1. Bu site çerez kullanmaktadır. Siteyi kullanmaya devam etmeniz halinde çerez kullanımı ile ilgili site koşullarını kabul etmiş sayılırsınız. Daha Fazlasını Öğren.
  2. Forum İllegal Uyarısı Forum kuralları gereği forumda video ve illagal paylaşım yapmak yasaktır.Program Arşivimizde ise kısıtlanmış sürüm yada dağıtımı serbest olan (trial - freeware) yazılımlar yayınlayınız..Aksi takdirde mesajlarınız silinecektir..

Upx Pack / UnPack Döküman

Konusu 'Görsel ve Resimli Anlatımlar' forumundadır ve guclusat tarafından 14 Aralık 2009 başlatılmıştır.

  1. guclusat
    Offline

    guclusat Tanınmış Üye Süper Moderatör

    Katılım:
    14 Haziran 2009
    Mesajlar:
    9.756
    Ödül Puanları:
    48
    UPX Nedir ?

    Ultimate Packer for eXecutables yani calistirilabilir dosyalarin SIKISTIRILMASINA yarayan cok etkili bir programdir.


    Oncelikle trojanlarin nasil yakalandigini genel manada cok kisaca incelersek, Anti Virusler trojanlarin

    Headerlarindan dijital birtakim hex karakterleri cekip bunlari kendi databaselerine atarlar. Daha sonra, makinanizdaki

    tum .exe uzantili dosyalari kendi DB lerindeki bu headers hex kodlari ile karsilastirip, birebir tutanlari trojan

    olarak algilayip silerler. Gelismis bircok AV, bu islemlerde artik bildigimiz gibi sadece Headerlari degil, trojanlarin

    executable kisimlarinin ilk 10 KB ini, son 10 KB sini cekerler. Hatta birtakim kaliteli AV lerde bu islem, random olarak

    yapilir. Yani rastgele cekilmis belirli kisimlar farkli olarak DB ye kaydedilir

    ve karsilastirma bu random sellected hexler ile karsilastirilir.

    Heuristic Approach nedir?

    Heuristic Approach, kaliteli AV sirketlerinin artik yaygin olarak kullandigi fakat hala randiman olarak %100

    bir verim alinamamkla beraber tercih edilen bir yontemdir. Bu sisteme gore AV ler, executable dosyalarin (Attribute)

    hareket tarzlarina bakarak onlarin zararli olup olmadiklarina karar verirler.

    Ornegin calistirdiginiz program, makinanizda bir port acip anormal duzeyde packet gonderimi yapiyorsa.

    AV niz bunu bir Flooder olarak algilar ve engeller. Veya yeni bir worm turu ciktiysa ve bu worm makinanizda bir

    SMTP motoru calistirip disariya yuksek miktarda veri yolluyorsa, bu da AV niz tarafindan tespit edilir.

    Neden bu yaklasimin tam verimli olmadigina gelirsek; AV ler bu tur Attributelara tepki vermek icin programlandiklari

    icin, makinanizda zararli olmasa bile buna benzer bir Attribute yapan bir executable dosyayi da engelleyeceklerdir.

    Ornegin, gecenler ogrencilerime yazdirdigim bir FTP Toolu McAfee, su uyari ile calismasini durdurmustur;

    This program is attempting a dangerous action! The action has been blocked!

    Yani bu program zararli bir aksiyon yapmaktadir. Aksiyon bloke edilmistir.

    Nedeni de, programin makinadaki 21 portunu acarak disariya baglanmasi ve veri aktarimi yapmasidir.

    Bu demek degildir ki AV ler butun FTP programlarini yakalayacak. Hayir, piyasada bilinen tum FTP programlari

    hemen hemen bu AV ler tarafindan bilinmektedir. Benim ogrencilerime yazdirdigim FTP tool, taninmadigindan dolayi

    boyle bir bloke ile karsilasilmistir. Iste Heuristic Approach a olan guvensizligi olusturan nedenlerden biri budur.

    Neyse konumuza donecek olursak, kullandiginiz trojan AV lere yakalanmaya basladiysa,

    bu trojani UPX yardimi ile SIKISTIRABILIRSINIZ.


    SKIŞTIRMA İşlemi Yapıldığında Ne Olur ?

    SIKISTIRMA islemi yapildiginda iste AV lerin cektigi Headers Hex kodlari degismis olur.

    Cok kaliteli AV lerde bu bazen pek ise yaramaz.

    Ama genel manada trojaninizi pek cok AV den rahatlikla bypass edebilirsiniz.

    UPX'i Nasıl Kullanırım ?

    Once UPX inizi download edin ve C:// klasorunuzun icine tum dosyalari ile yerlestirin.

    Daha sonra olusturdugunuz trojan serverini da ayni klasorun icine yerlestirin. (C:server.exe)

    Daha sonra UPX dosyasini tiklayin ve calistirin.

    DOS komutuna dusun.

    Trojaninizi oncelikle Unpack etmeyi deneyin. Cunku Trojaniniz onceden pack edilmis olabilir.

    Nasıl Unpack Edilir ?

    C:\upx -d server.exe

    Unpack oldugunda asagidaki gibi bir yazi cikacaktir:

    Ultimate Packer for eXecutables
    Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
    UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

    File size Ratio Format Name
    -------------------- ------ ----------- -----------
    190464 <- 71680 37.63% win32/pe server.exe

    Unpacked 1 file.



    Şimdi Serverimizi Tekrar Pack Edelim ;

    C:\upx -5 server.exe
    Ultimate Packer for eXecutables
    Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
    UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

    File size Ratio Format Name
    -------------------- ------ ----------- -----------
    190464 -> 67072 35.21% win32/pe server.exe

    Packed 1 file.


    Dikkat ettiyseniz burada serverimizi seviye 5 ile pack ettik. Cunku seviye 5, orta hizda SIKISTIRMA islemi yapar. Bu islem,

    serverinizi birtakim ozellikle bedava AV lerden %50 sans ile kaciracaktir.

    Eger olmadiysa serverinizi seviye 9 ile pack edin.

    Bunun icin oncelikle seviye 5 ile pack ettigimiz dosyamizi unpack etmemiz gerekir.

    Burada Yeniden Unpack İşlemini Tekrarlıyoruz ;

    C:\upx -d server.exe

    Unpack oldugunda asagidaki gibi bir yazi cikacaktir:

    Ultimate Packer for eXecutables
    Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
    UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

    File size Ratio Format Name
    -------------------- ------ ----------- -----------
    190464 <- 71680 37.63% win32/pe server.exe

    Unpacked 1 file.

    Simdi tekrar pack ediyoruz fakat bu sefer seviye 9 ile yapiyoruz ;

    C:\upx -9 server.exe

    Ultimate Packer for eXecutables
    Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
    UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

    File size Ratio Format Name
    -------------------- ------ ----------- -----------
    190464 -> 67072 35.21% win32/pe server.exe

    Packed 1 file.


    Bu yöntem ile bircok AV den %70 oraninda serverinizi kacirabilirsiniz.


    Tabii ki sunu unutmamak gerekir ki, pack etmeye yani SIKISTIRMAYA calistiginiz trojan serverinizin onceden SIKISTIRILMIS

    olmamasi gerekmektedir. Eger SIKISTIRILDIYSA da bu islemin UPX ile yapilmis olmasi gerekmektedir.

    Baska bir Pack tool ile SIKISTIRILMIS trojan serverini UPX ile Unpack edemezsiniz.


    UPX ile SIKISTIRILMIS bir trojan ornegi Vatos Ajan dir. Kaspersky den bu yontemle bu trojani kacirmak cok zordur fakat

    free olan AV lerden kolaylikla kacirabilirsiniz tabii ki eger free AV lerde calisma sistemlerini degistirmedilerse


    Kolay gelsin.!!!
     
Yüklüyor...
Benzer Konular - Pack UnPack Döküman
  1. guclusat
    Mesaj:
    1
    Görüntüleme:
    849
  2. guclusat
    Mesaj:
    0
    Görüntüleme:
    1.709
  3. guclusat
    Mesaj:
    0
    Görüntüleme:
    651

Sayfayı Paylaş