Những cách mà Malware sử dụng để khởi động cùng Windows

[whf]

Đã bao giờ bạn thắc mắc vì sao phần mềm độc hại có thể tự khởi động cùng Windows mỗi khi mở máy? Hay bạn muốn tìm hiểu, tự rà soát malware nhưng không biết những phương pháp mà chúng sử dụng để tự khởi động. Do đó, trong bài viết này mình sẽ giới thiệu một số cách phổ biến mà malware sử dụng để khởi động/kích hoạt cùng hệ thống.

1. Dùng Startup Folder

Đây là một thư mục có tên là Starup, khi đặt một shortcut của chương trình vào đây thì nó sẽ được chạy sau khi Windows khởi động. Một số malware lợi dụng tính năng này để có thể tự khởi động.

​

2. Dùng Task Scheduler

3. Ghi/thay đổi các giá trị trong registry.

Bằng cách ghi/thay đổi các giá trị trong một số key registry, mã độc có thể khởi động như những ứng dụng khác. Dưới đây là danh sách các key thường được malware ghi/thay đổi giá trị:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
• HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
• HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command
• HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
• HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command
• HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
• HKEY_CLASSES_ROOT\exefile\shell\open\command
• HKEY_CLASSES_ROOT\comfile\shell\open\command
• HKEY_CLASSES_ROOT\batfile\shell\open\command
• HKEY_CLASSES_ROOT\htafile\Shell\Open\Command
• HKEY_CLASSES_ROOT\piffile\shell\open\command

 

Thế còn phương thức Inject file exe và dll thì sao hả bác, bác có biết về cái này ko vậy, em cũng đang nghiên cứu, cần người hỗ trợ, thanks

 

Thế còn phương thức Inject file exe và dll thì sao hả bác, bác có biết về cái này ko vậy, em cũng đang nghiên cứu, cần người hỗ trợ, thanks

Bạn tham khảo các bài viết sau về kỹ thuật này của bác Malware nhé:

https://whitehat.vn/threads/ky-thuat-thuc-thi-file-dll-cung-file-exe-bat-ky.5354/

https://whitehat.vn/threads/ky-thuat-inject-dll-tu-kernel-cua-rootkit.5263/

 

Nhân việc mã độc khởi động cùng windows, mình có câu hỏi về chế độ offline scan của windows 10 defender, có phải vì mã độc đã chạy cùng windows nên phải scan offline?

 

Nhân việc mã độc khởi động cùng windows, mình có câu hỏi về chế độ offline scan của windows 10 defender, có phải vì mã độc đã chạy cùng windows nên phải scan offline?

Khi Windows đang chạy thì một số mã độc (đặc biệt là rootkit) có thể đang chạy và ẩn chính nó cũng như che giấu các thành phần mã độc khác như tiến trình, module, registry... điều này làm khó khăn cho các công cụ như Windows Defender trong việc phát hiện và xử lý mã độc. Do đó chế độ "Windows Defender Offline scan" sẽ thực hiện khởi động lại và quét ngoài Windows để có thể phát hiện và xử lý malware.