CrazyClara
Uzman Üye
- Katılım
- 1 May 2023
- Mesajlar
- 860
- Beğeniler
- 430
- Yaş
- 12
Bir önceki postumda Exodus Hakkında Konuştuktan sonra şimdide Virustotal hakkında konuşmak istiyorum, Gerçi Exodus konuma kimse yazmadı muhtemelen bu forumda genelde bilgi olan şeyler önemsenmediği için neyse.
Öncellikle Virustotal size bi sonuç çıkarırken 2 aşamadan geçer, 1. exe niz popüler antivirusler tarafından şöyle bi taranır, 2. exe niz virustotalin virtual machinelerinde debugglanır, çalıştırılır.
Gennelikle insanların patladığı kısım 2. kısım olur ve aslında bunu bypasslamak şu kadar basit: Press enter to continue, virustotalin machine Enter a basamıyacağına göre ana işleme asla geçemez. Tabi bu loaderlar için yani ratinize tutupta press enter to continue diye bi mesaj kutusu eklemezsiniz, bu yüzden şu yolu izelemeliyiz, makineleri algılayıp algılandığı takdirde işlemleri yapmamak.
Örneğin yukarıdaki resim belli bi süre geçtikten sonra kendi rat buildlarımdan birinin virustotal, yaptığı işlem açığa çıktıkça detection artar ve bunları diğer anti viruslere söyler virustotal.
Yukarıdaki görseldede aynı rat stub ama anti virustotal var. Peki anti virustotali nasıl yaptım? Öncellikle az düşündüm neyle bunu algılayabilirim ve test ediyim dedim bi c++ kod yazdım bana açılan bilgisayardan ss ve bilgiler atcak ve bu exe yi 4 farklı hashle virustotale yükledim ve şunla karşılaştım, 4 vm de açılıyor 1. i windows 7, 2. i windows 8 ve son kalan ikide windows 10, öncelikle ilk 2 makineyi direk ratimde eski widnwso versiyonları bloklayarak bypassladım ve geri kalan 2 içinde şöyle yaptım baya bi testing sonunda aşağıdaki görsellde gördüğünüz gibi bu windox 10 makinelerin hepsinin ekran boyutunun 1280x1024 olduğunu gördüm aşağıdaki görselde olduğu gibi, ve bu gerçektende eski bilgisayarların kulandığı bi ekran resolutionuydu yani bunu blocklamak ratimin kalitesini kötü yönde etkilemezdi bende öyle yaptım, Ama arkadaşlar şunuda farketim belli aralıklarla virustotal yeni vm lerde yeni runtime testler yapıyor, bunarıda yine bypasslaması ve algılaması kolay
Özete gelicek olursak, o bi konuda görmediğinizde yanıp tutuştuğunuz virustotali isteyen kolaylıkla ayakta uyutabiliyor, tek gereken biraz yaratıcılık ve basit kod bilgisi. Bana sorarsanız güzel anti virus yada detection programı yok. Ben şahsi bilgisayarımda glasswire kulanıyorum ve kendi yazdığım bi program her startupta çalışan, network trafiğimde dışarıya data gönderen birşey sezerse terminateliyor. Kısacası virustotal denilen şeye çok güvenmeyin çünkü saklamak isteyen rahatlıkla saklar
Öncellikle Virustotal size bi sonuç çıkarırken 2 aşamadan geçer, 1. exe niz popüler antivirusler tarafından şöyle bi taranır, 2. exe niz virustotalin virtual machinelerinde debugglanır, çalıştırılır.
Gennelikle insanların patladığı kısım 2. kısım olur ve aslında bunu bypasslamak şu kadar basit: Press enter to continue, virustotalin machine Enter a basamıyacağına göre ana işleme asla geçemez. Tabi bu loaderlar için yani ratinize tutupta press enter to continue diye bi mesaj kutusu eklemezsiniz, bu yüzden şu yolu izelemeliyiz, makineleri algılayıp algılandığı takdirde işlemleri yapmamak.
Örneğin yukarıdaki resim belli bi süre geçtikten sonra kendi rat buildlarımdan birinin virustotal, yaptığı işlem açığa çıktıkça detection artar ve bunları diğer anti viruslere söyler virustotal.
Yukarıdaki görseldede aynı rat stub ama anti virustotal var. Peki anti virustotali nasıl yaptım? Öncellikle az düşündüm neyle bunu algılayabilirim ve test ediyim dedim bi c++ kod yazdım bana açılan bilgisayardan ss ve bilgiler atcak ve bu exe yi 4 farklı hashle virustotale yükledim ve şunla karşılaştım, 4 vm de açılıyor 1. i windows 7, 2. i windows 8 ve son kalan ikide windows 10, öncelikle ilk 2 makineyi direk ratimde eski widnwso versiyonları bloklayarak bypassladım ve geri kalan 2 içinde şöyle yaptım baya bi testing sonunda aşağıdaki görsellde gördüğünüz gibi bu windox 10 makinelerin hepsinin ekran boyutunun 1280x1024 olduğunu gördüm aşağıdaki görselde olduğu gibi, ve bu gerçektende eski bilgisayarların kulandığı bi ekran resolutionuydu yani bunu blocklamak ratimin kalitesini kötü yönde etkilemezdi bende öyle yaptım, Ama arkadaşlar şunuda farketim belli aralıklarla virustotal yeni vm lerde yeni runtime testler yapıyor, bunarıda yine bypasslaması ve algılaması kolay
Özete gelicek olursak, o bi konuda görmediğinizde yanıp tutuştuğunuz virustotali isteyen kolaylıkla ayakta uyutabiliyor, tek gereken biraz yaratıcılık ve basit kod bilgisi. Bana sorarsanız güzel anti virus yada detection programı yok. Ben şahsi bilgisayarımda glasswire kulanıyorum ve kendi yazdığım bi program her startupta çalışan, network trafiğimde dışarıya data gönderen birşey sezerse terminateliyor. Kısacası virustotal denilen şeye çok güvenmeyin çünkü saklamak isteyen rahatlıkla saklar
