Giới thiệu công cụ WinDbg phân tích rootkit

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Giới thiệu công cụ WinDbg phân tích rootkit
Rootkit là phần mềm can thiệp sâu vào hệ điều hành để che giấu thông tin. Có thể nói rootkit là loại malware khó phát hiện và gỡ bỏ nhất vì chúng nằm ở mức rất thấp trong hệ thống (phần lớn là ở dưới dạng các driver). Khi gỡ bỏ một thành phần ở mức sâu như vậy nếu không cẩn thận sẽ gây lỗi cho toàn bộ hệ thống và dẫn đến hiện tượng máy tính bị màn hình xanh.

1700189503631.png

Tác dụng chính của rootkit là bảo vệ các malware trên máy tính, tránh cho chúng không bị phát hiện và gỡ bỏ. Cơ chế hoạt động của rootkit là chèn vào giữa quá trình giao tiếp giữa ứng dụng và hệ thống khiến cho các thông tin mà ứng dụng lấy được đã bị thay đổi chỉnh sửa theo mục đích của rootkit.

WinDbg là một công cụ mạnh mẽ, hưu ích phục vụ phân tích rootkit. Nếu như Olly phân tích động các hành vi của virus trên usermode, thì WinDbg sẽ giúp phân tích động các file rootkit (.sys) dưới kernel mode.

Dưới đây là giao diện và các cửa sổ chính của WinDbg. Video sau demo quá trình phân tích một mẫu rootkit nhé các bạn: https://whitehat.vn/threads/cmkt-huong-dan-su-dung-windbg-phan-tich-rootkit.9165/.

1700189462625.png

Một số các phím tắt cơ bản trong WinDbg
  • F9: Đặt breakpoint.
  • F10: Chạy qua hàm.
  • F11: Chạy từng dòng.
  • F5: Chạy toàn bộ code cho đến breakpoint tiếp theo.
  • Alt + F9: Xem danh sách toàn bộ các breakpoint đã đặt
Ngoài các phím tắt cũng ta cũng phải sử dụng một số command cơ bản:
  • bp: Đặt beakpoint.
  • bc: Xóa tất cả các breakpoint.
  • lm: Xem danh sách các modlue đang load.
Các bạn có thể xem thêm các lệnh cơ bản ở link sau: http://windbg.info/doc/1-common-cmds.html
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: linh24
Bên trên