RATlar Trojanları yönetmeye yarayan programlardır ve bu programların Antivirüslerden kaçması için birçok yöntem vardır.
1.Crypter ile Şifreleme:
Crypter lar server in FUD lamaya yarayan programlardır ve içindeki stub ın içindeki şifreleme mantığına göre çalışır ve bir çok yöntemi vardır. Örneğin;
· Değişkenlerin çok farklı karakterler içermesi.
· Server in başına boş kodlar(gereksiz) eklemesi örneğin ;
On Error Resume Next
My.Computer.Network.Ping(My.User.Name)
· X0R gibi yöntemlerle kodların şifrelenmesi.
· Abronsius Code Obfuscator gibi programlarla stub daki değişkenleri veya kodları otomatik olarak şifrelemesi.
Crypter lardaki bazı şifreleme yöntemleri:
RC4:
for i from 0 to 255
S := i
endfor
j := 0
for i from 0 to 255
j := (j + S + key[i mod keylength]) mod 256
swap values of S and S[j]
endfor
x0r:
Public Function x0r(ByVal X1 As String) As String
Dim KOD As String, X2 As String * 1, X3 As Double
For X3 = 1 To Len(X1)
X2 = Mid(X1, X3, 1)
KOD = KOD & Chr(Asc(X2) Xor 255)
Next X3
x0r = KOD
End Function
ASCII, Aes, Rb, Ds vs gibi şifreleme türleri...
2.Paketleme:
Bazı Antivirüsler server birkaç kez paketlendiğinde onun spyware programı olduğunu algılayamaz ve girişine izin verir fakat genellikle Trojan çalışmaya başladığında kendini ele verir. Paketleme işlemi upx veya WinRAR ile yapılabilir
3.Byte Ayarlamaları:
Server ın bytelarını belirli uzunluklar veya rastgele kodlarla değiştirir. Böylece Antivirüslerden kaçmış olur.
1.Crypter ile Şifreleme:
Crypter lar server in FUD lamaya yarayan programlardır ve içindeki stub ın içindeki şifreleme mantığına göre çalışır ve bir çok yöntemi vardır. Örneğin;
· Değişkenlerin çok farklı karakterler içermesi.
· Server in başına boş kodlar(gereksiz) eklemesi örneğin ;
On Error Resume Next
My.Computer.Network.Ping(My.User.Name)
· X0R gibi yöntemlerle kodların şifrelenmesi.
· Abronsius Code Obfuscator gibi programlarla stub daki değişkenleri veya kodları otomatik olarak şifrelemesi.
Crypter lardaki bazı şifreleme yöntemleri:
RC4:
for i from 0 to 255
S := i
endfor
j := 0
for i from 0 to 255
j := (j + S + key[i mod keylength]) mod 256
swap values of S and S[j]
endfor
x0r:
Public Function x0r(ByVal X1 As String) As String
Dim KOD As String, X2 As String * 1, X3 As Double
For X3 = 1 To Len(X1)
X2 = Mid(X1, X3, 1)
KOD = KOD & Chr(Asc(X2) Xor 255)
Next X3
x0r = KOD
End Function
ASCII, Aes, Rb, Ds vs gibi şifreleme türleri...
2.Paketleme:
Bazı Antivirüsler server birkaç kez paketlendiğinde onun spyware programı olduğunu algılayamaz ve girişine izin verir fakat genellikle Trojan çalışmaya başladığında kendini ele verir. Paketleme işlemi upx veya WinRAR ile yapılabilir
3.Byte Ayarlamaları:
Server ın bytelarını belirli uzunluklar veya rastgele kodlarla değiştirir. Böylece Antivirüslerden kaçmış olur.
