Tuesday, February 26, 2008

การวิเคราะห์ไวรัสจากระยะไกล-ตอนที่ 2 - Anubis

หลังจากบทความก่อน ผลจากการวิเคราะห์นั้นเป็นเพียงชื่อของไวรัสเท่านั้น ถ้าหากว่าต้องการทราบถึงสิ่งที่ไวรัสหรือไฟล์ที่ต้องสงสัยนั้นทำอันตรายหรือมีพฤติกรรมอย่างไรต่อเครื่องคอมพิวเตอร์แล้วจำเป็นต้องใช้เครื่องมืออื่นเข้ามาช่วย ซึ่งในบทความนี้จะแนะนำเว็บที่จะได้ผลออกมาเป็นข้อมูลทางเทคนิคของโปรแกรมต้องสงสัยว่ามีการทำงานอย่างไร

Anubis - Analyzing Unknown Binaries (http://analysis.seclab.tuwien.ac.at/)

เป็นเครื่องมือที่ถูกวิจัยและพัฒนาโดย Secure Systems Lab แห่ง Vienna University of Technology ประเทศออสเตรีย ซึ่งมีความสามารถในการวิเคราะห์พฤติกรรมของโปรแกรมต่างๆได้โดยอัพโหลดไฟล์ที่สามารถเอ็กซิคิวต์ได้ไปยังเว็บไซต์นี้ จากนั้นจะมีการทดสอบแล้วจึงรายงานผลการทดสอบออกมา ผู้พัฒนาเองยังได้กล่าวไว้ในเว็บไซต์ว่าเครื่องมือนี้จะเน้นในการวิเคราะห์พฤติกรรมของไวรัส และเปิดให้ใช้บริการฟรี

จากข้อมูลในเว็บไซต์ได้มีการเปรียบเทียบให้เห็นความแตกต่างของความสมารถของเครื่องมือสามชนิดได้แก่ Norman Sandbox CWSandbox และ Anubis ซึ่งก็เป็นปกติของเจ้าของเครื่องมือที่จะโฆษณาว่าเครื่องมือของตนเองนั้นดีที่สุด แต่เมื่อได้ทดลองใช้งานพบว่า Anubis เป็นเครื่องมือที่ใช้ในการทดสอบไวรัสจากระยะไกลที่ดีมาก วิธีการใช้งานง่าย มีรายงานที่อ่านเข้าใจง่าย โดยวิธีการใช้งานคร่าวๆ คือเข้าสู่เว็บไซต์ http://analysis.seclab.tuwien.ac.at/ ทำการอัพโหลดไฟล์เข้าไป แล้วต้องใส่รหัสที่เป็นรูปภาพเข้าไปด้วย จากนั้นกดปุ่ม Submit for Analysis แล้วรอผลการทดสอบ เท่านั้นก็เป็นอันเสร็จสิ้นวิธีการวิเคราะห์ไวรัสจากระยะไกลด้วยเครื่องมือ Anubis




สรุป เครื่องมือ Anubis เป็นเครื่องมือฟรีที่จัดได้ว่ามีความสามารถดีมากเครื่องมือหนึ่ง ในบทความต่อไปจะแนะนำเครื่องมืออื่นๆ อีก เพื่อเป็นทางเลือกสำหรับการวิเคราะห์พฤติกรรมของไวรัสจากระยะไกลได้
เขียนโดย ที่ No comments:
ป้ายกำกับ:

Friday, February 22, 2008

การวิเคราะห์ไวรัสจากระยะไกล-ตอนที่ 1

การวิเคราะห์ไวรัสจากระยะไกล คือการส่งไวรัสไปให้หน่วยงานหรือผู้ให้บริการวิเคราะห์ไวรัสทำการทดสอบ แล้วรายงานผลกลับมาให้ผู้ส่งไวรัสไปทดสอบ ซึ่งวิธีนี้มีข้อดีคือผู้ทดสอบไม่จำเป็นต้องติดตั้งระบบ ไม่ต้องลงทุนระบบมากมาย เพียงแต่จำเป็นต้องมีการเชื่อมต่ออินเทอร์เน็ตไว้ และอันตรายที่อาจเกิดขึ้นกับเครื่องใช้งานหลักที่จะต้องเป็นที่เก็บไวรัสไว้ ถ้าหากว่าูผู้ทดสอบไม่มีความชำนาญมากพอ ก็อาจทำให้เครื่องใช้งานหลักถูกไวรัสคุกคามได้ ซึ่งนี้เป็นข้อด้อยที่สำคัญอย่างยิ่งสำหรับการวิเคราะห์ไวรัสจากระยะไกล

การวิเคราะห์ไวรัสจากระยะไกลนี้ อยากจะขอแนะนำเว็บไซต์ที่ให้บริการทดสอบไวรัสให้อย่างอัตโนมัติ ซึ่งในบทความตอนนี้จะแนะนำเว็บ http://www.virustotal.com เว็บนี้มีจุดเด่นคือเป็นเว็บที่จะทดสอบว่าไฟล์ไวรัสที่ส่งเข้าไปทดสอบนั้น มีชื่อว่าอะไร โดยทดสอบกับโปรแกรมป้องกันไวรัสที่ปรับปรุงฐานข้อมูลล่าสุด จำนวน 32 โปรแกรม ซึ่งวิธีการใช้งานเว็บไซต์ดังกล่าวมีดังนี้


รูปที่ 1 หน้าแรกของเว็บไซต์ ซึ่งมีช่องให้ทำการอัพโหลดไฟล์สำหรับทดสอบ

รูปที่ 2 กำลังส่งไฟล์เพื่อทดสอบ

รูปที่ 3 บอกว่าอัพโหลดไฟล์สมบูรณ์และทำการวิเคราะห์เรียบร้อยแล้ว

รูปที่ 4 แสดงผลการทดสอบ

สรุป เว็บไซต์ http://www.virustotal.com เป็นเว็บไซต์สำหรับทดสอบไฟล์ที่ต้องสงสัยว่าเป็นไวรัสหรือไม่ ถ้าเป็น มีชื่อไวรัสว่าอะไร โดยเปรียบเทียบกับโปรแกรมป้องกันไวรัสที่ถูกปรับปรุงฐานข้อมูลไวรัสล่าสุด ในบทความต่อไปจะแนะนำเว็บสำหรับทำการวิเคราะห์ไวรัสให้ได้มาซึ่งพฤติกรรมของไวรัส ไม่ใช่แค่ชื่อของไวรัสเฉกเช่นเดียวกับเว็บไซต์ที่แนะนำไว้ในบทความนี้
เขียนโดย ที่ No comments:
ป้ายกำกับ:

20080216 P'Apple & P'Wat Wedding




งานแต่งพี่เปิ้ลกับพี่วัตน์ เป็นพี่สาวของแฟนเพื่อนสนิทของผม ฟังดูแล้วงงมั๊ยหล่ะ ฮ่าๆๆ งานดีเจ้าสาวขอชมเลยว่าแอคทีฟมาก หากิจกรรมมาเล่นในงานแต่งให้ดูบรรยากาศเหมือนงานเลี้ยงรุ่นจริงๆ เนื่องจากเจ้าสาวเพื่อนเยอะมาก ไฮไลท์ของงานนี้ที่ผมประทับใจคือ เจ้าสาวกลัวเพื่อนจะไม่ได้แต่งงานเลยมัดช่อดอกไม้เล็กๆไว้สิบช่อ แล้วรวมเป็นช่อเดียวตอนถือ แต่พอโยนดอกไม้ สาวๆสิบคนที่โชคดีจะได้รับดอกไม้ เพื่อรอเข้าคิวแต่งงานคู่ต่อไป นอกจากนี้เจ้าสาวยังคิดให้มีการจับฉลากผู้โชคดีมารับของรางวัลอีกด้วย ดูแล้วเป็นกันเอง ครื้นเครงดีมากมาย ประทับใจครับ

ผลงานเป็นไงนั้นติชมได้เช่นเดิมนะครับ
เขียนโดย ที่ 6 comments:
ป้ายกำกับ: ,

Sunday, February 17, 2008

การวิเคราะห์ไวรัส - บทนำ

ในปัจจุบันจำนวนไวรัสคอมพิวเตอร์เพิ่มจำนวนขึ้นอย่างมาก และมีเทคนิคในการแพร่กระจายอย่างรวดเร็วมาก ทำให้โปรแกรมป้องกันไวรัสไม่สามารถปรับปรุงฐานข้อมูลได้ทันเวลา และอาจก่อให้เกิดความเสียหายต่อระบบเครือข่ายได้ ดังนั้นการวิเคราะห์ไวรัส (Malware Analysis) จึงเข้ามามีความจำเป็นอย่างมากในปัจจุบัน ซึ่งเป็นกระบวนการหนึ่งที่ใช้ในการศึกษาว่าไวรัสนั้นทำงานได้อย่างไร เพื่อจุดประสงค์ในการสร้างลายเซ็นต์หรือฐานข้อมูลของไวรัสสำหรับโปรแกรมป้องกันไวรัสต่างๆ พร้อมทั้งหาวิธีการแก้ไขเบื้องต้นและวิธีการป้องกันไวรัสได้ ซึ่งวิธีการวิเคราะห์นั้นก็มีหลากหลายวิธีและแต่ละวิธีก็มีความยากง่ายแตกต่างกันได้แก่
  1. Static Analysis เป็นวิธีการวิเคราะห์ในระดับเบื้องลึกของโค้ด โดยการศึกษาด้วยวิธีวิศวกรรมย้อนกลับ (Reverse Engineering) ซึ่งผู้ที่จะใช้วิธีนี้จำเป็นต้องอาศัยทักษะด้านการเขียนโปรแกรมแอสเซมบลีอย่างมาก จึงจะสามารถวิเคราะห์ได้
  2. Dynamic Analysis เป็นวิธีการวิเคราะห์ด้วยพฤติกรรมของไวรัส ศึกษาว่าไวรัสมีความสามารถในการทำอันตรายต่อระบบอย่างไรบ้าง มีการสร้างไฟล์หรือลบไฟล์อะไร รวมทั้งมีการส่งข้อมูลผ่านทางระบบเครือข่ายหรือไม่ ฯลฯ วิธีนี้จำเป็นต้องอาศัยทักษะด้านการใช้งานคอมพิวเตอร์และระบบปฏิบัติการค่อนข้างสูง แต่วิธีการนี้ยังง่ายกว่าวิธี Static ในบทความต่อๆไป จะสอนวิธีการวิเคราะห์ด้วยวิธีนี้ ซึ่งเป็นวิธีที่ผมศึกษามานานแล้ว
  3. Hybrid เป็นวิธีที่รวมเอาทั้งสองวิธีมารวมกัน

นอกจากนี้วิธีการวิเคราะห์ไวรัสเองอาจสามารถทำได้จากทั้งระยะไกล (คืออัพโหลดไฟล์ไวรัสไปยังเว็บไซต์ที่ให้บริการ ผลที่ได้คือรายงานว่าไวรัสดังกล่าวมีการทำงานอย่างไร) และระยะใกล้ (คือการวิเคราะห์พฤติกรรมของไวรัสที่เครื่องสำหรับทดสอบเอง ซึ่งจำเป็นต้องมีการติดตั้งระบบสำหรับทดสอบด้วย)

สรุปการวิเคราะห์ไวรัสมีความสำคัญมากในปัจจุบัน ในบทความต่อไปจะกล่าวถึงวิธีการวิเคราะห์ไวรัสจากระยะไกล

เขียนโดย ที่ No comments:
ป้ายกำกับ:

20070610 Condo




เคยรับงานถ่ายภาพคอนโด ฮ่าๆๆ งานแรก และก็ไม่ค่อยได้เรื่องสักเท่าไหร่เลย แต่ก็หนุกดี ไม่เคยทำมาก่อน
เขียนโดย ที่ 14 comments:
ป้ายกำกับ: ,

20080126 Joom Lee Wedding




แยกไม่ออกว่านี่คืองานแต่งงานหรืองานเลี้ยงรุ่น ฮ่าๆๆ เจ้าบ่าวเจ้าสาวอยู่บนเวที แต่ข้างล่างคุยกันยังกับมางานเลี้ยงรุ่น ฮ่าๆๆ

เอ้า.... ว่ากันไป ยินดีด้วยนะเพื่อนรัก มีหลานให้อุ้มไวๆนะ
ส่วนพวกที่ยังโสด ก็คงร้องเพลงว่า "แล้วฉันจะตามไป....."

เขียนโดย ที่ 16 comments:
ป้ายกำกับ: ,

May Graduation ABAC 2008




น้องสาวผมเองครับ เหอๆ งานนี้ก็ถ่ายมั่วอีกเช่นเคย เอิ๊กๆๆ คัดรูปที่พอดูได้มาแค่นี้อ่ะคับ
เขียนโดย ที่ 12 comments:
ป้ายกำกับ: ,

20071201 Bangkok Music Fest 2007




จริงๆแล้ววันนั้นไปถ่ายมาเยอะกว่านี้ แต่เนื่องจากน้องที่หอเขาอยากได้รูปกอล์ฟไมค์ เลยจะมีแค่นี้ ฮ่าๆๆ เพราะขี้เกียจแต่งรูป

ปล. กอล์ฟไมค์จะร้องเพลงนิ่งๆไม่ได้เหรอไงเนี่ย โดดไปโดดมา ใครจะไปถ่ายทัน ชุดนี้ส่องด้วย 70-200 f2.8 Sigma
เขียนโดย ที่ 6 comments:
ป้ายกำกับ: ,

Friday, February 08, 2008

The Face of Malware.

Have you ever seen face of malware? Last week I read the news about Drawing a (Scary) Face on Malicious Software. The Romanian artist,Alex Dragulescucreated his so-called "threat art" in conjunction with live malware intercepted by e-mail security firm MessageLabs. He creates a variety of threat such as Malwarez, spam, and botnet ,etc.

Malwarez is a series of visualization of worms, viruses, trojans and spyware code. For each piece of disassembled code, API calls, memory addresses and subroutines are tracked and analyzed. Their frequency, density and grouping are mapped to the inputs of an algorithm that grows a virtual 3D entity. Therefore the patterns and rhythms found in the data drive the configuration of the artificial organism.




























from top to bottom:
Stormy (Worm), PWSLineage (Trojan) , MyDoom, Russian3 (Spam),IRCbot (BotNet), Virutmytob (Virus).



เขียนโดย ที่ No comments:
Subscribe to: Posts (Atom)