İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

RATların antivirüse takılmasını önleme yani FUDLAMA nasıl yapılır

14-01-2017 12:13
#1
Scorpion123 - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
02/2016
Nereden:
İstanbul
Mesajlar:
539
Teşekkür (Etti):
23
Teşekkür (Aldı):
80
Konular:
53
RAT’lar Trojanları yönetmeye yarayan programlardır ve bu programların Antivirüslerden kaçması için birçok yöntem vardır.

1.Crypter ile Şifreleme:

Crypter lar server in FUD lamaya yarayan programlardır ve içindeki stub ın içindeki şifreleme mantığına göre çalışır ve bir çok yöntemi vardır. Örneğin;

· Değişkenlerin çok farklı karakterler içermesi.

· Server in başına boş kodlar(gereksiz) eklemesi örneğin ;

On Error Resume Next

My.Computer.Network.Ping(My.User.Name)
Crypter lardaki bazı şifreleme yöntemleri:



RC4:

for i from 0 to 255
S[i] := i
endfor
j := 0
for i from 0 to 255
j := (j + S[i] + key[i mod keylength]) mod 256
swap values of S[i] and S[j]
endfor


x0r:



Public Function x0r(ByVal X1 As String) As String

Dim KOD As String, X2 As String * 1, X3 As Double

For X3 = 1 To Len(X1)

X2 = Mid(X1, X3, 1)

KOD = KOD & Chr(Asc(X2) Xor 255)

Next X3

x0r = KOD

End Function



ASCII, Aes, Rb, Ds vs gibi şifreleme türleri...





2.Paketleme:

Bazı Antivirüsler server birkaç kez paketlendiğinde onun spyware programı olduğunu algılayamaz ve girişine izin verir fakat genellikle Trojan çalışmaya başladığında kendini ele verir. Paketleme işlemi upx veya WinRAR ile yapılabilir.




· X0R gibi yöntemlerle kodların şifrelenmesi.

· Abronsius Code Obfuscator gibi programlarla stub daki değişkenleri veya kodları otomatik olarak şifrelemesi.
4.Byte Ayarlamaları:

Server ın bytelarını belirli uzunluklar veya rastgele kodlarla değiştirir. Böylece Antivirüslerden kaçmış olur (bknz.byte buster programı)

belki bilmediğim yöntemler daha vardır ama bildiklerim bunlardı

bir teşekkürü esirgemeyin

14-01-2017 12:14
#2
Prisonerss - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2017
Mesajlar:
1.040
Teşekkür (Etti):
5
Teşekkür (Aldı):
106
Konular:
83
Biliyordum
14-01-2017 12:15
#3
CyBeror - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2017
Nereden:
Moscow
Yaş:
29
Mesajlar:
1.283
Teşekkür (Etti):
29
Teşekkür (Aldı):
113
Konular:
63
Güzel olmuş fakat bunun panzehiri de var saklanmış virüsler programlar algılayamaz yine de o udlanmış virüsün kaynak kodlarına bakılarak ya da aynı yöntemle bir program geliştirilerek virüs oldağu anlaşılabilir.
14-01-2017 12:22
#4
Scorpion123 - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
02/2016
Nereden:
İstanbul
Mesajlar:
539
Teşekkür (Etti):
23
Teşekkür (Aldı):
80
Konular:
53
evet ama teorik olarak ve normal bir şekilde günümüz sistemlerinde bu şekilde ratı gizleyebilirsiniz
16-01-2017 21:46
#5
Scorpion123 - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
02/2016
Nereden:
İstanbul
Mesajlar:
539
Teşekkür (Etti):
23
Teşekkür (Aldı):
80
Konular:
53
güncel

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı