RAT ‘ lar nasil FUDlanir?

RAT’lar Trojanlari yönetmeye yarayan programlardir ve bu programlarin Antivirüslerden kaçmasi için birçok yöntem vardir.

1.Crypter ile Sifreleme:

Crypter lar server in FUD lamaya yarayan programlardir ve içindeki stub in içindeki sifreleme mantigina göre çalisir ve bir çok yöntemi vardir. Örnegin;

·         Degiskenlerin çok farkli karakterler içermesi.

·         Server in basina bos kodlar(gereksiz) eklemesi örnegin ;

On Error Resume Next

My.Computer.Network.Ping(My.User.Name)

·         X0R gibi yöntemlerle kodlarin sifrelenmesi.

·         Abronsius Code Obfuscator gibi programlarla stub daki degiskenleri veya kodlari otomatik olarak sifrelemesi.

Crypter lardaki bazi sifreleme yöntemleri:

RC4:

for i from 0 to 255

    S[i] := i

endfor

j := 0

for i from 0 to 255

    j := (j + S[i] + key[i mod keylength]) mod 256

    swap values of S[i] and S[j]

endfor

 x0r:

Public Function x0r(ByVal X1 As String) As String

Dim KOD As String, X2 As String * 1, X3 As Double

For X3 = 1 To Len(X1)

X2 = Mid(X1, X3, 1)

KOD = KOD & Chr(Asc(X2) Xor 255)

Next X3

x0r = KOD

End Function

ASCII, Aes, Rb, Ds vs gibi sifreleme türleri...

2.Paketleme:

Bazi Antivirüsler server birkaç kez paketlendiginde  onun spyware programi oldugunu algilayamaz ve girisine izin verir fakat genellikle Trojan çalismaya basladiginda kendini ele verir. Paketleme islemi upx veya WinRAR ile yapilabilir.

4.Byte Ayarlamalari:

Server in bytelarini belirli uzunluklar veya rastgele kodlarla degistirir. Böylece Antivirüslerden kaçmis olur.

SPAN style=LINE-HEIGHT: 115%; font-SIZE: 10pt"> color=#0000ff www.cyber-warrior.org///SPAN Prototype_TR