- 29 Şub 2020
- 590
- 136
Host tabanlı Saldırı Önleme Sistemi (HIPS)
| Uyarı HIPS ayarlarında yapılan değişiklikler yalnızca deneyimli bir kullanıcı tarafından gerçekleştirilmelidir. HIPS ayarlarında yanlış bir yapılandırma, sistemde istikrarsızlığa neden olabilir. |
HIPS ayarlarına Gelişmiş ayarlar (F5) > Algılama altyapısı > HIPS > Temel içinden ulaşabilirsiniz. HIPS durumu (etkin/devre dışı), Ayarlar > Bilgisayar içinde ESET Endpoint Security ana program penceresinde gösterilir.
hips sistemi sizin programı çalıştırdığınızda ilk yaptığınız işlevleri engeller mesela regeditte startupa ekleme anahtarı oluşturursanız
bunu algılayacaktır o yüzden eseti atlatmak için ani haraketler değil de daha hantal haraketler yapılması gerekir
mesela direk startupa eklemek yerine bir süre sonra startupa ekletebilirsiniz ya da shell:startup yoluna programın kendisini
kopyalamasını isteyebilirsiniz, runpe gibi işlevler kullanıyorsanız başka bir processa injekt etmek yerine sadece
ram'de çalıştırtabilirsiniz çünkü processa injekt ettiğiniz zaman eset bunu algılayabilir
hips geçmenin öbür bir yolu ise memorye boş paketler yollamaktadır sürekli 2 3 mb lık paketler yollatabilirsiniz
downloadData fonksiyonu ile ve eğer downloadData ile bir runpe'nin veyahut clientin byte kodlarını
internetten download ettiriyorsanız bunu böyle yapmayınız çünkü giden isteklerde taranıyor
mümkünsa byte kodunu programın içinde sha 512 ile saklı tutunuz
neden sha 512 dediğime gelirsek şuan virüs programları sha 512 kullanmıyorlar tahminlerime göre.
En kesin çözüm kendi reverse tcp, tcp socket programınızı yazmanızdır veya
asyncratın stubunu alıp fonksiynoları puliginleri tamamen elden geçirip
algılanmayacak hale getirebilirsiniz mesela string obfuscation yapabilir
fonksyionları eğer yazabiliyorsanız sıfırdan yazabilirsiniz.
Herkese iyi eğlenceler