தீம்பொருள் பகுப்பாய்வு: ரிவர்ஸ் இன்ஜினியரிங் நுட்பங்களில் ஒரு ஆழமான பார்வை

இன்றைய ஒன்றோடொன்று இணைக்கப்பட்ட டிஜிட்டல் உலகில், தீம்பொருள் அச்சுறுத்தல் பெரிதாக உள்ளது. தீம்பொருள் எவ்வாறு செயல்படுகிறது என்பதைப் புரிந்துகொள்வது இணைய பாதுகாப்பு வல்லுநர்கள், ஆராய்ச்சியாளர்கள் மற்றும் தங்களையும் தங்கள் நிறுவனங்களையும் பாதுகாக்க முயற்சிக்கும் எவருக்கும் முக்கியம். இந்த விரிவான வழிகாட்டி தீம்பொருள் பகுப்பாய்வு மற்றும் ரிவர்ஸ் இன்ஜினியரிங் உலகிற்குள் ஆழமாகச் சென்று, அத்தியாவசிய நுட்பங்கள், கருவிகள் மற்றும் முறைகள் பற்றிய விரிவான கண்ணோட்டத்தை வழங்குகிறது. தீங்கிழைக்கும் மென்பொருள் எவ்வாறு செயல்படுகிறது என்பதையும் அதை எவ்வாறு ஆய்வு செய்வது என்பதையும் ஆராய்வோம், இறுதியில் எதிர்கால தாக்குதல்களைப் புரிந்துகொள்வது, குறைப்பது மற்றும் தடுப்பதை நோக்கமாகக் கொள்வோம்.

தீம்பொருள் பகுப்பாய்வு என்றால் என்ன, அது ஏன் முக்கியம்?

தீம்பொருள் பகுப்பாய்வு என்பது தீங்கிழைக்கும் மென்பொருளின் நடத்தை, நோக்கம் மற்றும் சாத்தியமான தாக்கத்தைப் புரிந்துகொள்வதற்காக அதை ஆராயும் செயல்முறையாகும். இது தீம்பொருளின் திறன்கள், தொடர்பு முறைகள் மற்றும் தொற்று முறைகளை அடையாளம் காண ஒரு முறையான விசாரணையை உள்ளடக்கியது. இந்த அறிவு இதற்கு முக்கியமானது:

• சம்பவ பதிலளிப்பு: தீம்பொருள் தொற்றுகளை விரைவாக அடையாளம் கண்டு கட்டுப்படுத்துதல்.
• அச்சுறுத்தல் நுண்ணறிவு: அச்சுறுத்தல் செய்பவர்கள், அவர்களின் தந்திரோபாயங்கள் மற்றும் அவர்களின் இலக்குகள் பற்றிய தகவல்களைச் சேகரித்தல்.
• பாதுகாப்பு குறைபாடுகளை மதிப்பிடுதல்: தீம்பொருள் பயன்படுத்தும் பாதுகாப்பு குறைபாடுகளின் தாக்கத்தை தீர்மானித்தல்.
• தீம்பொருள் சரிசெய்தல்: தீம்பொருளை அகற்றுவதற்கும் மீண்டும் தொற்று ஏற்படுவதைத் தடுப்பதற்கும் பயனுள்ள உத்திகளை உருவாக்குதல்.
• கையெழுத்து உருவாக்குதல்: ஒத்த தீம்பொருளின் எதிர்கால தொற்றுகளைக் கண்டறிந்து தடுக்க கையெழுத்துகளை உருவாக்குதல்.

தீம்பொருள் பகுப்பாய்வின் முக்கியத்துவம் ஒரு வைரஸை அகற்றுவதைத் தாண்டி செல்கிறது. இது எப்போதும் உருவாகி வரும் அச்சுறுத்தல் நிலப்பரப்பில் மதிப்புமிக்க நுண்ணறிவுகளை வழங்குகிறது, இது பாதுகாப்பு வல்லுநர்கள் வளர்ந்து வரும் அச்சுறுத்தல்களுக்கு எதிராக செயலூக்கத்துடன் பாதுகாக்க உதவுகிறது. இணைய தாக்குதல்களின் உலகளாவிய தன்மை, தீம்பொருள் போக்குகள் மற்றும் தற்காப்பு உத்திகள் பற்றிய உலகளாவிய புரிதலை அவசியமாக்குகிறது.

முக்கிய ரிவர்ஸ் இன்ஜினியரிங் நுட்பங்கள்

ரிவர்ஸ் இன்ஜினியரிங் என்பது தீம்பொருள் பகுப்பாய்வின் மையத்தில் உள்ளது. இது ஒரு மென்பொருள் நிரலை (இந்த விஷயத்தில், தீம்பொருள்) அதன் உள் செயல்பாடுகளைப் புரிந்துகொள்வதற்காக பிரித்தெடுக்கும் செயல்முறையாகும். இதில் பல முக்கிய நுட்பங்கள் அடங்கும்:

1. நிலையான பகுப்பாய்வு

நிலையான பகுப்பாய்வு தீம்பொருளை இயக்காமல் ஆராய்கிறது. இது தீம்பொருளின் குறியீடு, வளங்கள் மற்றும் உள்ளமைவை பகுப்பாய்வு செய்து அதன் செயல்பாடுகள் பற்றிய நுண்ணறிவுகளைப் பெறுவதை உள்ளடக்கியது. இது ஒரு விசாரணையைத் தொடங்க ஒப்பீட்டளவில் பாதுகாப்பான மற்றும் திறமையான வழியாகும். நிலையான பகுப்பாய்வு பல்வேறு கருவிகள் மற்றும் நுட்பங்களை பெரிதும் நம்பியுள்ளது, அவற்றுள்:

• பிரித்தெடுத்தல் (Disassembly): தீம்பொருளின் பைனரி குறியீட்டை அசெம்பிளி மொழிக்கு மாற்றுதல், இது மனிதனால் எளிதாகப் படிக்கக்கூடியது, நிரல் இயக்கும் அடிப்படை வழிமுறைகளை ஆய்வாளர்கள் பார்க்க அனுமதிக்கிறது. பிரபலமான பிரித்தெடுப்பிகளில் IDA Pro, Ghidra (NSA வழங்கும் ஒரு இலவச மற்றும் திறந்த மூல விருப்பம்) மற்றும் Hopper ஆகியவை அடங்கும்.
• டிகம்பைலேஷன் (Decompilation): அசெம்பிளி குறியீட்டை உயர்-நிலை மொழிக்கு (எ.கா., C, C++) மாற்றுதல். எப்போதும் சரியானதாக இல்லாவிட்டாலும், டிகம்பைலர்கள் குறியீட்டின் தர்க்கத்தைப் பற்றி எளிதில் புரிந்துகொள்ளக்கூடிய பார்வையை வழங்குகின்றன. IDA Pro அதன் டிகம்பைலருடன் மற்றும் Ghidra-வின் டிகம்பைலர் ஆகியவை எடுத்துக்காட்டுகளில் அடங்கும்.
• சரம் பிரித்தெடுத்தல் (String Extraction): தீம்பொருளின் குறியீட்டிற்குள் உட்பொதிக்கப்பட்ட மனிதனால் படிக்கக்கூடிய சரங்களை அடையாளம் கண்டு பிரித்தெடுத்தல். இந்த சரங்கள் பெரும்பாலும் API அழைப்புகள், கோப்புப் பாதைகள், URLகள் மற்றும் பிழைச் செய்திகள் போன்ற மதிப்புமிக்க தகவல்களை வெளிப்படுத்துகின்றன. strings (பெரும்பாலான லினக்ஸ் அமைப்புகளில் கிடைக்கும் ஒரு கட்டளை வரி பயன்பாடு) அல்லது சிறப்பு தீம்பொருள் பகுப்பாய்வுக் கருவிகள் இந்த பணியைச் செய்ய முடியும்.
• வள பிரித்தெடுத்தல் (Resource Extraction): ஐகான்கள், படங்கள் மற்றும் உள்ளமைவு கோப்புகள் போன்ற உட்பொதிக்கப்பட்ட வளங்களை அடையாளம் கண்டு பிரித்தெடுத்தல். இது தீம்பொருளின் காட்சி கூறுகள் மற்றும் செயல்பாட்டு அமைப்பைப் புரிந்துகொள்ள உதவுகிறது. விண்டோஸில் Resource Hacker அல்லது சிறப்பு பகுப்பாய்வுக் கருவிகள் இதற்குப் பயன்படுத்தப்படுகின்றன.
• PE (Portable Executable) பகுப்பாய்வு: PE கோப்பு வடிவமைப்பை (விண்டோஸில் பொதுவானது) பகுப்பாய்வு செய்து இறக்குமதிகள், ஏற்றுமதிகள், பிரிவுகள் மற்றும் பிற மெட்டாடேட்டா போன்ற தகவல்களைப் பிரித்தெடுத்தல். இது தீம்பொருளின் நடத்தை மற்றும் சார்புகள் பற்றிய தடயங்களை வழங்குகிறது. PE Explorer, PEview மற்றும் CFF Explorer போன்ற கருவிகள் PE கோப்பு பகுப்பாய்விற்குப் பயன்படுத்தப்படுகின்றன.
• ஹாஷிங் (Hashing): தீம்பொருள் கோப்பின் ஹாஷ் மதிப்புகளை (எ.கா., MD5, SHA-256) கணக்கிடுதல். இந்த ஹாஷ்கள் அறியப்பட்ட தீம்பொருள் மாதிரிகளை அடையாளம் காணவும் தீம்பொருள் வகைகளைக் கண்காணிக்கவும் பயன்படுத்தப்படுகின்றன. VirusTotal போன்ற ஆன்லைன் சேவைகள் கோப்பு ஹாஷ்களை எளிதாகத் தேட அனுமதிக்கின்றன.

உதாரணம்: "C:\Users\Public\malware.exe" என்ற சரத்தைக் கொண்ட ஒரு தீம்பொருள் மாதிரியைக் கவனியுங்கள். நிலையான பகுப்பாய்வு இந்த கோப்புப் பாதையை வெளிப்படுத்தும், தீம்பொருள் தன்னை எங்கு நிறுவ விரும்புகிறது என்பதைக் குறிக்கும். இது தீம்பொருளின் நோக்கம் பற்றிய தடயங்களை அளிக்கிறது.

2. மாறும் பகுப்பாய்வு

மாறும் பகுப்பாய்வு என்பது தீம்பொருளைக் கட்டுப்படுத்தப்பட்ட சூழலில் (எ.கா., ஒரு சாண்ட்பாக்ஸ் அல்லது ஒரு விர்ச்சுவல் மெஷின்) இயக்கி அதன் நடத்தையைக் கவனிப்பதை உள்ளடக்கியது. தீம்பொருளின் இயங்குநேர செயல்பாடுகளைப் புரிந்துகொள்வதற்கு இது ஒரு முக்கியமான படியாகும். முக்கிய நுட்பங்கள் பின்வருமாறு:

• சாண்ட்பாக்ஸிங்: தீம்பொருளை ஒரு சாண்ட்பாக்ஸ் சூழலில் இயக்குதல், இது தீம்பொருளை ஹோஸ்ட் அமைப்பிலிருந்து தனிமைப்படுத்துகிறது. இது ஆய்வாளர்கள் தொற்று அபாயம் இல்லாமல் தீம்பொருளின் நடத்தையைக் கவனிக்க அனுமதிக்கிறது. Cuckoo Sandbox போன்ற சாண்ட்பாக்ஸ் தீர்வுகள் பரவலாகப் பயன்படுத்தப்படுகின்றன.
• செயல்முறை கண்காணிப்பு: செயல்முறைகள், நூல்கள் மற்றும் பிணைய இணைப்புகளின் உருவாக்கம், மாற்றம் மற்றும் முடித்தல் ஆகியவற்றை கண்காணித்தல். இது தீம்பொருளின் செயல்பாடுகள் பற்றிய நுண்ணறிவுகளை வழங்குகிறது. Sysinternals வழங்கும் Process Monitor இதற்கு ஒரு மதிப்புமிக்க கருவியாகும்.
• பிணைய போக்குவரத்து பகுப்பாய்வு: தீம்பொருளால் உருவாக்கப்பட்ட பிணைய போக்குவரத்தை கைப்பற்றி பகுப்பாய்வு செய்தல். இது தீம்பொருளின் தொடர்பு முறைகளை வெளிப்படுத்துகிறது, இதில் அது தொடர்பு கொள்ளும் டொமைன்கள் மற்றும் அது அனுப்பும் மற்றும் பெறும் தரவுகள் ஆகியவை அடங்கும். Wireshark போன்ற கருவிகள் பிணைய போக்குவரத்து பகுப்பாய்விற்கு அவசியமானவை.
• பதிவேட்டு கண்காணிப்பு: விண்டோஸ் பதிவேட்டில் ஏற்படும் மாற்றங்களை கண்காணித்தல். தீம்பொருள் பெரும்பாலும் கணினியில் நிலைத்திருக்கவும், உள்ளமைவு தரவைச் சேமிக்கவும், தானாகவே இயங்கவும் பதிவேட்டைப் பயன்படுத்துகிறது. Regshot மற்றும் Process Monitor போன்ற கருவிகள் பதிவேட்டு கண்காணிப்புக்கு பயன்படுத்தப்படலாம்.
• கோப்பு அமைப்பு கண்காணிப்பு: தீம்பொருளால் உருவாக்கப்பட்ட, மாற்றியமைக்கப்பட்ட மற்றும் நீக்கப்பட்ட கோப்புகள் மற்றும் கோப்பகங்களைக் கவனித்தல். இது தீம்பொருளின் கோப்பு தொடர்பான செயல்பாடுகளை, அதன் பரவும் வழிமுறைகள் போன்றவற்றை வெளிப்படுத்துகிறது. Process Monitor போன்ற கருவிகள் கோப்பு அமைப்பு கண்காணிப்புக்கு பயனுள்ளதாக இருக்கும்.
• பிழைத்திருத்தம்: பிழைத்திருத்திகளைப் பயன்படுத்தி (எ.கா., x64dbg, OllyDbg) தீம்பொருளின் குறியீட்டை வரிசைக்கு வரிசை பார்த்து, அதன் நினைவகத்தை ஆராய்ந்து, அதன் இயங்கும் ஓட்டத்தைப் புரிந்துகொள்ளுதல். இது பகுப்பாய்வு செயல்முறையின் மீது துல்லியமான கட்டுப்பாட்டை வழங்கும் ஒரு மேம்பட்ட நுட்பமாகும்.

உதாரணம்: ஒரு சாண்ட்பாக்ஸில் தீம்பொருளை இயக்குவதன் மூலம், ஒரு குறிப்பிட்ட நேரத்தில் தன்னை இயக்க ஒரு திட்டமிடப்பட்ட பணியை அது உருவாக்குகிறது என்பதை மாறும் பகுப்பாய்வு வெளிப்படுத்தலாம். இந்த நுண்ணறிவு தீம்பொருளின் நிலைத்தன்மை வழிமுறையைப் புரிந்துகொள்வதில் முக்கியமானது.

தீம்பொருள் பகுப்பாய்வுக்கு அத்தியாவசியமான கருவிகள்

தீம்பொருள் பகுப்பாய்வு பெரும்பாலும் சிறப்பு கருவிகளை நம்பியுள்ளது. பொதுவாகப் பயன்படுத்தப்படும் சில இங்கே:

• பிரித்தெடுப்பிகள்: IDA Pro, Ghidra, x64dbg (ஒரு பிழைத்திருத்தி), Hopper
• பிழைத்திருத்திகள்: x64dbg, OllyDbg, GDB
• டிகம்பைலர்கள்: IDA Pro (டிகம்பைலருடன்), Ghidra (டிகம்பைலருடன்)
• சாண்ட்பாக்ஸ் சூழல்கள்: Cuckoo Sandbox, Any.Run, Joe Sandbox
• பிணைய பகுப்பாய்விகள்: Wireshark, Fiddler
• செயல்முறை கண்காணிப்பிகள்: Process Monitor (Sysinternals)
• ஹெக்ஸ் எடிட்டர்கள்: HxD, 010 Editor
• PE பகுப்பாய்விகள்: PE Explorer, PEview, CFF Explorer
• சரம் பிரித்தெடுக்கும் கருவிகள்: strings (கட்டளை வரி), strings.exe (விண்டோஸ்)
• வைரஸ் எதிர்ப்பு மற்றும் ஆன்லைன் ஸ்கேனிங் சேவைகள்: VirusTotal

பேக்கர்கள் மற்றும் தெளிவின்மையைக் கையாளுதல்

தீம்பொருள் ஆசிரியர்கள் பெரும்பாலும் பேக்கர்கள் மற்றும் தெளிவின்மை நுட்பங்களைப் பயன்படுத்தி தங்கள் குறியீட்டை பகுப்பாய்வு செய்வதை கடினமாக்குகிறார்கள். இந்த நுட்பங்கள் தீம்பொருளின் உண்மையான செயல்பாட்டை மறைப்பதையும் கண்டறிதலைத் தவிர்ப்பதையும் நோக்கமாகக் கொண்டுள்ளன. இந்த சவால்களை எவ்வாறு கையாள்வது என்பது இங்கே:

1. பேக்கர்கள்

பேக்கர்கள் தீம்பொருளின் குறியீடு மற்றும் வளங்களை சுருக்குகின்றன அல்லது மறைகுறியாக்குகின்றன. தீம்பொருள் இயக்கும்போது, அது நினைவகத்தில் தன்னைத்தானே அவிழ்த்துக்கொள்கிறது. பேக் செய்யப்பட்ட தீம்பொருளை பகுப்பாய்வு செய்வது பின்வருவனவற்றை உள்ளடக்கியது:

• பேக்கர்களை அடையாளம் காணுதல்: PEiD மற்றும் Detect It Easy (DiE) போன்ற கருவிகள் பயன்படுத்தப்பட்ட பேக்கரை அடையாளம் காண உதவும்.
• அன் பேக்கிங்: அசல் குறியீட்டை வெளிப்படுத்த சிறப்பு அன் பேக்கர்கள் அல்லது கைமுறையான அன் பேக்கிங் நுட்பங்களைப் பயன்படுத்துதல். இதில் பிழைத்திருத்தியில் தீம்பொருளை இயக்குதல், பிரேக் பாயிண்ட்களை அமைத்தல் மற்றும் நினைவகத்திலிருந்து அவிழ்க்கப்பட்ட குறியீட்டை வெளியேற்றுதல் ஆகியவை அடங்கும்.
• இறக்குமதி மறுசீரமைப்பு: பேக்கர்கள் பெரும்பாலும் ஒரு நிரலின் இறக்குமதிகளை மறைப்பதால், அசல் நிரலின் செயல்பாடுகளை சரியாக பகுப்பாய்வு செய்ய கைமுறை அல்லது தானியங்கி இறக்குமதி மறுசீரமைப்பு தேவைப்படலாம்.

உதாரணம்: UPX ஒரு பொதுவான பேக்கர் ஆகும். ஒரு ஆய்வாளர் UPX-பேக் செய்யப்பட்ட கோப்பை தானாகவே அவிழ்க்க ஒரு பிரத்யேக UPX அன் பேக்கரைப் பயன்படுத்தலாம்.

2. தெளிவின்மை

தெளிவின்மை நுட்பங்கள் நிரலின் செயல்பாட்டை மாற்றாமல் தீம்பொருளின் குறியீட்டைப் புரிந்துகொள்வதை கடினமாக்குகின்றன. பொதுவான தெளிவின்மை நுட்பங்கள் பின்வருவனவற்றை உள்ளடக்கும்:

• குறியீடு மாற்றம்: மாறிகளின் பெயரை மாற்றுதல், குப்பைக் குறியீட்டைச் செருகுதல் மற்றும் குறியீட்டை மறுசீரமைத்தல், இதனால் அதைப் பின்பற்றுவது கடினமாகிறது.
• சரம் மறைகுறியாக்கம்: முக்கியமான தகவல்களை மறைக்க சரங்களை மறைகுறியாக்குதல்.
• கட்டுப்பாட்டு ஓட்ட சமன்படுத்துதல்: குறியீட்டின் கட்டுப்பாட்டு ஓட்டத்தை மறுசீரமைத்து அதை மிகவும் சிக்கலாக்குதல்.
• API செயல்பாட்டு அழைப்பு மாற்று: API செயல்பாடுகளுக்கு மறைமுக அழைப்புகளைப் பயன்படுத்துதல் அல்லது ஒத்த செயல்பாடுகளுடன் வெவ்வேறு API செயல்பாடுகளைப் பயன்படுத்துதல்.

தெளிவின்மையை நீக்குவதற்கு பெரும்பாலும் மேம்பட்ட நுட்பங்கள் தேவைப்படுகின்றன, அவற்றுள்:

• கைமுறை பகுப்பாய்வு: பயன்படுத்தப்பட்ட தெளிவின்மை நுட்பங்களைப் புரிந்துகொள்ள குறியீட்டை கவனமாக ஆராய்தல்.
• ஸ்கிரிப்டிங்: தெளிவின்மை நீக்கும் பணிகளை தானியங்குபடுத்துவதற்கு ஸ்கிரிப்ட்களை (எ.கா., பைதான் அல்லது ஒரு பிரித்தெடுப்பியால் ஆதரிக்கப்படும் ஒரு ஸ்கிரிப்டிங் மொழி) எழுதுதல்.
• தானியங்கி தெளிவின்மை நீக்கும் கருவிகள்: குறிப்பிட்ட தெளிவின்மை நீக்கும் படிகளை தானியங்குபடுத்தும் கருவிகளைப் பயன்படுத்துதல்.

உதாரணம்: ஒரு தீம்பொருள் மாதிரி சரங்களை தெளிவின்மைப்படுத்த XOR மறைகுறியாக்கத்தைப் பயன்படுத்தலாம். ஒரு ஆய்வாளர் XOR குறியீட்டை அடையாளம் கண்டு பின்னர் சரங்களை மறைகுறியாக்க வேண்டும்.

நடைமுறையில் தீம்பொருள் பகுப்பாய்வு: படிநிலை அணுகுமுறை

தீம்பொருள் பகுப்பாய்வைச் செய்வதற்கான ஒரு பொதுவான பணிப்பாய்வு இங்கே:

1. தீம்பொருள் மாதிரியைப் பெறுதல்: நம்பகமான மூலத்திலிருந்து அல்லது பாதுகாப்பான சூழலிலிருந்து தீம்பொருள் மாதிரியைப் பெறுதல்.
2. ஆரம்ப மதிப்பீடு (அடிப்படை நிலையான பகுப்பாய்வு):
   • கோப்பின் ஹாஷ் மதிப்பை (MD5, SHA-256) கணக்கிட்டு பதிவு செய்தல்.
   • கோப்பு வகை மற்றும் கோப்பு அளவை சரிபார்த்தல்.
   • பேக்கர்களைச் சரிபார்க்க PEiD அல்லது Detect It Easy (DiE) போன்ற கருவிகளைப் பயன்படுத்துதல்.
   • சுவாரஸ்யமான தடயங்களைத் தேட strings போன்ற கருவிகளைப் பயன்படுத்தி சரங்களை பிரித்தெடுத்தல்.
3. மேம்பட்ட நிலையான பகுப்பாய்வு:
   • கோப்பை பிரித்தெடுத்தல் (IDA Pro, Ghidra, போன்றவை).
   • குறியீட்டை டிகம்பைல் செய்தல் (சாத்தியமானால்).
   • தீங்கிழைக்கும் செயல்பாட்டிற்கான குறியீட்டை பகுப்பாய்வு செய்தல்.
   • API அழைப்புகள், கோப்பு செயல்பாடுகள், பிணைய செயல்பாடு மற்றும் பிற சந்தேகத்திற்கிடமான நடத்தைகளை அடையாளம் காணுதல்.
   • சார்புகள் மற்றும் தகவல்களைத் தேட PE ஹெடர்களை (இறக்குமதிகள், ஏற்றுமதிகள், வளங்கள்) பகுப்பாய்வு செய்தல்.
4. மாறும் பகுப்பாய்வு:
   • கட்டுப்படுத்தப்பட்ட சூழலை அமைத்தல் (சாண்ட்பாக்ஸ் அல்லது விர்ச்சுவல் மெஷின்).
   • தீம்பொருளை இயக்குதல்.
   • செயல்முறை நடத்தையை கண்காணித்தல் (Process Monitor).
   • பிணைய போக்குவரத்தை கைப்பற்றுதல் (Wireshark).
   • பதிவேடு மற்றும் கோப்பு அமைப்பு மாற்றங்களைக் கண்காணித்தல்.
   • தீம்பொருளின் செயல்கள் மற்றும் அது உருவாக்கும் கலைப்பொருட்களைக் கவனித்து ஒரு சாண்ட்பாக்ஸில் தீம்பொருளின் நடத்தையைப் பகுப்பாய்வு செய்தல்.
5. அறிக்கை மற்றும் ஆவணப்படுத்துதல்:
   • அனைத்து கண்டுபிடிப்புகளையும் ஆவணப்படுத்துதல்.
   • தீம்பொருளின் நடத்தை, செயல்பாடு மற்றும் தாக்கம் ஆகியவற்றை சுருக்கமாகக் கூறும் ஒரு அறிக்கையை உருவாக்குதல்.
   • சம்பந்தப்பட்ட பங்குதாரர்களுடன் அறிக்கையைப் பகிர்ந்து கொள்ளுதல்.
6. கையெழுத்து உருவாக்குதல் (விரும்பினால்):
   • தீம்பொருளை அல்லது அதன் வகைகளைக் கண்டறிய கையெழுத்துகளை (எ.கா., YARA விதிகள்) உருவாக்குதல்.
   • பாதுகாப்பு சமூகத்துடன் கையெழுத்துகளைப் பகிர்ந்து கொள்ளுதல்.

குறிப்பிட்ட படிகள் மற்றும் நுட்பங்கள் தீம்பொருள் மாதிரி மற்றும் ஆய்வாளரின் இலக்குகளைப் பொறுத்து மாறுபடும்.

தீம்பொருள் பகுப்பாய்வின் நிஜ உலக எடுத்துக்காட்டுகள்

இந்த நுட்பங்களின் பயன்பாட்டை விளக்குவதற்கு, சில சூழ்நிலைகளைக் கருத்தில் கொள்வோம்:

1. ரான்சம்வேர் பகுப்பாய்வு

ரான்சம்வேர் ஒரு பாதிக்கப்பட்டவரின் கோப்புகளை மறைகுறியாக்கி, அவற்றை டிகிரிப்ட் செய்ய கப்பப் பணம் கோருகிறது. பகுப்பாய்வு பின்வருவனவற்றை உள்ளடக்கும்:

• நிலையான பகுப்பாய்வு: பயன்படுத்தப்பட்ட மறைகுறியாக்கப்பட்ட அல்காரிதம்கள் (எ.கா., AES, RSA), இலக்கு வைக்கப்பட்ட கோப்பு நீட்டிப்புகள் மற்றும் கப்பப் பணம் குறிப்பு உரை ஆகியவற்றை அடையாளம் காணுதல்.
• மாறும் பகுப்பாய்வு: கோப்பு மறைகுறியாக்கச் செயல்முறை, கப்பப் பணம் குறிப்புகள் உருவாக்கம் மற்றும் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களுடன் தொடர்பு ஆகியவற்றை அவதானித்தல்.
• குறியீட்டு பகுப்பாய்வு: மறைகுறியாக்கக் குறியீட்டை மீட்டெடுக்க முடியுமா என்பதைத் தீர்மானித்தல் (எ.கா., குறியீடு பலவீனமாக உருவாக்கப்பட்டு அல்லது பாதுகாப்பற்ற முறையில் சேமிக்கப்பட்டிருந்தால்).

2. வங்கி ட்ரோஜன் பகுப்பாய்வு

வங்கி ட்ரோஜன்கள் நிதிச் சான்றுகளைத் திருடி மோசடி பரிவர்த்தனைகளைச் செய்கின்றன. பகுப்பாய்வு பின்வருவனவற்றை உள்ளடக்கும்:

• நிலையான பகுப்பாய்வு: ட்ரோஜன் தொடர்பு கொள்ளும் URLகள், சான்றுகளைத் திருடப் பயன்படுத்தப்படும் செயல்பாடுகள் மற்றும் முறையான செயல்முறைகளில் குறியீட்டைச் செருகப் பயன்படுத்தப்படும் நுட்பங்களை அடையாளம் காணுதல்.
• மாறும் பகுப்பாய்வு: தீங்கிழைக்கும் குறியீட்டின் ஊடுருவல், விசைப்பலகை அழுத்தங்களை கைப்பற்றுதல் மற்றும் C2 சேவையகங்களுக்கு தரவு வெளியேற்றம் ஆகியவற்றை அவதானித்தல்.
• பிணைய போக்குவரத்து பகுப்பாய்வு: C2 சேவையகத்துடனான தொடர்புகளை அடையாளம் காண போக்குவரத்தைப் பகுப்பாய்வு செய்தல் மற்றும் எந்த தரவு வெளியேற்றப்படுகிறது என்பதைத் தீர்மானிக்க தரவு தொகுப்புகளை பகுப்பாய்வு செய்தல்.

3. மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) பகுப்பாய்வு

APTகள் என்பது பெரும்பாலும் குறிப்பிட்ட நிறுவனங்கள் அல்லது தொழில்துறைகளை இலக்காகக் கொண்ட அதிநவீன, நீண்ட கால தாக்குதல்கள் ஆகும். பகுப்பாய்வு பின்வருவனவற்றை உள்ளடக்கும்:

• பல அடுக்கு அணுகுமுறை: நிலையான மற்றும் மாறும் பகுப்பாய்வை அச்சுறுத்தல் நுண்ணறிவு மற்றும் பிணைய தடயவியல் உடன் இணைத்தல்.
• தாக்குதலின் நோக்கத்தை அடையாளம் காணுதல்: தாக்குபவரின் நோக்கங்கள், இலக்கு அமைப்பு மற்றும் பயன்படுத்தப்பட்ட தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள் (TTPs) ஆகியவற்றைத் தீர்மானித்தல்.
• பங்களிப்பு: தாக்குதலுக்குப் பொறுப்பான அச்சுறுத்தல் செய்பவர்களை அடையாளம் காணுதல்.

நெறிமுறை மற்றும் சட்டப்பூர்வ பரிசீலனைகள்

தீம்பொருள் பகுப்பாய்வு என்பது தீங்கு விளைவிக்கும் மென்பொருளுடன் செயல்படுவதை உள்ளடக்கியது. நெறிமுறை மற்றும் சட்டப்பூர்வ வழிகாட்டுதல்களைப் பின்பற்றுவது மிக முக்கியம்:

• சரியான அங்கீகாரத்தைப் பெறுதல்: நீங்கள் பரிசோதிக்க அங்கீகரிக்கப்பட்ட தீம்பொருள் மாதிரிகளை மட்டுமே பகுப்பாய்வு செய்யுங்கள். ஒரு நிறுவனம், ஒரு கிளையண்ட் அல்லது மாதிரியின் உரிமையாளர் இல்லாத எந்தச் சூழ்நிலையிலும் மாதிரிகளுடன் பணிபுரியும் போது இது மிகவும் முக்கியமானது.
• பாதுகாப்பான சூழலைப் பயன்படுத்துதல்: தற்செயலான தொற்றைத் தடுக்க எப்போதும் பாதுகாப்பான, தனிமைப்படுத்தப்பட்ட சூழலில் (சாண்ட்பாக்ஸ் அல்லது விர்ச்சுவல் மெஷின்) பகுப்பாய்வைச் செய்யுங்கள்.
• தனியுரிமையை மதித்தல்: தீம்பொருள் முக்கியமான தகவல்களைக் கொண்டிருப்பதற்கான சாத்தியக்கூறுகளை கவனத்தில் கொள்ளுங்கள். தரவுகளை விவேகத்துடன் கையாளவும்.
• சட்ட விதிமுறைகளைப் பின்பற்றுதல்: தீம்பொருளைக் கையாள்வது தொடர்பான அனைத்து பொருந்தக்கூடிய சட்டங்கள் மற்றும் விதிமுறைகளுக்கு இணங்குங்கள். இது உங்கள் இருப்பிடத்தைப் பொறுத்து கணிசமாக மாறுபடலாம்.

தீம்பொருள் பகுப்பாய்வின் எதிர்காலம்

தீம்பொருள் பகுப்பாய்வுத் துறை தொடர்ந்து வளர்ந்து வருகிறது. வளர்ந்து வரும் சில போக்குகள் இங்கே:

• AI மற்றும் இயந்திர கற்றல்: தீம்பொருள் பகுப்பாய்வின் அம்சங்களான கண்டறிதல், வகைப்படுத்துதல் மற்றும் நடத்தை பகுப்பாய்வு போன்றவற்றை தானியங்குபடுத்த AI மற்றும் ML ஐப் பயன்படுத்துதல்.
• தானியங்கி பகுப்பாய்வு தளங்கள்: பகுப்பாய்வு செயல்முறையை ஒழுங்குபடுத்த பல்வேறு பகுப்பாய்வுக் கருவிகள் மற்றும் நுட்பங்களை ஒருங்கிணைக்கும் அதிநவீன தளங்களை உருவாக்குதல்.
• நடத்தை பகுப்பாய்வு: தீம்பொருளின் ஒட்டுமொத்த நடத்தையைப் புரிந்துகொள்வதில் கவனம் செலுத்துதல் மற்றும் இந்தத் தகவலைப் பயன்படுத்தி தொற்றுகளைக் கண்டறிந்து தடுப்பது.
• கிளவுட் அடிப்படையிலான சாண்ட்பாக்ஸிங்: அளவிடக்கூடிய மற்றும் தேவைக்கேற்ப தீம்பொருள் பகுப்பாய்வு திறன்களை வழங்க கிளவுட் அடிப்படையிலான சாண்ட்பாக்ஸிங் சேவைகளைப் பயன்படுத்துதல்.
• மேம்பட்ட தவிர்ப்பு நுட்பங்கள்: தீம்பொருள் ஆசிரியர்கள் தங்கள் தவிர்ப்பு நுட்பங்களை தொடர்ந்து மேம்படுத்துவார்கள், இது ஆய்வாளர்கள் இந்த சவால்களுக்கு முன்னால் இருக்க வேண்டும்.

முடிவுரை

தீம்பொருள் பகுப்பாய்வு இணைய பாதுகாப்பில் ஒரு முக்கியமான துறையாகும். ரிவர்ஸ் இன்ஜினியரிங் நுட்பங்களில் தேர்ச்சி பெறுவதன் மூலமும், கருவிகளைப் புரிந்துகொள்வதன் மூலமும், நெறிமுறை நடைமுறைகளைப் பின்பற்றுவதன் மூலமும், பாதுகாப்பு வல்லுநர்கள் எப்போதும் வளர்ந்து வரும் தீம்பொருள் அச்சுறுத்தலை திறம்பட எதிர்த்துப் போராட முடியும். இந்த மாறும் துறையில் திறம்பட செயல்பட சமீபத்திய போக்குகள் குறித்து தகவலுடன் இருப்பதும் உங்கள் திறன்களைத் தொடர்ந்து மேம்படுத்துவதும் அவசியம். தீங்கிழைக்கும் குறியீட்டை பகுப்பாய்வு செய்து புரிந்துகொள்ளும் திறன் நமது டிஜிட்டல் உலகைப் பாதுகாப்பதற்கும் அனைவருக்கும் பாதுகாப்பான எதிர்காலத்தை உறுதி செய்வதற்கும் ஒரு மதிப்புமிக்க சொத்து.