Selamlar olsun yalnızlığıma..Çoğu kişinin, nasıl ByPass edebileceğini düşündüğü bir yazılımdır; “Zemana AntiLogger”.Kendimde kullanıyorum bu zımbırtıyı, iyi bi güvenlik sağladığı doğru ama, velakin vs; ufak bir sorunu var:
Zararlı uygulamalar, Başlangıca kendini  eklerken, Zemana Hemen zıplar; “Abi bu program başlangıça kendini kopyalamak istiyor; Ne yapayım? ”
Cevap olarak sizde; “Kıçını tekmele yavrum benim” diyorsunuzdur. İşte,  bunu By Pass edecek yöntemi burada paylaşıyorum.Yöntemin mantığı, sebepleri aslında çok basit.Yazıyı sabırla okuyun, heyecan yapmayın :) .
Yöntemi tespit etmek pek de zor olmadı.2 aydır biliyordum, ve olduğu gibi kimseylede paylaşmıyordum.Kısmet Blog’uma, okuyuculara nasipmiş..
Nasıl Tespit Ettim ?;
Bundan 2 ay önce Visual Basic’de yazdığım yeni bot’um için kaynak topluyordum..Bilirsiniz, Snippetler, kod örnekleri vs..Herneyse, 0′dan başladık..Bi programın başından başlamanız gerektiği için, öncelikle başlangıca kopyalamak gerekiyordu. Bi kaç kod denedikten sonra, bişey dikkatimi çekti.API kullanarak Regedit’e kayıt eklediğimde, zemana zımbırtısı fırlıyordu, REG ADD komutunu Shell üzerinden çalıştırdığımda, zemana ötmüyordu.İşte burada başladı..

Herneyse, kendimi bırakıp, olaya geçelim.
Komutumuz ( POC – Proof Of Concept );

(Tam hali için üstüne tık.)

Kodu Excute ettikten sonra, Zemana Anti Logger; “Bu program başlangıca yerleşmeye çalışıyor” uyarısı vermeyecektir. Bakınız, Excute ettikten sonra “msconfig.exe”;

Gördüğünüz kayıt başlangıç kısmına eklendi.Geliştirmek sizin elinizde.Ben size sadece ipucunu veririm, siz geliştirirsiniz.Böyle öğrenirsiniz zaten ;)

Korunma yolu ( Benim gibi bir Ultra-Paranoyak iseniz..) :

Anti-Logger Ayar Penceresi aşağıdaki gibi olmalıdır.

Sebebi anlaşıldığı gibi; “Reg.exe” Microsoft Sertifiaklı olduğundan, Zemana Bunu Güvenilir olarak görüyor ve excute edilmesine göz yumuyor.Ayarlarınızı yaptıktan sonra, Kod’u çalıştırdığınızda;

Yakalandın.. :D

Bu kadar, değerli okuyucularım.. :P Örnek olması açısından, aşağıda POC Exploit’i Derlenmiş şekilde sizlere sunuyorum. Dosya zararsızdır. Ortadaki butona tıkladığınızda, MSCONFIG uygulamanızda “Sh0cKByPass.exe” adındaki kaydı göreceksiniz.

Bu kadar yeterli..

Belirteyim ; Kaynak göstermeden, kendiniz bulmuşssunuz gibi orada burada yayınlarsanız, Hakkım haramdır, öteki dünyada peşini bırakmam.


POC Exploit ;

İndir : http://rapidshare.com/files/275903691/Sh0cK-ZemanaPOC.rar

POC Exploit Coded by: Sh0cK.

Burası bir güvenlik sitesidir. Yazıların, yöntemlerin, kullanıcıya zarar verme amacı kesinlikle (!) güdül(e)mez. Zarar amacı güdülmesi, kullananın kendi sorumluluğundadır !

Eyvallah, Bir teşekkürü çok görmeyin..

Farkım Bilgim…Don’t Forget :

I’m alone, I’ve No friend.”

Sh0cK.

Be Sociable, Share!
Etiketler:, , , , , , , , ,
16 Cevap “Zemana Anti-Logger StartUp By Pass POC | Sh0cK”
  1. lodos2005 diyor ki:

    Allah Allah Benimde Seviye Aynı Ama benimkinde Ötmüyor versiyon Uyuşmazlıgımı :?
    ama bu zımbırtıyla bende uğraşıyorum özellikle keylogger güvenlik sistemiyle
    ne kadar sezgisel olsada bizde o sezgiyi analiz edebiliyoruz illa kırıcaz demi selo :)
    gerçi selo artık derslerinin peşinde biz sınıfta kalıyoz ama ne yapalım işimiz bu :)
    az kaldı şu zımbırıtı kırmama ama :D

  2. Secondary diyor ki:

    eline sağlık kanka (:

  3. Icarus diyor ki:

    I know this company
    They don’t know many
    They are not so happy
    They really suck
    Nice finding Sh0cK !!

  4. SystemHackeR diyor ki:

    Bu Devirde Babana Bile Güvenmeyecen Bilgilendirme için Sağol Sh0ck !!

  5. Nice diyor ki:

    Nice one bro :) keep up the good work

  6. cekeronline diyor ki:

    Eywallah Sh0ck

  7. Esat diyor ki:

    Helal Olsun Aga..

    Daha Ne Diyeyim Visual Basic Canavarı :)

  8. RebelFa1con diyor ki:

    Eyw. Abi.. Süper paylaşım :) Banada öğret vb’yi yaa :D

  9. lodos2005 diyor ki:

    kim kime vb öğretmişte sen selodan öğrenen :)
    selo abiniz gibi meraklı olun biraz siz kendiniz bişiler öğrenmeye çalışın en iyi yöntem budur :D

  10. Sh0cK diyor ki:

    Ne güzel söyledin kardeşim..

  11. AJaN diyor ki:

    Eyvallah Sh0ck böyle güzel bilgileri paylaşmak cok güzel seninde dediğin gibi öğrenmenin yolu hırs ve merak

    Biz millet olarak hazıra konmayı cok seviyoruz okuma alışkanlığımız yok bi yerde cok önemli ama uzun bir yazı görsek 100 kişiden 90 ı uzun diye okumaz :-) ) olsun muhakkak bir gün cok iyi yerlere gelinicek :-)

    “Belirteyim ; Kaynak göstermeden, kendiniz bulmuşssunuz gibi orada burada yayınlarsanız, Hakkım haramdır, öteki dünyada peşini bırakmam.” Bu yazında cok hoş gercektende ben buldum diye dağıtanlar olur olsunda ne olurki sen gerceği bildikten sonra gerisi hikaye

    Teşekkürler

  12. Sh0cK diyor ki:

    Yorumun ve düşüncelerin için Teşekkürler.. :)
    Evet, herşey çaba/emek.

    Zamanla Blog’umda daha bi çok önemli şey paylaşmayı düşünüyorum, daha önce kimseyle paylaşmadığım/paylaşmaya kıyamadığım değerli şeyler.Yeterki Blog’umun düzenli takipçileri/okuyucuları, centilmence teşekkür edenim olsun. :)

    Eyvallah.

  13. ahmet diyor ki:

    bu POC kodundaki /v , /t , /d bu ters slaşlar vede harfin anlamı nedir??

  14. Sh0cK diyor ki:

    Komut istemindeyken;

    REG ADD /?

    Yapıp komutlardaki “/” ların anlamlarını görebilirsiniz.

    Teşekkürler.

  15. [...] düşünüyorum.. – Bana şerefsiz diyenlerin acaba şerefi varmı diye düşünüyorum.. – Bu yazımda; POC Exploit’in içine ve Diğer burada yayınladığım Programlarıma BackDoor koyduğumu [...]

  16.  
Cevap yaz

*