Thursday, February 16, 2012

Virüs Analizi Yarışması – İpuçları

11.03.2012

Son 5 gün!

03.03.2012
Arkadaşlar yarışmanın neredeyse yarısına geldik, biraz daha gayret. Bu yarışmada ikinci seviye tamamlansın ki daha sırada ZeroAccess, TDL4, Mebroot gibi bir çok yarışmamız olacak. Hatta sonlara doğru ödülü iyice büyütüp arabaya kadar çıkartmayı düşünüyoruz.
Mailime gelen detectorlerde dikkatimi çeken ortak nokta : arkadaşlar genelde sürücü yazmak ile işe başlamışlar, kesinlikle yapacağınız ikinci adım sürücü yazmak olmalı. Önce sizi engelleyen noktayı tespit etmelisiniz. Ve, işte 3’üncü ipucu :
İpucu 3 :
1’inci aşamayı geçmek için sürücü yazmanıza gerek yok. Sadece User-Mode’dan işleyen basit bir programla hangi sürücünün enfekte olduğunu anlayabilirsiniz.
a. Sürücü C:\Windows\System32\drivers\ klasörünün içinde. Bu kesin!
b. Bu sürücünün üzerine bir şey yazarsanız, sizi engelleyebilecek 2 şey var : birincisi zararlının kendisi, ikincisi de windows SFC (File Protection). Peki kısa bir süreliğine SFC olmasa ve geriye ne kalıyor??? Tekrar ediyorum, enfekte sürücünün üzerine yazamıyorsunuz….???? !!!!  Tersten düşünün bakalım ne çıkacak?
En tehlikeli metodları dahi kullanabilirsiniz, hatta son bir ipucu : Öldürmek Serbest!
18.02.2012
Hakan85 adlı arkadaşımız birinci aşamayı tamamladı! Kendisini Zemana Ekibi olarak tebrik ediyoruz.
sshot-1

TDL hala silinmeyi bekliyorGülümseme
Windows Internals kitablarimizdan bir tanesi artik Hakan85'in.
Kurallar kısmında yanlış anlaşılan bir konu (BartPE vb.) hakkında güncelleme yapıldı, göz atarsanız iyi olur.

17.02.2012 :
1'inci aşamayı tamamlayamaya yaklaşan arkadaşlarımız var. Rekabet artıyor…

İpucu 2 : Dosyanın temiz halini okumak için sistem reboot edilirken DLLCACHE’i de kullanabilirsiniz. Sistem açıkken ise virüs tarafından zaten temiz dosya döndürüldüğü için hiç bir şey yapmanıza gerek yok. Peki bu dosyanın üzerine nasıl yazacaksınız?
Çözümlerinizi emre.tinaztepe [malum işaret] zemana [nokta işareti] com ’ a gönderebilirsiniz.

15.02.2012 :
İpucu 1 :
Yarışmaya beklediğimizden çok daha fazla katılımcı oldu, rekabet artacağa benziyor, hızlı davranıp ödülleri bir an önce almayı hedefleyen arkadaşlara küçük bir ipucu :
“C:\WINDOWS\system32\dllcache” XP sistemlerde ne işe yarar???


OLYMPUS DIGITAL CAMERA



6 comments:

  1. xp ekran koruyucalarından kurtulmak için.

    ReplyDelete
  2. Windows Dosya Koruması servisi ana sistem dosyalarında herhangi bir değişiklik olup olmadigini anlamak icin sürekli olarak izler. Windows XP'de dllcache klasorunde de bu temel dosyaların bir kopyasini tutar...

    ReplyDelete
  3. Zaten infekte olan dosyayı okuduğumuzda temiz haline ulaşıyoruz sorun da bu değil mi? Neden dllcache'e ihtiyacımız olsun?

    ReplyDelete
  4. Hako : +1 :)
    Beklediğimiz cevaplardan birisi buydu, tebrikler:)

    ReplyDelete
  5. Bu arada, sistem açıkken temizleme yapmak, sistem yeniden başlatılarak temizleme yapmaktan daha zor, eğer sistem açıkken temizleme yapmayı kafanıza koyduysanız, DLLCACHE'e ihtiyacınız olmayacak, ama reboot ile temizlik yapmayı planlıyorsanız DLLCACHE size yardımcı olabilir.

    ReplyDelete
  6. Lütfen bundan sonraki yorumları İpuçları konusuna yapınız. Konunun dağılmaması için cevapları orada toplayalım.

    ReplyDelete