C, C++ cho Virus (Phần 3): Disable TaskManager

bloodplanet

Wh------
21/03/2015
7
51 bài viết
C, C++ cho Virus (Phần 3): Disable TaskManager
Nội dung phần 3:
  • Lưu ý đầu tiên
  • Sơ lược về module virus trong giáo trình CEHv8 và những gì sẽ làm
  • Ví dụ đầu tiên - vô hiệu hóa TaskManager
  • Thực hiện bằng lập trình C
  • Lưu ý
1699937138882.png

1. Lưu ý đầu tiên

Các bạn nên học về ngôn ngữ C hay C++ để có thể nghiên cứu và học tập tốt hơn, ở đây mình có giải thích đầy đủ nên một số bạn chưa học C hay C++ cũng có thể hiểu được nhưng đó không phải là một cách hay để nghiên cứu và học tập, tốt nhất là bạn hãy kiếm một quyển giáo trình về C hay C++ để học trước khi bắt tay vào nghiên cứu mảng này.

2. Sơ lược về module virus trong giáo trình CEHv8 và những gì sẽ làm

Bạn nào đã đọc hay thậm chí đã học chương trình CEHv8 chắc sẽ biết là trong giáo trình có một module nói về Virus (module 7). Trong module này giáo trình có đưa ra một bài lab về virus đó là tạo virus sử dụng JPS Virus Maker Tool. Trong phần này mình sẽ không nói về cách sử dụng công cụ này, mà mình sẽ lấy hình minh họa các chức năng mà công cụ này làm được để làm mục tiêu ban đầu chúng ta sẽ làm.

Dưới đây là các chức năng của công cụ này (hình mình cắt ra từ giáo trình CEHv8):

1489939946virus.JPG

Và chúng ta sẽ không thực hiện hết các chức năng mà công cụ này đem lại đâu, chúng ta sẽ chỉ làm vài cái điển hình cơ bản thôi.

3. Ví dụ đầu tiên - vô hiệu hóa TaskManager

Trước khi làm việc này, tất nhiên rồi, bạn phải biết làm thế nào để vô hiệu hóa (disable) Task Manager đã. Các bạn có thể tham khảo một bài viết của Microsoft tại đường dẫn sau: https://support.microsoft.com/en-us/kb/555480

Mình thì xin nói ngắn gọn thế này thôi, đó là bạn muốn disable taskmanager thì bạn có thể tạo một giá trị mới trong regedit thực hiện công việc là cho phép hay không cho phép chạy taskmanager. Ở đây mình sẽ tạo một giá trị mới kiểu DWORD với tên gọi là “DisableTaskMgr” và đặt nó là 1 để disable taskmanager (đặt giá trị không nghĩa là enable) trong đường dẫn sau của regedit:
Mã:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Vậy làm cách nào để tạo một DWORD value như thế? Bạn có thể làm bằng cách mở regedit ra rồi tìm đến đường dẫn đó, chuột phải chọn New > DWORD value. Nhưng ở đây mình sẽ hướng dẫn các bạn cách thực hiện thông qua việc sử dụng CMD.
Bắt đầu thực hiện, bạn mở CMD của Windows ra bằng cách nhấn tổ hợp phím Windows+R và gõ cmd rồi enter.

1489939946mo cmd.JPG

Sau đó bạn sẽ thấy cửa sổ CMD hiện ra như sau:

1489939946cua so cmd.JPG

Tiếp đó, bạn sẽ gõ lệnh để thực hiện điều ta cần (tạo một giá trị mới trong regedit ở đường dẫn ta cần). Nhưng trước đó bạn phải biết lệnh đó là gì trong cmd đã.

Trong cmd ta có lệnh để tạo một giá trị trong regedit là: reg add

Bạn có thể gõ “reg add /?” trong cmd để rõ hơn về lệnh này:

1489939946reg add.JPG

Và công việc ta cần làm chỉ là sử dụng nó để thực hiện mục đích của mình, và câu lệnh đầy đủ sẽ là:
Mã:
reg add hkcusoftwaremicrosoftwindowscurrentversionpoliciessystem /v disabletaskmgr /t reg_dword /d 1 /f
Sau “reg add” sẽ đến đường dẫn (ở đây hcku tương ứng với HKEY_CURRENT_USER trong regedit).
“/v” Tên giá trị cần thêm (ở đây là disabletaskmgr)
“/t” Kiểu giá trị (ở đây là reg_dword)
“/d” Dữ liệu cho giá trị (ở đây là 1)
“/f” Thực hiện ngay lập tức không cần hỏi

Bạn gõ dòng lệnh đó vào cmd rồi gõ enter. Sau đó bạn sẽ thấy thông báo rằng kết quả của lệnh của bạn là thành công hay không thành công.

1489939946reg add thuc hien.JPG

Nếu báo như vậy nghĩa là lệnh của bạn đã thực hiện thành công, và điều tiếp theo bạn cần là kiểm tra kết quả. Bạn hãy thử mở taskmanager bằng cách nhấn tổ hợp phím Alt+Ctrl+Delete hoặc bằng cách nào mà bạn hay sử dụng cũng được. Nếu hiện ra thông báo này là bạn đã làm đúng:

1489939946disable task cmd.JPG

Như vậy là bạn đã disable được taskmanager rồi, nhưng đó là bạn làm với cmd của Windows, tiếp theo sẽ là cách bạn làm việc đó với lập trình thông qua C.

4. Thực hiện bằng lập trình C

Trong C chúng ta có một hàm để thực hiện các lệnh trong CMD, đó là hàm system, và nó nằm trong thư viện .
Cú pháp hàm system:

Mã:
int system(const char *command)

Giá trị trả về: -1 nếu lỗi, và trạng thái của lệnh nếu không lỗi.

Như vậy, điều ta cần thực hiện ở đây chỉ là cho đoạn lệnh ta cần gõ trong cmd vào trong hàm system mà thôi. Và đoạn code đầy đủ sẽ là:

Mã:
#include

int main()
{
    system("reg add hkcusoftwaremicrosoftwindows"
           "currentversionpoliciessystem"
           " /v disabletaskmgr /t reg_dword /d 1 /f");
    return 0;
}

Hãy chạy thử và xem kết quả có giống với việc ta vừa làm trong cmd không.

5. Lưu ý

Bạn có thể nhìn thấy rằng khi ta gõ lệnh trong cmd, các đường dẫn thư mục được xác định bằng dấu “” vì đó là định nghĩa của Windows.

Trong C hay C++, muốn biểu thị dấu “” bạn phải sử dụng “”.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: bantayquyn92
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

Có phần 4 không bác :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

Làm sao để biết command line để thực thi một chương trình vậy bạn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

Koldeady;28630 đã viết:
Làm sao để biết command line để thực thi một chương trình vậy bạn.
Nói thật là bạn viết tiếng Việt nhưng mà mình vẫn không hiểu lắm, bạn có thể giải thích rõ hơn ý bạn muốn nói được không? :|
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

sercect;28617 đã viết:
Có phần 4 không bác :D
Chắc là có đấy :) Vấn đề là khi nào thôi :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

bloodplanet;28640 đã viết:
Nói thật là bạn viết tiếng Việt nhưng mà mình vẫn không hiểu lắm, bạn có thể giải thích rõ hơn ý bạn muốn nói được không? :|
@@. Ví dụ như để chạy notepad trong command line thì gõ start notepad.exe ấy. Mình nghĩ có thể thêm những câu lệnh đó vào cho con virus.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

Koldeady;28645 đã viết:
@@. Ví dụ như để chạy notepad trong command line thì gõ start notepad.exe ấy. Mình nghĩ có thể thêm những câu lệnh đó vào cho con virus.
Các lệnh trong command line thì có nhiều lắm, bạn hỏi thế mình cũng chẳng biết phải nói thế nào nữa... Mình chỉ biết các lệnh được sử dụng để chạy các công cụ mặc định của Windows thôi chứ các phần mềm được người sử dụng cài đặt thêm mình cũng chẳng biết đâu...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

Bạn có thể viết một bài hướng dẫn chèn mã thực thi vào file exe được không ? Mình rất tò mò muốn biết cách chèn mã thực thi vào đầu một file exe mà vừa có thể thực thi được đoạn mã đó mà không ảnh hưởng đến file exe đó !
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

scila1996;28654 đã viết:
Bạn có thể viết một bài hướng dẫn chèn mã thực thi vào file exe được không ? Mình rất tò mò muốn biết cách chèn mã thực thi vào đầu một file exe mà vừa có thể thực thi được đoạn mã đó mà không ảnh hưởng đến file exe đó !
Mình chẳng có cách nào làm được điều như bạn nói đâu, file exe bị ảnh hưởng là cái chắc, dung lượng của nó sẽ tăng lên, hash của nó sẽ bị thay đổi... Và chèn mã thực thi là giai đoạn cuối của quá trình rồi...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

scila1996;28654 đã viết:
Bạn có thể viết một bài hướng dẫn chèn mã thực thi vào file exe được không ? Mình rất tò mò muốn biết cách chèn mã thực thi vào đầu một file exe mà vừa có thể thực thi được đoạn mã đó mà không ảnh hưởng đến file exe đó !
Search từ khóa bind two exe file nhé.
Trong hầu hết các tool crypter đều có tính năng này.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

a ơi a có thể cho e xin gmail của a hay fb của a để tiện trao đổi không ạ hiện e đang nghiên cứu vấn đề này...e là svien năm 2 ngành an toàn thông tin :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
mọi người cho mình hỏi:
- máy mình chỉ có HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies (ko có dir System, bên local machine vẫn có)
- mình đã thử thêm DisableTaskMgr vào cả hkcu và hklm mà vẫn ko disable được Task Manager
mong mọi người giải đáp giúp T_T

Untitled.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nó báo lỗi như vậy là sao bloodplanet
reg add hkcusoftwaremicrosoftwindowscurrentversionpoliciessystem /v disabletaskmgr /t reg_dword /d 1 /fb ERROR: Access is deniedUntitled.png
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
jindo210789;n52927 đã viết:
nó báo lỗi như vậy là sao bloodplanet
reg add hkcusoftwaremicrosoftwindowscurrentversionpoliciessystem /v disabletaskmgr /t reg_dword /d 1 /fb ERROR: Access is denied
Mình đang làm trên máy ảo WinXP nhé cậu ơi.
Cậu gặp lỗi đấy khi nào?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình làm trên máy ảo Windows7 cũng bị lỗi "Access is denied" khi gõ lệnh "reg add".

Nhưng khi dùng giao diện (mở bằng regedit.exe) thì lại thêm được giá trị và disable được task manager thành công.

Có cách giải quyết nào cho lỗi khi gõ lệnh ko các bác?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên