GCEH 1 – Hacking Với Metasploit Framework (Module 5 Căn Bản Vê Anti Defender & AntiForensic)

Anti-forensics (cũng được gọi là counter-forensics) là lĩnh vực nghiên cứu và kỹ thuật được sử dụng để ngăn chặn, làm trì hoãn hoặc gây khó khăn trong quá trình phân tích và thu thập bằng chứng số trong các hoạt động pháp lý hoặc trong các cuộc điều tra kỹ thuật số. Mục tiêu của anti-forensics là che giấu hoặc xóa bỏ các dấu vết số học và điện tử liên quan đến các hoạt động bất hợp pháp hoặc gian lận.

Anti-forensics có thể bao gồm việc xóa bỏ thông tin nhạy cảm, thay đổi dữ liệu, mã hóa hoặc ẩn dữ liệu, hoặc thay đổi các phương pháp sử dụng để thu thập dữ liệu. Các kỹ thuật anti-forensics có thể sử dụng trong việc che giấu hoạt động tội phạm trực tuyến, tin tặc, truy cập trái phép vào hệ thống, hoặc trong các vụ việc liên quan đến vi phạm quyền riêng tư và an ninh mạng.

Các kỹ thuật anti-forensics thường liên quan đến việc tìm hiểu về cách thức hoạt động của phân tích số học và công cụ điều tra kỹ thuật số, nhằm phát triển các phương pháp mới để vượt qua các biện pháp pháp lý và kỹ thuật mà nhà điều tra sử dụng. Điều này tạo ra một cuộc đua giữa các chuyên gia pháp lý và kỹ thuật số và những kẻ tấn công, trong đó cả hai bên đều liên tục phát triển các kỹ thuật mới để chiến thắng trong cuộc đua này.

Lưu ý rằng việc sử dụng các kỹ thuật anti-forensics có thể vi phạm pháp luật và đạo đức, và thường được coi là một hoạt động tội phạm hoặc xâm phạm vào quyền riêng tư.

Bypass antivirus (AV) là quá trình hoặc các kỹ thuật được sử dụng để vượt qua hoặc đánh lừa phần mềm diệt virus (antivirus software) để cho phép các tệp tin hoặc chương trình độc hại thực thi trên một hệ thống mà không bị phát hiện hoặc chặn bởi các chương trình diệt virus.

Antivirus là các chương trình được thiết kế để phát hiện, chặn và loại bỏ các mối đe dọa từ các tệp tin hoặc chương trình độc hại. Tuy nhiên, các tác nhân độc hại liên tục phát triển các kỹ thuật mới để vượt qua các chương trình diệt virus này. Mục tiêu của việc bypass antivirus là để tạo ra một phiên bản của tệp tin hoặc chương trình độc hại mà không bị phát hiện bởi các chương trình diệt virus thông thường.

Có nhiều phương pháp và kỹ thuật khác nhau được sử dụng để bypass antivirus, bao gồm:

  1. Polymorphic Malware: Tạo ra các phiên bản độc hại của tệp tin với cấu trúc và mã hóa khác nhau mỗi lần lây nhiễm, làm cho chúng khó nhận diện bởi chương trình diệt virus dựa trên các chữ ký hoặc quy tắc đã biết.
  2. Encryption và Packing: Mã hóa hoặc đóng gói tệp tin độc hại để che giấu mã độc và làm cho chúng khó bị phát hiện bởi các chương trình diệt virus. Tệp tin được giải mã hoặc giải nén trong quá trình thực thi.
  3. Exploiting Software Vulnerabilities: Tận dụng các lỗ hổng trong phần mềm hệ thống hoặc ứng dụng để chạy mã độc khi không bị chương trình diệt virus phát hiện.
  4. Fileless Malware: Khai thác các tính năng và lỗ hổng của hệ điều hành hoặc ứng dụng để thực thi mã độc mà không cần tạo ra các tệp tin độc hại trên đĩa cứng, làm cho việc phát hiện trở nên khó khăn hơn.
  5. Social Engineering: Sử dụng kỹ thuật xã hội để đánh lừa người dùng hoặc nhân viên và lừa họ mở tệp tin độc hại hoặc nhấp vào liên kết độc hại.

Bypass antivirus là một phần quan trọng của các chiến lược tấn công mạng và phát triển mã độc, và nó đòi hỏi kiến thức vững chắc về cách hoạt động của các chương trình diệt virus và các phương pháp phòng ngừa của chúng. Tuy nhiên, việc sử dụng các kỹ thuật bypass antivirus để thực hiện các hoạt động không đúng đắn hoặc vi phạm pháp luật là không đúng và có thể gây hậu quả nghiêm trọng.

Package và Encrypter là hai thuật ngữ thường được sử dụng trong lĩnh vực công nghệ thông tin để chỉ các công cụ hoặc phần mềm có khả năng đóng gói và mã hóa dữ liệu hoặc chương trình.

  1. Package (đóng gói): Trong ngữ cảnh này, “package” có nghĩa là đóng gói các tệp tin, chương trình hoặc thư mục thành một gói đơn nhằm thuận tiện trong việc vận chuyển, cài đặt hoặc chia sẻ. Quá trình đóng gói thường bao gồm việc nén các tệp tin, xây dựng cấu trúc thư mục, tạo các tệp tin thông tin (như tệp tin cấu hình) và bao gồm tất cả các thành phần cần thiết cho việc sử dụng hoặc cài đặt.

Các công cụ đóng gói phổ biến như NSIS (Nullsoft Scriptable Install System), Inno Setup, InstallShield và WiX được sử dụng để tạo gói cài đặt cho các ứng dụng và phần mềm trên nhiều nền tảng.

  1. Encrypter (mã hóa): Encrypter là một công cụ hoặc phần mềm được sử dụng để mã hóa dữ liệu hoặc chương trình, chuyển đổi chúng thành dạng không đọc được hoặc không thể hiểu được mà chỉ có thể được giải mã bởi người hay phần mềm có khóa mã hóa.

Mã hóa thông tin có thể bao gồm việc sử dụng các thuật toán mã hóa như AES (Advanced Encryption Standard), RSA (Rivest-Shamir-Adleman) hoặc DES (Data Encryption Standard). Khi dữ liệu hoặc chương trình được mã hóa, nó trở nên an toàn hơn khi lưu trữ hoặc chuyển đổi qua mạng, vì người không có khóa mã hóa không thể truy cập hoặc đọc được nội dung gốc.

Các công cụ mã hóa thông thường bao gồm OpenSSL, GnuPG (GNU Privacy Guard), VeraCrypt và BitLocker (có sẵn trong các phiên bản Windows). Các công cụ này cung cấp khả năng mã hóa dữ liệu, tạo các khóa mã hóa và quản lý quá trình mã hóa và giải mã.

Lesson 8.1 Sử Dụng Encoder_Shikataganai_&_OPT SUB

Lesson 8.2_Packager_&_Encrypter

Lesson 8.3 Anti Forensic_Với _Timestomp_& _ClearEV

Comments