Tìm hiểu kỹ thuật AntiDebug, AntiAV của virus

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 23/11/20, 04:11 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 488
    Đã được thích: 223
    Điểm thành tích:
    43
    Chào các bạn, trong bài viết này mình giới thiệu một kỹ thuật virus rất hay sử dụng để chống lại các AntiVirus, cũng như các phương pháp debug, reverse.

    0604-virus-1508388385.jpg

    Như các bạn đã biết Registry của Windows là một database quản lý các cấu hình của hệ điều hành, của phần mềm...Trong registry có rất nhiều các cấu hình quan trọng như: cấu hình các chương trình khởi động cùng máy, cấu hình các dịch vụ của hệ thống...trong đó có một cấu hình để xác định một chương trình bị debug bởi một chương trình khác (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options)

    Virus đã lợi dụng cấu hình này, để các chương trình của phần mềm AntiVirus, phần mềm debug, dịch ngược như Olly, IDA bị debug bởi các chương trình khác, dẫn đến chúng không còn hoạt động đúng mục đích. Dưới đây là các bước, cũng như đoạn code demo​

    upload_2020-11-23_16-51-43.png


    upload_2020-11-23_16-51-52.png

    Từ đoạn code trên chúng ta thấy, chương trình ollydbg.exe của phần mềm Olly đã bị debug với chương trình Notepad.exe. Hình dưới là kết quả khi chạy chương trình của Olly và bị Notepad debug, vì vậy olly đã bị vô hiệu hóa.

    upload_2020-11-23_16-53-38.png

    Tất nhiên, trên chỉ là ví dụ demo bằng Notepad để các bạn dễ hình dung, trong thực tế virus sẽ lợi dụng các chương trình không có giao diện để debug, khi đó nạn nhân sẽ không biết được tại sao các phần mềm của mình không hoạt động.

    Cám ơn các bạn đã đọc, rất mong được sự đóng góp của các bạn!!!
     
    Last edited by a moderator: 26/11/20, 09:11 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  2. cracker

    cracker Active Member

    Tham gia: 04/09/19, 01:09 PM
    Bài viết: 34
    Đã được thích: 4
    Điểm thành tích:
    8
    Hay mod ơi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    HustReMw and WhiteHat Team like this.
  3. BombMine

    BombMine New Member

    Tham gia: 27/11/20, 04:11 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    ad có tài liệu về vấn đề này không ạ, có thể chia sẻ cho me??
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 488
    Đã được thích: 223
    Điểm thành tích:
    43
    Các kỹ thuật này mình viết từ virus thực tế, bạn theo dõi các bài viết trong box Malware của Whitehat để cập nhật kỹ thuật nhé bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 488
    Đã được thích: 223
    Điểm thành tích:
    43
    Cám ơn bạn nhiều <3
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan