Kết quả tìm kiếm

Mở đầu: Tiếp tục với loạt bài phân tích mã độc ở mức kernel, hôm nay chúng ta sẽ phân tích một mẫu rootkit khá nổi tiếng là thành phần của nailuj hay allinone. Nailuj là một file thực thi có đuôi exe (còn gọi là dropper-cài đặt rootkit), khi thực thi, nó sẽ thực hiện cài đặt và khởi động...

Android là một nền tảng hệ điều hành phổ biến nhất trên thiết bị di động ngày nay. Cùng với hàng trăm nghìn ứng dụng trên các kênh lưu trữ trực tuyến, nền tảng Android đã đáp ứng được hầu hết các nhu cầu đa dạng của người sử dụng. Chính vì sự phổ biến và tính tùy biến linh hoạt, vấn đề bảo mật...

Chào các bạn hôm nay mình sẽ giới thiệu với các bạn một kỹ thuật thực thi một file DLL cùng với file exe bất kỳ bằng cách sửa bảng Import của chương trình exe đó. Với kỹ thuật này malware sẽ không bị phát hiện trong quá trình chúng ta rà soát các thành phần Startup của hệ điều hành. I...

Chào các bạn. Hôm nay mình sẽ tiếp tục với bài phân tích mẫu Rombertick. Bài viết còn nhiều thiếu xót rất mong nhận được sự góp ý của các bạn. Tổng quan về Rombertik Rombertik là loại mã độc được viết ra nhằm mục đích đánh cắp thông tin người dùng, chúng hook vào các trình duyệt web phổ biến...

Giới thiệu về NotCompatible Trojan - các đặc trưng điển hình. A. TỔNG QUAN 1. NotCompatible Trojan NotCompatible Trojan xâm nhập vào máy người dùng khi họ truy cập một trang web bị lây nhiễm/giả mạo và đồng ý tải về một file apk có tên dễ gây nhầm lẫn như update.apk …. Khi đã tải về...

Chào các bạn , trong bài viết trước mình đã giới thiệu với các bạn Kỹ thuật ẩn giấu hook SSDT của rootkit. Hôm nay mình sẽ tiếp tục phân tích thêm một kỹ thuật nữa mà rootkit sử dụng - Kỹ thuật inject dll ở kernel của rootkit. Nội dung bài viết - Giới thiệu kỹ thuật inject dll ở kernel của...

1.Giới thiệu lỗ hổng Đây là một lỗ hổng nghiêm trọng, kẻ tấn công sẽ sử dụng 1 icon có kích thước rất lớn trong ứng dụng của mình (khoảng 3000x3000px) để tấn công vào lỗ hổng này. Rất đơn giản, bất cứ khi nào icon của ứng dụng được load lên RAM, nó sẽ gây crash, treo, giật thiết bị. Ở một...

1.Giới thiệu lỗ hổng Đây là một lỗ hổng nghiêm trọng, kẻ tấn công sẽ sử dụng 1 icon có kích thước rất lớn trong ứng dụng của mình (khoảng 3000x3000px) để tấn công vào lỗ hổng này. Rất đơn giản, bất cứ khi nào icon của ứng dụng được load lên RAM, nó sẽ gây crash, treo, giật thiết bị. Ở một số...

Chào các bạn, trong bài viết trước đã có lần mình đề cập đến kỹ thuật hook SSDT. Đây là một kỹ thuật hook ở mức kernel mode khá dễ thực hiện mà hiệu quả lại rất cao. Vì vậy kỹ thuật này được rootkit sử dụng rất nhiều trong thực tế nhằm nắm được quyền kiểm soát hệ thống. Tuy nhiên, qua một thời...

Trong bài viết lần trước mình đã hướng dẫn các bạn cách reverse một chương trình viết bằng dotNET. Để tiếp tục trong bài viết này mình sẽ hướng dẫn các bạn cách phân tích file viết bằng Visual Basic. Rất mong nhận được sự quan tâm và góp ý của các bạn.I. Tổng quan về Visual Basic- Visual Basic...

Hướng dẫn chèn code vào đoạn mã smali của file apk. I. Mở đầu _ Ứng dụng Android thường được viết bằng Java và thực thi trên Virtual Machine, byte code chạy trên Dalvik Virtual Machine (DVM) được chuyển đổi từ JVM byte code truyền thống sang dex-format(.dex file)...

Giới thiệu về Bootkit Bootkit là loại rootkit có khả năng can thiệp và thay đổi quá trình khởi động của hệ điều hành, nhằm mục đích chèn các thành phần mã độc của nó vào hệ thống một cách lén lút. Bootkit thường lây nhiễm vào các đoạn mã khởi động trên đĩa cứng như: MBR, VBR hoặc boot sector...

Hí ae, lại là Tommy đây. Trong phần 1 của bài viết chúng ta đã cùng tìm hiểu về một vài kỹ thuật “Ẩn mình” giúp ae có thể thoải mái “du lịch” trong thế giới rộng lớn của Internet mà không phải lo lắng về những ánh nhìn không mấy thiện cảm. Tuy nhiên đây chỉ là những giải pháp chủ động, ở ngoài...

Mã khai thác (PoC) sẽ sớm được phát hành cho lỗ hổng chưa được vá triệt để trong Microsoft Outlook là CVE-2024-21378, điểm CVSS 8.8 cho phép thực thi mã từ xa (RCE). Cụ thể, lỗ hổng CVE-2024-21378 cho phép kẻ tấn công khai thác điểm yếu trong việc đồng bộ hóa đối tượng biểu mẫu tùy chỉnh của...

Đặt vấn đề: Cũng giống như malware ở user mode. Ta có thể phân tích bằng phân tích tĩnh (tham khảo http://whitehat.vn/threads/12169-Huong-dan-phan-tich-ma-doc-hoat-dong-o-muc-nhan-he-dieu-hanh-Kernel-Mode-Rootkit.html ). Tuy nhiên không phải bất kỳ mẫu rootkit nào cũng “phơi bày thân hình” của...

Một lỗ hổng vừa được phát hiện trong plugin LiteSpeed Cache dành cho WordPress có thể cho phép kẻ tấn công chưa xác thực leo thang đặc quyền. Lỗ hổng được theo dõi là CVE-2023-40000, điểm CVSS 8,3 đã được xử lý trong phiên bản 5.7.0.1. Chuyên gia an ninh mạng cho biết: “Plugin LiteSpeed...

1,Giới thiệu chung Đối với phân tích tĩnh, ta tiến hành phân tích mã độc dựa trên mã Smali hoặc Java Bytecode có được sau khi decompile file APK. Tuy nhiên việc phân tích tĩnh không phải khi nào cũng khả thi do các hàm khi được decompile từ file APK đôi khi không rõ ràng...

Hướng dẫn Reverse chương trình viết bằng dotNET Ở các bài viết trước mình đã viết bài hướng đẫn phân tích các chương trình trên Android và Rootkit dưới tầng kernel của windows. Hôm nay tiếp tục mình sẽ giới thiệu một cách phân tích động chương trình viết bằng dotNET dưới dạng code IL...

Re: Hướng dẫn phân tích mã độc hoạt động ở mức nhân hệ điều hành - Kernel Mode Rootkit Đúng rồi bạn ạ, đây là một dạng file system filter driver đơn giản, cách làm này cũng khá cũ rồi. Ngoài ra còn có nhiều dạng khác nữa.

Nhóm hacker Anonymous Sudan đã thông báo mình chính là chủ mưu cho hàng loạt sự cố ngừng hoạt động của Outlook.com trong những ngày gần đây. Được biết, nhóm đã thực hiện tấn công DDoS để làm gián đoạn dịch vụ trên diện rộng, gây ảnh hưởng đến người dùng Outlook toàn cầu. Người dùng Outlook đã...