# Chapter 2: Malware Triage and Behavioral Analysis

## 2.1 Analysis Environment

Xây dựng môi trường phân tích an toàn và hiệu quả là rất quan trọng để phân tích phần mềm độc hại thành công. Sử dụng máy ảo và sandbox cung cấp một mối trường được kiểm soát để theo dõi hành vi của phần mềm độc hại. Do đó, phần mềm độc hại ngày càng sử dụng các kỹ thuật phát hiện và lẩn tránh máy ảo và sandbox.

Một máy ảo (VM - virtual machine) mô phỏng một máy tính vật lý nhưng chạy hoàn toàn trong môi trường ứng dụng được gọi là hypervisor. Hypervisor cung cấp một loại vùng chứa cho phép  thực thi an toàn mã độc hại và kích nổ phần mềm độc hại một cách an toàn.

Một sandbox phân tích phần mềm độc hại thường là một loại VM được cấu hình để tự động phân tích phần mềm độc hại và tạo ra một báo cáo hoặc đánh giá về hành vi, khả năng và thuộc tính của phần mềm độc hại. Một ví dụ về sandbox là sandbox mã nguồn mở Cuckoo và các các sandbox độc quyền Joe Snadox và Any.Run. Điểm chính ở đây gần như tất cả các sandbox phần mềm độc hại đều là VM, nhưng không phải mọi VM đều được cấu hình để trở thành sandbox phần mềm độc hại.

Một môi trường phòng thí nghiệm phân tích phần mềm độc hại điển hình thường bao gồm một hệ thống máy chủ và một hoặc nhiều VM và sanbox. Hệ thống máy chủ lưu trữ và chạy các VM và sanbox phân tích và nó có thể có Windows, Linux hoặc macOS cũng như một hypervisor được cài đặt.

## 2.2 Malware Analysis Process

Hãy tưởng tượng rằng bạn là một nhà phân tích phần mềm độc hại và bạn được giao một tệp không xác định để điều tra. Tệp này có thể không có ngữ cảnh bổ sung hoặc nó có thể là một phần của cuộc xâm phạm lớn hơn và một cuộc điều tra ứng phó sự cố đang diễn ra. Dù bằng cách nào, bạn phải trả lời các câu hỏi sau:

* Tệp này thuộc loại nào?
* Khi tệp được mở, nó làm gì?
* Sau khi thực thi, tệp tạo ra những loại hiện vật nào?
* Tệp đã thực thi có cố gắng kết nối với internet hoặc giao tiếp trên mạng cục bộ không? Nếu có, đến địa chỉ IP hoặc tên miền nào?
* Tệp đã thực thi có biểu hiện các dấu hiệu của hoạt động độc hại tiềm ẩn, chẳng hạn như tự ẩn mình trên hệ thống bị nhiễm, cố gắng đánh cắp dữ liệu nhạy cảm hoặc cố gắng phát hiện các công vụ phân tích phần mềm độc hại không?
* Nếu tệp này có bản chất độc hại, khả năng và ý định của nó là gì?

Đây là những câu hỏi mà một quy trình phân tích phần mềm độc hại tốt sẽ giúp bạn trả lời. Tuy nhiên quy trình chính xác có thể khác nhau giữa các nhà phân tích. Các nhà phân tích chuyên gia có thể đi lệch khá nhiều so với nhiều quy trình phân tích phần mềm độc hại đã được ghi lại, trong khi các nhà phân tích mới bắt đầu có thể thích gắn bó với một con đường rõ ràng.

Quy trình bắt đầu với những điều cơ bản và từ từ thêm vào các kỹ thuật nâng cao hơn khi cần thiết.

## 2.3 Initial Malware Triage (Sàng lọc ban đầu phần mềm độc hại)

Có một số mục tiêu khi nói đến sàng lọc ban đầu. Đầu tiên, ta cần xác định loại tệp mà ta đang xử lý. Đó có phải là tài liệu Microsoft Excel? PDF? Script? một tệp thực thi? Câu trả lời thông báo cho phần còn lại của quy trình phân tích phần mềm độc hại.

Thứ hai, ta cần thu thập càng nhiều thông tin về tệp càng tốt. Ví dụ: tệp này có được biết đến với các kho lưu trữ phần mềm độc hại công khai và các nhà nghiên cứu khác không?

Điều trên thúc đẩy mục tiêu số 3, đố là xác định xem tệp có độc hại hay không và nếu có, thì nó thuộc loại phần mềm độc hại nào? Phần mềm tống tiền?  Kẻ trộm thông tin?

Cuối cùng, ta nên có một số hiểu biết cơ bản về khả năng của tệp. Một trong những mục tiêu chính của sàng lọc ban đầu giúp bạn xác định các bước tiếp theo trong việc điều tra mẫu phần mềm độc hại.

### 2.3.1 Xác định loại tệp

Một trong những bước cơ bản và quan trọng nhất của phân tích phần mềm độc hại là xác định loại tệp, điều này sẽ thông báo về cách mà ta sẽ tiếp cận phân tích, các công cụ bạn sẽ sử dụng và thứ tự các bước bạn sẽ thực hiện. Loại tệp được biểu thị bằng magic bytes hoặc signature của nó, một hoặc nhiều byte dữ liệu ở đầu tệp. Bảng sau đây liệt kê một số signature phổ biến khác và bạn có thể tìm thấy nhiều hơn bằng cách tìm kiếm "list of file signatures" trên Wikipedia

<table><thead><tr><th width="128.54544067382812">Chữ ký (ASCII)</th><th width="170.18182373046875">Magic bytes</th><th>Loại tệp</th></tr></thead><tbody><tr><td>7z¼¯'</td><td>37 7A BC AF 27 1C</td><td>Lưu trữ 7z</td></tr><tr><td>ELF</td><td>7F 45 4C 46</td><td>Executable and Linkable Format (ELF), một loại tệp thực thi được sử dụng trong các hệ thống dựa trên Unix</td></tr><tr><td>%PDF-</td><td>25 50 44 46 2D</td><td>Tệp PDF</td></tr><tr><td>{\rtf1</td><td>7B 5C 72 74 66 31</td><td>Tài liệu Rich Text Format (RTF)</td></tr><tr><td>PK</td><td>50 4B 03 04</td><td>Tệp ZIP (và các tệp khác sử dụng định dạng .zip, chẳng hạn như nhiều tệp Microsoft Office)</td></tr></tbody></table>

Ngoài các trình chỉnh sửa hex, bạn có thể sử dụng lệnh `file` để xác định loại tệp trong Linux. Công cụ này đọc chữ ký của tệp và hiển thị nó ở định dạng dễ đọc. Chỉ cần chạy lệnh file với tệp phần mềm độc hại làm tham số đầu vào:

```bash
file suspicious.exe
```

Như ta có thể thấy trong đầu ra được hiển thị ở đây, tệp này thực sự là một tệp thực thi, cụ thể là một tệp PE 32-bit của Windows:

```bash
remnux@remnux:~$ file suspicious.exe
suspicious.exe: PE32 executable (GUI) Intel 80386, for MS Windows
```

Lệnh file là một công cụ đa năng tốt để xác định nhiều định dạng tệp phổ biến, bao gồm cả các tệp không phải PE như tài liệu và lưu trữ. Đối vưới các tệp PE nói riêng, các công cụ phân tích tĩnh PE, hoặc những công cụ được gọi là sàng lọc PE như CFF Explorer là một công cụ phân tích ban đầu tuyệt vời vì nó cung cấp thông tin như kích thước tệp và dấu thời gian tạo tệp, một số trong đó bạn có thể thấy trong hình dưới đây:

<figure><img src="/files/JF9ItmYvwkftmGerg7Kt" alt=""><figcaption></figcaption></figure>

Chúng ta có thể thấy các thông tin khác về tệp chẳng hạn như các tab import Directory và Section Headers ở bên trái.

### 2.3.2 Lấy hash của file

Hash của một tệp là một loại dấu vân tay ở chỗ nó là duy nhất cho tệp đó. Khi một tệp được chạy thông qua một thuật toán băm, thuật toán sẽ tạo ra một chuỗi ký tự có kích thước cố định. Kích thước chính xác phụ thuộc vào thuật toán băm nào được sử dụng. Các thuật toán băm tệp phổ biến nhất được sử dụng để phân tích phần mềm độc hại là MD5, SHA-1 và SHA256.

Lưu ý: MD5 và SHA-1 có nguy cơ va chạm, có nghĩa là 2 hoặc nhiều tệp có thể có cùng giá trị băm, điều này rất hiếm, nhưng nó vẫn xảy ra. Nếu bạn phát hiện 2 tệp hoàn toàn khác nhau có cùng chữ ký, bạn có thể đã gặp phải một vụ va chạm.

### 2.3.3 Sàng lọc với VirusTotal

VirusTotal ([https://www.virustotal.com](https://www.virustotal.com/)) là một nền tảng có sẵn công khai để sàng lọc và phân tích phần mềm độc hại. Khôn cần tài khoản, vì vậy bất kỳ ai cũng có thể tải lên tệp để có được đánh giá nhanh chóng. VirusTotal chạy tệp đã tải lên so với hơn 60 nhà cung cấp phần mềm chống phần mềm độc hại để có được tỷ lệ phát hiện tổng thể của tệp, chạy tệp trong môi trường sanbox và truy xuất thông tin bổ sung về tệp từ nhiều nguồn. Một đánh giá VirusTotal điển hình có thể bao gồm những điều sau:

* Số lượng phát hiện chống phần mềm độc hại cho tệp (tỷ lệ phát hiện)
* Báo cáo sandbox từ tệp.
* Metadata của tệp (người tạo tệp, ngày tạo,..)
* Chứng chỉ kỹ thuật số liên quan đến tệp
* Kết quả phù hợp với quy tắc Yara
* Nhiều thông tin hữu ích khác

Một lợi thế chính của VirusTotal là khả năng truy vấn dữ liệu phần mềm độc hại rất lơn để tìm kiếm một hàm băm. Bạn chỉ cần dán hàm băm vào và nó chạy một truy vấn thụ động cho tệp, cung cấp tất cả thông tin như thể bạn đã tự tải tệp lên. Miễn là tệp có trong cơ sở dữ liệu, VirusTotal sẽ cung cấp một báo cáo về nó.

<figure><img src="/files/QCA7xQM1nQyeeswsOD0E" alt=""><figcaption></figcaption></figure>

Như ta có thấy, chúng ta có thể kết luận rằng tệp rất có thể là phần mềm độc hại. Tuy nhiên, lưu ý rằng các phân loại phần mềm độc hại từ VirusTotal không phải lúc nào cũng chính xác. Tệp phần mềm độc hại có thể được đóng gói, dẫn đến phân loại sai.

### 2.3.4 Truy vấn các công cụ tìm kiếm và tài nguyên khác

Truy vấn các trình duyệt hoặc các database malware của một số nơi khác như Malshare, MalwareBazaar

### 2.3.5 Xác định và phân loại phần mềm độc hại chưa biết bằng Yara

Yara (<http://virustotal.github.io/yara/>) cho phép bạn tạo các định nghĩa chữ ký (gọi là quy tắc) được thiết kế để khớp với một tệp chưa xác định. Các định nghĩa chữ ký này có thể ở dạng chuỗi, trình tự byte hoặc các thuộc tính khác. Mã sau đây (có tại <https://github.com/bartblaze/Yara-rules/blob/master/rules/crimeware/AveMaria.yar>) hiển thị một phiên bản rút gọn của quy tắc Yara được viết để phát hiện Ave Maria:

```yaml
rule AveMaria
{
meta:
--snip--
source = "BARTBLAZE"
author = "@bartblaze"
description = "Identifies AveMaria aka WarZone RAT."
category = "MALWARE"
malware = "WARZONERAT"
malware_type = "RAT"
mitre_att = "S0534"
strings:
$ = "AVE_MARIA" ascii wide
$ = "Ave_Maria Stealer OpenSource" ascii wide
$ = "Hey I'm Admin" ascii wide
$ = "WM_DISP" ascii wide fullword
$ = "WM_DSP" ascii wide fullword
$ = "warzone160" ascii wide
condition:
3 of them
}
```

Quy tắc Yara này được thiết kế đặc biệt để khớp với các mẫu có thể liên quan đến Ave Maria / Warzone RAT. Nó sẽ khớp với bất kỳ tệp nào chứa ba hoặc nhiều chuỗi hơn trong phần chuỗi. Hãy chạy quy tắc Yara này trên mẫu phân tích của chúng ta. Để chạy quy tắc Yara, hãy sử dụng cú pháp sau (tham số -s hiển thị các kết quả khớp chuỗi chính xác trong tệp phần mềm độc hại):

```bash
yara -s rules_file malware_file
```

Các quy tắc Yara có thể giúp bạn nhanh chóng thu thập thông tin có giá trị về tệp bạn đang xử lý và thậm chí có thể xác định họ phần mềm độc hại liên quan của nó. Để biết thêm thông tin về Yara, hãy xem <https://yara.readthedocs.io/en/stable/>.

### 2.3.6 Analyzing Static Properties

Bạn có thể học được rất nhiều điều về một tệp không xác định bằng cách kiểm tra các thuộc tính tĩnh của nó.

#### Strings

Chuỗi là các chuỗi ký tự trong nhiều loại tệp khác nhau. Đôi khi chuỗi là văn bản mà con người có thể đọc được và đôi khi chúng chỉ đơn giản là một chuỗi byte. Dù bằng cách nào, chúng có thể là một điểm khởi đầu tuyệt vời để kiểm tra một tệp không xác định. Cách đơn giản nhất để trích xuất chuỗi từ một tệp là sử dụng công cụ dòng lệnh `strings` trong Linux. Công cụ này quét tệp và cố gắng định vị và diễn giải các chuỗi dữ liệu nhị phân thành dạng mà con người có thể đọc được:

```bash
strings suspicious.exe
```

Lưu ý rằng theo mặc định, lệnh `strings` sẽ chỉ xuất các chuỗi ASCII. Một loại chuỗi khác, unicode (hoặc wide), có thể được trích xuất bằng cách sử dụng lệnh sau: `strings -e l suspicious.exe`. Đầu ra đã tiết lộ một số điều thú vị:

```bash
remnux@remnux:/malware$ strings suspicious.exe
--snip--
127.0.0.2
abcdefghijklmnopqrstuvwxyzABCDEFGHIJK...
warzone160
.bss
USER32.DLL
MessageBoxA
Assert
An assertion condition failed
PureCall
--snip--
```

Đối với các tệp thực thi nói riêng, các công cụ PE như PEStudio có thể rất hữu ích. PEStudio không chỉ trích xuất các định dạng chuỗi khác nhau từ tệp thực thi mà còn sắp xếp và phân loại các chuỗi đó dựa trên các đặc điểm nhất định, như bạn có thể thấy trong hình dưới.

<figure><img src="/files/6ktX9gh9jRI5GOGWfMGL" alt=""><figcaption></figcaption></figure>

Hai công cụ bổ sung rất hữu ích cho phân tích chuỗi là FLOSS và StringSifter.&#x20;

FLOSS (<https://github.com/mandiant/flare-floss>) là một công cụ để xác định và trích xuất các chuỗi bị xáo trộn—tức là các chuỗi đang bị che khuất một cách cố ý để ngăn những con mắt tò mò xem dữ liệu.

StringSifter (<https://github.com/mandiant/stringsifter>) lấy đầu ra từ một công cụ trích xuất chuỗi khác, chẳng hạn như các công cụ strings và FLOSS đã đề cập ở trên và xếp hạng và sắp xếp các chuỗi theo mức độ hữu ích của chúng và mức độ liên quan đến các nhà phân tích phần mềm độc hại.

#### **Imports and Exports**

Imports là các thư viện và hàm mà tệp thực thi đang sử dụng, trong khi exports là các hàm mà tệp thực thi cung cấp cho các hàm hoặc chương trình khác để sử dụng. Imports và exports có thể được sử dụng để có được gợi ý về ý định của tệp thực thi.

<figure><img src="/files/vw3ZCzpMCc7JnyuO6hXs" alt=""><figcaption></figcaption></figure>

#### Metadata and Other Information

Cuối cùng, siêu dữ liệu của tệp có thể cung cấp cho chúng ta manh mối về ý định của nó. PEStudio có thể hiển thị dấu thời gian của tệp, có thể biểu thị thời điểm tệp được biên dịch lần đầu tiên. Ngoài ra, nó có thể hiển thị thông tin về ngôn ngữ lập trình mà tệp được viết, các phần khác nhau của tệp PE và thậm chí cả các chứng chỉ nhúng có thể đã được sử dụng để ký tệp. Tóm lại, bạn có thể thu thập rất nhiều thông tin bổ sung về một tệp bằng cách sử dụng các công cụ phân tích tệp PE như PEStudio. Tuy nhiên, hãy lưu ý rằng những kẻ tạo ra phần mềm độc hại có thể thay đổi và làm giả siêu dữ liệu.

## 2.4 Automated Malware Triage with Sandboxes

Sau khi đánh giá ban đầu tệp nghi ngờ của bạn, bạn có thể vẫn còn những câu hỏi. Ngay cả khi bạn có thể xác định họ phần mềm độc hại mà mẫu thuộc về dựa trên phân tích ban đầu của bạn, bạn vẫn có thể cần nhanh chóng xác định khả năng và trích xuất thông tin chính. Một lựa chọn tốt là sử dụng sandbox phân tích phần mềm độc hại, có thể cung cấp nhiều thông tin về mục đích, khả năng và hành vi của mẫu.

Sandbox phân tích phần mềm độc hại được sử dụng để tự động hóa các phần của quy trình phân tích phần mềm độc hại, đặc biệt là sàng lọc ban đầu. Khi một tệp được gửi đến một sandbox tự động, nó được kích nổ (tức là thực thi) và các hành động của nó trên hệ thống được theo dõi chặt chẽ. Sandbox tự động thường tạo ra một báo cáo về hành vi và khả năng của tệp sau khi phân tích.

<table><thead><tr><th width="139.45452880859375">Tên</th><th width="235.09088134765625">Loại</th><th>Nguồn</th></tr></thead><tbody><tr><td>CAPE</td><td>Miễn phí, mã nguồn mở</td><td>https://github.com/kevoreilly/CAPEv2<br>https://capev2.readthedocs.io/</td></tr><tr><td>Cuckoo</td><td>Miễn phí, mã nguồn mở</td><td>https://github.com/cuckoosandbox</td></tr><tr><td>Hatching Triage</td><td>Thương mại, miễn phí gửi tệp</td><td>https://tria.ge</td></tr><tr><td>Hybrid Analysis</td><td>Thương mại, miễn phí gửi tệp</td><td>https://www.hybrid-analysis.com</td></tr><tr><td>Intezer</td><td>Thương mại, miễn phí gửi tệp</td><td>https://www.intezer.com</td></tr><tr><td>Joe Sandbox</td><td>Thương mại, miễn phí gửi tệp</td><td>https://www.joesecurity.org/</td></tr><tr><td>UnpacMe</td><td>Thương mại, miễn phí gửi tệp</td><td>https://www.unpac.me/</td></tr><tr><td>VirusTotal</td><td>Thương mại, miễn phí gửi tệp</td><td>https://www.virustotal.com</td></tr><tr><td>VMRay</td><td>Thương mại</td><td>https://www.vmray.com</td></tr></tbody></table>

Lưu ý rằng hai mục đầu tiên trong danh sách (CAPE và Cuckoo) không phải là thương mại, vì vậy bạn sẽ cần tải xuống các dự án từ GitHub và tự xây dựng chúng. Ngoài ra Cuckoo không còn được bảo trì nữa.

**LƯU Ý:** Sử dụng sandbox luôn là một bước đầu tiên khôn ngoan trong việc xác định và định vị các kỹ thuật trốn tránh phần mềm độc hại để bạn có thể sau này khắc phục chúng nếu cần thiết. Tuy nhiên, hãy nhớ rằng kết quả sandbox có thể không thuyết phục hoặc thậm chí không chính xác. Luôn điều tra thủ công kết quả sandbox để xác minh các phát hiện.

Cuối cùng, sử dụng sandbox là một cách tuyệt vời để nhanh chóng trích xuất các chỉ số xâm phạm (IOC) từ các mẫu phần mềm độc hại. IOC có thể là các hiện vật mạng (chẳng hạn như giao tiếp đến một miền hoặc địa chỉ IP cụ thể hoặc một tiêu đề HTTP cụ thể) hoặc các hiện vật máy chủ (chẳng hạn như một tên tệp cụ thể hoặc sửa đổi khóa registry hoặc thực thi dòng lệnh đáng ngờ) mà bạn có thể sử dụng sau này để phát hiện phần mềm độc hại này và ngăn nó lây nhiễm thêm các máy chủ. Để biết thêm thông tin về những gì là và không phải là IOC, hãy truy cập <https://www.crowdstrike.com/cybersecurity-101/indicators-of-compromise/>.

## 2.5 Interactive Behavioral Analysis

Kết quả sandbox có thể cung cấp hầu hết thông tin mà nhà phân tích cần để xác định ý định, mục đích và tác động tiềm tàng của một phần mềm độc hại nhất định, nhưng các câu hỏi quan trọng có khả năng vẵn chưa được trả lời.

Phân tích hành vi tương tác là một thuật ngữ ưa thích để kích nổ và giám sát phần mềm độc hại theo cách thủ công trong một môi trường được kiểm soát, thay vì chỉ dựa vào việc kích nổ hoàn toàn tự động trong sandbox như Cuckoo. Phân tích hành vi tương tác là một quy trình thủ công hơn nhiều và, tốt, tương tác hơn, mang lại cho bạn nhiều tự do hơn. Phân tích tương tác này thường được thực hiện trong một VM.

Một trong những lý do chính để sử dụng phân tích hành vi tương tác là, nếu mẫu phần mềm độc hại đang sử dụng các kỹ thuật phát hiện sandbox, bạn có thể cố gắng ngăn chặn chúng bằng cách mô phỏng một người dùng thực hoặc cung cấp cho phần mềm độc hại một thứ mà nó đang tìm kiếm. Ví dụ: phần mềm độc hại có thể đang tìm kiếm một tệp cụ thể trên hệ thống của nạn nhân và vì chúng ta hoàn toàn kiểm soát môi trường tương tác, chúng ta có thể cung cấp tệp này để phần mềm độc hại có thể tiếp tục thực thi. Các sandbox hoàn toàn tự động thường thất bại trong vấn đề này.

Các công cụ chúng ta sẽ khám phá đều có sẵn miễn phí. Nếu bạn muốn theo dõi, bạn sẽ cần tải xuống và cài đặt các công cụ sau trong môi trường VM:

* Procmon (<https://learn.microsoft.com/en-us/sysinternals/>)
* Process Hacker ([https://processhacker.sourceforge.io](https://processhacker.sourceforge.io/))
* Fiddler (<https://www.telerik.com/fiddler>)
* Wireshark ([https://www.wireshark.org](https://www.wireshark.org/))

### 2.5.1 Giám sát hành vi của phần mềm độc hại

Một phần lớn của phân tích hành vi tương tác là giám sát hành vi hoặc hành động của phần mềm độc hại trên máy chủ nạn nhân. Một công cụ phổ biến cho việc này là **Process Monitor** (Procmon), là một phần của bộ Sysinternals. Procmon có thể ghi lại nhiều chi tiết về các hành động mà phần mềm độc hại thực hiện trên máy chủ, chẳng hạn như tạo ra các tiến trình, đọc và ghi các tệp và registry, và cố gắng kết nối với mạng.

Procmon luôn là một bước đầu tiên tốt trong phân tích hành vi tương tác. Các hoạt động đáng ngờ được tiết lộ trong Procmon có thể giúp hướng dẫn thêm cuộc điều tra của bạn. Ví dụ: nếu phần mềm độc hại đang ghi vào một tệp lạ hoặc đọc một khóa registry đáng ngờ, thì một phần của phân tích tương tác là điều tra các đường dẫn đó ngay lập tức!

Một công cụ khác để phân tích tương tác là **Process Hacker,** cùng với các công cụ tương tự như Process Explorer, có thể được sử dụng để kiểm tra cây tiến trình, điều tra bộ nhớ của tiến trình phần mềm độc hại và hơn thế nữa. Kiểm tra bộ nhớ là một nhiệm vụ đặc biệt hữu ích.

### 2.5.2 Kiểm tra lưu lượng mạng của phần mềm độc hại

Sử dụng wireshark và Fiddler để giám sát hoạt động mạng của phần mềm độc hại.

**LƯU Ý:** Nhiều họ phần mềm độc hại cố gắng xác định xem một máy chủ có được kết nối với internet hay không trước khi lây nhiễm cho nó như một kỹ thuật trốn tránh sandbox. Nếu bạn đang điều tra phần mềm độc hại trong một VM ngoại tuyến (không được kết nối với internet), bạn có thể muốn sử dụng một công cụ "giả mạo" các dịch vụ mạng, chẳng hạn như **FakeNet** hoặc **INetSim**.

Tổng kết: chương này đã đề cập đến những kiến thức cơ bản về việc sàng lọc mẫu phần mềm độc hại để có được đánh giá nhanh chóng và xác định các bước tiếp theo trong phân tích của bạn.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/mal/evasive-malware/chapter-2-malware-triage-and-behavioral-analysis.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.