1.Vì sao cần phải học phân tích mã độc?

Năm 2025 khép lại với con số gần như không tưởng: các hệ thống antivirus toàn cầu ghi nhận trung bình hơn 850.000 mẫu mã độc mới mỗi ngày. Con số đó, nếu đem chia cho 24 giờ, nghĩa là cứ mỗi giây trôi qua lại có khoảng 10 mẫu mới được đẩy vào hệ sinh thái. Không có đội ngũ con người nào có thể ngồi bóc tách từng mẫu một.

1.png

Số mẫu mã độc mới được ghi nhận tăng gần như đều đặn suốt thập kỷ qua. Nguồn: tổng hợp từ báo cáo AV-TEST, MITRE và ENISA Threat Landscape 2025.

Nhưng tại sao sinh viên an toàn thông tin vẫn cần học phân tích mã độc một cách thủ công, khi máy móc đã làm hầu hết công việc đếm, phát hiện và phân loại? Câu trả lời nằm ở một sự thật đơn giản: máy móc chỉ giỏi trong vùng đã biết. Khi một chủng mã độc hoàn toàn mới xuất hiện. Stuxnet năm 2010, NotPetya năm 2017, hay gần đây là các biến thể ransomware dùng AI để sinh biến thể theo thời gian thực. việc hiểu chính xác nó làm gì, tại sao làm như vậy, và ai có thể đứng sau vẫn phải do con người đảm nhiệm.

Phân tích mã độc vừa là một nghề, vừa là một kỹ năng nền của toàn bộ ngành an toàn thông tin. Người làm incident response cần biết đọc mẫu để hiểu kẻ tấn công đã vào bằng đường nào. Người làm threat intelligence cần bóc tách mẫu để trích xuất các chỉ dấu IOC chia sẻ cho cộng đồng. Người làm detection engineering cần hiểu hành vi của mẫu để viết luật phát hiện cho SIEM hay EDR. Và người làm nghiên cứu học thuật cần bộ dữ liệu mẫu đã được nhãn hóa để huấn luyện các mô hình phân loại thế hệ mới.

2.Khái niệm cơ bản

2.1. Mã độc là gì?

Thuật ngữ malware là cách gọi tắt của malicious software, tức phần mềm độc hại. Trong tài liệu học thuật, định nghĩa được chấp nhận rộng rãi nhất là:

Mã độc là một chương trình hoặc đoạn mã được thiết kế có chủ đích nhằm thực hiện hành vi gây hại đối với hệ thống máy tính, dữ liệu, hoặc người dùng mà không có sự đồng thuận hiểu biết của chủ sở hữu hệ thống.

Ba từ quan trọng cần lưu ý trong định nghĩa này: chủ đích, gây hại, và đồng thuận hiểu biết. Một phần mềm quảng cáo gây khó chịu nhưng người dùng đã bấm đồng ý trong điều khoản dài 30 trang. Đó là một vùng xám. Một phần mềm điều khiển từ xa hợp pháp như TeamViewer. Bản thân nó không phải mã độc, nhưng khi bị kẻ xấu cài ngầm lên máy nạn nhân thì lại trở thành công cụ tấn công. Ranh giới này không phải lúc nào cũng rõ ràng, và đó là một trong những lý do khiến nghề phân tích mã độc đòi hỏi cả năng lực kỹ thuật lẫn phán đoán thực tế.

2.2. Phân tích mã độc là gì

Phân tích mã độc (malware analysis) là quá trình có hệ thống nhằm tháo gỡ, quan sát và hiểu một mẫu mã độc để trả lời những câu hỏi như:

  • Nó làm gì?. hành vi đối với tập tin, tiến trình, registry, mạng.
  • Lây lan bằng cách nào?. vector ban đầu, cơ chế duy trì, cơ chế lan rộng.
  • Liên lạc với ai?. địa chỉ C2, giao thức, cách giải mã cấu hình.
  • Có điểm yếu nào để phát hiện?. chuỗi byte đặc trưng, hành vi bất thường, dấu hiệu trên mạng.
  • Thuộc họ nào, ai đứng sau?. phục vụ công tác gán nhãn, truy vết, thậm chí là điều tra pháp y.

Các đầu ra của quá trình này thường là một báo cáo kỹ thuật, một tập luật phát hiện (như luật YARA hoặc Sigma), và một danh sách các chỉ dấu để chia sẻ lại cho cộng đồng phòng thủ.

3. Phân loại mã độc

Có nhiều cách phân loại khác nhau, nhưng một sinh viên mới bước vào ngành nên nắm vững hai trục chính: phân loại theo cơ chế lây lan và cấu trúc, và phân loại theo mục đích hành vi.

3.1 Phân loại theo cơ chế:

2.png

Hai trục phân loại song song: trục trên theo cơ chế lây lan và tồn tại, trục dưới theo mục đích kẻ tấn công muốn đạt được. Hai trục này không loại trừ nhau

Virus là chương trình cần một vật chủ. một file thực thi, một macro trong tài liệu Office. để gắn vào và lây lan khi vật chủ được chạy. Đây là lớp mã độc cổ điển nhất. Worm thì không cần vật chủ: nó tự nhân bản và tự lây lan qua mạng, khai thác các lỗ hổng dịch vụ hoặc chia sẻ file. WannaCry năm 2017 là ví dụ điển hình, lây lan khắp 150 quốc gia trong vài giờ nhờ khai thác lỗ hổng SMB.

Trojan ngụy trang dưới dạng phần mềm vô hại để dụ người dùng chủ động cài đặt. Đây là cơ chế phổ biến nhất hiện nay, và cũng là cơ chế của đa số các RAT (Remote Access Trojan), infostealer, banking trojan. Rootkit ẩn rất sâu trong hệ điều hành. đôi khi ở tầng kernel hoặc thậm chí tầng firmware. để tàng hình trước các công cụ bảo mật. Fileless malware không để lại file trên ổ đĩa; chúng chỉ tồn tại trong bộ nhớ RAM, sử dụng các công cụ hợp lệ sẵn có của hệ điều hành như PowerShell, WMI, hay LOLBins.

3.2 Phân loại theo mục đích:

3.png

Trojan và RAT vẫn chiếm tỷ trọng lớn nhất trong tổng thể. Ransomware đứng thứ hai và tiếp tục tăng mạnh về giá trị thiệt hại gây ra, dù không phải lúc nào cũng đứng đầu về số lượng mẫu.

ta gặp những nhóm quen thuộc như: ransomware mã hóa dữ liệu rồi đòi tiền chuộc (LockBit, BlackCat, Conti), infostealer chuyên đánh cắp mật khẩu trình duyệt và ví tiền ảo (RedLine, Raccoon), RAT cho phép kẻ tấn công điều khiển máy nạn nhân từ xa (njRAT, QuasarRAT), cryptominer chiếm dụng tài nguyên để đào tiền ảo, và wiper phá hủy dữ liệu không thể hoàn nguyên (NotPetya, HermeticWiper).

Điều quan trọng cần nhớ: một mẫu thực tế thường mang nhiều vai trò cùng lúc. Emotet được sinh ra như một banking trojan, tiến hóa thành loader chuyên tải ransomware như Ryuk hay Conti, và ở một số phiên bản còn kèm module spam để tự lây lan. Phân loại chỉ là công cụ tư duy. Không nên ép một mẫu phải nằm gọn trong đúng một nhóm.
 

4. Ba phương pháp phân tích chính

Có ba cách tiếp cận cơ bản để bóc tách một mẫu mã độc, và một phân tích viên chuyên nghiệp thường phối hợp cả ba:

Trường pháiCách làmƯu điểm và hạn chế
StaticXem xét mẫu mà không thực thi nó. Tính hash, đọc chuỗi, phân tích header, disassemble, decompile.An toàn, nhanh, cho cái nhìn tổng thể. Nhưng dễ bị đánh lừa bởi packer và obfuscation.
DynamicCho mẫu chạy trong môi trường cách ly (sandbox, VM). Quan sát hành vi với tiến trình, file, registry, mạng.Thấy được hành vi thực. Nhưng chỉ thấy nhánh mã được thực thi trong lần chạy đó. Mẫu có thể trì hoãn thực thi hoặc phát hiện sandbox rồi tự dừng.
Code / ReverseĐào sâu vào từng chỉ thị assembly, dùng disassembler và debugger để tái dựng logic chương trình.Hiểu cặn kẽ nhất, có thể phá được packer tùy biến. Đòi hỏi nhiều thời gian và kiến thức nền sâu.

4.png
Quy trình phân tích điển hình. Bước triage giúp quyết định mẫu có đáng đầu tư thời gian hay không; ba trường phái phía sau bổ sung cho nhau và cùng đóng góp cho báo cáo cuối.

Trong thực tế, quy trình chuyên nghiệp luôn bắt đầu bằng bước triage. lấy hash, tra VirusTotal, xem chuỗi ký tự dễ thấy, kiểm tra loại file. Mục đích của triage không phải để trả lời câu hỏi chính, mà để quyết định mẫu này có đáng dành thời gian bóc tách sâu hay không. Một đội incident response nhận cả trăm mẫu mỗi ngày không thể reverse tất cả. họ cần lọc.

4.1 Reverse Engineering trong Phân Tích Mã Độc

 Trong ba hướng tiếp cận trên, reverse engineering là phần giúp trả lời các câu hỏi mà static analysisdynamic analysis thường chỉ mới gợi ý. Khi phân tích import table, chuỗi ký tự, tiến trình con, file tạo ra hoặc lưu lượng mạng, ta thường biết mẫu đã làm gì ở mức hiện tượng. Nhưng để xác định điều kiện kích hoạt, thứ tự xử lý nội bộ, thuật toán giải mã cấu hình, cơ chế duy trì hiện diện, kỹ thuật né tránh, hay logic mã hóa dữ liệu, ta phải đi vào reverse engineering.

Về bản chất, reverse engineering là quá trình chuyển một tệp thực thi từ dạng máy sang dạng con người có thể đọc và suy luận. Công việc này thường bắt đầu bằng disassembly để xem các lệnh assembly, sau đó dùng decompiler để tái dựng lại luồng xử lý gần với ngôn ngữ bậc cao. Tuy nhiên, kết quả decompile không phải mã nguồn gốc. Người phân tích vẫn phải đọc các hàm, đặt lại tên biến, dựng lại cấu trúc dữ liệu, theo dõi tham số, và đối chiếu với hành vi quan sát được trong lúc chạy mẫu.

Một quy trình reverse engineering cơ bản thường đi theo các bước sau. Đầu tiên là xác định kiến trúc và định dạng file, ví dụ PE hay ELF, 32 bit hay 64 bit. Tiếp theo là tìm entry point, các hàm import quan trọng, và các đoạn mã có dấu hiệu xử lý chuỗi, mạng, registry, tiến trình hoặc mật mã học. Sau đó người phân tích đánh dấu các hàm đáng nghi, đổi tên biểu tượng để dễ đọc, chia nhóm chức năng như khởi tạo, persistence, command and control, tải payload, chống phân tích. Nếu mẫu bị pack hoặc obfuscate, cần unpack hoặc debug để lấy được đoạn mã thực sự được thực thi. Cuối cùng là dựng lại logic thành mô tả có thể báo cáo, thay vì chỉ dừng ở mức nhìn thấy assembly.

Mục tiêuCâu hỏi cần trả lờiKỹ thuật thường dùng
Hiểu luồng chương trìnhMẫu bắt đầu từ đâu, rẽ nhánh ở đâu, hàm nào điều phối chínhDisassembly, call graph, cross references, đặt tên lại hàm
Giải mã cấu hìnhDomain, mutex, key, đường dẫn, campaign ID được giấu như thế nàoTheo dõi hàm giải mã, breakpoint, dump bộ nhớ, viết script Python tái hiện
Hiểu kỹ thuật né tránhMẫu kiểm tra sandbox, debugger, VM, thời gian hay môi trường ra saoDebugger, patch điều kiện nhảy, theo dõi API anti analysis
Xác định tác độngMẫu sửa gì trong hệ thống, đánh cắp gì, liên lạc với ai, tải gì thêmĐối chiếu reverse với dynamic analysis, mapping API sang hành vi

Ở mức công cụ, Ghidra phù hợp cho sinh viên mới bắt đầu vì miễn phí, mạnh và đủ để học quy trình đọc binary một cách nghiêm túc. IDA Pro vẫn là chuẩn phổ biến trong nhiều đội phân tích chuyên sâu. x64dbg phù hợp để debug mẫu Windows ở user mode. WinDbg cần thiết khi đụng tới kernel mode hoặc các tình huống phức tạp hơn. Python rất hữu ích để tự động hóa các tác vụ lặp lại như giải mã chuỗi, chuyển đổi dữ liệu, trích xuất cấu hình hoặc tạo IOC.

Điều quan trọng là không xem reverse engineering chỉ là đọc assembly. Đây là quá trình suy luận kỹ thuật. Người phân tích phải nối được từng lệnh máy với mục tiêu nghiệp vụ của mã độc. Một hàm gọi InternetOpenUrl chưa đủ nói lên toàn bộ câu chuyện. Ta cần biết URL được xây dựng từ đâu, khi nào được gọi, dữ liệu nào được gửi đi, và điều kiện nào làm nhánh này được kích hoạt. Chính ở điểm này, reverse engineering biến một quan sát rời rạc thành một kết luận có giá trị điều tra.

Đối với sinh viên an toàn thông tin, reverse engineering cũng là kỹ năng nền cho nhiều hướng khác như exploit development, vulnerability research, digital forensics và bảo vệ phần mềm. Khi học tốt phần này, người học không chỉ phân tích được mã độc mà còn hiểu sâu hơn về cách chương trình thực thi, cách hệ điều hành tương tác với binary, và vì sao một lỗi hay một hành vi lại xảy ra trong thực tế.

4.2 Ví dụ về Static Analysis

Giả sử ta có một mẫu nghi vấn suspicious.exe, và ta muốn biết nhanh về nó mà không cần chạy. Có thể viết code python để tạo ra một công cụ triage đủ dùng. Nó trả lời bốn câu hỏi quan trọng ngay từ lần nhìn đầu:

  • Đây là mẫu nào? MD5 và SHA 256 là định danh để tra cứu trên VirusTotal, MalwareBazaar hoặc cơ sở dữ liệu nội bộ.
  • Có bị đóng gói không? Entropy toàn file vượt ngưỡng 7.0 là dấu hiệu mạnh cho thấy phần lớn nội dung đã được nén hoặc mã hóa.
  • Có khả năng làm gì? Danh sách API import thường gợi ra ý định của mẫu: CreateRemoteThread gợi ý process injection, CryptEncrypt gợi ý ransomware, InternetOpenUrlA gợi ý liên lạc mạng.
  • Có địa chỉ nào lộ ra không? URL và domain trong strings có thể là C2 hoặc địa chỉ tải payload.
#!/usr/bin/env python3
# Công cụ triage cơ bản: hash, entropy, chuỗi, và một vài
# metadata từ PE header. Yêu cầu: pip install pefile.
import hashlib, math, re, sys
from collections import Counter
import pefile


def shannon_entropy(data: bytes) -> float:
    """Tính entropy Shannon của một khối byte (thang 0–8)."""
    if not data:
        return 0.0
    counts = Counter(data)
    length = len(data)
    return -sum((c / length) * math.log2(c / length)
                 for c in counts.values())


def extract_strings(data: bytes, min_len: int = 6):
    """Trả về ASCII strings dài tối thiểu min_len ký tự."""
    pattern = rb"[\x20-\x7e]{%d,}" % min_len
    return [s.decode("ascii") for s in re.findall(pattern, data)]


def triage(path: str):
    with open(path, "rb") as f:
        data = f.read()

    # 1) Hash. định danh của mẫu
    print(f"MD5   : {hashlib.md5(data).hexdigest()}")
    print(f"SHA256: {hashlib.sha256(data).hexdigest()}")
    print(f"Size  : {len(data):,} bytes")
    print(f"Entropy: {shannon_entropy(data):.3f}  "
          f"{'(nghi packed)' if shannon_entropy(data) > 7.0 else ''}")

    # 2) PE header: thông tin cấu trúc cơ bản của file
    pe = pefile.PE(data=data, fast_load=True)
    pe.parse_data_directories()
    print(f"\nBiên dịch lúc: "
          f"{pe.FILE_HEADER.TimeDateStamp:#x}")

    print("\nSection    VSize     Entropy")
    for s in pe.sections:
        name = s.Name.rstrip(b"\x00").decode(errors="replace")
        print(f"  {name:9}{s.Misc_VirtualSize:#10x}  "
              f"{s.get_entropy():.2f}")

    # 3) Import table: các hàm WinAPI cho thấy phần nào ý định của mẫu
    suspicious_apis = {
        "VirtualAllocEx", "WriteProcessMemory",
        "CreateRemoteThread", "CryptEncrypt",
        "InternetOpenUrlA", "RegSetValueExA",
        "SetWindowsHookExA", "NtUnmapViewOfSection",
    }
    print("\nAPI đáng chú ý:")
    if hasattr(pe, "DIRECTORY_ENTRY_IMPORT"):
        for entry in pe.DIRECTORY_ENTRY_IMPORT:
            for imp in entry.imports:
                name = (imp.name or b"").decode(errors="replace")
                if name in suspicious_apis:
                    dll = entry.dll.decode()
                    print(f"  {dll:20} {name}")

    # 4) Strings: URL, domain, đường dẫn
    strings = extract_strings(data)
    url_re = re.compile(r"https?://[^\s\"<>]{6,}")
    print("\nURL/domain phát hiện:")
    for s in set(url_re.findall(" ".join(strings))):
        print(f"  {s}")


if __name__ == "__main__":
    triage(sys.argv[1])

Shannon entropy dọc theo file. Một file thực thi bình thường có entropy trải rộng từ 3 đến 6 do có các vùng chứa mã, chuỗi, padding. File đã bị đóng gói cho thấy entropy gần bão hòa ở mức 7.5–8, dấu hiệu đặc trưng của dữ liệu đã qua nén hoặc mã hóa.

5.png

Khi triage đã xong, ta chuyển sang bước viết luật YARA để phát hiện cùng họ mẫu:

rule Emotet_Loader_2024_Variant
{
    meta:
        author      = "ATTT Lab, FPTU Hanoi"
        description = "Phát hiện biến thể Emotet loader đầu 2024"
        date        = "2024-03-12"
        reference   = "SHA256: 3f5a...e91c"

    strings:
        // Chuỗi đặc trưng còn sót trong binary
        $s1 = "%APPDATA%\\Microsoft\\Windows\\" ascii wide
        $s2 = "svchost.exe" ascii

        // Đoạn opcode xor giải mã config. đặc trưng họ này
        $x1 = { 48 8B 45 ?? 0F B6 08 48 8B 55 ?? 32 0A 88 08 }

        // Mutex name sinh từ thuật toán cố định
        $m1 = /Global\\[A-Z]{8}-[A-F0-9]{8}/

    condition:
        uint16(0) == 0x5A4D            // MZ header
        and filesize < 500KB
        and 2 of ($s*, $m*)
        and $x1
}

Luật YARA ở trên kết hợp ba loại bằng chứng: các chuỗi ký tự đặc trưng ($s1, $s2, $m1), một đoạn opcode nhận diện thủ tục giải mã ($x1), và các điều kiện khung (file là PE, kích thước hợp lý). Thiết kế tốt của một luật YARA nằm ở cân bằng giữa độ nhạy. bắt được càng nhiều biến thể càng tốt. và độ đặc hiệu. tránh phát hiện nhầm các file sạch.

4.3 Ví dụ về Dynamic Analysis

Static analysis cho ta biết mẫu có khả năng làm gì. Dynamic analysis cho ta biết nó thực sự làm gì trong một lần chạy cụ thể. Môi trường tối thiểu cần chuẩn bị gồm:

  • Một máy ảo Windows sạch, tốt nhất là bản không có cập nhật mới nhất để mẫu không đứng khựng do phát hiện môi trường lạ.
  • Snapshot đã chụp trước khi chạy mẫu. để có thể khôi phục trong vài giây.
  • Mạng bị cách ly, có thể dùng INetSim hoặc FakeNet-NG để giả lập dịch vụ Internet.
  • Bộ công cụ quan sát: Process Monitor cho tiến trình và hệ thống tập tin, Wireshark cho lưu lượng, Regshot cho sự thay đổi registry.

Một cách tiếp cận nhẹ và khá thú vị cho sinh viên là viết một bộ quan sát tiến trình bằng Python, dùng psutil để ghi lại những thay đổi theo thời gian thực:

"""Theo dõi hành vi của một mẫu đang chạy trong sandbox.
Ghi lại: tiến trình con sinh ra, tập tin mở, kết nối mạng.
Chạy kèm mẫu trong VM. KHÔNG CHẠY TRÊN MÁY THẬT.
"""
import psutil, time, json, sys
from datetime import datetime


def snapshot(proc: psutil.Process) -> dict:
    """Chụp trạng thái hiện tại của một tiến trình."""
    try:
        return {
            "pid": proc.pid,
            "name": proc.name(),
            "cmd": " ".join(proc.cmdline()),
            "files": [f.path for f in proc.open_files()],
            "conns": [
                {"laddr": str(c.laddr),
                 "raddr": str(c.raddr) if c.raddr else None,
                 "status": c.status}
                for c in proc.net_connections()
            ],
        }
    except (psutil.NoSuchProcess, psutil.AccessDenied):
        return {}


def watch(root_pid: int, duration_s: int = 60):
    try:
        root = psutil.Process(root_pid)
    except psutil.NoSuchProcess:
        print(f"PID {root_pid} không tồn tại"); return

    seen_pids, events = set(), []
    deadline = time.time() + duration_s

    while time.time() < deadline:
        try:
            family = [root] + root.children(recursive=True)
        except psutil.NoSuchProcess:
            break

        for p in family:
            if p.pid in seen_pids:
                continue
            seen_pids.add(p.pid)
            snap = snapshot(p)
            if snap:
                snap["ts"] = datetime.utcnow().isoformat()
                events.append(snap)
                print(f"[+] PID mới: {snap['pid']}. {snap['cmd']}")

        time.sleep(0.5)

    with open("timeline.json", "w") as f:
        json.dump(events, f, indent=2, ensure_ascii=False)
    print(f"\nĐã ghi {len(events)} sự kiện vào timeline.json")


if __name__ == "__main__":
    watch(int(sys.argv[1]), duration_s=120)

Dòng đầu ra sau một lần chạy một mẫu loader thật có thể trông như sau:

log đầu ra mẫu: đã ẩn IOC thật
terminal
[+] PID mới: 4284. C:\Users\user\Desktop\sample.exe
[+] PID mới: 4312. cmd.exe /c powershell -nop -w hidden ...
[+] PID mới: 4340. powershell.exe -enc JABjAG8AbgB0AGU...
[+] PID mới: 4368. C:\Windows\System32\wscript.exe C:\Users\...\loader.js
[+] PID mới: 4402. C:\Users\user\AppData\Roaming\update.exe

Đã ghi 5 sự kiện vào timeline.json

Chuỗi tiến trình ở trên. sample.exe --> cmd.exe --> powershell.exe (được mã hóa) --> wscript.exe --> update.exe. là chuỗi thực thi điển hình của một loader thế hệ mới, kết hợp giữa file nhị phân, lệnh PowerShell có tham số -enc (base64), và một kịch bản JScript được ghi xuống ổ đĩa. Mỗi mắt xích trong chuỗi này đều là một điểm để detection engineer viết luật phát hiện: một luật Sigma ghi lại "tiến trình con là powershell có tham số -enc, tiến trình cha không phải công cụ hợp lệ" sẽ bắt được rất nhiều biến thể thực tế.

5. Anti analysis và các kỹ thuật né tránh

Nếu phân tích mã độc chỉ đơn giản như những ví dụ trên thì ngành này đã không cần tồn tại như một chuyên môn riêng. Tác giả mã độc, đặc biệt là các nhóm APT có nguồn lực, dành rất nhiều công sức để làm cho việc phân tích trở nên khó khăn. Họ dùng sáu kỹ thuật chính:

1. Packing và obfuscation

Code thật bị nén hoặc mã hóa, chỉ được giải mã trong bộ nhớ ngay trước khi chạy. Những công cụ cổ điển như UPX chỉ là mức cơ bản. Nhiều họ mã độc hiện nay dùng custom packer riêng. Hệ quả: static analysis thấy toàn dữ liệu "ngẫu nhiên", không có chuỗi, không có API import rõ ràng.

2. Anti-debugging

Mẫu kiểm tra xem có đang bị debug không. Các API như IsDebuggerPresent, CheckRemoteDebuggerPresent, hoặc các kỹ thuật tinh vi hơn như đo thời gian giữa hai lần rdtsc để phát hiện tốc độ thực thi chậm bất thường.

3. Anti-VM và anti-sandbox

Mẫu kiểm tra tên registry, thiết bị phần cứng, địa chỉ MAC, số CPU, dung lượng RAM. tất cả những gì có thể phân biệt máy ảo với máy thật. Một số mẫu hiện đại còn yêu cầu người dùng thật di chuyển chuột một quãng đủ dài trước khi thực thi payload.

4. Time-based evasion

Đơn giản nhưng hiệu quả: mẫu ngủ Sleep(600000), tức mười phút, trước khi thực hiện hành vi tiếp theo. Hầu hết sandbox thương mại chỉ chạy mẫu trong 3–5 phút và coi mẫu "không hoạt động gì" là sạch.

5. Living-off-the-Land (LotL)

Thay vì mang theo công cụ riêng, mẫu dùng những gì có sẵn trong Windows: PowerShell, WMI, certutil.exebitsadmin.exemshta.exe. Về mặt byte, mẫu gần như không có gì để phát hiện. vì phần nhiều công việc xấu do các nhị phân ký bởi Microsoft thực hiện.

6. Process injection

Mẫu gốc chỉ là một loader; nó bơm mã độc thật vào một tiến trình hợp lệ đang chạy như explorer.exe hoặc svchost.exe. Kết quả: trên danh sách tiến trình, mọi thứ đều "sạch"; dữ liệu mạng đi ra mang tên một tiến trình mà người quản trị không nghi ngờ.

5. Các hướng nâng cao

Khi đã vững ba trường phái cơ bản, người làm malware analysis có thể bước sang các hướng sâu hơn. Ba hướng nổi bật trong giai đoạn 2023 đến 2026 là:

Phân tích dựa trên đồ thị hành vi: Thay vì biểu diễn mẫu bằng chuỗi byte hay chuỗi opcode, ta trích xuất đồ thị lệnh gọi hàm (function call graph), đồ thị luồng điều khiển (control flow graph), hoặc đồ thị hành vi động (dynamic behaviour graph), rồi so sánh các đồ thị này bằng các kỹ thuật như graph neural network, graph edit distance, hoặc subgraph isomorphism. Ưu điểm: bền vững trước thay đổi bề mặt (đổi tên biến, chèn dead code), vì cấu trúc quan hệ ít thay đổi hơn nhiều so với byte. Đây cũng là hướng nghiên cứu đang được triển khai tại phòng thí nghiệm ATTT của FPT University với mô hình Hierarchical Behavioural Graph Network cho vector hóa hành vi mã độc.

Học máy và học sâu cho phân loại : Cách tiếp cận truyền thống: trích đặc trưng thủ công (API imports, entropy các section, n-gram opcode) và đưa vào random forest hay XGBoost. Cách tiếp cận hiện đại hơn: biến binary thành ảnh xám rồi dùng CNN, hoặc chuyển chuỗi opcode thành embedding rồi dùng Transformer. Hướng ChatGPT/Claude-style: dùng LLM để tự động tóm tắt báo cáo sandbox, đặt tên lại cho hàm đã được decompile, gợi ý ý nghĩa của các vòng lặp bí ẩn. LLM không thay thế phân tích viên, nhưng giúp tiết kiệm 60–80% thời gian ở phần việc lặp đi lặp lại.

Thực thi ký hiệu và phân tích nhiễm bẩn: Symbolic execution chạy mẫu với biến đầu vào mang tính ký hiệu thay vì giá trị cụ thể, từ đó khám phá nhiều nhánh code cùng lúc. cực kỳ hữu ích để phá các điều kiện kích hoạt bí mật. Taint analysis dán nhãn "bẩn" cho dữ liệu đầu vào không tin cậy và theo dõi nó lan qua chương trình, giúp phát hiện các luồng dữ liệu đáng nghi. Cả hai kỹ thuật đều có học phí nhập môn cao. nhưng một khi thành thạo, bạn sẽ phá được những mẫu mà công cụ tự động bó tay.

6. Con đường nghề nghiệp

Phân tích mã độc không phải là một con đường duy nhất, mà là một kỹ năng nền cho nhiều nghề. Dưới đây là sáu vai trò phổ biến, sắp xếp gần đúng theo khoảng cách với công việc bóc tách mẫu thuần túy:

Vai tròCông việc chính hàng ngàyKỹ năng nổi bật
Malware Analyst / Reverse EngineerBóc tách mẫu, viết báo cáo, xây luật YARA, theo dõi các họ mã độc theo thời gian.Assembly, Ghidra/IDA, Windows internals, kiên nhẫn.
Threat Intelligence AnalystTổng hợp IOC và TTP từ nhiều nguồn, gán nhãn theo nhóm APT, viết báo cáo chiến lược.OSINT, MITRE ATT&CK, viết lách, tư duy phản biện.
Incident Responder (DFIR)Đến hiện trường sự cố, phân tích bộ nhớ và ổ đĩa, viết timeline, đưa ra khuyến nghị.Volatility, KAPE, forensics, khả năng chịu áp lực.
Detection EngineerViết và bảo trì luật phát hiện cho SIEM, EDR, XDR; giảm tỷ lệ cảnh báo sai.Sigma, KQL, Splunk SPL, hiểu hệ điều hành.
Security Researcher (Vendor)Nghiên cứu mối đe dọa mới, phát triển công cụ phân tích, đóng góp cho sản phẩm thương mại.Lập trình vững, viết paper và blog, networking cộng đồng.
Red Team / Offensive SecurityĐứng ở phía đối lập. xây công cụ và payload cho các bài tập giả lập tấn công hợp pháp.Windows internals, evasion, OPSEC, giao tiếp với khách hàng.

Ba xu hướng mới đang tạo ra các vai trò lai: AI security researcher chuyên về tấn công và phòng thủ mô hình ML, threat hunter chủ động săn lùng mối đe dọa trong log thay vì chờ cảnh báo, và CTI engineer chuyên tự động hóa luồng thu thập và xử lý tri thức về mối đe dọa.

7. Bộ kỹ năng cần có

Một bộ kỹ năng tốt cho người mới vào ngành có thể chia thành bốn nhóm:

7.1. Nền tảng bắt buộc

  • Lập trình: Python là công cụ hằng ngày. C/C++ giúp đọc code hệ thống và hiểu cách dữ liệu được tổ chức trong binary. Assembly (x86, x86-64) là nền tảng trực tiếp của reverse engineering. không nhất thiết phải viết nhiều, nhưng phải đọc được, lần được luồng xử lý, và hiểu ý nghĩa của các lệnh chính.
  • Hệ điều hành: Windows nội bộ rất quan trọng (PE format, WinAPI, registry, cơ chế tiến trình). Linux cũng nên biết vì mã độc Linux ngày càng nhiều (ELF, syscall).
  • Mạng: TCP/IP, HTTP, DNS, TLS ở mức đọc được PCAP và hiểu tại sao một kết nối đáng nghi.
  • Mật mã học cơ bản: Phân biệt được đối xứng/bất đối xứng, hiểu AES, RSA, hash. Nhiều mẫu có config được mã hóa đơn giản. và nhiều sinh viên mới kẹt ở bước này chỉ vì không nhận ra đó chỉ là XOR với khóa cố định.

7.2. Công cụ chủ lực

  • Disassembler/decompiler: Ghidra (miễn phí, cực mạnh), IDA Pro (chuẩn ngành, thương mại), Binary Ninja (đang nổi), Radare2/Rizin (mã nguồn mở).
  • Debugger: x64dbg cho Windows user-mode, WinDbg cho kernel-mode, GDB cho Linux.
  • Sandbox: Cuckoo, CAPE (fork của Cuckoo với nhiều cải tiến), Any.Run, Joe Sandbox, Hybrid Analysis.
  • Phân tích bộ nhớ: Volatility 3 là công cụ rất mạnh cho memory forensics.
  • Phân loại và phát hiện: YARA cho luật dựa trên mẫu, Sigma cho luật log, Suricata/Snort cho mạng.

7.3. Môi trường lab

  • FLARE VM là bản Windows đã cài sẵn nhiều công cụ của Mandiant.
  • REMnux là bản Linux chuyên cho reverse và forensics.
  • Cả hai nên được chạy dưới VMware Workstation hoặc VirtualBox, có snapshot và mạng cách ly.

7.4. Kỹ năng mềm

  • Viết báo cáo rõ ràng: nếu không viết được, công việc của bạn không tồn tại với đồng nghiệp.
  • Kiên nhẫn và kỷ luật: một mẫu khó có thể ngốn cả tuần; không để trạng thái "xong rồi" khi còn 20% chưa rõ.
  • Tư duy hệ thống: luôn truy tiếp quan hệ giữa hàm, tiến trình, dữ liệu, mạng và cơ chế hệ điều hành để không đọc mã theo từng mảnh rời.
  • Cộng đồng: theo dõi Twitter/X của các nhà nghiên cứu, đọc blog vendor, tham gia CTF. Ngành này đi bằng chia sẻ.

8. Đạo đức và ranh giới pháp lý

Ở Việt Nam, Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015 quy định rõ các hành vi bị cấm. Phân tích mẫu để nghiên cứu và phòng thủ là hợp pháp; phát tán, sử dụng để tấn công, hay mua bán cho mục đích tấn công là bất hợp pháp. Ranh giới nằm ở mục đích và bối cảnh. Một nhà nghiên cứu làm trong lab có kiểm soát, có ghi chép, có mục tiêu phòng thủ rõ ràng là ở bên này lằn ranh. Một người lấy công cụ tấn công đi thử vào hệ thống không thuộc về mình. dù "chỉ để học". là ở bên kia.

Lời Kết

Phân tích mã độc là một trong số ít nghề trong ngành an toàn thông tin mà không có đường tắt thực sự. Không có khóa học nào biến bạn thành chuyên gia sau sáu tuần. Không có chứng chỉ nào đủ để thay thế 500 giờ ngồi trước Ghidra. Không có công cụ AI nào đủ thông minh để hiểu hộ bạn một đoạn custom packer do một nhóm APT ở quốc gia khác viết ra.

Nhưng cũng chính vì vậy, đây là một trong những nghề bền vững nhất. Một kỹ sư tốt được đào tạo bài bản trong 4 đến 5 năm sẽ có một vị trí không dễ bị thay thế. kể cả trong thời đại mà mọi ngành đều đang băn khoăn về vai trò của AI. Máy có thể giúp bạn nhanh hơn, nhưng câu hỏi then chốt. cái thứ này thực sự làm gì, và tại sao lại làm như vậy?. vẫn là câu hỏi của con người.

Nếu bạn đọc đến đây và cảm thấy tò mò thay vì choáng, có lẽ đây là ngành dành cho bạn. Chào mừng.