Giới thiệu công cụ WinDbg phân tích rootkit

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 08/06/19, 03:06 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 321
    Đã được thích: 155
    Điểm thành tích:
    43
    Rootkit là phần mềm can thiệp sâu vào hệ điều hành để che giấu thông tin. Có thể nói rootkit là loại malware khó phát hiện và gỡ bỏ nhất vì chúng nằm ở mức rất thấp trong hệ thống (phần lớn là ở dưới dạng các driver). Khi gỡ bỏ một thành phần ở mức sâu như vậy nếu không cẩn thận sẽ gây lỗi cho toàn bộ hệ thống và dẫn đến hiện tượng máy tính bị màn hình xanh. Tác dụng chính của rootkit là bảo vệ các malware trên máy tính, tránh cho chúng không bị phát hiện và gỡ bỏ. Cơ chế hoạt động của rootkit là chèn vào giữa quá trình giao tiếp giữa ứng dụng và hệ thống khiến cho các thông tin mà ứng dụng lấy được đã bị thay đổi chỉnh sửa theo mục đích của rootkit

    WinDbg
    là một công cụ mạnh mẽ, hưu ích phục vụ phân tích rootkit. Nếu như Olly phân tích động các hành vi của virus trên usermode, thì WinDbg sẽ giúp phân tích động các file rootkit (.sys) dưới kernel mode.
    Dưới đây là giao diện và các cửa sổ chính của WinDbg. Video sau demo quá trình phân tích một mẫu rootkit nhé các bạn: https://whitehat.vn/threads/cmkt-huong-dan-su-dung-windbg-phan-tich-rootkit.9165/
    [​IMG]
    Một số các phím tắt cơ bản trong WinDbg
    F9: Đặt breakpoint.
    F10: Chạy qua hàm.
    F11: Chạy từng dòng.
    F5: Chạy toàn bộ code cho đến breakpoint tiếp theo.
    Alt + F9: Xem danh sách toàn bộ các breakpoint đã đặt

    Ngoài các phím tắt cũng ta cũng phải sử dụng một số command cơ bản:
    bp: Đặt beakpoint.
    bc: Xóa tất cả các breakpoint.
    lm: Xem danh sách các modlue đang load.
    Các bạn có thể xem thêm các lệnh cơ bản ở link sau: http://windbg.info/doc/1-common-cmds.html
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan