http://doctus.org/showthread.php?p=332437#post332437
Antikor ile korunan dosyalara infecte yapılamayacağını yönünde tanıtılan programın fazla iddialı olduğunu belirtmiş ve çok basit bir şekilde bu eylemin gerçekleştirilebileceğinden bahsetmiştim. Programın yazarlarından olumsuz tepkiler almıştım.
Bir süre sonra programın yeni bir deneme sürümünü doctus.org forumlarında müdavimlerin testlerine sundular. Bende test etmek için indirdim ama doctus forumda uygulamayı benden başka kurup çalıştırabilen yoktu. Program sanki bana özel yazılmış sahte bir sürüm kuşkusu oluştu.
Sayın osC++CoDeR, 88.XXX.XX.X53 numaralı IP adresinden 11.06.2009 tarih ve 13:50 saatinde sistemimize kasten yanlış veri gönderdiğiniz tespit edilmiş olup, tekrarında hakkınızda adli işlemlerin başlatılacağını bildiririz.
--
Arf Teknoloji Alaka Hattı
Arf Teknoloji
İskenderun/Türkiye
0 326 614 36 41
http://www.arfteknoloji.com/
Sonrasında da yukardaki mailli alınca bunların amaçlarının test olmadığı kanaati oluştu.Hem diyeceksiniz programı en zor koşullarda test edin hemde kalkıp tehdit mesajı atacaksın. Bu ne perhiz bu ne lahana turşusu der insan.
En son şu iddialar ile yeni bir video yayınlamışlar.
Bir programın hiçbir güvenlik yazılımına ihtiyaç duymadan kendi kendisini virüslere karşı koruması, aynı zamanda crack, hack, debug, tracing ve disassambly edilmesini engelleyen teknolojimizin ilk video görüntülerini sizlerle paylaşmak istiyoruz.
Zemana ekibinden Erkan Arnaudov, daha teknik olarrak antikoru incelemiş. Ayrıntılara buradan ulaşabilirsiniz. Ben de yarım kalan incelememi bu vesileyle tekrar ele alma fırsatı buldum.
UPDATE: Antikor ile korunmuş bir dosyaya code inject yaptım, Dosyayı çalıştırdığınızda sembolik olarak infect olayını gösteren mesagebox ile karşılaşacaksınız.
Arf teknolojinin videolarını izlediyseniz antikor ile korunmuş dosya debug edilemiyor sözde, fakat ben inject eylemini ollydbg ile manuel olarak yaptım.
Normal koşullarda antikor ile korunmuş dosyaya müdahale edip patchlendikten sonra dosyayı çalıştırınca antikor eylem mekanizması dosyanın patchlendiğini söyleyip sizi uyarıyor ama benim infect metoduma eyvallah diyor.
Infect ettiğim dosyada ki antikor eylem mekanizmalarına dokunulmadı bile fakat bu eylemlerden ses çıkmıyor. Çünkü farkına bile varmıyor.
Antikor uygulanan dosyaya kendi kendini koruma mekanizması kazandırıldığı iddia ediliyor fakat o mekanizma kendini koruyamadıktan sonra! :)
Antikor ile korunmuş dosyanın infect ettiğim halini buradan indirebilirsiniz.
MD5: 0A503CCE74D3B6FFE364C76FD083D07E
8 yorum:
Gece Merhabalar,
Enfektörü yazıp gönderdim, söylediğin gibi, OEP'ye dokunmadıktan sonra birkaç küçük ayrıntı ile halloldu.
Çalışmalarında başarılar...
ZY
ZY sen ne 3kağıtçı bir adamsın!
Sanki senle özel bir muhabbetimiz var da sana antikor nasıl bypass edilir anlatmışım ve hadi bunu götür arf teknolojiye bildir demişim havası estirecek bir yorum bırakıyorsun bloğuma.
Benim bypass yöntemimi inceleyip kendin bişey bulmuş gibi yazmışsın kendi bloğuna.
http://zararliyazilim.wordpress.com/2010/03/08/w32-promil-antikor-test-virusu/
Merhabalar,
Neden sinirlendiğini anlayamadım, Enterprise Stars Crew adını görünce kim acaba bu dedim, sonra baktım ki Gece yazmmış yorumu. Şaşırdım...
Yaklaşık 25 dk. yazdığın yorumları okudum. Doctus, vs... fakat benim yöntemimi kullandığına dair bir emare göremedim.
Bu sorunu halletmek için profesyonel olmaya ya da birisinden kopya çekmeye gerek var mı sence. Anlamadığım nokta şu :
"Ben blogda işi nasıl hallettiğime dair bilgi bile vermememe rağmen, nasıl oluyorda BENİM YÖNTEMİMİ İNCELEYİP KENDİN BİRŞEY BULMUŞSUN GİBİ YAZMIŞSIN BLOĞUNA diyebiliyorsun???"
Neyse, mühim bir mesele değil. "Sanki seninle özel bir muhabbetimiz varmış gibi" konusunda da ne yapmamız gerekiyor. Bloglar arasında yorum bırakma muhabbet sayılmıyorsa, buna da diyecek bir şey yok...
Strese gerek yok Gece, zaten şunun şurasında bir elin parmağı kadar adamız bu işlerle uğraşan...
Ben Promil'i başarı olarak görmüyorum, ve yazdığım enfektörü sana da gönderiyorum, hala kopya çektiğimi iddia edersen, bilgi verirsin...
ZY
Saygılar...
Anlamadığım nokta şu :
"Ben blogda işi nasıl hallettiğime dair bilgi bile vermememe rağmen, nasıl oluyorda BENİM YÖNTEMİMİ İNCELEYİP KENDİN BİRŞEY BULMUŞSUN GİBİ YAZMIŞSIN BLOĞUNA diyebiliyorsun???"
Sorun, zamanlaman; ben birşey yapıp dosyayı public ettikten sonra hemen birşey bulduğunu iddia edip ardından sanki blog yorumları dışında, e-posta yahut im uygulamalar ile antikor konusunda görüşmüşüz gibi yorum yazman..
Madem bu işten anlayan 1 avuç insanız diyorsun, yorum bırakırken sadece bizim anlayabileceğimiz küçük bir açıklama yapman, benim böyle düşünmeme, bu tatsızlığına neden olmazdı.
Enfektörünü henüz incelemedim. İnceledikten sonra gerekirse yorum yazarım.
Doctusa da uzun zamandır, 2009 dan bu yana login olmadım. Benim adıma yorum yazılıyorsa yada daha önceki mesajlarım editleniyorsa bu doctusun sorunu. Böyle bir terbiyesizlik yapılıyorsa eğer gerekirse adli işlemlere başvurur sorumlusuna haddini bildiririm.
"Bağışıklama sistemi hakkında biraz analiz yaptım, binary dosyayı bağışıklamak için yeni bir section oluşturup dosyanın IAT datayı bu sectiona yazıyor ve oepi patchliyor.
entrypointe yazdığı shell code ile de aşıladığı dosyayı yeniden çalıştırılabilir olarak yükleyebiliyor."
"Söylediğin gibi" derken yukarıdaki OEP'yi patchliyor ifadesini anlatmaya çalıştım. Yoksa seninle IM'den vs. konuştuğumuzu kastetmedim. Enfektörü incelediğinde alakasız yöntemler olduğunu göreceksin...
(http://doctus.org/showthread.php?p=332437#post332437 adresindeki ilk post'a binaen)
Yanlış anlaşılmayı çözdük sanırım?
Bu arada Gece, OsC++Coder, Enterprise Stars Crew ve Civil Engineer sen hangisisin??? Doctus'ta OsC++Coder'ın yorumları var...
Saygılar...
Ekran görüntüsü üzerinde yaptım açıklamayı.
http://7f6343.110mb.com/anti-jen/anlysprml.PNG
Nick meselesine gelirsek, bu blog sınırları içinde hepsinide kullandım ama doctusta sadece osC++CoDeR.
Bloğunda yeni konuda bile bu olaya değinecek kadar alınacağını tahmin edemedim.
1.'si polemik olarak kastettiğin bu yorumları ben başlatmadım. Ben antikor temel sürümün bir açığını buldum bunu da ilk olarak zemana blogta public ettim ve aradan 24 saat geçmeden sen bir birşey bulduğunu idda edip promil diye birşey yazdığını ve antikora gönderdiğini, benim bloğada sanki bu iş için ortak bir araştırma yapıyoruz da bişey bulduk ben public ettim sen de antikora bildirmek gibi bir görev dağılımı yaptığımız havası estirecek bir yorum bırakmanla kendin başlattın!
2.'si OEP ile ilgili meseleyi ben icad ettim diye bir şey mi iddia ettim..?!!! Her hangi bir yazılımda bof açığı bulan bof metodunu icat mı etmiş oluyor..? :)!
3.'sü Aslında ortada bir polemik yok bana göre. Yazdığın kodu bile görmeden tepkim göstermemin nedeni dediğim gibi zamanlaman ve yanlış anlşılmanı sağlayacak yorumundu. Promilide inceledim. Eee aynı yöntem Emre. Hayır yanılıyorsam farklı olduğunu ispat et ondan sonra yorum yaz vs. dicem ama dediğim gibi bana göre hava hoş. Yoksa zaten public etmez direk antikora bildirirdim ama zaten temel sürüm ile ilgili bir açıktı. Yarışma kurallarına göre ücretli versiyonu yani genel sürüm için geçerliydi bu yarışma.
4.'sü Evet, yöntemlerimiz aynı olabilir. Bu kopya çektiğin anlamına gelmez ama sen suçluluk psikoloji içindesin hala. Samimi olarak, evet aynı yöntemle keşfetmişiz açığını antikorun vs desen içtenliğine inansam, "ne kadar 3kağıtçı bir adamsın" dediğim için özür dilerdim tatsızlık olmazdı Emre.
Iyi çalışmalar.
.
Tamam herhalde hallettik meseleyi. Nadiren karşılaştığım bir durum bu o yüzden biraz koydu açıkcası... İncelediysen, olay zaten klasik bir enfektör, sadece sondan başa doğru boşluk arayıp yazma işlemini gerçekleştiriyor.
Kim önce yaptı meselesindeyse, çok samimi söylüyorum, bloğuna girdiğimde sadece resimlere bakıp çıkmak zorunda kaldım. Hatta, bu 3 kağıtçı meselesi epey önce yazılmasına rağmen, yeni gördüm çünkü zaman konusunda ciddi sıkıntılarım var.
Bu mesajdan sonra da bitirelim bu konuyu, çünkü cevap yazsan da 3 hafta boyunca bilgisayar yüzü göremeyeceğim...
Promil konusunda da tek triği olan boşluk doldurma, Polis alkol kontrolü için ÜFLETİRKEN:)"Beyefendi, arada boşluk kalmasın, tam üfleyin lütfen" dedi, o lafı duyunca aklıma geldi CAVITY FILLER olayı.
En azından açığı sen mi buldun? Ben mi buldum, aynı anda mı bulduk diye tartışabilecek iki insan var, bu bile önemli bence:) Ah blue_devil(SCT Zine) kardeşim de olsa buralarda da okusa bu tartışmaları, kim bilir hangi ücra köşededir şimdi?
SYSEXIT
Dikkat et kendine Gece...
Yorum Gönder