Những cách mà Malware sử dụng để khởi động cùng Windows

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Những cách mà Malware sử dụng để khởi động cùng Windows
Đã bao giờ bạn thắc mắc vì sao phần mềm độc hại có thể tự khởi động cùng Windows mỗi khi mở máy? Hay bạn muốn tìm hiểu, tự rà soát malware nhưng không biết những phương pháp mà chúng sử dụng để tự khởi động. Do đó, trong bài viết này mình sẽ giới thiệu một số cách phổ biến mà malware sử dụng để khởi động/kích hoạt cùng hệ thống.

1700035268852.png

1. Dùng Startup Folder

Đây là một thư mục có tên là Starup, khi đặt một shortcut của chương trình vào đây thì nó sẽ được chạy sau khi Windows khởi động. Một số malware lợi dụng tính năng này để có thể tự khởi động.

2017-04-25_164603.png

2. Dùng Task Scheduler

3. Ghi/thay đổi các giá trị trong registry.


Bằng cách ghi/thay đổi các giá trị trong một số key registry, mã độc có thể khởi động như những ứng dụng khác. Dưới đây là danh sách các key thường được malware ghi/thay đổi giá trị:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
  • HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
  • HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command
  • HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
  • HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command
  • HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
  • HKEY_CLASSES_ROOT\exefile\shell\open\command
  • HKEY_CLASSES_ROOT\comfile\shell\open\command
  • HKEY_CLASSES_ROOT\batfile\shell\open\command
  • HKEY_CLASSES_ROOT\htafile\Shell\Open\Command
  • HKEY_CLASSES_ROOT\piffile\shell\open\command
 
Chỉnh sửa lần cuối bởi người điều hành:
Thế còn phương thức Inject file exe và dll thì sao hả bác, bác có biết về cái này ko vậy, em cũng đang nghiên cứu, cần người hỗ trợ, thanks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: hoangthai308
Comment
Nhân việc mã độc khởi động cùng windows, mình có câu hỏi về chế độ offline scan của windows 10 defender, có phải vì mã độc đã chạy cùng windows nên phải scan offline?
defender%20offline%20scan.PNG
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o and whf
Comment
Nhân việc mã độc khởi động cùng windows, mình có câu hỏi về chế độ offline scan của windows 10 defender, có phải vì mã độc đã chạy cùng windows nên phải scan offline?

Khi Windows đang chạy thì một số mã độc (đặc biệt là rootkit) có thể đang chạy và ẩn chính nó cũng như che giấu các thành phần mã độc khác như tiến trình, module, registry... điều này làm khó khăn cho các công cụ như Windows Defender trong việc phát hiện và xử lý mã độc. Do đó chế độ "Windows Defender Offline scan" sẽ thực hiện khởi động lại và quét ngoài Windows để có thể phát hiện và xử lý malware.
 
Comment
Bên trên