Đầu tiên, chúng tôi sẽ giải thích những gì phần mềm độc hại là trên một máy chủ. Bằng cách này, chúng tôi sẽ hiểu làm thế nào bạn có thể khiến chúng tôi gặp rủi ro. Về cơ bản chúng ta có thể nói rằng nó có nghĩa là chuyển đổi một mã sạch thành một mã mới. Mã obfuscation sẽ cho kết quả chính xác như mã gốc, tuy nhiên theo cách này, mã nguồn sẽ không thể đọc được bằng mắt người. Thường được sử dụng cho mã thoát, ngân hàng, giấy phép, vv
Điều này đã cho chúng ta một ý tưởng về sự nguy hiểm của obfuscation trên một máy chủ. Những gì nó làm là người dùng không thực sự biết liệu mã đó có thể độc hại và khiến chúng ta gặp rủi ro hay thực sự là một cái gì đó hợp pháp. Rốt cuộc, nó có phần bị ẩn đi, mà chúng ta không thể thực sự đọc được ý nghĩa của nó và nó có thể ảnh hưởng đến chúng ta như thế nào.
Bảo vệ công cụ đã tinh chỉnh cách họ phát hiện loại phần mềm độc hại này. Tuy nhiên, nó không phải lúc nào cũng hiệu quả, vì nó thường gặp phải dương tính giả. Tất nhiên, với thời gian trôi qua, các chương trình và phương pháp mà chúng ta có thể sử dụng ngày càng phù hợp và giảm số lượng dương tính giả.
Cách phát hiện phần mềm độc hại obfuscation trên máy chủChúng tôi đã giải thích phần mềm độc hại obfuscation là gì và bây giờ chúng ta sẽ nói về những gì chúng ta có thể làm để phát hiện nó trên máy chủ. Chúng ta đã biết rằng bảo mật là một yếu tố cơ bản và đó là điều mà chúng ta phải quan tâm ở tất cả các cấp.
Như chúng tôi đã chỉ ra các phương pháp truyền thống, chẳng hạn như chống vi-rút, chúng không phải lúc nào cũng hiệu quả trong việc tìm kiếm các loại vấn đề này. Mã nguồn trong nhiều trường hợp không được phát hiện là mối đe dọa thực sự và điều đó có nghĩa là giảm sự phát hiện.
Một lựa chọn là kỹ thuật phát hiện dựa trên chữ ký tập tin. Những gì nó làm là thu thập dữ liệu hệ thống tập tin sử dụng các hàm PHP thường được sử dụng trong phần mềm độc hại. Bằng cách này, chúng tôi có thể phát hiện danh sách các obfuscators có thể ảnh hưởng đến an ninh.
Ngoài ra còn có tùy chọn hàm băm , được tạo ra như một sự tăng cường. Nó nổi lên như việc tìm kiếm sự trùng khớp chính xác giữa việc thu thập mã và phần mềm độc hại sạch đòi hỏi nhiều tài nguyên. Vì vậy, một giải pháp tương tự đã được tạo ra, nhưng nhanh hơn. Với hàm băm, chúng ta có thể đưa ra một chuỗi hoặc một tệp và nó sẽ tạo ra một chuỗi có độ dài cố định. Mỗi khi mã giống nhau, nó sẽ tạo ra hàm băm giống nhau từ mã đó. Các kỹ thuật băm nổi tiếng nhất là MD5 và SHAx.
Nhưng tất nhiên vấn đề là tin tặc nhận ra rằng khá dễ dàng để tìm ra cửa sau với các phương thức phát hiện này. Nó là đủ để thay đổi 1 byte, ví dụ, thêm một khoảng trắng và hàm băm sẽ hoàn toàn khác nhau để công cụ chống phần mềm độc hại không nhận ra nó
Một cách khác là khớp mẫu. Kỹ thuật này dựa trên việc tạo ra một số chuỗi và cố gắng khớp chúng trong tệp. Tuy nhiên, nó rất dễ dàng để đi qua dương tính giả.