İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

RAT ‘ lar nasıl FUDlanır?

07-04-2014 13:50
#1
SeriKurt - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2014
Nereden:
SliconValley
Mesajlar:
475
Teşekkür (Etti):
45
Teşekkür (Aldı):
63
Konular:
34
RAT’lar Trojanları yönetmeye yarayan programlardır ve bu programların Antivirüslerden kaçması için birçok yöntem vardır.

1.Crypter ile Şifreleme:

Crypter lar server in FUD lamaya yarayan programlardır ve içindeki stub ın içindeki şifreleme mantığına göre çalışır ve bir çok yöntemi vardır. Örneğin;

· Değişkenlerin çok farklı karakterler içermesi.

· Server in başına boş kodlar(gereksiz) eklemesi örneğin ;

On Error Resume Next

My.Computer.Network.Ping(My.User.Name)

· X0R gibi yöntemlerle kodların şifrelenmesi.

· Abronsius Code Obfuscator gibi programlarla stub daki değişkenleri veya kodları otomatik olarak şifrelemesi.


Crypter lardaki bazı şifreleme yöntemleri:



RC4:

for i from 0 to 255
S[i] := i
endfor
j := 0
for i from 0 to 255
j := (j + S[i] + key[i mod keylength]) mod 256
swap values of S[i] and S[j]
endfor


x0r:



Public Function x0r(ByVal X1 As String) As String

Dim KOD As String, X2 As String * 1, X3 As Double

For X3 = 1 To Len(X1)

X2 = Mid(X1, X3, 1)

KOD = KOD & Chr(Asc(X2) Xor 255)

Next X3

x0r = KOD

End Function



ASCII, Aes, Rb, Ds vs gibi şifreleme türleri...

2.Paketleme:
Bazı Antivirüsler server birkaç kez paketlendiğinde onun spyware programı olduğunu algılayamaz ve girişine izin verir fakat genellikle Trojan çalışmaya başladığında kendini ele verir. Paketleme işlemi upx veya WinRAR ile yapılabilir

3.Byte Ayarlamaları:

Server ın bytelarını belirli uzunluklar veya rastgele kodlarla değiştirir. Böylece Antivirüslerden kaçmış olur.
Kullanıcı İmzası
►•●۞▬▬▬ Gönüllerin Efendisi ▬▬▬۞●•◄
(¯`•._.• •._.•´¯)
☢•●❤▬▬ TURKHACKTEAM ▬▬❤●•☢
(¯`•._.• •._.•´¯)
▬๑۩ Social Engineering ۩๑▬

07-04-2014 18:48
#2
Üyelik tarihi:
02/2008
Nereden:
DERİNLERDE..
Yaş:
32
Mesajlar:
403
Teşekkür (Etti):
42
Teşekkür (Aldı):
155
Konular:
22
Alıntı:
SeriKurt´isimli üyeden Alıntı Mesajı göster
RAT’lar Trojanları yönetmeye yarayan programlardır ve bu programların Antivirüslerden kaçması için birçok yöntem vardır.

1.Crypter ile Şifreleme:

Crypter lar server in FUD lamaya yarayan programlardır ve içindeki stub ın içindeki şifreleme mantığına göre çalışır ve bir çok yöntemi vardır. Örneğin;

· Değişkenlerin çok farklı karakterler içermesi.

· Server in başına boş kodlar(gereksiz) eklemesi örneğin ;

On Error Resume Next

My.Computer.Network.Ping(My.User.Name)

· X0R gibi yöntemlerle kodların şifrelenmesi.

· Abronsius Code Obfuscator gibi programlarla stub daki değişkenleri veya kodları otomatik olarak şifrelemesi.


Crypter lardaki bazı şifreleme yöntemleri:



RC4:

for i from 0 to 255
S[i] := i
endfor
j := 0
for i from 0 to 255
j := (j + S[i] + key[i mod keylength]) mod 256
swap values of S[i] and S[j]
endfor


x0r:



Public Function x0r(ByVal X1 As String) As String

Dim KOD As String, X2 As String * 1, X3 As Double

For X3 = 1 To Len(X1)

X2 = Mid(X1, X3, 1)

KOD = KOD & Chr(Asc(X2) Xor 255)

Next X3

x0r = KOD

End Function



ASCII, Aes, Rb, Ds vs gibi şifreleme türleri...

2.Paketleme:
Bazı Antivirüsler server birkaç kez paketlendiğinde onun spyware programı olduğunu algılayamaz ve girişine izin verir fakat genellikle Trojan çalışmaya başladığında kendini ele verir. Paketleme işlemi upx veya WinRAR ile yapılabilir

3.Byte Ayarlamaları:

Server ın bytelarını belirli uzunluklar veya rastgele kodlarla değiştirir. Böylece Antivirüslerden kaçmış olur.
BAZI ACIKLAMA TEKNIK OLARAK İLERLEME VEYA KAVRAM OLARAK İYİ AMA
DEDIGIN KODLAR ARTIK ESKIDI Alternetif XoR - RC4 - veya bahsettigin kodlar olursa işe yarar yoksa Sunada bulunan Rc4 veya xor dan yola cıkarsan bosa uqrasırdın dostum.
Kullanıcı İmzası
єğєя вυ мєѕαנιмℓα ѕαηα уαя∂ιм є∂євι̇ℓ∂ι̇уѕєм тєşєккüя єтмєуι υηυтмα.!!


Cahillerle asla tartişmayin , Çünkü ben asla galip gelemedim.
08-04-2014 17:59
#3
eksikeksik - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2012
Nereden:
He watching
Mesajlar:
2.623
Teşekkür (Etti):
143
Teşekkür (Aldı):
258
Konular:
711
// Paylaşıldı.
Kullanıcı İmzası
Only GOD can Judge me now .
19-04-2014 18:27
#4
qeruben - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2014
Mesajlar:
483
Teşekkür (Etti):
23
Teşekkür (Aldı):
19
Konular:
128
şimdi bu dosyayı internetten indirip mi gizlicez server exe yi
09-05-2014 18:44
#5
lumilla1 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2013
Mesajlar:
112
Teşekkür (Etti):
6
Teşekkür (Aldı):
2
Konular:
54
teşekkürler

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı