ thống chính. Nó hữu ích cho mục đích đảm
bảo tính an toàn và sự cô đặc của các ứng dụng.
Cung cấp môi trường cách ly đơn giản để chạy ứng dụng Windows mà bạn không tin
tưởng.
Windows Sandbox chỉ hoạt động trên hệ điều hành Windows 10 và phiên bản sau này.
 Process Monitor:
- Một công cụ giám sát và ghi lại tất cả các hoạt động liên quan đến tiến trình
trên hệ thống.
- Cung cấp thông tin chi tiết về các sự kiện hệ thống, bao gồm tệp, đăng ký và
mạng.
- Hữu ích trong việc gỡ lỗi, theo dõi và phân tích vấn đề liên quan đến quá trình
hoạt động của các ứng dụng và tiến trình trên máy tính.
 Process Explorer:
- Một tiện ích tác động trực tiếp đến các tiến trình và hiển thị thông tin chi tiết
về chúng.

24
 - Cho phép người dùng tìm hiểu các tiến trình, thớt tài nguyên hệ thống, và
kiểm tra thông tin về các thao tác của tiến trình.
- Thường được sử dụng để quản lý và kiểm tra tiến trình hoạt động trên máy
tính.
 TCPView:
- Công cụ hiển thị danh sách các kết nối mạng đang hoạt động trên máy tính.
- Cho phép người dùng theo dõi các kết nối TCP và UDP, bao gồm cả địa chỉ IP
và cổng liên quan.
- Hữu ích trong việc kiểm tra và quản lý các kết nối mạng trên hệ thống.

5: Phụ lục DEMO

- Bùi Quang Anh – B20DCAT003 – InfiniteCrypt.exe

- Nguyễn Đăng Tuấn Bảo - B20DCAT015 - Xmoon.exe

- Đào Văn Chung – B20DCAT027 - $uckyLocker.exe

-Ninh Văn Cường-B20DCAT023 -Demo-Grandcrap

25