folder Tahribat.com Forumları
linefolder Virüs - Trojan - Keylogger - BotNet
linefolder VB 6.0 İle Yazdığım Bir Keyloger Nasıl Undetect(Tanınmaz) Yazılır



VB 6.0 İle Yazdığım Bir Keyloger Nasıl Undetect(Tanınmaz) Yazılır

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    R3D
    R3D's avatar
    Kayıt Tarihi: 04/Eylül/2009
    Erkek

    Arkadaşlar VB 6.0 ile yazdığım bir keylogerım var ve bu keylogerımın Undetect yani tamamen tanınmaz olabilmesi için bu keylogerı yazarken nasıl yazmalıyım.

    DİKKAT : Sonradan nasıl tanınmaz yaparım değil arkadaşalar, yazarken nasıl Undetect yazarım. Bana program isimleri göndermeyin lütfen.

    VBDream arkadaşımdan bazı bilgiler aldım saolsun kendisi bişeyler anlattı ama yolları biraz eksik kaldı. Benim istediğim; ben keylogerı nasıl hiç tanınmayacak halde yazarım.

    Not:

    1. Windows API lerini kullanmayıp onun yerine başka yöntem kullanabilirim biliyorum ama hangi yöntem onu bilmiyorum. 

    2.  Windosun sistem dosyalarına injection ile kendi işimi yapan kodlar ekleyerek yada sistem dosyalarını kendi işimi yapan başkabir sistem dosyası ile değiştirmem gerektiğinide biliyorum ama o dosya nasıl injectin yapılacağını yada kendi işilerimi yaptırabileceğim bir sistem dosyasını nerden bulacağımı bilmiyorum.

    3. Başka programların API lerini kullanarak işimi yaparsam windows un uyuyacağını biliyorum ama hangi programın .dll lerinde hangi API ler var, ve bu API ler ne iş yapar bilmiyorum.

    Bu konuda bana yardımcı olacak arkadaşlara şimdiden teşşekür ediyorum  


    "Mey biter saki kalır Her renk solar haki kalır Diploma insanın cehlini alsada; Hamurunda varsa,eşeklik baki kalır..."
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    SpoofU
    SpoofU's avatar
    Kayıt Tarihi: 21/Mart/2008
    Erkek
    Neredeyse tanıdığım bütün zararlı yazarları zararlılarını Fud yapmak için cryptor kullanıyor, öteki türlü sezgisel tarama yapan av ler hemen yakalıyor. Bence senin dediğin şey zor.

    Sevmem yazmayı, okumayı sevdiğim kadar.
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    R3D
    R3D's avatar
    Kayıt Tarihi: 04/Eylül/2009
    Erkek

    SpoofU bunu yazdı:
    -----------------------------
    Neredeyse tanıdığım bütün zararlı yazarları zararlılarını Fud yapmak için cryptor kullanıyor, öteki türlü sezgisel tarama yapan av ler hemen yakalıyor. Bence senin dediğin şey zor.
    -----------------------------

    Hoca cryptor nasıl kullanılıyor onun hakkında bilgi verirmisin biraz. Eğer bu cryptor sonradan tanınmaz yapan bişeyse sanırım çok uzun süreli olmaz...


    "Mey biter saki kalır Her renk solar haki kalır Diploma insanın cehlini alsada; Hamurunda varsa,eşeklik baki kalır..."
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    R3D
    R3D's avatar
    Kayıt Tarihi: 04/Eylül/2009
    Erkek
    Arkadaşlar yokmu bu işlerden anlayan FUD canavarları :)

    "Mey biter saki kalır Her renk solar haki kalır Diploma insanın cehlini alsada; Hamurunda varsa,eşeklik baki kalır..."
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Tugberk
    Tugberk's avatar
    Kayıt Tarihi: 04/Ekim/2009
    Erkek

    Yazarken eninde sonunda windows apilerini kullanacaksın, windows mesajlarını hook edip klavye mesajlarını okumanın başka bir yolu yok.

    Eğer bir rootkit yazacam dersen, kernel modda çalıştığı için doğrudan bellek adresleri yoluyla sistem mesajlarına da klavye portuna da erişebilirsin.

    Ancak bunu VB de yapman imkansız ve ddk(device driver kit) lazım.

    Eğer programı sıfıran kodluyorsan zaten en fazla 2-3 antivirüse yakalanır. Onlarda heuristic metodu kullanan antivirüslerdir. 

    Eğer varolan bir keylogger ı fud etmek istiyorsan kodu şifreler, şifreyi çözen kodu exe nin içine ekler ep sini ayarlar ve import tablosunun yerini değiştirirsin.

    Ancak bunlar yazıldığı kadar kolay şeyler değil. PE (portable executable ) formatını çok iyi bilmen lazım ve asm bilginde olması lazım.

    Bunun dışında sezgisel yöntemlerle yakalayan antivirüslerden kaçırmanın yöntemi kodu şifrelemek değildir çünkü bunlar genelde programın import tablosundaki fonksiyon isimlerine göre uyarı veriyor.

    Dediğim gibi ilk kez yazıyorsan 2-3 antivirüs dışında hiçbiri yakalamaz. onlarda genelde avira ve bitdefender oluyor. 

     

  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    R3D
    R3D's avatar
    Kayıt Tarihi: 04/Eylül/2009
    Erkek
    Tugberk bunu yazdı:
    -----------------------------

    -----------------------------

     

    Hoca ben VB de yazıyorum ve sıfırdan yazıyorum ama hata yapmak istemiyorum yani tuttuğu logları bana gönderirken AV nin biri zart zart ötsün istemiyorum ve yazdığım keylogerın 2 gün sonra tüm AV lere yakalanmamasını istiyorum bu yüzden bu konuyu açtım zaten.

    Verdiğin bilgiler için saol ama kullandığın dil biraz ağır biraz daha açarsan sevinirim. Mesela DDK ne işe yarar ve EP nedir. Ve PE(Portable Executable) formatı hakkında biraz bilgi verirsen bende kendi bildiklerimle harmanlayıp bu işin içinden çıkabilirim belki.

    Ve ilk mesaj eyv :) 


    "Mey biter saki kalır Her renk solar haki kalır Diploma insanın cehlini alsada; Hamurunda varsa,eşeklik baki kalır..."
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    SpoofU
    SpoofU's avatar
    Kayıt Tarihi: 21/Mart/2008
    Erkek
    Dengbej bunu yazdı:
    -----------------------------

    SpoofU bunu yazdı:
    -----------------------------
    Neredeyse tanıdığım bütün zararlı yazarları zararlılarını Fud yapmak için cryptor kullanıyor, öteki türlü sezgisel tarama yapan av ler hemen yakalıyor. Bence senin dediğin şey zor.
    -----------------------------

    Hoca cryptor nasıl kullanılıyor onun hakkında bilgi verirmisin biraz. Eğer bu cryptor sonradan tanınmaz yapan bişeyse sanırım çok uzun süreli olmaz...


    -----------------------------
    Cryptor zararlıyı şifreleyerek avlerin hem imza hem de sezsgisel taramalarından kaçırabiliyor. Tabi bir süre sonra bu cryptor ile şifrelenmiş zararlıyı avler tanır hale geliyor ama cryptorun stub dosyasında yapacağın ufak değişikliklerle yeniden fud yapabilirsin.

    Sevmem yazmayı, okumayı sevdiğim kadar.
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    R3D
    R3D's avatar
    Kayıt Tarihi: 04/Eylül/2009
    Erkek
    SpoofU bunu yazdı:
    -----------------------------
    Dengbej bunu yazdı:
    -----------------------------

    -----------------------------
    Cryptor zararlıyı şifreleyerek avlerin hem imza hem de sezsgisel taramalarından kaçırabiliyor. Tabi bir süre sonra bu cryptor ile şifrelenmiş zararlıyı avler tanır hale geliyor ama cryptorun stub dosyasında yapacağın ufak değişikliklerle yeniden fud yapabilirsin.

    -----------------------------

     

    Hoca eyvallah ama benim derdim sonradan tanınmaz yapmak değil yazarken tanınmaz yazmak.


    "Mey biter saki kalır Her renk solar haki kalır Diploma insanın cehlini alsada; Hamurunda varsa,eşeklik baki kalır..."
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Nitrous
    Nitrous's avatar
    Kayıt Tarihi: 01/Nisan/2007
    Erkek

    önemli olan nasıl fud yazıldığı değil fud olup olmadığıdır.

    kimse nasıl yazdığına bakmaz fud olup olmadığına bakar.

    kafana göre kodla

    geri kalan vaktini crypter e ayır:D 


    << Nitrous@TahriBaT.com >>
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Tugberk
    Tugberk's avatar
    Kayıt Tarihi: 04/Ekim/2009
    Erkek

    Dengbej bunu yazdı:
    -----------------------------
    Tugberk bunu yazdı:
    -----------------------------

    -----------------------------

     

    Hoca ben VB de yazıyorum ve sıfırdan yazıyorum ama hata yapmak istemiyorum yani tuttuğu logları bana gönderirken AV nin biri zart zart ötsün istemiyorum ve yazdığım keylogerın 2 gün sonra tüm AV lere yakalanmamasını istiyorum bu yüzden bu konuyu açtım zaten.

    Verdiğin bilgiler için saol ama kullandığın dil biraz ağır biraz daha açarsan sevinirim. Mesela DDK ne işe yarar ve EP nedir. Ve PE(Portable Executable) formatı hakkında biraz bilgi verirsen bende kendi bildiklerimle harmanlayıp bu işin içinden çıkabilirim belki.

    Ve ilk mesaj eyv :) 


    -----------------------------

    DDK microsoftun sistem programcılarına sunduğu araçlardır driver yazmaya yarar. daha genel anlamda kernel modda çalışan yani çekirdeğin bir parçası gibi çalışan programları yazmanı sağlar. Ep ise entry point yani programın çalışmaya başladığı noktadır. örneğin programın ".text section" unu tamamen şifreleyeceksin yani exe yi şifreleyeceksin. bu durumda exe de boş bir yere kodu ep den itibaren adım adım çözen bir asm kodu eklemen lazım.

    Ayrıca programın yeni ep sini senin eklediğin kod olarak ayarlamalısın ve çözme işlem bittiğinde gerçek ep ye atlamalısın. ayrıca eğer sıfırdan yazmıyorda başka bir kodu şifreliyorsan  import tablosu denen programın hangi fonksiyonları hangi dll lerden vs aldığını gösteren kod bölümünü farklı biryere aktarmalısın. Exe yüklenirken bu bölümde fonksiyon adlarına ilgili adresler zaten yazılır. Bu bölümün nerede olduğu önemli değildir yeterki pe bölümünde import tablosunun yeri ve boyutu bilgilerini güncelle.

    PE bölümü exe dosyalarının belleğe yüklendiğinde hangi fonksiyondan(adresden) çalışmaya başlayacağını, hangi fonksiyonları kullancağını, yani her bilgisini tutan bir bölümdür. Çalışan dosyaların en başında bulunur.

    Bende birçok undetect yöntemi denememe rağmen sıfırdan yazdığım bir kod ne yaparsam yapayım sezgisel yöntem kullanan en az bir antivirüse yakalanıyor. Bu antivirüsler çoğu zaman alakasız dosyalara da virüs diyebiliyorlar ama yinede zararlı yazılımcıların başının belası.

  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    HoLyCat
    HoLyCat's avatar
    Kayıt Tarihi: 03/Ekim/2009
    Erkek
    hayırdır paşam online oyunlara Koxp ( bot ) türü dosyalara keyloger mi gomuceksin :)

    🆃🅰🅷🆁🅸🅱🅰🆃.🅲🅾🅼
Toplam Hit: 7384 Toplam Mesaj: 28