HEX
bazı arkadaşlarımız hex editör ile stub üzerinde yakalanan kodu bulduklarını fakat editlediklerinde stubun bozulduklarını ifade etmişlerdi bende hex editördeki kodların karşılığını olly de bulmayı resimli olarak anlattım amac hex editörde sadece edit şansınız olduğu için stub bozulduğunda faklı bişiler yapamassınız fakat olly bize daha farklı imkanlar sunar kodlarla deiğişik şekilde oynayabilmemizi yönlendirebilmemizi sağlar bu şekilde stubu bozmadan antilerden de kaçırmış olabiliriz
Mesela neler yapılabilir tek satırlık xor gibi veya yakalanan kodun jmp komutu ile farklı bir yere taşınıp tekrar altındaki komuta atlattırılmsı gibi değişik yöntemler yapılabilir birazcık asm bilgisine ihtiyaç duyabilirsiniz zaten kodlarla oynadıkça kurcaladıkça ne işe yaradıklarını zamanla cözeceksiniz rahat olun ilk zamanlar binlerce kod kafanızı karıştıracaktır ama zamanla öğrendiğinizde resmen program sizinle konuşacak bunu yapıyorum burdan buraya gecicem gibi
Anlatımın açıklayıcı olduğunu düşünüyorum sorun yaşayan yapamayan arkadaşım olursa konunun altına yazsın yardımcı olmaya çalışırım
Binayr ,decimal,Hexdecimal anlamları hesaplanışı
Binary : 2 lik sayma sistemi yani sadece 0 ve 1 vardır işlemci(CPU) sadece bu iki sayıyı bilir ve buna göre işlem yapar ya vardır yada yoktur bilgisayar sadece bunu bilir.
Decimal : Bildiğimiz 10 luk sayma sistemidir ve 0,1,2,3,4,5,6,7,8,9, sayılarından oluşur
Hexdecimal : 16 lık sayma sistemidir 00,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F bu şekilde sayılardan oluşur
Decimal 74 sayısının
Hexdecimal karşılığı : 4A
Binary karşılığı : 1001010
nasıl bulunur burda biraz matematik bilgisi gerekmektedir Taban Aritmatiğini duymuşsunuzdur
Mesela Decimal yani 10 luk tabanda (yani 10 luk sayma sisteminde) 74 sayısının Binary yani 2 lik tabanda (2 lik sayma sisteminde) karşılığı bulunurken 74 sayısı bölüm 2 den kücük olana kadar 2 ye bölünür ve kalanlar ve en son bölüm tersten yazılarak sonuc bulunur hadi bölelim
74:2=37 kalan =0
37:2=18 kalan =1
18:2=9 kalan=0
9:2=4 kalan=1
4:2=2 kalan=0
2:2=1 kalan=0 şimdi en son bölümden başlayarak yanına kalanları yazdığımıza 74 sayısının 2 tabanında değerini bulmuş olucaz yazalım En son bölüm bu hangi tananda oluşturmak istiyorsak o tabanın sayısından kücük olmalı 2 lik tabanda oluşturduğumuza göre 2 den kücük olmalı diilse bölmeye devam edicez biz 2 den kücük olana kadar böldük ve sonuc son bölüm =
= 1001010 işte budur 74 sayısının 2 lik tabanda yani Binary karşılığı = 1001010 bu şekilde hesaplanır
yeri gelmişken 10 luk sistemdeki 74 sayısını 16 lık sisteme nasıl cevrilir onuda görelim
74 sayısının 16 lık sistemde karşılığı 4A demiştik
şimdi 16 lık sistemde sayılar 16 nın katları şeklinde artar mesela 16 lık sistemde 40 sayısı 4*16+0 değerine eşittir bizim sayımıza gelelim
4*16+A A diyemeyiz cünkü 10 luk sistemde A diye bişi yok A sayısının 10 luk sistemde karşılığı 10 dur ozaman 4*16+10 = 74 yapar A nın karşılığı nasıl 10 oluyor bakalım
16 lık sistem =00,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F
10 luk sistem = 0, 1, 2 , 3, 4, 5, 6, 7, 8, 9, 10 evet gördüğünüz gibi 10 değeri 16 lık sistemde A ya eşit
BAŞLANGIÇ İÇİN
1-Temel olarak Hex edit öğrenin
AVG,Fprot,MS Security Essentials,McAfee,Quick Heal,Sophos(Sadece birkaç imzası hariç),VBA32 Antivirus(birkaç imzası hariç), ve Birkaç tane daha...
2-Versiyon ve icon değişimi
Eski bir yöntemdir ama halen işe yaramaktadır
BitDefender,G-data,Bullguard,İmmunet,F-Secure,Avast(Eğer imzası g-data ile aynı ise yüksek ihtimal geçicektir) ve Birkaç tane daha...
3-Source editlemeyi öğrenin
Konuyu biraz daha genişleteceğim Sourceden önemli antilerin geçilmesi:
ESET NOD32
üf noktası runpedir %90 runpeden yakalar Sourcenizdeki yakalanan runpeyi FUD bir runpeyle değiştirirseniz eset nod32 bypass olcaktır.
Kaspersky:App.path & "\" & App.exename & ".exe"
Kaspersky nin kilit noktası "\" ve ".exe" dir bu 2 stringi saklarsanız kaspersky bypass olcaktır. Nasıl saklıycam demeyin temel derecede visual basic öğrenirseniz bunu başarırsınız
İkarus Ve A-Squared:Bu 2 antide de zorluk çekebilirsiniz size tavsiyem sourcenize güzel fake formlar eklerseniz ikarus geçicektir Compile ayarlarıylada oynanıldığı takdirde bypass olucaktır.
Avira:Emin olun en çok bu antide zorlanıcaksınız diğer bütün antileri verdim bunuda size bırakıyorum
Makaledeki bazı kavramların bilmeyenler için açıklamaları:
İmza:Antivirüs firmaları virüsler de zararlı kod ararlar mesela $5shs bu kodu arıyor ve virüs olarak tespit ediyor ve uyarı veriyor Örneğin:
Kaspersky:HEUR.Win32.Generic
AVG:Found.Malum.A vb.
Kaçırmak için manuel şifreleme veya source şifreleme yapabilirsiniz
String: Metin türü bilgileri saklamak için kullanilabilecek veri türüdür
Compile ayarları:
Visual basic>>ProjectProperties>>Compile kısmından bakabilirsiniz
Makaleyi sıfırdan kendim yazdım alıntı değildir emeğe saygı lütfen eğer alıntı yapıcaksınız belirtirseniz sevinirim
NOTrotector kullanarak undetecter olunmaz Protector nedir derseniz yazılımların cracklenmeye karşı korunması için üretilmiş programlardır örneğin armadillo eğer gerçek bir undetecter olmak istiyorsanız bu programları kullanmayın
bazı arkadaşlarımız hex editör ile stub üzerinde yakalanan kodu bulduklarını fakat editlediklerinde stubun bozulduklarını ifade etmişlerdi bende hex editördeki kodların karşılığını olly de bulmayı resimli olarak anlattım amac hex editörde sadece edit şansınız olduğu için stub bozulduğunda faklı bişiler yapamassınız fakat olly bize daha farklı imkanlar sunar kodlarla deiğişik şekilde oynayabilmemizi yönlendirebilmemizi sağlar bu şekilde stubu bozmadan antilerden de kaçırmış olabiliriz
Mesela neler yapılabilir tek satırlık xor gibi veya yakalanan kodun jmp komutu ile farklı bir yere taşınıp tekrar altındaki komuta atlattırılmsı gibi değişik yöntemler yapılabilir birazcık asm bilgisine ihtiyaç duyabilirsiniz zaten kodlarla oynadıkça kurcaladıkça ne işe yaradıklarını zamanla cözeceksiniz rahat olun ilk zamanlar binlerce kod kafanızı karıştıracaktır ama zamanla öğrendiğinizde resmen program sizinle konuşacak bunu yapıyorum burdan buraya gecicem gibi
Anlatımın açıklayıcı olduğunu düşünüyorum sorun yaşayan yapamayan arkadaşım olursa konunun altına yazsın yardımcı olmaya çalışırım
Binayr ,decimal,Hexdecimal anlamları hesaplanışı
Binary : 2 lik sayma sistemi yani sadece 0 ve 1 vardır işlemci(CPU) sadece bu iki sayıyı bilir ve buna göre işlem yapar ya vardır yada yoktur bilgisayar sadece bunu bilir.
Decimal : Bildiğimiz 10 luk sayma sistemidir ve 0,1,2,3,4,5,6,7,8,9, sayılarından oluşur
Hexdecimal : 16 lık sayma sistemidir 00,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F bu şekilde sayılardan oluşur
Decimal 74 sayısının
Hexdecimal karşılığı : 4A
Binary karşılığı : 1001010
nasıl bulunur burda biraz matematik bilgisi gerekmektedir Taban Aritmatiğini duymuşsunuzdur
Mesela Decimal yani 10 luk tabanda (yani 10 luk sayma sisteminde) 74 sayısının Binary yani 2 lik tabanda (2 lik sayma sisteminde) karşılığı bulunurken 74 sayısı bölüm 2 den kücük olana kadar 2 ye bölünür ve kalanlar ve en son bölüm tersten yazılarak sonuc bulunur hadi bölelim
74:2=37 kalan =0
37:2=18 kalan =1
18:2=9 kalan=0
9:2=4 kalan=1
4:2=2 kalan=0
2:2=1 kalan=0 şimdi en son bölümden başlayarak yanına kalanları yazdığımıza 74 sayısının 2 tabanında değerini bulmuş olucaz yazalım En son bölüm bu hangi tananda oluşturmak istiyorsak o tabanın sayısından kücük olmalı 2 lik tabanda oluşturduğumuza göre 2 den kücük olmalı diilse bölmeye devam edicez biz 2 den kücük olana kadar böldük ve sonuc son bölüm =
= 1001010 işte budur 74 sayısının 2 lik tabanda yani Binary karşılığı = 1001010 bu şekilde hesaplanır
yeri gelmişken 10 luk sistemdeki 74 sayısını 16 lık sisteme nasıl cevrilir onuda görelim
74 sayısının 16 lık sistemde karşılığı 4A demiştik
şimdi 16 lık sistemde sayılar 16 nın katları şeklinde artar mesela 16 lık sistemde 40 sayısı 4*16+0 değerine eşittir bizim sayımıza gelelim
4*16+A A diyemeyiz cünkü 10 luk sistemde A diye bişi yok A sayısının 10 luk sistemde karşılığı 10 dur ozaman 4*16+10 = 74 yapar A nın karşılığı nasıl 10 oluyor bakalım
16 lık sistem =00,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F
10 luk sistem = 0, 1, 2 , 3, 4, 5, 6, 7, 8, 9, 10 evet gördüğünüz gibi 10 değeri 16 lık sistemde A ya eşit
BAŞLANGIÇ İÇİN
1-Temel olarak Hex edit öğrenin
AVG,Fprot,MS Security Essentials,McAfee,Quick Heal,Sophos(Sadece birkaç imzası hariç),VBA32 Antivirus(birkaç imzası hariç), ve Birkaç tane daha...
2-Versiyon ve icon değişimi
Eski bir yöntemdir ama halen işe yaramaktadır
BitDefender,G-data,Bullguard,İmmunet,F-Secure,Avast(Eğer imzası g-data ile aynı ise yüksek ihtimal geçicektir) ve Birkaç tane daha...
3-Source editlemeyi öğrenin
Konuyu biraz daha genişleteceğim Sourceden önemli antilerin geçilmesi:
ESET NOD32
üf noktası runpedir %90 runpeden yakalar Sourcenizdeki yakalanan runpeyi FUD bir runpeyle değiştirirseniz eset nod32 bypass olcaktır.Kaspersky:App.path & "\" & App.exename & ".exe"
Kaspersky nin kilit noktası "\" ve ".exe" dir bu 2 stringi saklarsanız kaspersky bypass olcaktır. Nasıl saklıycam demeyin temel derecede visual basic öğrenirseniz bunu başarırsınız
İkarus Ve A-Squared:Bu 2 antide de zorluk çekebilirsiniz size tavsiyem sourcenize güzel fake formlar eklerseniz ikarus geçicektir Compile ayarlarıylada oynanıldığı takdirde bypass olucaktır.
Avira:Emin olun en çok bu antide zorlanıcaksınız diğer bütün antileri verdim bunuda size bırakıyorum
Makaledeki bazı kavramların bilmeyenler için açıklamaları:
İmza:Antivirüs firmaları virüsler de zararlı kod ararlar mesela $5shs bu kodu arıyor ve virüs olarak tespit ediyor ve uyarı veriyor Örneğin:
Kaspersky:HEUR.Win32.Generic
AVG:Found.Malum.A vb.
Kaçırmak için manuel şifreleme veya source şifreleme yapabilirsiniz
String: Metin türü bilgileri saklamak için kullanilabilecek veri türüdür
Compile ayarları:
Visual basic>>ProjectProperties>>Compile kısmından bakabilirsiniz
Makaleyi sıfırdan kendim yazdım alıntı değildir emeğe saygı lütfen eğer alıntı yapıcaksınız belirtirseniz sevinirim
NOT
rotector kullanarak undetecter olunmaz Protector nedir derseniz yazılımların cracklenmeye karşı korunması için üretilmiş programlardır örneğin armadillo eğer gerçek bir undetecter olmak istiyorsanız bu programları kullanmayın