

VB 6.0 İle Yazdığım Bir Keyloger Nasıl Undetect(Tanınmaz) Yazılır
-
Arkadaşlar VB 6.0 ile yazdığım bir keylogerım var ve bu keylogerımın Undetect yani tamamen tanınmaz olabilmesi için bu keylogerı yazarken nasıl yazmalıyım.
DİKKAT : Sonradan nasıl tanınmaz yaparım değil arkadaşalar, yazarken nasıl Undetect yazarım. Bana program isimleri göndermeyin lütfen.
VBDream arkadaşımdan bazı bilgiler aldım saolsun kendisi bişeyler anlattı ama yolları biraz eksik kaldı. Benim istediğim; ben keylogerı nasıl hiç tanınmayacak halde yazarım.
Not:
1. Windows API lerini kullanmayıp onun yerine başka yöntem kullanabilirim biliyorum ama hangi yöntem onu bilmiyorum.
2. Windosun sistem dosyalarına injection ile kendi işimi yapan kodlar ekleyerek yada sistem dosyalarını kendi işimi yapan başkabir sistem dosyası ile değiştirmem gerektiğinide biliyorum ama o dosya nasıl injectin yapılacağını yada kendi işilerimi yaptırabileceğim bir sistem dosyasını nerden bulacağımı bilmiyorum.
3. Başka programların API lerini kullanarak işimi yaparsam windows un uyuyacağını biliyorum ama hangi programın .dll lerinde hangi API ler var, ve bu API ler ne iş yapar bilmiyorum.
Bu konuda bana yardımcı olacak arkadaşlara şimdiden teşşekür ediyorum
-
Neredeyse tanıdığım bütün zararlı yazarları zararlılarını Fud yapmak için cryptor kullanıyor, öteki türlü sezgisel tarama yapan av ler hemen yakalıyor. Bence senin dediğin şey zor.
-
SpoofU bunu yazdı:
-----------------------------
Neredeyse tanıdığım bütün zararlı yazarları zararlılarını Fud yapmak için cryptor kullanıyor, öteki türlü sezgisel tarama yapan av ler hemen yakalıyor. Bence senin dediğin şey zor.
-----------------------------Hoca cryptor nasıl kullanılıyor onun hakkında bilgi verirmisin biraz. Eğer bu cryptor sonradan tanınmaz yapan bişeyse sanırım çok uzun süreli olmaz...
-
Arkadaşlar yokmu bu işlerden anlayan FUD canavarları :)
-
Yazarken eninde sonunda windows apilerini kullanacaksın, windows mesajlarını hook edip klavye mesajlarını okumanın başka bir yolu yok.
Eğer bir rootkit yazacam dersen, kernel modda çalıştığı için doğrudan bellek adresleri yoluyla sistem mesajlarına da klavye portuna da erişebilirsin.
Ancak bunu VB de yapman imkansız ve ddk(device driver kit) lazım.
Eğer programı sıfıran kodluyorsan zaten en fazla 2-3 antivirüse yakalanır. Onlarda heuristic metodu kullanan antivirüslerdir.
Eğer varolan bir keylogger ı fud etmek istiyorsan kodu şifreler, şifreyi çözen kodu exe nin içine ekler ep sini ayarlar ve import tablosunun yerini değiştirirsin.
Ancak bunlar yazıldığı kadar kolay şeyler değil. PE (portable executable ) formatını çok iyi bilmen lazım ve asm bilginde olması lazım.
Bunun dışında sezgisel yöntemlerle yakalayan antivirüslerden kaçırmanın yöntemi kodu şifrelemek değildir çünkü bunlar genelde programın import tablosundaki fonksiyon isimlerine göre uyarı veriyor.
Dediğim gibi ilk kez yazıyorsan 2-3 antivirüs dışında hiçbiri yakalamaz. onlarda genelde avira ve bitdefender oluyor.
-
Tugberk bunu yazdı:
-----------------------------
-----------------------------Hoca ben VB de yazıyorum ve sıfırdan yazıyorum ama hata yapmak istemiyorum yani tuttuğu logları bana gönderirken AV nin biri zart zart ötsün istemiyorum ve yazdığım keylogerın 2 gün sonra tüm AV lere yakalanmamasını istiyorum bu yüzden bu konuyu açtım zaten.
Verdiğin bilgiler için saol ama kullandığın dil biraz ağır biraz daha açarsan sevinirim. Mesela DDK ne işe yarar ve EP nedir. Ve PE(Portable Executable) formatı hakkında biraz bilgi verirsen bende kendi bildiklerimle harmanlayıp bu işin içinden çıkabilirim belki.
Ve ilk mesaj eyv :)
-
Dengbej bunu yazdı:
-----------------------------SpoofU bunu yazdı:
-----------------------------
Neredeyse tanıdığım bütün zararlı yazarları zararlılarını Fud yapmak için cryptor kullanıyor, öteki türlü sezgisel tarama yapan av ler hemen yakalıyor. Bence senin dediğin şey zor.
-----------------------------Hoca cryptor nasıl kullanılıyor onun hakkında bilgi verirmisin biraz. Eğer bu cryptor sonradan tanınmaz yapan bişeyse sanırım çok uzun süreli olmaz...
-----------------------------
Cryptor zararlıyı şifreleyerek avlerin hem imza hem de sezsgisel taramalarından kaçırabiliyor. Tabi bir süre sonra bu cryptor ile şifrelenmiş zararlıyı avler tanır hale geliyor ama cryptorun stub dosyasında yapacağın ufak değişikliklerle yeniden fud yapabilirsin. -
SpoofU bunu yazdı:
-----------------------------
Dengbej bunu yazdı:
-----------------------------
-----------------------------
Cryptor zararlıyı şifreleyerek avlerin hem imza hem de sezsgisel taramalarından kaçırabiliyor. Tabi bir süre sonra bu cryptor ile şifrelenmiş zararlıyı avler tanır hale geliyor ama cryptorun stub dosyasında yapacağın ufak değişikliklerle yeniden fud yapabilirsin.
-----------------------------Hoca eyvallah ama benim derdim sonradan tanınmaz yapmak değil yazarken tanınmaz yazmak.
-
önemli olan nasıl fud yazıldığı değil fud olup olmadığıdır.
kimse nasıl yazdığına bakmaz fud olup olmadığına bakar.
kafana göre kodla
geri kalan vaktini crypter e ayır:D
-
Dengbej bunu yazdı:
-----------------------------
Tugberk bunu yazdı:
-----------------------------
-----------------------------Hoca ben VB de yazıyorum ve sıfırdan yazıyorum ama hata yapmak istemiyorum yani tuttuğu logları bana gönderirken AV nin biri zart zart ötsün istemiyorum ve yazdığım keylogerın 2 gün sonra tüm AV lere yakalanmamasını istiyorum bu yüzden bu konuyu açtım zaten.
Verdiğin bilgiler için saol ama kullandığın dil biraz ağır biraz daha açarsan sevinirim. Mesela DDK ne işe yarar ve EP nedir. Ve PE(Portable Executable) formatı hakkında biraz bilgi verirsen bende kendi bildiklerimle harmanlayıp bu işin içinden çıkabilirim belki.
Ve ilk mesaj eyv :)
-----------------------------DDK microsoftun sistem programcılarına sunduğu araçlardır driver yazmaya yarar. daha genel anlamda kernel modda çalışan yani çekirdeğin bir parçası gibi çalışan programları yazmanı sağlar. Ep ise entry point yani programın çalışmaya başladığı noktadır. örneğin programın ".text section" unu tamamen şifreleyeceksin yani exe yi şifreleyeceksin. bu durumda exe de boş bir yere kodu ep den itibaren adım adım çözen bir asm kodu eklemen lazım.
Ayrıca programın yeni ep sini senin eklediğin kod olarak ayarlamalısın ve çözme işlem bittiğinde gerçek ep ye atlamalısın. ayrıca eğer sıfırdan yazmıyorda başka bir kodu şifreliyorsan import tablosu denen programın hangi fonksiyonları hangi dll lerden vs aldığını gösteren kod bölümünü farklı biryere aktarmalısın. Exe yüklenirken bu bölümde fonksiyon adlarına ilgili adresler zaten yazılır. Bu bölümün nerede olduğu önemli değildir yeterki pe bölümünde import tablosunun yeri ve boyutu bilgilerini güncelle.
PE bölümü exe dosyalarının belleğe yüklendiğinde hangi fonksiyondan(adresden) çalışmaya başlayacağını, hangi fonksiyonları kullancağını, yani her bilgisini tutan bir bölümdür. Çalışan dosyaların en başında bulunur.
Bende birçok undetect yöntemi denememe rağmen sıfırdan yazdığım bir kod ne yaparsam yapayım sezgisel yöntem kullanan en az bir antivirüse yakalanıyor. Bu antivirüsler çoğu zaman alakasız dosyalara da virüs diyebiliyorlar ama yinede zararlı yazılımcıların başının belası.
-
hayırdır paşam online oyunlara Koxp ( bot ) türü dosyalara keyloger mi gomuceksin :)