Eset HİPS sistemi nasıl atlatılır?

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136

Host tabanlı Saldırı Önleme Sistemi (HIPS)​

warning
Uyarı
HIPS ayarlarında yapılan değişiklikler yalnızca deneyimli bir kullanıcı tarafından gerçekleştirilmelidir. HIPS ayarlarında yanlış bir yapılandırma, sistemde istikrarsızlığa neden olabilir.
Ana Bilgisayar Tabanlı Sızıntı Önleme Sistemi (HIPS) sisteminizi, bilgisayarınızı olumsuz yönde etkilemeyi hedefleyen kötü amaçlı yazılımlardan ve istenmeyen etkinliklerden korur. HIPS; çalışan işlemleri, dosyaları ve kayıt defteri anahtarlarını izlemek için ağ filtrelemenin algılama özellikleriyle birlikte gelişmiş davranışsal analizi kullanır. HIPS Gerçek zamanlı dosya sistemi korumasından ayrıdır ve bir güvenlik duvarı değildir. Yalnızca işletim sisteminde çalışan işlemleri izler.
HIPS ayarlarına Gelişmiş ayarlar (F5) > Algılama altyapısı > HIPS > Temel içinden ulaşabilirsiniz. HIPS durumu (etkin/devre dışı), Ayarlar > Bilgisayar içinde ESET Endpoint Security ana program penceresinde gösterilir.



hips sistemi sizin programı çalıştırdığınızda ilk yaptığınız işlevleri engeller mesela regeditte startupa ekleme anahtarı oluşturursanız
bunu algılayacaktır o yüzden eseti atlatmak için ani haraketler değil de daha hantal haraketler yapılması gerekir
mesela direk startupa eklemek yerine bir süre sonra startupa ekletebilirsiniz ya da shell:startup yoluna programın kendisini
kopyalamasını isteyebilirsiniz, runpe gibi işlevler kullanıyorsanız başka bir processa injekt etmek yerine sadece
ram'de çalıştırtabilirsiniz çünkü processa injekt ettiğiniz zaman eset bunu algılayabilir
hips geçmenin öbür bir yolu ise memorye boş paketler yollamaktadır sürekli 2 3 mb lık paketler yollatabilirsiniz
downloadData fonksiyonu ile ve eğer downloadData ile bir runpe'nin veyahut clientin byte kodlarını
internetten download ettiriyorsanız bunu böyle yapmayınız çünkü giden isteklerde taranıyor
mümkünsa byte kodunu programın içinde sha 512 ile saklı tutunuz

neden sha 512 dediğime gelirsek şuan virüs programları sha 512 kullanmıyorlar tahminlerime göre.

En kesin çözüm kendi reverse tcp, tcp socket programınızı yazmanızdır veya
asyncratın stubunu alıp fonksiynoları puliginleri tamamen elden geçirip
algılanmayacak hale getirebilirsiniz mesela string obfuscation yapabilir
fonksyionları eğer yazabiliyorsanız sıfırdan yazabilirsiniz.

Herkese iyi eğlenceler :)
 

AVACADO-MASK

Yeni üye
6 Ağu 2022
44
16
guzel anlatim ama keske zahmet edip bu eski bilgileri yazmasaydin.
ESET HIPSI gozunde cok buyutuyorsun HIPS bir ise arayamiyor.
 

icehead

Uzman üye
19 Şub 2022
1,137
833
Dostum yanlış anlama ama ESET'in resmi sitesinden HİPS araştırıp ben HİPSİ çözdüm demen komedi gibi birşey.
adamların güvenlik sistemini sadece onların verdiği bilgiler doğrultusunda çözemezsin zaten hiçbir güvenlik firmasıda benim güvenlik sistemim şöyle çalışır böyle çalışır demez.
ben forumu bırakıyorum bu arada sana başarılar.
alıntı yaptığın yer:Host tabanlı Saldırı Önleme Sistemi (HIPS) | ESET Endpoint Antivirus | ESET Online Yardım
 

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
guzel anlatim ama keske zahmet edip bu eski bilgileri yazmasaydin.
ESET HIPSI gozunde cok buyutuyorsun HIPS bir ise arayamiyor.
Acaba siz kolay geçiyorsanız sizde bir konu açar mısınız bilgilenelim?

guzel anlatim ama keske zahmet edip bu eski bilgileri yazmasaydin.
ESET HIPSI gozunde cok buyutuyorsun HIPS bir ise arayamiyor.
Eski değil efendim ben kendim test ettiğimde bu taktiklerle geçtim şimdi.
 

AVACADO-MASK

Yeni üye
6 Ağu 2022
44
16
Eski değil efendim ben kendim test ettiğimde bu taktiklerle geçtim şimdi.
Bak simdi sana anlayacagin sekilde anlatayim sen hipsi gectigini iddia ediyorsun nj rat veya herhangi bir ratda gecip(stub modlamadan) hizli tarama veya tam tarama yapar misin ?
eset hipsi gectigi iddia edenlerin cogu kendisini kandirir algilanmis bir rat ile hipsi gecmek imkansizdir illa taramada veya boot yapilinca hips algiliyor.
simdi bu taktige neden eski dedigime gelirsek ayni yaziyi hidden sabotage da ali diye bir adam yazmisti ...
 

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
Bak simdi sana anlayacagin sekilde anlatayim sen hipsi gectigini iddia ediyorsun nj rat veya herhangi bir ratda gecip(stub modlamadan) hizli tarama veya tam tarama yapar misin ?
eset hipsi gectigi iddia edenlerin cogu kendisini kandirir algilanmis bir rat ile hipsi gecmek imkansizdir illa taramada veya boot yapilinca hips algiliyor.
simdi bu taktige neden eski dedigime gelirsek ayni yaziyi hidden sabotage da ali diye bir adam yazmisti ...
kendim rat source satın aldım modladım kardeşim ben crypter kullandım demedim ki sana?

Bak simdi sana anlayacagin sekilde anlatayim sen hipsi gectigini iddia ediyorsun nj rat veya herhangi bir ratda gecip(stub modlamadan) hizli tarama veya tam tarama yapar misin ?
eset hipsi gectigi iddia edenlerin cogu kendisini kandirir algilanmis bir rat ile hipsi gecmek imkansizdir illa taramada veya boot yapilinca hips algiliyor.
simdi bu taktige neden eski dedigime gelirsek ayni yaziyi hidden sabotage da ali diye bir adam yazmisti ...
kim yazarsa yazsın kardeşim aynı olabilir haberim yok
 

AVACADO-MASK

Yeni üye
6 Ağu 2022
44
16
runpe gibi işlevler kullanıyorsanız başka bir processa injekt etmek yerine sadece
ram'de çalıştırtabilirsiniz çünkü processa injekt ettiğiniz zaman eset bunu algılayabilir
hips geçmenin öbür bir yolu ise memorye boş paketler yollamaktadır sürekli 2 3 mb lık paketler yollatabilirsiniz
downloadData fonksiyonu ile ve eğer downloadData ile bir runpe'nin veyahut clientin byte kodlarını
internetten download ettiriyorsanız bunu böyle yapmayınız çünkü giden isteklerde taranıyor
mümkünsa byte kodunu programın içinde sha 512 ile saklı tutunuz
Burada runexecute yonteminden bahsetmissin bu yuzden crypter dedim.
crypter ile 8 yildir ugrasiyorum hips veya norton sonar gectigini iddia eden kimi gorduysem dolandirici (scammer) dir.
sen rat modladiysan sorun yok zaten hips abartilacak birseyde deyildir

.....
 

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
Burada runexecute yonteminden bahsetmissin bu yuzden crypter dedim.
crypter ile 8 yildir ugrasiyorum hips veya norton sonar gectigini iddia eden kimi gorduysem dolandirici (scammer) dir.
sen rat modladiysan sorun yok zaten hips abartilacak birseyde deyildir

.....
Yok dostum bende türemelerden değilim merak etme konu biraz oraya kaçmış ama :D, eset geçtim fakat c++ runpesiyle njrat gibi .net bir rattan değil de bitrattan yaptım geçti yeniden başlattım makinayı bir sıkıntı çıkmadı ama ertesi sabah patladı. Sizin aklınızda böyle eset geçmekle ilgili bi rşey var mı acaba ?
 

AVACADO-MASK

Yeni üye
6 Ağu 2022
44
16
Yok dostum bende türemelerden değilim merak etme konu biraz oraya kaçmış ama :D, eset geçtim fakat c++ runpesiyle njrat gibi .net bir rattan değil de bitrattan yaptım geçti yeniden başlattım makinayı bir sıkıntı çıkmadı ama ertesi sabah patladı. Sizin aklınızda böyle eset geçmekle ilgili bi rşey var mı acaba ?
Kendi programini yaz hips %99 algilamayacaktir.
bir ara zemena anti keylogger diye bir program vardi kimse gecemiyordu sonra biri cikip powershell ile keylogger script yazip gecti yani demem o ki gorunmeyen kucuk kirintilar hayat kurtarir.
bu arada sifreleme olarak AES-256 kullan.
 

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
Kendi programini yaz hips %99 algilamayacaktir.
bir ara zemena anti keylogger diye bir program vardi kimse gecemiyordu sonra biri cikip powershell ile keylogger script yazip gecti yani demem o ki gorunmeyen kucuk kirintilar hayat kurtarir.
bu arada sifreleme olarak AES-256 kullan.
Yok dostum ben biliyorum zaten kendim sıfırdan rat tcp socket programlamaları yapabiliyorum ve geçen 300 dolara bir rat source aldım .net
onun üzerinden gelişiyorum, benim zaten bir arkadaşım var kendisi eset partneri avast partneri satış sertifikası falan var ondan duyduğum kadar hiçbir antivirüs programı
sha 512 kullanmıyor.
 

AVACADO-MASK

Yeni üye
6 Ağu 2022
44
16
Yok dostum ben biliyorum zaten kendim sıfırdan rat tcp socket programlamaları yapabiliyorum ve geçen 300 dolara bir rat source aldım .net
onun üzerinden gelişiyorum, benim zaten bir arkadaşım var kendisi eset partneri avast partneri satış sertifikası falan var ondan duyduğum kadar hiçbir antivirüs programı
sha 512 kullanmıyor.
Bilemiyorum daha fazla da taktiklerimi public edemem bilmiyorum farkinda misin ama yazdiklarimizi anti virus firmalari okuyor.
kasperskyin malware hunterlarina buradan salamlar...
 

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
Bilemiyorum daha fazla da taktiklerimi public edemem bilmiyorum farkinda misin ama yazdiklarimizi anti virus firmalari okuyor.
kasperskyin malware hunterlarina buradan salamlar...
okusunlar kanka :D federalleri boş ver taktiklerini ver demiyorum zaten brom öyle muhabbet ediyoruz :D

Bilemiyorum daha fazla da taktiklerimi public edemem bilmiyorum farkinda misin ama yazdiklarimizi anti virus firmalari okuyor.
kasperskyin malware hunterlarina buradan salamlar...
Bende kaspersky bin dolarlık endpoint koruması var kaspersky malware ciler bizi yakalamayın lo :ROFLMAO: :ROFLMAO:

Bilemiyorum daha fazla da taktiklerimi public edemem bilmiyorum farkinda misin ama yazdiklarimizi anti virus firmalari okuyor.
kasperskyin malware hunterlarina buradan salamlar...



eset hipsi algılanmış bir ratta geçilebilir diye düşünüyorum, mesela protectorler üzerinden gidecek olursak direk stringleri karıştırmak olsun işte fonksiyonları yapmak olsun
ya da direk hangi rattan oldugunu dedect edip onun modlanmış stubını otomatik senin ipni çekip yapıştırmak gibi değişik değişik şeylerde olabilir.

bir yolu vardır diye düşünüyorum ben 5 saatliğine geçmiştim zar zor. En iyisi stubı modlamak zaten.

Bilemiyorum daha fazla da taktiklerimi public edemem bilmiyorum farkinda misin ama yazdiklarimizi anti virus firmalari okuyor.
kasperskyin malware hunterlarina buradan salamlar...
hidden sabotage forumuna ne oldu ya
 

kurononyanko

Katılımcı Üye
6 Şub 2022
534
397
okusunlar kanka :D federalleri boş ver taktiklerini ver demiyorum zaten brom öyle muhabbet ediyoruz :D


Bende kaspersky bin dolarlık endpoint koruması var kaspersky malware ciler bizi yakalamayın lo :ROFLMAO: :ROFLMAO:





eset hipsi algılanmış bir ratta geçilebilir diye düşünüyorum, mesela protectorler üzerinden gidecek olursak direk stringleri karıştırmak olsun işte fonksiyonları yapmak olsun
ya da direk hangi rattan oldugunu dedect edip onun modlanmış stubını otomatik senin ipni çekip yapıştırmak gibi değişik değişik şeylerde olabilir.

bir yolu vardır diye düşünüyorum ben 5 saatliğine geçmiştim zar zor. En iyisi stubı modlamak zaten.


hidden sabotage forumuna ne oldu ya
Gümlettim.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.