N2Nguyen
Gà con
Chào các bạn, đi lượn lờ thấy bài này khá hay anh em cùng tham khảo nhé!
Bài viết này giới thiệu một kỹ thuật virus rất hay sử dụng để chống lại các AntiVirus, cũng như các phương pháp debug, reverse.
Như các bạn đã biết Registry của Windows là một database quản lý các cấu hình của hệ điều hành, của phần mềm...Trong registry có rất nhiều các cấu hình quan trọng như: cấu hình các chương trình khởi động cùng máy, cấu hình các dịch vụ của hệ thống...trong đó có một cấu hình để xác định một chương trình bị debug bởi một chương trình khác (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options)
Virus đã lợi dụng cấu hình này, để các chương trình của phần mềm AntiVirus, phần mềm debug, dịch ngược như Olly, IDA bị debug bởi các chương trình khác, dẫn đến chúng không còn hoạt động đúng mục đích. Dưới đây là các bước, cũng như đoạn code demo
Từ đoạn code trên chúng ta thấy, chương trình ollydbg.exe của phần mềm Olly đã bị debug với chương trình Notepad.exe. Hình dưới là kết quả khi chạy chương trình của Olly và bị Notepad debug, vì vậy olly đã bị vô hiệu hóa.
Tất nhiên, trên chỉ là ví dụ demo bằng Notepad để các bạn dễ hình dung, trong thực tế virus sẽ lợi dụng các chương trình không có giao diện để debug, khi đó nạn nhân sẽ không biết được tại sao các phần mềm của mình không hoạt động.
Bài viết này giới thiệu một kỹ thuật virus rất hay sử dụng để chống lại các AntiVirus, cũng như các phương pháp debug, reverse.
Như các bạn đã biết Registry của Windows là một database quản lý các cấu hình của hệ điều hành, của phần mềm...Trong registry có rất nhiều các cấu hình quan trọng như: cấu hình các chương trình khởi động cùng máy, cấu hình các dịch vụ của hệ thống...trong đó có một cấu hình để xác định một chương trình bị debug bởi một chương trình khác (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options)
Virus đã lợi dụng cấu hình này, để các chương trình của phần mềm AntiVirus, phần mềm debug, dịch ngược như Olly, IDA bị debug bởi các chương trình khác, dẫn đến chúng không còn hoạt động đúng mục đích. Dưới đây là các bước, cũng như đoạn code demo
Từ đoạn code trên chúng ta thấy, chương trình ollydbg.exe của phần mềm Olly đã bị debug với chương trình Notepad.exe. Hình dưới là kết quả khi chạy chương trình của Olly và bị Notepad debug, vì vậy olly đã bị vô hiệu hóa.
Tất nhiên, trên chỉ là ví dụ demo bằng Notepad để các bạn dễ hình dung, trong thực tế virus sẽ lợi dụng các chương trình không có giao diện để debug, khi đó nạn nhân sẽ không biết được tại sao các phần mềm của mình không hoạt động.
Nguồn Whitehat.vn