Thảo luận - AntiDebug, AntiAV của virus | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Adblocker detected! Please consider reading this notice.

We've detected that you are using AdBlock Plus or some other adblocking software which is preventing the page from fully loading.

We need money to operate the site, and almost all of it comes from our online advertising.

If possible, please support us by clicking on the advertisements.

Please add vn-z.vn to your ad blocking whitelist or disable your adblocking software.

×

Thảo luận AntiDebug, AntiAV của virus

N2Nguyen

Gà con
Chào các bạn, đi lượn lờ thấy bài này khá hay anh em cùng tham khảo nhé!
Bài viết này giới thiệu một kỹ thuật virus rất hay sử dụng để chống lại các AntiVirus, cũng như các phương pháp debug, reverse.

0604-virus-1508388385.jpg


Như các bạn đã biết Registry của Windows là một database quản lý các cấu hình của hệ điều hành, của phần mềm...Trong registry có rất nhiều các cấu hình quan trọng như: cấu hình các chương trình khởi động cùng máy, cấu hình các dịch vụ của hệ thống...trong đó có một cấu hình để xác định một chương trình bị debug bởi một chương trình khác (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options)

Virus đã lợi dụng cấu hình này, để các chương trình của phần mềm AntiVirus, phần mềm debug, dịch ngược như Olly, IDA bị debug bởi các chương trình khác, dẫn đến chúng không còn hoạt động đúng mục đích. Dưới đây là các bước, cũng như đoạn code demo

upload_2020-11-23_16-51-43.png



upload_2020-11-23_16-51-52.png



Từ đoạn code trên chúng ta thấy, chương trình ollydbg.exe của phần mềm Olly đã bị debug với chương trình Notepad.exe. Hình dưới là kết quả khi chạy chương trình của Olly và bị Notepad debug, vì vậy olly đã bị vô hiệu hóa.

upload_2020-11-23_16-53-38.png


Tất nhiên, trên chỉ là ví dụ demo bằng Notepad để các bạn dễ hình dung, trong thực tế virus sẽ lợi dụng các chương trình không có giao diện để debug, khi đó nạn nhân sẽ không biết được tại sao các phần mềm của mình không hoạt động.
Nguồn Whitehat.vn​
 


Top