Debug MBR thật là đơn giản!

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Debug MBR thật là đơn giản!
Như chúng ta biết, MBR được chạy trước cả hệ điều hành. Vậy làm sao để debug được MBR? Điều này dường như không thể. Trong bài viết này mình sẽ cùng các bạn làm điều không thể đó :D

1700821668426.png

Trong năm 2016, ransomware đạt đến đẳng cấp mới, xuất hiện các mẫu ransomware mã hóa MBR, như mình được biết mẫu đầu tiên là Ransomware Petya. Mình sẽ lấy luôn mẫu Petya để thực hành trong bài viết này.

upload_2020-4-24_20-49-33.png

Dưới đây là các bước debug MBR

1. Download và cài đặt các tool sau trong máy ảo Virtualbox
2. Tạo một ổ đĩa ảo và cofing
  • Vào thư mục “C:\rogram FilesBochs-2.6.8” chạy file bximage.exe với các tham số mặc đinh. Enter và Enter.
  • Ổ đĩa ảo mặc định như hình dưới là: c.img
upload_2020-4-24_20-54-43.png
  • Tạo file config: Tạo file “bochsrc.bxrc” trong “C:\Program FilesBochs-2.6.8”. Nội dung như hình bên dưới
upload_2020-4-24_20-56-38.png
  • Sử dụng tool HxD copy code Ransomware Petya vào ổ đĩa ảo c.img vừa tạo ở trên.
upload_2020-4-24_20-57-49.png
3. Bắt đầu debug MBR
  • Tới đây là chúng ta đã có một môi trường debug hoàn hảo
  • Chạy file bochsdbg.exe. Để bắt đầu debug
upload_2020-4-24_21-0-44.png
Chúc các bạn setup debug thành công!!!
 
Chỉnh sửa lần cuối bởi người điều hành:
Thẻ
debug mbr
Bên trên