ProRat In FireWall+AntiVirusTen KaçıRılMası

Lichestien

New member
Katılım
19 Nis 2006
Mesajlar
51
Reaction score
0
Puanları
0
Prorat serverının antivirüslerden kaçırılması


Gerekli araçlar :
1) ProRat server. Yükleme adresi : ProHack.Net Professional Internet !! http://www.ProRat.net (1.9 sürümü)
2) sıkıştırma ve açma programı upx . Yükleme adresi : The UPX Team http://upx.sf.net
3) hex editör . tavsiye edilen : Hex workshop http://www.bpsoft.com , http://www.hexworkshop.com
4) Fearless BFE . Yükleme adresi : Fearless Software http://www.areyoufearless.com

Başlıyoruz..
1) ProRat clientten oluştur butonuna bastığımızda çıkan popuptan ProRat serverı oluştur'a tıklıyoruz.
kendimize uygun seçenekleri ( mail, cgi adresi, anti-virüsleri kapat vs vs vs..) ayarladıktan sonra serverı oluştur butonuna basarak ProRat serverını oluşturuyoruz.
2) upx programımızla serverı unpack etmemiz gerekir zira ProRat server upx ile sıkışmıştır ve sıkıştırılmış program üzerinde işlem yapılamaz.
başlat butonundan çalıştır butonuna basıyoruz ve cmd komutunu yazıyoruz. çıkan konsolda (diyelim ki server ve upx programını c hard diskimize attık ) c:\upx.exe -d c:\server.exe yazıp enter 'e basıyoruz ve ProRat serverımız unpack edilmiş oluyor. eğer dikkat ettiyseniz 320 KB olan ProRat server 1.9 MB civarına ulaşmıştır.
3) burayı lütfen dikkatle okuyun.
mantığını söyle ifade edersek tam olarak doğru olmasa bile yanlışta sayılmaz. anti-virüsler programın bir bölümünü okuyarak zararlı program olup olmadıklarına karar verirler.
a) önce ProRat serverının tanınmasını engelleyelim.
ProRat 1.9 un tanınan parçasını hex olarak ifade edecek olursak C4C0535657 bu karakterlerdir.
bulmanıza yardımcı olması için 8D09005F5E5B8BE55DC39090558BEC83C4C0535657 bu hex karakterini aratmanız yardımcı olacaktır.
peki nasıl anti-virüslerden kaçıracağız. tanınan karakteri değiştirmeniz anti-virüslerden kaçmanız için yeterlidir.
kısaca
8D09005F5E5B8BE55DC39090558BEC83C4C0535657 hex karakterini
8D09005F5E5B8BE55DC39090558BEC83C4C0535647 hex karakteriyle değiştirmek sayesinde kaspersky anti-virüs de dahil olmak üzere tüm anti-virüslerden serverı kaçırabilirsiniz...


-serverı tanınmaz yaptım fakat winkey.dll ve wininv.dll dosyaları anti-virüsler tarafından tanındığı için serverı tam olarak kaçırmış sayılmayız . peki bu dosyaları nasıl kaçırabiliriz. ve bu programcıkları nasıl ProRat severdan ayıra biliriz.
- nasıl ProRat serverını anti- virüslerden kaçırmışsak burada da aynı yolu uygulayacağız. ProRat serverdan ayırmak için Fearless BFE programını kullanmanızı önerebilirim.
ProRat serverın kendi içinde ayrı olarak 3 parça bulunur. bunlar winkey.dll, wininv.dll ve Pplugin4.exe dosyalarıdır.
b) winkey.dll dosyasının tanınmasını engellemek;
0321450C837D0C007411A14C30001085C07408575653FFD0 hex karakterini
0321450C837D0C007411A14C30001085C07408575653FF47 Hex karakteriyle değiştirmek Sorunu çözecektir.
c) wininv.dll dosyasının tanınmasını engellemek;
837D0C007411A15C31001085C07408575653FF hex karakterini
837D0C007411A15C31001085C0740857565347 hex karakteriyle değiştirmek Sorunu çözecektir.
d) Pplugin4.exe dosyasının tanınmasını engellemek;
6472712E696E6900637279707465642D70617373776F726400 0000000000 hex karakterini
6472712E696E6900637279707465642D70617373776F726400 0000000047 hex karakteriyle değiştirmek Sorunu çözecektir.

-evet anti-virüslerden kurtulduk. peki acaba lokal server kaldırma koruması koymamız mümkün mü ?
-tabii ki buda mümkün. server üzerindeki ayarlamalar _atm= olarak başlamaktadır. lokal server kaldırma korumasının kodu ise text olarak ( düz yazı ) Tport_atm= dir.
Gördüğünüz gibi 0 ( sıfır ) yok anlamındadır. eğer hex editörde Tport_atm=0 değerini Tport_atm=1 yaparsak bu var anlamına gelecektir. ve serverda lokal server kaldırma koruması aktif olacaktır.

- bir program var serverın registry ayarlarını okuyor. nasıl engelleye bilirim.
-ProRat’ın registry ayarı HKEY_CURRENT_USER\Software\Microsoft DirectX\WinSettings\ e işlenmektedir.
bu ayarı değiştirmeniz registry ayarını okuyan programı devre dışı bırakacaktır.
mesela hex editörle
Software\Microsoft DirectX\WinSettings\ text karakterlerini
Software\Microsoft\DirectX\WinSettings\ yapmak buna bir örnektir. ( bu değişiklik registry kayıtlarını okuyan programı devre dışı bırakacaktır. )
önemli not : eğer registry ayarlarını değiştirirseniz lokal koruma kaldırması devre dışı kalacaktır.

-bahsettiğiniz ProRat'ın açtığı 51100 üncü porttan kurbanımıza ftp://proratlugin@ipadresi : 51100/ yazarak bağlanmalarını nasıl engelleye biliriz.
-bu problem 1.9 la ortadan kalkmıştır. eğer eski ProRat versiyonlarını kullanıyorsanız kurbanınız risk altında
Ben geçmişe bağlıyım deyip eski sürümleri kullanacaksanız bence clientide unpack edip prorat kullanıcı adını ve plugin şifresini her ikisini yada sadece birini hem client hemde server üzerinden değiştirmeniz gerekir. ( tabi buna kalkışmayın zor iş ) ( 1.6 nın unpack edilmesini ve serverın decrypt edilmesini KanCa arkadaşımız forumlarda yayımlamıştı.!! )

-icq bildirimi çalışmıyor tekrar çalışmasını nasıl sağlaya biliriz.
-icq bildirimini devreye sokmak için server üzerine http://friendship.icq.com/friendship/send_by_email/ & friendship.icq.com kısımlarının değiştirilmesi gerekebilir. fakat gerekli url adresini bilmediğim için yazamayacağım. Gerekli adresi bilen arkadaşlar sanıyorum ki yayımlar yada ProRat.net yetkileri gerekli url adresini belki verebilirler. icq bildirmi çalışan bir trojanın url adresi ProRat serverine göre ayarlama yapılabilir.

- serverın boyutu 1.9 MB bu çok fazla acaba nasıl küçülte biliriz.
-tüm işlemleri yaptığımız serverı farenin sol tuşuna basılı tutarak upx programının üzerine sürükleyip bırakırız ve server upx ile sıkışıp boyutu 320 KB civarına iner.
yada başlat butonundan çalıştır butonuna basar cmd yazarız ve çıkan konsolda c:\upx.exe c:\server.exe yazar ve enter tuşuna basarsak yine server sıkışmış olur.
( aspack gibi farklı programlarda kullana bilirsiniz. )

-anlatılanları uyguladım . oluşturduğum serverı kurbana yolladım bağlan dedim ve karşıma şu uyarı çıktı ; Bağlanmaya çalıştığınız ProRat server üzerinde düzenleme yapılmış. ProRat serverına herhangi bir müdahale yapıldığında bağlantı kurulamaz. .. ..bu kadar işlem boşuna yani peki bu Sorunu aşmak için yapılacak bir şey yok mu?
-çözüm var. serverın sonuna nokta koyun olsun bitsin
mantık şu dur; client server'a bağlandığında serverın belirli bir bölümünü okuyarak buna karar verir. ProRat ta ise bu bölüm serverın sonundaki noktadır. işlem yapıldığında bu nokta siliniyor. tüm işlemleri yaptıktan sonra hex editörle serverın sonuna nokta koymak bu Sorunu çözecektir..

[ lütfen dikkat !!! bu mantığı anlayın. 2.1 , 2.2 gibi sürümler ilerde çıktığı zaman serverın sonuna nokta koymak bağlantı problemini çözmeyebilir. o halde clienttin server üzerindeki okuduğu bölümü bulup servera koymanız bu Sorunu aşacaktır.

aslında hex editör benim stilim değildir. fakat kullandıgım hex editörler var. bunlar; reshacker ( simge değiştirmek için ), PE Explorer ( Disassembler ve Türkçeleştirmek için ) , hex workshop ( Genel amaçlı )

upack ve pack araçlarını. vs. vs. http://www.exetools.com sitesinden temin edebiliriniz
 
cok guzel bi dokuman paylastıgın için tsk ederim ancak sunu sormak istiyorum su anda proratla server hazırlandıgı zaman mail bildirimi için kullanabilicegimiz bi mail adresi varmı varsa bizimle paylasırsan sevinirim.hotmail yahoo mynet gibi guclu guvenlik ozelliklerine sahip mail servislerine prorattan bildirim maili gelmemektedir.eger biliyorsan boyle bi mail servisi bizimlede paylas lütfen hatta rica ediyorum bi pm at bana:)
 
Arkadaşlar ben hex karakterini bulamadım.
 
bu döküman bana gerçekten lazım eğer adminlerimiz veya yetkili arkadaşlarımız bu konuya el atarlarsa çok sevinirim..
 
artık geçerliliği kalmamış bir olay arkadaşlar, ben de forumda vermiştim bunu

velakin artık işe yaramıyor, bilginize..
 
Geri
Üst