Đã bao giờ bạn thắc mắc vì sao phần mềm độc hại có thể tự khởi động cùng Windows mỗi khi mở máy? Hay bạn muốn tìm hiểu, tự rà soát malware n...
Đã bao giờ bạn thắc mắc vì sao phần mềm độc hại có thể tự khởi động cùng Windows mỗi khi mở máy? Hay bạn muốn tìm hiểu, tự rà soát malware nhưng không biết những phương pháp mà chúng sử dụng để tự khởi động. Do đó, trong bài viết này mình sẽ giới thiệu một số cách phổ biến mà malware sử dụng để khởi động/kích hoạt cùng hệ thống.
1. Dùng Startup Folder
Đây là một thư mục có tên là Starup, khi đặt một shortcut của chương trình vào đây thì nó sẽ được chạy sau khi Windows khởi động. Một số malware lợi dụng tính năng này để có thể tự khởi động.
2. Dùng Task Scheduler
3. Ghi/thay đổi các giá trị trong registry.
Bằng cách ghi/thay đổi các giá trị trong một số key registry, mã độc có thể khởi động như những ứng dụng khác. Dưới đây là danh sách các key thường được malware ghi/thay đổi giá trị:
1. Dùng Startup Folder
Đây là một thư mục có tên là Starup, khi đặt một shortcut của chương trình vào đây thì nó sẽ được chạy sau khi Windows khởi động. Một số malware lợi dụng tính năng này để có thể tự khởi động.
3. Ghi/thay đổi các giá trị trong registry.
Bằng cách ghi/thay đổi các giá trị trong một số key registry, mã độc có thể khởi động như những ứng dụng khác. Dưới đây là danh sách các key thường được malware ghi/thay đổi giá trị:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
- HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command
- HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
- HKEY_CLASSES_ROOT\exefile\shell\open\command
- HKEY_CLASSES_ROOT\comfile\shell\open\command
- HKEY_CLASSES_ROOT\batfile\shell\open\command
- HKEY_CLASSES_ROOT\htafile\Shell\Open\Command
- HKEY_CLASSES_ROOT\piffile\shell\open\command
- Bạn tham khảo các bài viết sau về kỹ thuật này của bác Malware nhé:
https://whitehat.vn/threads/ky-thuat-thuc-thi-file-dll-cung-file-exe-bat-ky.5354/
https://whitehat.vn/threads/ky-thuat-inject-dll-tu-kernel-cua-rootkit.5263/
COMMENTS