- 28 May 2010
- 642
- 0
Bu konuda sizlere firewallara takılan kodlarınızı firewall'dan kaçırma yollarınızı
anlatacağım. Bölümün anlamanı tam kavrayanadığımdan yanlış yere konu açmış
olabilirim. Eğer konunun açıldığı yer yanlışsa affola. Konu alıntıdır. burst-fire tarafından
THT için sadeleştirilerek bazı ekleme ve çıkartmalar yapılmıştır.
1) Encryptors-Compressors:
Bu yöntemin undetected yapmada en etkili yol olduğunu düşünebilirsiniz ama değildir. Problem bir çok kişinin aynı Uzaktan Yönetim programlarını ve Packerları kullanmasından kaynaklanmaktadır. Anti-Virüs programları bunların çoğunun imzasını artık tanımaktadır.
Yapabileceğimiz en iyi şey az bilinen Packer ve Uzaktan Yönetim programlar ile çalışmak.
Çalıştırılabilir packerlar için google da arama yapabilirsiniz. Daha önce duymadığınız bi kaç tanesine rastlayacaksınız onları crackleyip kullanmalısınız. Uzaktan Yönetim programı içindeVXChaos, LeetUpload ve VX Heaven ı kullanabilirsiniz. unutmayınki bilinmeyenleri kullanın ve Packerlarla kombinasyonlarını deneyin.
2) Byte Ekleyiciler
Bu yöntem Uzaktan Yönetim programlarına kaçak kodlar ekleyerek yapılır. Temel hedef Anti-Virüslerin imza tanıma yöntemlerini şaşırtmaktır. Bazen kodun yeri değiştirilebilir bu sayede Anti-Virüs programları aradıkları yerde imzaları bulamazlar. Bunun için StealthTools v2.0 faydalı olabilir.
3) Hex değiştirme
Bu biraz daha karışık bir yöntem olup daha fazla deneme yapmayı gerektirmektedir. Temel amacımız Anti-Virüs programının Uzaktan Yönetim programımızda bulduğu imzayı farklı bytelar ekleyerek değiştirmek yada programın dengesini başka bi benzerine çevirmek.
İhtiyacınız olcak üç program File Splitter, Hex Editor ve Anti-Virus Offset Bulucu (virüs
tarayıcı). File Splitter programınızı daha küçük çalıştırılabilir parçalara ayıracak.Daha sonra Hex Editor'ü kullanarak imzayı bulacak ve onu değiştireceğiz. Ya da dosyayı bölünmemiş tutarsınız AV Offset Finder'ı kullanarak otomatik bi şekilde yakalanan kodu bulup hex editorünüzde değiştirebilirsiniz.
İlk aşama: Uzaktan Yönetim programınızı bir dosyanın içine açın.
İkinci aşama: Server dosyanızı File Splitter ile 1 byte lık dosyalara ayırın. Bu dosyanızda birçok küçük progr***** yaratacaktır ama o dosyalardan 1 yada 2 tanesi imzayı
taşımaktadır kalanı temizdir.
Üçüncü aşama: Dosyanızı Anti-Virüs programıyla taratın hangi dosyaların virüslü olduğunu bulun. Bunlar yeniden düzenleyeceğimiz dosyalar.
Dördüncü aşama: Yakalanan dosyarınızı Hex Editor ile acın ve değiştirin. Bunu yapmak için kesin kurallar yoktur, deneyerek bulacaksınız. 1 bytelik dosyalar size çok iş çıkarmayacaktır çünkü tek yapmanız gereken bir karakteri değiştirmek tekrar düzenleyip çalışıyormu diye kontrol etmek ve Anti-Virüs programınızda taratmak. Olmadığı zaman geri dönüp tekrar deneyin.
Beşinci aşama: Bütün imzaları bulup değiştirdiğinizden emin olduğunuz zaman File Splitterınızla dosyalarınızı tekrar birleştirin ve Uzaktan Yönetim programınızın hala çalıştığından emin olun. Çok fazla değişim yapmayın.
4) Kaynak kodu
En iyi yakalanmayan Uzaktan Yönetim programı yapmanın yolu kendi programınızı geliştirmektedir. Zor gibi görünsede tanınmaz yapmaya çalışmaktan kolay olacaktır. Çünkü her yeniden derlemenizde farklı imzalar koyabileceksiniz ve Anti-Virüs programları yakaladıktan sonra ufak değişikliklerle yeninden yakalanmaz hale getirebilirsiniz.
Birinci seçeneğiniz açık kaynak kodlu Uzaktan Yönetim program kodlarını kullanmanız.
Açık kaynak kodlu Uzaktan Yönetim aracı bulmanız zor olmayacaktır. VXChaos yada Planet Source Code da açık kaynak kodlu ve az kullanılan Uzaktan yönetim programları bulabilirsiniz.
Ve ya Decompiling yöntemlerini kullanabilirsiniz.
Bazıları buna kaynak kodu çalmakta der. Ben kısaca ödünç alma diyorum.İlk yapmanız gereken programın hangi dilde yazıldığını öğrenmek. Uzaktan Yönetim programı olarak Optix Pro kullandığınızı varsayalım diliniz delphi olacaktır. DeDe güzel bir Delphi Decompiler idir. Dede ile programınızı decomple edip tekrar derleyebilirsiniz tadını çıkartın. Bazı düzenlemeler yaparsanız UD bir Optix Pro nuz olacaktır.
Bir başka yöntemde Uzaktan Yönetim programınızı Debugger veya Diassembler ile açmaktır. ASM kodunu kopyalayın ve yeniden bir ASM compiler da açın. Çalıştırılabilir programı temiz bir ASM ye çevirebileceğiniz kadar çevirin ve aynı şekilde değiştirip tekrar derleyin. Debugger ve Disassembler lar için google da arama yaparsanız birçok sonuca ulaşacaksınız.
Denemekten korkmayın. Konu içerisinde belirtilen yöntemleri ve programları THT veya Google'den aratarak bulabilirsiniz...
Alıntıdır
anlatacağım. Bölümün anlamanı tam kavrayanadığımdan yanlış yere konu açmış
olabilirim. Eğer konunun açıldığı yer yanlışsa affola. Konu alıntıdır. burst-fire tarafından
THT için sadeleştirilerek bazı ekleme ve çıkartmalar yapılmıştır.
1) Encryptors-Compressors:
Bu yöntemin undetected yapmada en etkili yol olduğunu düşünebilirsiniz ama değildir. Problem bir çok kişinin aynı Uzaktan Yönetim programlarını ve Packerları kullanmasından kaynaklanmaktadır. Anti-Virüs programları bunların çoğunun imzasını artık tanımaktadır.
Yapabileceğimiz en iyi şey az bilinen Packer ve Uzaktan Yönetim programlar ile çalışmak.
Çalıştırılabilir packerlar için google da arama yapabilirsiniz. Daha önce duymadığınız bi kaç tanesine rastlayacaksınız onları crackleyip kullanmalısınız. Uzaktan Yönetim programı içindeVXChaos, LeetUpload ve VX Heaven ı kullanabilirsiniz. unutmayınki bilinmeyenleri kullanın ve Packerlarla kombinasyonlarını deneyin.
2) Byte Ekleyiciler
Bu yöntem Uzaktan Yönetim programlarına kaçak kodlar ekleyerek yapılır. Temel hedef Anti-Virüslerin imza tanıma yöntemlerini şaşırtmaktır. Bazen kodun yeri değiştirilebilir bu sayede Anti-Virüs programları aradıkları yerde imzaları bulamazlar. Bunun için StealthTools v2.0 faydalı olabilir.
3) Hex değiştirme
Bu biraz daha karışık bir yöntem olup daha fazla deneme yapmayı gerektirmektedir. Temel amacımız Anti-Virüs programının Uzaktan Yönetim programımızda bulduğu imzayı farklı bytelar ekleyerek değiştirmek yada programın dengesini başka bi benzerine çevirmek.
İhtiyacınız olcak üç program File Splitter, Hex Editor ve Anti-Virus Offset Bulucu (virüs
tarayıcı). File Splitter programınızı daha küçük çalıştırılabilir parçalara ayıracak.Daha sonra Hex Editor'ü kullanarak imzayı bulacak ve onu değiştireceğiz. Ya da dosyayı bölünmemiş tutarsınız AV Offset Finder'ı kullanarak otomatik bi şekilde yakalanan kodu bulup hex editorünüzde değiştirebilirsiniz.
İlk aşama: Uzaktan Yönetim programınızı bir dosyanın içine açın.
İkinci aşama: Server dosyanızı File Splitter ile 1 byte lık dosyalara ayırın. Bu dosyanızda birçok küçük progr***** yaratacaktır ama o dosyalardan 1 yada 2 tanesi imzayı
taşımaktadır kalanı temizdir.
Üçüncü aşama: Dosyanızı Anti-Virüs programıyla taratın hangi dosyaların virüslü olduğunu bulun. Bunlar yeniden düzenleyeceğimiz dosyalar.
Dördüncü aşama: Yakalanan dosyarınızı Hex Editor ile acın ve değiştirin. Bunu yapmak için kesin kurallar yoktur, deneyerek bulacaksınız. 1 bytelik dosyalar size çok iş çıkarmayacaktır çünkü tek yapmanız gereken bir karakteri değiştirmek tekrar düzenleyip çalışıyormu diye kontrol etmek ve Anti-Virüs programınızda taratmak. Olmadığı zaman geri dönüp tekrar deneyin.
Beşinci aşama: Bütün imzaları bulup değiştirdiğinizden emin olduğunuz zaman File Splitterınızla dosyalarınızı tekrar birleştirin ve Uzaktan Yönetim programınızın hala çalıştığından emin olun. Çok fazla değişim yapmayın.
4) Kaynak kodu
En iyi yakalanmayan Uzaktan Yönetim programı yapmanın yolu kendi programınızı geliştirmektedir. Zor gibi görünsede tanınmaz yapmaya çalışmaktan kolay olacaktır. Çünkü her yeniden derlemenizde farklı imzalar koyabileceksiniz ve Anti-Virüs programları yakaladıktan sonra ufak değişikliklerle yeninden yakalanmaz hale getirebilirsiniz.
Birinci seçeneğiniz açık kaynak kodlu Uzaktan Yönetim program kodlarını kullanmanız.
Açık kaynak kodlu Uzaktan Yönetim aracı bulmanız zor olmayacaktır. VXChaos yada Planet Source Code da açık kaynak kodlu ve az kullanılan Uzaktan yönetim programları bulabilirsiniz.
Ve ya Decompiling yöntemlerini kullanabilirsiniz.
Bazıları buna kaynak kodu çalmakta der. Ben kısaca ödünç alma diyorum.İlk yapmanız gereken programın hangi dilde yazıldığını öğrenmek. Uzaktan Yönetim programı olarak Optix Pro kullandığınızı varsayalım diliniz delphi olacaktır. DeDe güzel bir Delphi Decompiler idir. Dede ile programınızı decomple edip tekrar derleyebilirsiniz tadını çıkartın. Bazı düzenlemeler yaparsanız UD bir Optix Pro nuz olacaktır.
Bir başka yöntemde Uzaktan Yönetim programınızı Debugger veya Diassembler ile açmaktır. ASM kodunu kopyalayın ve yeniden bir ASM compiler da açın. Çalıştırılabilir programı temiz bir ASM ye çevirebileceğiniz kadar çevirin ve aynı şekilde değiştirip tekrar derleyin. Debugger ve Disassembler lar için google da arama yaparsanız birçok sonuca ulaşacaksınız.
Denemekten korkmayın. Konu içerisinde belirtilen yöntemleri ve programları THT veya Google'den aratarak bulabilirsiniz...
Alıntıdır
Moderatör tarafında düzenlendi: