Debug MBR thật là đơn giản!
Như chúng ta biết, MBR được chạy trước cả hệ điều hành. Vậy làm sao để debug được MBR? Điều này dường như không thể. Trong bài viết này mình sẽ cùng các bạn làm điều không thể đó
Trong năm 2016, ransomware đạt đến đẳng cấp mới, xuất hiện các mẫu ransomware mã hóa MBR, như mình được biết mẫu đầu tiên là Ransomware Petya. Mình sẽ lấy luôn mẫu Petya để thực hành trong bài viết này.
Dưới đây là các bước debug MBR
1. Download và cài đặt các tool sau trong máy ảo Virtualbox
3. Bắt đầu debug MBR
Trong năm 2016, ransomware đạt đến đẳng cấp mới, xuất hiện các mẫu ransomware mã hóa MBR, như mình được biết mẫu đầu tiên là Ransomware Petya. Mình sẽ lấy luôn mẫu Petya để thực hành trong bài viết này.
Dưới đây là các bước debug MBR
1. Download và cài đặt các tool sau trong máy ảo Virtualbox
- Bochs x86 PC Emulator: Là tool dùng để debug MBR, nó sẽ tạo ra một ổ đĩa ảo để debug. (https://sourceforge.net/projects/bochs/files/bochs/)
- HxD: Là tool để xem mã hex MBR của ổ đĩa(https://mh-nexus.de/en/downloads.php?product=HxD)
- Vào thư mục “C:\rogram FilesBochs-2.6.8” chạy file bximage.exe với các tham số mặc đinh. Enter và Enter.
- Ổ đĩa ảo mặc định như hình dưới là: c.img
- Tạo file config: Tạo file “bochsrc.bxrc” trong “C:\Program FilesBochs-2.6.8”. Nội dung như hình bên dưới
- Sử dụng tool HxD copy code Ransomware Petya vào ổ đĩa ảo c.img vừa tạo ở trên.
- Tới đây là chúng ta đã có một môi trường debug hoàn hảo
- Chạy file bochsdbg.exe. Để bắt đầu debug
Chúc các bạn setup debug thành công!!!
Chỉnh sửa lần cuối bởi người điều hành: