C, C++ cho Virus - Phần 3 - Disable TaskManager

Thảo luận trong 'Virus/Malware' bắt đầu bởi bloodplanet, 04/10/15, 07:10 PM.

  1. bloodplanet

    bloodplanet Wh------

    Tham gia: 21/03/15, 11:03 PM
    Bài viết: 51
    Đã được thích: 7
    Điểm thành tích:
    18
    Nội dung phần 3:
    - Lưu ý đầu tiên.
    - Sơ lược về module virus trong giáo trình CEHv8 và những gì sẽ làm.
    - Ví dụ đầu tiên - vô hiệu hóa TaskManager.
    - Thực hiện bằng lập trình C.
    - Lưu ý.
    1. Lưu ý đầu tiên.
    Các bạn nên học về ngôn ngữ C hay C++ để có thể nghiên cứu và học tập tốt hơn, ở đây mình có giải thích đầy đủ nên một số bạn chưa học C hay C++ cũng có thể hiểu được nhưng đó không phải là một cách hay để nghiên cứu và học tập, tốt nhất là bạn hãy kiếm một quyển giáo trình về C hay C++ để học trước khi bắt tay vào nghiên cứu mảng này.
    2. Sơ lược về module virus trong giáo trình CEHv8 và những gì sẽ làm.
    Bạn nào đã đọc hay thậm chí đã học chương trình CEHv8 chắc sẽ biết là trong giáo trình có một module nói về Virus (module 7). Trong module này giáo trình có đưa ra một bài lab về virus đó là tạo virus sử dụng JPS Virus Maker Tool. Trong phần này mình sẽ không nói về cách sử dụng công cụ này, mà mình sẽ lấy hình minh họa các chức năng mà công cụ này làm được để làm mục tiêu ban đầu chúng ta sẽ làm.
    Dưới đây là các chức năng của công cụ này (hình mình cắt ra từ giáo trình CEHv8):
    [​IMG]
    Và chúng ta sẽ không thực hiện hết các chức năng mà công cụ này đem lại đâu, chúng ta sẽ chỉ làm vài cái điển hình cơ bản thôi.
    3. Ví dụ đầu tiên - vô hiệu hóa TaskManager.
    Trước khi làm việc này, tất nhiên rồi, bạn phải biết làm thế nào để vô hiệu hóa (disable) Task Manager đã. Các bạn có thể tham khảo một bài viết của Microsoft tại đường dẫn sau:
    https://support.microsoft.com/en-us/kb/555480
    Mình thì xin nói ngắn gọn thế này thôi, đó là bạn muốn disable taskmanager thì bạn có thể tạo một giá trị mới trong regedit thực hiện công việc là cho phép hay không cho phép chạy taskmanager. Ở đây mình sẽ tạo một giá trị mới kiểu DWORD với tên gọi là “DisableTaskMgr” và đặt nó là 1 để disable taskmanager (đặt giá trị không nghĩa là enable) trong đường dẫn sau của regedit:
    Mã:
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
    Vậy làm cách nào để tạo một DWORD value như thế? Bạn có thể làm bằng cách mở regedit ra rồi tìm đến đường dẫn đó, chuột phải chọn New > DWORD value. Nhưng ở đây mình sẽ hướng dẫn các bạn cách thực hiện thông qua việc sử dụng CMD.
    Bắt đầu thực hiện, bạn mở CMD của Windows ra bằng cách nhấn tổ hợp phím Windows+R và gõ cmd rồi enter.
    [​IMG]
    Sau đó bạn sẽ thấy cửa sổ CMD hiện ra như sau:
    [​IMG]
    Tiếp đó, bạn sẽ gõ lệnh để thực hiện điều ta cần (tạo một giá trị mới trong regedit ở đường dẫn ta cần). Nhưng trước đó bạn phải biết lệnh đó là gì trong cmd đã.
    Trong cmd ta có lệnh để tạo một giá trị trong regedit là: reg add
    Bạn có thể gõ “reg add /?” trong cmd để rõ hơn về lệnh này:
    [​IMG]
    Và công việc ta cần làm chỉ là sử dụng nó để thực hiện mục đích của mình, và câu lệnh đầy đủ sẽ là:
    Mã:
    reg add hkcusoftwaremicrosoftwindowscurrentversionpoliciessystem /v disabletaskmgr /t reg_dword /d 1 /f
    Sau “reg add” sẽ đến đường dẫn (ở đây hcku tương ứng với HKEY_CURRENT_USER trong regedit).
    “/v” Tên giá trị cần thêm (ở đây là disabletaskmgr)
    “/t” Kiểu giá trị (ở đây là reg_dword)
    “/d” Dữ liệu cho giá trị (ở đây là 1)
    “/f” Thực hiện ngay lập tức không cần hỏi
    Bạn gõ dòng lệnh đó vào cmd rồi gõ enter. Sau đó bạn sẽ thấy thông báo rằng kết quả của lệnh của bạn là thành công hay không thành công.
    [​IMG]
    Nếu báo như vậy nghĩa là lệnh của bạn đã thực hiện thành công, và điều tiếp theo bạn cần là kiểm tra kết quả. Bạn hãy thử mở taskmanager bằng cách nhấn tổ hợp phím Alt+Ctrl+Delete hoặc bằng cách nào mà bạn hay sử dụng cũng được. Nếu hiện ra thông báo này là bạn đã làm đúng:
    [​IMG]
    Như vậy là bạn đã disable được taskmanager rồi, nhưng đó là bạn làm với cmd của Windows, tiếp theo sẽ là cách bạn làm việc đó với lập trình thông qua C.
    4. Thực hiện bằng lập trình C.
    Trong C chúng ta có một hàm để thực hiện các lệnh trong CMD, đó là hàm system, và nó nằm trong thư viện .
    Cú pháp hàm system:
    Mã:
    int system(const char *command)
    Giá trị trả về: -1 nếu lỗi, và trạng thái của lệnh nếu không lỗi.
    Như vậy, điều ta cần thực hiện ở đây chỉ là cho đoạn lệnh ta cần gõ trong cmd vào trong hàm system mà thôi. Và đoạn code đầy đủ sẽ là:

    Mã:
    #include
     
    int main()
    {
        system("reg add hkcusoftwaremicrosoftwindows"
               "currentversionpoliciessystem"
               " /v disabletaskmgr /t reg_dword /d 1 /f");
        return 0;
    }
    Hãy chạy thử và xem kết quả có giống với việc ta vừa làm trong cmd không.
    5. Lưu ý.
    Bạn có thể nhìn thấy rằng khi ta gõ lệnh trong cmd, các đường dẫn thư mục được xác định bằng dấu “” vì đó là định nghĩa của Windows.
    Trong C hay C++, muốn biểu thị dấu “” bạn phải sử dụng “”.
     
    Last edited by a moderator: 04/10/15, 09:10 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    bantayquyn92 thích bài này.
  2. sercect

    sercect W-------

    Tham gia: 20/09/15, 06:09 PM
    Bài viết: 19
    Đã được thích: 0
    Điểm thành tích:
    6
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Có phần 4 không bác :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Koldeady

    Koldeady W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 19
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Làm sao để biết command line để thực thi một chương trình vậy bạn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. bloodplanet

    bloodplanet Wh------

    Tham gia: 21/03/15, 11:03 PM
    Bài viết: 51
    Đã được thích: 7
    Điểm thành tích:
    18
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Nói thật là bạn viết tiếng Việt nhưng mà mình vẫn không hiểu lắm, bạn có thể giải thích rõ hơn ý bạn muốn nói được không? :|
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. bloodplanet

    bloodplanet Wh------

    Tham gia: 21/03/15, 11:03 PM
    Bài viết: 51
    Đã được thích: 7
    Điểm thành tích:
    18
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Chắc là có đấy :) Vấn đề là khi nào thôi :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Koldeady

    Koldeady W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 19
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    @@. Ví dụ như để chạy notepad trong command line thì gõ start notepad.exe ấy. Mình nghĩ có thể thêm những câu lệnh đó vào cho con virus.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. bloodplanet

    bloodplanet Wh------

    Tham gia: 21/03/15, 11:03 PM
    Bài viết: 51
    Đã được thích: 7
    Điểm thành tích:
    18
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Các lệnh trong command line thì có nhiều lắm, bạn hỏi thế mình cũng chẳng biết phải nói thế nào nữa... Mình chỉ biết các lệnh được sử dụng để chạy các công cụ mặc định của Windows thôi chứ các phần mềm được người sử dụng cài đặt thêm mình cũng chẳng biết đâu...
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. scila1996

    scila1996 W-------

    Tham gia: 29/06/13, 11:06 PM
    Bài viết: 21
    Đã được thích: 4
    Điểm thành tích:
    18
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Bạn có thể viết một bài hướng dẫn chèn mã thực thi vào file exe được không ? Mình rất tò mò muốn biết cách chèn mã thực thi vào đầu một file exe mà vừa có thể thực thi được đoạn mã đó mà không ảnh hưởng đến file exe đó !
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. bloodplanet

    bloodplanet Wh------

    Tham gia: 21/03/15, 11:03 PM
    Bài viết: 51
    Đã được thích: 7
    Điểm thành tích:
    18
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Mình chẳng có cách nào làm được điều như bạn nói đâu, file exe bị ảnh hưởng là cái chắc, dung lượng của nó sẽ tăng lên, hash của nó sẽ bị thay đổi... Và chèn mã thực thi là giai đoạn cuối của quá trình rồi...
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. Người yêu dấu

    Người yêu dấu W-------

    Tham gia: 12/07/15, 10:07 AM
    Bài viết: 5
    Đã được thích: 4
    Điểm thành tích:
    8
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    Search từ khóa bind two exe file nhé.
    Trong hầu hết các tool crypter đều có tính năng này.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. kanghy

    kanghy W-------

    Tham gia: 08/10/15, 09:10 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: C, C++ cho Virus - Phần 3 - Disable TaskManager

    a ơi a có thể cho e xin gmail của a hay fb của a để tiện trao đổi không ạ hiện e đang nghiên cứu vấn đề này...e là svien năm 2 ngành an toàn thông tin :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. nopperabou91

    nopperabou91 W-------

    Tham gia: 23/10/15, 10:10 PM
    Bài viết: 19
    Đã được thích: 0
    Điểm thành tích:
    6
    mọi người cho mình hỏi:
    - máy mình chỉ có HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies (ko có dir System, bên local machine vẫn có)
    - mình đã thử thêm DisableTaskMgr vào cả hkcu và hklm mà vẫn ko disable được Task Manager
    mong mọi người giải đáp giúp T_T

    Untitled.jpg
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. jindo210789

    jindo210789 W-------

    Tham gia: 03/11/15, 08:11 AM
    Bài viết: 3
    Đã được thích: 2
    Điểm thành tích:
    3
    nó báo lỗi như vậy là sao bloodplanet
    reg add hkcusoftwaremicrosoftwindowscurrentversionpoliciessystem /v disabletaskmgr /t reg_dword /d 1 /fb ERROR: Access is denied Untitled.png
     
    Last edited by a moderator: 03/11/15, 10:11 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. bloodplanet

    bloodplanet Wh------

    Tham gia: 21/03/15, 11:03 PM
    Bài viết: 51
    Đã được thích: 7
    Điểm thành tích:
    18
    Mình đang làm trên máy ảo WinXP nhé cậu ơi.
    Cậu gặp lỗi đấy khi nào?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. chlck3n

    chlck3n W-------

    Tham gia: 03/08/16, 11:08 AM
    Bài viết: 11
    Đã được thích: 9
    Điểm thành tích:
    8
    Mình làm trên máy ảo Windows7 cũng bị lỗi "Access is denied" khi gõ lệnh "reg add".

    Nhưng khi dùng giao diện (mở bằng regedit.exe) thì lại thêm được giá trị và disable được task manager thành công.

    Có cách giải quyết nào cho lỗi khi gõ lệnh ko các bác?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan