Yeni Ratı antivirus algılar mı? (video)

hadi bakalım iyi bir şeyler gibi gelecek senden eline sağlık.

Klaxxon' Alıntı:

hadi bakalım iyi bir şeyler gibi gelecek senden eline sağlık.

Genişletmek için tıkla ...

teşekkür ederim : )
işlerim biterse bu projeyi çıkartacağım fakat socket programlama hakkında Türkçe kaynak çok az ingilizce kaynaklardan zor ilerliyorum bakalım kısmet

icehead' Alıntı:

@Pelacanus ile bu hakkında tartışıyorduk kendisine söz vermiştim yeni bir rat yazıp video ya çektim ve sonuç ortada algılayamadı...
arkadaşlar aslında antivirus temel güvenlik önlemi dahi değildir web sitelerin de iddia ettikleri gibi güçlü değiller.
bunu size şöyle anlatayım antivirusler imza ve davranış temelli çalışıyor yeni bir rat yazdığınız zaman imza veritabanın da olmadığı için taramadan geçersiniz tek davranış kısmında yakalayabilir fakat onuda deneme yanılma yapıp çok rahat geçersiniz.

bu video da eset hips ve eset live geri bildiri sistemi aktif idi.
siz siz olun antiviruse güvenip iş yapmayın
not: Rat demo aşamasında denemeler yapıyorum.

Genişletmek için tıkla ...

Elinize Sağlık siz bunu kendi bilgisayarınızda illegal birşekilde kullanmıyorsunuzki teamviewer gibi düşünebilirsiniz normal komut çalıştırıyorsunuz

SecurityFaTHeR' Alıntı:

birşey diyebilirmiyim siz bunu kendi bilgisayarınızda illegal birşekilde kullanmıyorsunuzki teamviewer gibi düşünebilirsiniz normal komut çalıştırıyorsunuz

Genişletmek için tıkla ...

Onuda denedim duck dns ile sanal makinada aynı sonucu veriyor.
ama bu rat patlayacak eset geri bildirim sistemi dosyayı çoktan göndermiştir

Öncelikle eline emeğine sağlık diyorum / Egerki Public Olarak Dagıtılmaz İse (Geliştirici Tarafından) Av Ler tarafından uzun süre boyunca unknown extension olarak algılanmaz fakat burda önemli olan sezgisel analiz dediğimiz sistemin bu zararlıyı algılamaması yani örnek = ağ trafiği - sisteme upload-drop ettiği dosyalardan-registry değerlerinden bir süre sonra uyarı verebilir bunuda hidden veya Bir sistem servisi olarak spoof etmek (runtime broker-health service vb.. gibi) uzun süre undedect'ligini korur / tabi bu konulara geliştirici tarafından üstünde durulur diye düşünüyorum - kolay gelsin

icehead' Alıntı:

@Pelacanus ile bu hakkında tartışıyorduk kendisine söz vermiştim yeni bir rat yazıp video ya çektim ve sonuç ortada algılayamadı...
arkadaşlar aslında antivirus temel güvenlik önlemi dahi değildir web sitelerin de iddia ettikleri gibi güçlü değiller.
bunu size şöyle anlatayım antivirusler imza ve davranış temelli çalışıyor yeni bir rat yazdığınız zaman imza veritabanın da olmadığı için taramadan geçersiniz tek davranış kısmında yakalayabilir fakat onuda deneme yanılma yapıp çok rahat geçersiniz.

bu video da eset hips ve eset live geri bildiri sistemi aktif idi.
siz siz olun antiviruse güvenip iş yapmayın
not: Rat demo aşamasında denemeler yapıyorum.

Genişletmek için tıkla ...

Video kırık

Eline sağlık. Anti scan me veya virüs total gibi tarama yerlerinde de başarı gösteriyor mu?

Ghost Killer' Alıntı:

Eline sağlık. Anti scan me veya virüs total gibi tarama yerlerinde de başarı gösteriyor mu?

Genişletmek için tıkla ...

Abi antiscan me de fud çıkacaktır bir deneyim hatta

@Pelacanus video da sorun yok : ) )

Ghost Killer' Alıntı:

Eline sağlık. Anti scan me veya virüs total gibi tarama yerlerinde de başarı gösteriyor mu?

Genişletmek için tıkla ...

Burada fud çıkıyor hocam sorun yok : )
ama norton yakalıyor onu da ekleyim sanal makina testinden geçemedi.

Daeky' Alıntı:

Öncelikle eline emeğine sağlık diyorum / Egerki Public Olarak Dagıtılmaz İse (Geliştirici Tarafından) Av Ler tarafından uzun süre boyunca unknown extension olarak algılanmaz fakat burda önemli olan sezgisel analiz dediğimiz sistemin bu zararlıyı algılamaması yani örnek = ağ trafiği - sisteme upload-drop ettiği dosyalardan-registry değerlerinden bir süre sonra uyarı verebilir bunuda hidden veya Bir sistem servisi olarak spoof etmek (runtime broker-health service vb.. gibi) uzun süre undedect'ligini korur / tabi bu konulara geliştirici tarafından üstünde durulur diye düşünüyorum - kolay gelsin

Genişletmek için tıkla ...

hocam ileri de paylaşmayı düşünüyorum aslında antisandbox ve antidebuger ekleyerek fud ömrünü uzatabilirim ama boşuna zaman kaybı olarak görüyorum çünki sonunda yakalanacak.

diğer dediklerinizi bende anlatmaya çalıştım asıl önemli olan davranışsal algılamayı geçmek tarama zaten sorun olmuyor.

Eline sağlık.

Eline sağlık

Eline Sağlık Seni Daha İleri Seviyelerde Görmek Dileğiyle Saygılarr...

Aslında yeni rat yazmak yerine asyncrat dcrat ve bir çok ratta olan karşı tarafa dll yollamak var ve o dll karşı tarafta invoke eder
stubda password stealer olmaz biz yollarız, genelde esette memory scann ederken bunları tespit edince patlatıyor
oda custom scanden memory scann seçeneği ile oluyor, yeniden başlatınca otomatik memory scanne başladıgından patlıyor ,
direk otomatik olarak ratı modlayıp gönderirken dll i obfuscate edebiliriz otomatik rastgele junkcode falan string encryption yapabiliriz,
çünkü hips üzerinde çalışırken şunu da keşfettim mesela process hackerdan sen bir .net programının .net assemblies kısmına bakarsan
senin appdomainden loadladıgın şeyler gözükür o gönderilen dll ler, etw bypasss wldp bypass yaparak gizliyebiliyorsun mesela
bunun sayesinde asyncrat geçirmiştim, puliginleri modlamakta önemli ya da etw bypass gibi anti memory scann yazmak, vmprotecte bu özellik var aslında
koivmde falan vmprotect sdk sı ile bir confuserex yazıpta geçirebiliriz çok mantıgı var önemli olan kullanabilmek.

Merhabalar,

Buradaki konuda rapor göndermeyen tarama sitelerinden bahsediyor. Bu şekilde sonuç görebilirsiniz.