Giới thiệu công cụ WinDbg phân tích rootkit

[HustReMw]

Rootkit là phần mềm can thiệp sâu vào hệ điều hành để che giấu thông tin. Có thể nói rootkit là loại malware khó phát hiện và gỡ bỏ nhất vì chúng nằm ở mức rất thấp trong hệ thống (phần lớn là ở dưới dạng các driver). Khi gỡ bỏ một thành phần ở mức sâu như vậy nếu không cẩn thận sẽ gây lỗi cho toàn bộ hệ thống và dẫn đến hiện tượng máy tính bị màn hình xanh.

Tác dụng chính của rootkit là bảo vệ các malware trên máy tính, tránh cho chúng không bị phát hiện và gỡ bỏ. Cơ chế hoạt động của rootkit là chèn vào giữa quá trình giao tiếp giữa ứng dụng và hệ thống khiến cho các thông tin mà ứng dụng lấy được đã bị thay đổi chỉnh sửa theo mục đích của rootkit.

WinDbg là một công cụ mạnh mẽ, hưu ích phục vụ phân tích rootkit. Nếu như Olly phân tích động các hành vi của virus trên usermode, thì WinDbg sẽ giúp phân tích động các file rootkit (.sys) dưới kernel mode.

Dưới đây là giao diện và các cửa sổ chính của WinDbg. Video sau demo quá trình phân tích một mẫu rootkit nhé các bạn: https://whitehat.vn/threads/cmkt-huong-dan-su-dung-windbg-phan-tich-rootkit.9165/.

Một số các phím tắt cơ bản trong WinDbg

• F9: Đặt breakpoint.
• F10: Chạy qua hàm.
• F11: Chạy từng dòng.
• F5: Chạy toàn bộ code cho đến breakpoint tiếp theo.
• Alt + F9: Xem danh sách toàn bộ các breakpoint đã đặt

Ngoài các phím tắt cũng ta cũng phải sử dụng một số command cơ bản:

• bp: Đặt beakpoint.
• bc: Xóa tất cả các breakpoint.
• lm: Xem danh sách các modlue đang load.

Các bạn có thể xem thêm các lệnh cơ bản ở link sau: http://windbg.info/doc/1-common-cmds.html