Giới thiệu công cụ phân tích virus C#

[WhiteHat News #ID:2017]

Virus ngày càng biến hóa khôn lường, che giấu tinh vi, ngày càng đa dạng về chủng loại… Nếu như trước đây thường các loại virus được tạo ra bằng ngôn ngữ C, C++, thì ngày nay virus được lập trình từ rất nhiều ngôn ngữ khác nhau C#, VB, JS, Java…

​

Đối với virus lập trình bằng C, C++ thì công cụ kinh điển dùng để phân tích là Olly và IDA. Nhưng đối với virus lập trình bằng C# thì 2 công cụ này không thể dùng để phân tích được.

Mính sẽ giới thiệu các bạn công cụ dnSpy, đây là một công cụ quá mạnh để phân tích virus C#.

Dưới đây làm giao diện chính của tool khi mở 1 mẫu virus C# có tên svchost.exe.

​

Chúng ta có thể thấy toàn bộ code C# của virus công cụ dnSpy hiển thị rất là đẹp và có 2 cửa sổ chính. Cửa sổ bên trái hiển thị toàn bộ các class, lib, thông tin PE file của virus. Cửa sổ bên phải hiện thị code của virus.

Một số phím tắt của tool giúp phục vụ quá trình debug.

• F9: Đặt breakpoint.
• F11. Debug từng lệnh.
• F10: Debug từng hàm.
• F5: Chạy chương trình tới breakpoint tiếp theo.

Các bạn có thể xem video demo sử dụng tool DnSpy để phân tích một mẫu virus lập trình bằng C# ở link sau: https://whitehat.vn/threads/phan-tich-virus-tu-dong-bat-trinh-duyet-de-chay-quang-cao.10820/

Công cụ và một mẫu virus C# các bạn có thể tải về thực hành tại link sau: https://drive.google.com/drive/folders/1YsrK4T52ivEYarTnQSIzQrnt9XhFjI5Q?usp=sharing

Lưu ý: Các bạn sử dụng máy ảo để phân tích. Máy ảo phải cài dotnet 4.6.2 nhé