Upx Pack / UnPack Döküman

guclusat

Tanınmış Üye
Süper Moderatör
UPX Nedir ?

Ultimate Packer for eXecutables yani calistirilabilir dosyalarin SIKISTIRILMASINA yarayan cok etkili bir programdir.


Oncelikle trojanlarin nasil yakalandigini genel manada cok kisaca incelersek, Anti Virusler trojanlarin

Headerlarindan dijital birtakim hex karakterleri cekip bunlari kendi databaselerine atarlar. Daha sonra, makinanizdaki

tum .exe uzantili dosyalari kendi DB lerindeki bu headers hex kodlari ile karsilastirip, birebir tutanlari trojan

olarak algilayip silerler. Gelismis bircok AV, bu islemlerde artik bildigimiz gibi sadece Headerlari degil, trojanlarin

executable kisimlarinin ilk 10 KB ini, son 10 KB sini cekerler. Hatta birtakim kaliteli AV lerde bu islem, random olarak

yapilir. Yani rastgele cekilmis belirli kisimlar farkli olarak DB ye kaydedilir

ve karsilastirma bu random sellected hexler ile karsilastirilir.

Heuristic Approach nedir?

Heuristic Approach, kaliteli AV sirketlerinin artik yaygin olarak kullandigi fakat hala randiman olarak %100

bir verim alinamamkla beraber tercih edilen bir yontemdir. Bu sisteme gore AV ler, executable dosyalarin (Attribute)

hareket tarzlarina bakarak onlarin zararli olup olmadiklarina karar verirler.

Ornegin calistirdiginiz program, makinanizda bir port acip anormal duzeyde packet gonderimi yapiyorsa.

AV niz bunu bir Flooder olarak algilar ve engeller. Veya yeni bir worm turu ciktiysa ve bu worm makinanizda bir

SMTP motoru calistirip disariya yuksek miktarda veri yolluyorsa, bu da AV niz tarafindan tespit edilir.

Neden bu yaklasimin tam verimli olmadigina gelirsek; AV ler bu tur Attributelara tepki vermek icin programlandiklari

icin, makinanizda zararli olmasa bile buna benzer bir Attribute yapan bir executable dosyayi da engelleyeceklerdir.

Ornegin, gecenler ogrencilerime yazdirdigim bir FTP Toolu McAfee, su uyari ile calismasini durdurmustur;

This program is attempting a dangerous action! The action has been blocked!

Yani bu program zararli bir aksiyon yapmaktadir. Aksiyon bloke edilmistir.

Nedeni de, programin makinadaki 21 portunu acarak disariya baglanmasi ve veri aktarimi yapmasidir.

Bu demek degildir ki AV ler butun FTP programlarini yakalayacak. Hayir, piyasada bilinen tum FTP programlari

hemen hemen bu AV ler tarafindan bilinmektedir. Benim ogrencilerime yazdirdigim FTP tool, taninmadigindan dolayi

boyle bir bloke ile karsilasilmistir. Iste Heuristic Approach a olan guvensizligi olusturan nedenlerden biri budur.

Neyse konumuza donecek olursak, kullandiginiz trojan AV lere yakalanmaya basladiysa,

bu trojani UPX yardimi ile SIKISTIRABILIRSINIZ.


SKIŞTIRMA İşlemi Yapıldığında Ne Olur ?

SIKISTIRMA islemi yapildiginda iste AV lerin cektigi Headers Hex kodlari degismis olur.

Cok kaliteli AV lerde bu bazen pek ise yaramaz.

Ama genel manada trojaninizi pek cok AV den rahatlikla bypass edebilirsiniz.

UPX'i Nasıl Kullanırım ?

Once UPX inizi download edin ve C:// klasorunuzun icine tum dosyalari ile yerlestirin.

Daha sonra olusturdugunuz trojan serverini da ayni klasorun icine yerlestirin. (C:server.exe)

Daha sonra UPX dosyasini tiklayin ve calistirin.

DOS komutuna dusun.

Trojaninizi oncelikle Unpack etmeyi deneyin. Cunku Trojaniniz onceden pack edilmis olabilir.

Nasıl Unpack Edilir ?

C:\upx -d server.exe

Unpack oldugunda asagidaki gibi bir yazi cikacaktir:

Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe

Unpacked 1 file.



Şimdi Serverimizi Tekrar Pack Edelim ;

C:\upx -5 server.exe
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe

Packed 1 file.


Dikkat ettiyseniz burada serverimizi seviye 5 ile pack ettik. Cunku seviye 5, orta hizda SIKISTIRMA islemi yapar. Bu islem,

serverinizi birtakim ozellikle bedava AV lerden %50 sans ile kaciracaktir.

Eger olmadiysa serverinizi seviye 9 ile pack edin.

Bunun icin oncelikle seviye 5 ile pack ettigimiz dosyamizi unpack etmemiz gerekir.

Burada Yeniden Unpack İşlemini Tekrarlıyoruz ;

C:\upx -d server.exe

Unpack oldugunda asagidaki gibi bir yazi cikacaktir:

Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe

Unpacked 1 file.

Simdi tekrar pack ediyoruz fakat bu sefer seviye 9 ile yapiyoruz ;

C:\upx -9 server.exe

Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe

Packed 1 file.


Bu yöntem ile bircok AV den %70 oraninda serverinizi kacirabilirsiniz.


Tabii ki sunu unutmamak gerekir ki, pack etmeye yani SIKISTIRMAYA calistiginiz trojan serverinizin onceden SIKISTIRILMIS

olmamasi gerekmektedir. Eger SIKISTIRILDIYSA da bu islemin UPX ile yapilmis olmasi gerekmektedir.

Baska bir Pack tool ile SIKISTIRILMIS trojan serverini UPX ile Unpack edemezsiniz.


UPX ile SIKISTIRILMIS bir trojan ornegi Vatos Ajan dir. Kaspersky den bu yontemle bu trojani kacirmak cok zordur fakat

free olan AV lerden kolaylikla kacirabilirsiniz tabii ki eger free AV lerde calisma sistemlerini degistirmedilerse


Kolay gelsin.!!!
 
Geri
Yukarı