Undetected ????

LordMazuru · 14 Ağu 2008

Arkadaşlar benim sorun şu :

1 - Keylogger yada buna benzer programların oluşturdukları logların bazıları av lar tarafından tanınmakta.
2 - Prorat gibi programlarla oluşturduğumuz server larda av lar tarafından tanınmakta.

Biz bunları hex düzenleyicileri ile kodlarında nasıl düzenleme yaparak tanınmaz hale getirebiliriz. Tabi bu işlemi yaparken server yada oluşan log özelliğini yitirmeyecek.. Bununla alakalı bazı dökümanlar buldum ama oluşan server özelliği bozuldu yada olmadı. Bu kodlar neye göre değiştiriliyor ney göz önünü alınıyor bunun mantığı nedir...

Saygılarrr

LordMazuru · 14 Ağu 2008

bu konuda bilgisi olan bana yardım edebilicek kimse yok mu?

strawberry · 14 Ağu 2008

Eğer sen Sub Seven yada başka bir trojan server'ını tanınmaz hale getirip alınan hex imzayı ki bu genelde icone üzerinden alınır değiştirirsen trojan server'ı tanınmaz hale gelir ve sen Sub Seven Gibi Bir server'ı kullanabilirsin bunuda şu ve benzeri şekilde yapabilirsin Sub7 yazarı server'ın boyutunun küçük olması için elbetteki bir şekilde sıkıştırmıştır bu nedir yani mesela siz nasıl bir mp3'ü mail atmak için winzip misali bir programla sıkıştırıyosunuz işte oda öyle bir program kullanarak server.exe'yi sıkıştırıyoki boyutu düşsün son çıkan sürümlerde ise edit.exe bu sıkıştırma işlemi yapıyor sizin ekliyeceğiniz iconlar sayesinde tanınmaz hale gele biliyordu eskiden fakat su an için çokk gelişmiş anti virüs programları sayesinde bu şekilde tanınmaz yapamıyoruz bir kaç yolu war bunlardan biri sıkıştırılmamış halini netten bulup netten onlarcasını yükleyebileceğiniz .exe sıkıştırma programları ile server.exe'yi tanınmaz kılabilirsiniz yada yine hex codelarına bir kaç boş satır yada bir şekilde icon değiştiren .exe leri tanınmaz kılan programlar war bunlarla virüsü tanınmaz kılarsın...

En saglikli yontem eger programlama biliyorsaniz kendinize ait bir backdoor yazmaktir ve bunu kimseye vermemektir. Bu sekilde kurbanlarinizdan biri suphelenip bu dosyayi rapor etmedigi surece yakalanmayacaktir. Eger programlama bilmiyorsaniz bunu yine yapabilirsiniz. Ilk once server'i kendinize gore ayarlayip olusturun,eger server editorde "don't compress server" secenegi varsa bunu isaretleyinki server otomatik compress edilmesin. Eger server otomatik compress ediliyorsa ilk once bunun hangi packer ile compress edildigini ogrenmemiz gerekecek. Bunun icin exe analiz programlarindan 2-3 tane bulup netten indirmelisiniz, 2-3 tane dedim cunku hepsi bazen bulamayabiliyor bir kac ayri analiz programi ile compress edildigi programi bulmaliyiz. Bulduktan sonra mesala "aspack 1.1" ile pack edildigini anliyoruz ve yine internette ilgili unpacker programini ariyoruz. Not:Cok yeni unpack programlari icin unpacker bulamama ihtimalimiz oldugunu unutmamaliyiz eger unpacker bulamassak baska bir trojan server'i uzerinde denememiz gerekmektedir. Eger unpacker bulabilirsek server'i unpack ediyoruz ve herhangibir Resourse Editor programi ile aciyoruz ve iconu vs degistiyoruz ve kaydediyoruz. Simdi baska bir packer ile compress ediyoruz. Bu sekilde "Kaspersky AntiVirus" haricindeki tum AntiVirus programlari tarafindan taninmayacaktir. Kaspersky tarafindan taninir cunku bu firma tum packer combinasyonlarinda deneyip veri tabanina isliyor. Ornek verecek olursak: Sub7[2.2] versyonunun server'i upx ile compress edilmistir ve siz yine upx ile decompress edip icon degistirdikten sonra aspack ile compress ederseniz Kaspersky haricindeki tum antivirus programlarindan gecer.quo

LordMazuru · 15 Ağu 2008

Bana bunu video cekerek anlatabilirmisin proagent ya da prorat gibi kolay bulunan trojenin undetected yaparsan bulmamız daha kolay olur

Undetected ????

LordMazuru

Katılımcı Üye

LordMazuru

Katılımcı Üye

strawberry

Adanmış Üye

LordMazuru

Katılımcı Üye

Sosyal medya sayfalarımız