İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Trojanlari undetect yapmak

03-06-2011 10:21
#1
Spy' Man - ait Kullanıcı Resmi (Avatar)
Spy' Man
Misafir
Mesajlar:
n/a
Teşekkür (Etti):
Teşekkür (Aldı):
Konular:
14661
Ticaret:
Bu tutoriali, genel manada UPX i cok duymus fakat kullanmasini bilmeyen arkadaslar icin hazirladim. Bugun biraz bos vaktim vardi da

UPX nedir?

Ultimate Packer for eXecutables yani calistirilabilir dosyalarin SIKISTIRILMASINA yarayan cok etkili bir programdir.

Download adresi;
http://upx.sourceforge.net/download/upx125w.zip

Oncelikle trojanlarin nasil yakalandigini genel manada cok kisaca incelersek, Anti Virusler trojanlarin Headerlarindan dijital birtakim hex karakterleri cekip bunlari kendi databaselerine atarlar. Daha sonra, makinanizdaki tum .exe uzantili dosyalari kendi DB lerindeki bu headers hex kodlari ile karsilastirip, birebir tutanlari trojan olarak algilayip silerler. Gelismis bircok AV, bu islemlerde artik bildigimiz gibi sadece Headerlari degil, trojanlarin executable kisimlarinin ilk 10 KB ini, son 10 KB sini cekerler. Hatta birtakim kaliteli AV lerde bu islem, random olarak yapilir. Yani rastgele cekilmis belirli kisimlar farkli olarak DB ye kaydedilir ve karsilastirma bu random sellected hexler ile karsilastirilir.

Heuristic Approach nedir?
Heuristic Approach, kaliteli AV sirketlerinin artik yaygin olarak kullandigi fakat hala randiman olarak %100 bir verim alinamamkla beraber tercih edilen bir yontemdir. Bu sisteme gore AV ler, executable dosyalarin (Attribute) hareket tarzlarina bakarak onlarin zararli olup olmadiklarina karar verirler.


Ornegin calistirdiginiz program, makinanizda bir port acip anormal duzeyde packet gonderimi yapiyorsa. AV niz bunu bir Flooder olarak algilar ve engeller. Veya yeni bir worm turu ciktiysa ve bu worm makinanizda bir SMTP motoru calistirip disariya yuksek miktarda veri yolluyorsa, bu da AV niz tarafindan tespit edilir.

Neden bu yaklasimin tam verimli olmadigina gelirsek; AV ler bu tur Attributelara tepki vermek icin programlandiklari icin, makinanizda zararli olmasa bile buna benzer bir Attribute yapan bir executable dosyayi da engelleyeceklerdir. Ornegin, gecenler ogrencilerime yazdirdigim bir FTP Toolu McAfee, su uyari ile calismasini durdurmustur;

This program is attempting a dangerous action! The action has been blocked!

Yani bu program zararli bir aksiyon yapmaktadir. Aksiyon bloke edilmistir. Nedeni de, programin makinadaki 21 portunu acarak disariya baglanmasi ve veri aktarimi yapmasidir. Bu demek degildir ki AV ler butun FTP programlarini yakalayacak. Hayir, piyasada bilinen tum FTP programlari hemen hemen bu AV ler tarafindan bilinmektedir. Benim ogrencilerime yazdirdigim FTP tool, taninmadigindan dolayi boyle bir bloke ile karsilasilmistir. Iste Heuristic Approach a olan guvensizligi olusturan nedenlerden biri budur.

Neyse konumuza donecek olursak, kullandiginiz trojan AV lere yakalanmaya basladiysa, bu trojani UPX yardimi ile SIKISTIRABILIRSINIZ.


SIKISTIRMA islemi yapildiginda ne olur?

SIKISTIRMA islemi yapildiginda iste AV lerin cektigi Headers Hex kodlari degismis olur. Cok kaliteli AV lerde bu bazen pek ise yaramaz.

Ama genel manada trojaninizi pek cok AV den rahatlikla bypass edebilirsiniz.

UPX i nasil kullanirim?

Once UPX inizi download edin ve C:// klasorunuzun icine tum dosyalari ile yerlestirin.

Daha sonra olusturdugunuz trojan serverini da ayni klasorun icine yerlestirin. (C:server.exe)

Daha sonra UPX dosyasini tiklayin ve calistirin.

DOS komutuna dusun.

Trojaninizi oncelikle Unpack etmeyi deneyin. Cunku Trojaniniz onceden pack edilmis olabilir.

Nasil Unpack edilir?

C:\>upx -d server.exe

Unpack oldugunda asagidaki gibi bir yazi cikacaktir:

Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe

Unpacked 1 file.



Simdi Serverimizi tekrar pack edelim;

C:\>upx -5 server.exe
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe

Packed 1 file.



Dikkat ettiyseniz burada serverimizi seviye 5 ile pack ettik. Cunku seviye 5, orta hizda SIKISTIRMA islemi yapar. Bu islem, serverinizi birtakim ozellikle bedava AV lerden %50 sans ile kaciracaktir.

Eger olmadiysa serverinizi seviye 9 ile pack edin.

Bunun icin oncelikle seviye 5 ile pack ettigimiz dosyamizi unpack etmemiz gerekir. Burada yeniden unpack islemimizi tekrarliyoruz;

C:\>upx -d server.exe

Unpack oldugunda asagidaki gibi bir yazi cikacaktir:

Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe

Unpacked 1 file.

Simdi tekrar pack ediyoruz fakat bu sefer seviye 9 ile yapiyoruz;

C:\>upx -9 server.exe

Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe

Packed 1 file.


Bu yöntem ile bircok AV den %70 oraninda serverinizi kacirabilirsiniz.


Tabii ki sunu unutmamak gerekir ki, pack etmeye yani SIKISTIRMAYA calistiginiz trojan serverinizin onceden SIKISTIRILMIS olmamasi gerekmektedir. Eger SIKISTIRILDIYSA da bu islemin UPX ile yapilmis olmasi gerekmektedir.

Baska bir Pack tool ile SIKISTIRILMIS trojan serverini UPX ile Unpack edemezsiniz.


UPX ile SIKISTIRILMIS bir trojan ornegi Vatos Ajan dir. Kaspersky den bu yontemle bu trojani kacirmak cok zordur fakat free olan AV lerden kolaylikla kacirabilirsiniz tabii ki eger free AV lerde calisma sistemlerini degistirmedilerse


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı