Mã độc bảo vệ key khởi động cùng hệ thống
Một số dòng virus sử dụng kỹ thuật đặc biệt để ghi key và value trong registry có chứa ký tự null. Người dùng không thể truy cập, tác động (sửa xoá) các key và value đó.
Dòng mã độc điển hình sử dụng kỹ thuật: Kovter
Các API malware sử dụng:
Mã nguồn tham khảo: http://insid3codeteam.blogspot.com/2015/05/cc-protected-reg-key-embedded-null.html
Bản chất của ký thuật là lợi dụng hàm NtSetValueKey để ghi buffer với độ dài lớn hơn quy định.
Thay vì kích thước là wcslen(HiddenKeyNameBuffer) như thông thường, virus đã tăng kích thước lên thành wcslen(HiddenKeyNameBuffer)* sizeof(WCHAR) + sizeof(WCHAR).2 Byte cuối cùng của buffer sẽ là 2 byte 0. Tên key sẽ bao gồm ký tự hiển thị được kèm với 2 byte 0 đằng sau. Do đó các trình hiển thị sẽ bị lỗi khi gặp key này.
Đây là hai tool do microsoft cung cấp để tạo key và xóa loại key này:
https://technet.microsoft.com/en-us/sysinternals/reghide.aspx (Tool Reghide)
https://technet.microsoft.com/en-us/sysinternals/regdelnull (Tool Regdelnull)
Dòng mã độc điển hình sử dụng kỹ thuật: Kovter
Các API malware sử dụng:
Mã nguồn tham khảo: http://insid3codeteam.blogspot.com/2015/05/cc-protected-reg-key-embedded-null.html
Bản chất của ký thuật là lợi dụng hàm NtSetValueKey để ghi buffer với độ dài lớn hơn quy định.
Thay vì kích thước là wcslen(HiddenKeyNameBuffer) như thông thường, virus đã tăng kích thước lên thành wcslen(HiddenKeyNameBuffer)* sizeof(WCHAR) + sizeof(WCHAR).2 Byte cuối cùng của buffer sẽ là 2 byte 0. Tên key sẽ bao gồm ký tự hiển thị được kèm với 2 byte 0 đằng sau. Do đó các trình hiển thị sẽ bị lỗi khi gặp key này.
Đây là hai tool do microsoft cung cấp để tạo key và xóa loại key này:
https://technet.microsoft.com/en-us/sysinternals/reghide.aspx (Tool Reghide)
https://technet.microsoft.com/en-us/sysinternals/regdelnull (Tool Regdelnull)
Chỉnh sửa lần cuối bởi người điều hành: