Luận Văn Tìm Hiểu Phương Pháp Phát Hiện Phần Mềm Cài Cắm Để Chặn Thu Tin Bí Mật Qua Mạng Internet

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUẢN LÝ VÀ CÔNG NGHỆ HẢI PHÒNG ------------------------------- ĐỒ ÁN TỐT NGHIỆP NGÀNH: CÔNG NGHỆ THÔNG TIN Sinh viên : LÊ ĐỨC PHÚ Giảng viên hướng dẫn: T.S HỒ VĂN CANH HẢI PHÒNG – 2021 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUẢN LÝ VÀ CÔNG NGHỆ HẢI PHÒNG ----------------------------------- TÌM HIỂU VÀ XÂY DỰNG MỘT PHƯƠNG PHÁP PHÁT HIỆN PHẦN MỀM CÀI CẮM ĐỂ CHẶN THU TIN BÍ MẬT QUA MẠNG INTERNET ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY NGÀNH: CÔNG NGHỆ THÔNG TIN Sinh viên : LÊ ĐỨC PHÚ Giảng viên hướng dẫn: T.S HỒ VĂN CANH HẢI PHÒNG – 2021 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUẢN LÝ VÀ CÔNG NGHỆ HẢI PHÒNG -------------------------------------- NHIỆM VỤ ĐỀ TÀI TỐT NGHIỆP Sinh viên: Lê Đức Phú Mã SV: 1412402054 Lớp : CT2001C Ngành : Công nghệ Thông tin Tên đề tài: TÌM HIỂU VÀ XÂY DỰNG MỘT PHƯƠNG PHÁP PHÁT HIỆN PHẦN MỀM CÀI CẮM ĐỂ CHẶN THU TIN BÍ MẬT QUA MẠNG INTERNET NHIỆM VỤ ĐỀ TÀI 1. Nội dung và các yêu cầu cần giải quyết trong nhiệm vụ đề tài tốt nghiệp - Nghiên cứu cơ chế hoạt động của một phần mềm từ đối tượng tình báo điện tử cài cắm, những dấu hiệu khi máy tính cá nhân bị cài cắm. Trên cơ sở đó đưa ra những kết luận và từ đó, đề xuất một phương pháp phát hiện và xử lý phần mềm cài cắm - Nắm được tổng quan về máy tính và chương trình máy tính, mạng Internet, vấn đề thu tin công khai và thu tin bí mật - Nắm được tổng quan về hệ điều hành Windows, PE file và Windows Registry - Phương pháp phát hiện phần mềm cài cắm với mục đích thu tin bí mật 2. Các tài liệu, số liệu cần thiết - Microsoft Corp. (2002), Microsoft Computer Dictionary - Fifth Edition - Andrew S. Tanenbaum, Modem Operating System 2nd Edition - www.net, Portable Excutable File Format - www.net, Cracker Handbook 1.0 - John Chirillo, Hack Attacks Revealed - A Complete Reference with Custom Security Hacking Toolkit. - Jonathan Read from anti-trojan.org, "Spyware Explained". - Department of Communications, Information Technology and Arts, Australian Government, "Taking care of spyware". - Dinesh Sequeira, Tipping Point, a division of 3Com, "Understanding and Preventing Spyware in the Enterprise". - Trend Micro Incorporated Technical Note July 200f, "Spyware - A hidden threat". - Francois Paget - McAfee AVERT - Senior Virus Research Engineer, tại AV AR International Conference 2005, "Free Adware & Spyware Detection/Cleaning Tips and Techniques". - Aaron Hackthworth - US CERT (2005), Spyware. - Kris Kaspersky (2003), Hacker Disassembling Uncovered. - Vlad Pirogov (2006), A List Publishing Disassembling Code IDA Pro and SoftICE. - Mike Shema, Chris Davis, Aaron Philipp and David Cowen McGrawHill/Osbome (2006), Anti-Hacker Tool Kit - 3rd Edition. - Ed Skoudis and Lenny Zeltser (2003), Malware: Fighting Malicious Code 3. Địa điểm thực tập tốt nghiệp Công ty cổ phân giải pháp công nghệ Năm Sao CÁN BỘ HƯỚNG DẪN ĐỀ TÀI TỐT NGHIỆP Họ và tên : Hồ Văn Canh Học hàm, học vị : Tiến sĩ Cơ quan công tác : Bộ công an Nội dung hướng dẫn: Xây dựng một phương pháp phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng Internet Đề tài tốt nghiệp được giao ngày …. tháng … năm 2021 Yêu cầu phải hoàn thành xong trước ngày 31 tháng12 năm 2021 Đã nhận nhiệm vụ ĐTTN Đã giao nhiệm vụ ĐTTN Sinh viên Giảng viên hướng dẫn Hải Phòng, ngày tháng năm 2021 TRƯỞNG KHOA CỘNG HềA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc PHIẾU NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN TỐT NGHIỆP Họ và tên giảng viên: ………………………………………………………………………… Đơn vị công tác: ……………………………………………………………………………… Họ và tên sinh viên: ……………………………… Ngành:. Nội dung hướng dẫn: …………………………………………………………………………. Tinh thần thái độ của sinh viên trong quá trình làm đề tài tốt nghiệp . Đánh giá chất lượng của đồ án/khóa luận (so với nội dung yêu cầu đó đề ra trong nhiệm vụ Đ.N trên các mặt lý luận, thực tiễn, tính toán số liệu…) . Ý kiến của giảng viên hướng dẫn tốt nghiệp Đạt Không đạt Điểm:……………. Hải Phòng, ngày … tháng … năm 2021 Giảng viên hướng dẫn CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc PHIẾU NHẬN XÉT CỦA GIẢNG VIÊN CHẤM PHẢN BIỆN Họ và tên giảng viên: …………………………………………………………………… Đơn vị công tác: ………………………………………………………………………. Họ và tên sinh viên: ……………………………… Ngành: …………………………… Đề tài tốt nghiệp:………………………………………………………………………. Phần nhận xét của giảng viên chấm phản biện . Những mặt còn hạn chế . Ý kiến của giảng viên chấm phản biện Đạt Không đạt Điểm:……………. Hải Phòng, ngày … thỏng … năm 2021 Giảng viên chấm phản biện Phượng pháp phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng internet Mục Lục CHƯƠNG 1: TỔNG QUAN . Máy tính và hoạt động của máy tính .2 Quá trình khởi động Windows và hoạt động của chương trình trên nền Windows . Giao diện lập trình ứng dụng Windows (Win32 Application Programming Interface) . Định dạng file thực thi khả chuyển (Portable Executable file format) và quá trình thực thi PE file . Registry của hệ điều hành Windows . Tổng quan về mạng Internet và phần mềm gián điệp (Spyware) . Tổng quan về mạng Internet . Phần mềm gián điệp (Spyware) . Hợp ngữ (Assembly Language) và Reverse Engine . Vấn đề thu tin trên mạng Internet . Vấn đề thu tin công khai . Vấn đề thu tin bí mật . Hack để thu tin . Cài cắm phần mềm thu tin . 37 PHÂN TÍCH MỘT TRƯỜNG HỢP CỤ THỂ . Phân tích hiện trường . Bảo vệ hiện trường . Tìm kiếm module gây nên hiện tượng nghi vấn. Đánh giá, kết luận . 63 KINH NGHIỆM RÚT RA VÀ ĐỀ XUẤT . Kinh nghiệm rút ra . 63 6 Phượng pháp phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng internet 3. Xây dựng môi trường phân tích . Quy trình phân tích . Giải pháp khắc phục hậu quả và bịt kín sơ hở . Các phương án xử lý phần mềm cài cắm . 67 7 Phượng pháp phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng internet Lời cảm ơn Trước hết, em xin gửi lời cảm ơn sâu sắc tới TS Hồ Văn Canh, người đã gợi mở và hướng dẫn em đi vào tìm hiểu đề tài: “Phương pháp phát hiện phần mềm cài cắm với mục đích thu tin bí mật trên mạng Internet”, người đã hết lòng giúp đỡ, hướng dẫn để em hoàn thành đồ án này. Em xin cảm ơn các Thầy, Cô trong Khoa Công nghệ Thông tin, Ban giám hiệu, Phòng ban trong trường Đại học Quản lý và Công nghệ Hải Phòng đã dạy dỗ, dìu dắt và động viên chúng em từ những ngày đầu chập chững bước chân vào cổng trường Đại học. Thầy, Cô đã tạo cho chúng em môi trường học tập, những điều kiện thuận lợi cho chúng em học tập tốt, trang bị cho chúng em những kiến thức quý báu giúp chúng em có thể vững bước trong tương lai. Xin cảm ơn các bạn đã giúp đỡ, cùng chia sẻ kinh nghiệm học tập trong suốt những năm tháng tại HPU. 8 Phượng pháp phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng internet MỞ ĐẦU 1. Tính cấp thiết của đề tài Hơn mười năm thâm nhập vào Việt Nam, Internet nhanh chóng tạo ra những biến đổi lớn trên nhiều mặt. Đời sống văn hóa trở nên đa dạng, phong phú hơn với nhiều nguồn thông tin từ mạng. Nền khoa học công nghệ nước nhà từng bước hiện đại. Ứng dụng công thông tin được triển khai rộng rãi. Tuy nhiên, cùng với những thuận lợi mà Internet mang đến, chúng ta cũng phải đối mặt với không ít khó khăn. Đó là những nguy cơ về văn hóa phi lành mạnh, nguy cơ từ các chương trình độc hại (virus, trojan, keylogger,…), lừa đảo trực tuyến, tội phạm công nghệ cao… Các chương trình độc hại thường được tạo ra với nhiều mục đích như đùa nghịch, phá hoại… và nhiều khi được cài cắm vào mất tính để thu thập những thông tin. Chúng thường hoạt động dưới chế độ ẩn (background) do đó rất khó nhận biết. Lợi dụng đặc điểm này, cơ quan đặc biệt của nhiều quốc gia đã sử dụng phần mềm cài cắm để thu tin bí mật, do đó rất khó để phát hiện và đấu tranh. Vấn đề phát hiện và xử lý các phần mềm cài cắm đã được tiến hành từ lâu nhưng việc nghiên cứu và ứng dụng vấn đề này vào công tác nghiệp Công an thì hầu như rất ít. Nhận thấy đây là một vấn đề hay và mới lạ, em đã chọn đề tài: “ Phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng internet ’’ để làm đồ án tốt nghiệp, mong muốn áp dụng những kiến thức đã học vào thực tiễn. Mục đích và nhiệm vụ nghiên cứu - Nghiên cứu cơ chế hoạt động của phần mềm cài cắm, dấu hiệu khi bị cài cắm, từ đó nêu ra những đánh giá, kết luận. - Tổng kết kinh nghiệm, đề xuất phương pháp phát hiện và xử lý phần mềm cài cắm. 9 Phượng pháp phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng internet 3. Phạm vi nghiên cứu - Tổng quan về máy vi tính và chương trình máy tính, mạng Internet, vấn đề thu tin công khai và thu tin bí mật. - Tổng quan về hệ điều hành Windows, PE file và Windows Registry. - Định nghĩa, đặc điểm, phương pháp phát hiện và xử lý phần mềm cài cắm với mục đích thu tin bí mật. - Lập trình hợp ngữ (Assembly) và phương phát Reverse Engine, phân tích registry của hệ điều hành Windows, sử dụng các công cụ để phân tích hành vi của phần mềm. 10 Phượng pháp phát hiện phần mềm cài cắm để chặn thu tin bí mật qua mạng internet CHƯƠNG 1: TỔNG QUAN 1. Máy tính và hoạt động của máy tính Máy tính hay máy vi tính là một thiết bị độc lập được trang bị các phần mềm, tiện ích cùng với các thiết bị vào ra, các thiết bị ngoại vi khác để thực hiện tính toán hay kiểm soát các hoạt động mà có thể biểu diễn dưới dạng số hay quy luật logic. Máy tính được lắp ghép bởi các thành phần có thể thực hiện các chức năng đơn giản đã định nghĩa trước (Chia ra làm 2 loại là phần cứng và phần mềm). Quá trình tác động tương hỗ phức tạp của các thành phần này tạo cho máy tính một khả năng xử lý thông tin. Nếu được thiết lập chính xác (thông thường bởi các chương trình máy tính) máy tính có thể mô phỏng lại một số khía cạnh của một vấn đề hay của một hệ thống. Trong trường hợp này, khi được cung cấp một bộ dữ liệu thích hợp nó có thể tự động giải quyết vấn đề hay dự đoán trước sự thay đổi của hệ thống.