GencliQ CT

"dump debug process" ile çıkartıyorum ama program açılmıyor demiÅŸsin zaten açılmasını bekleme… sen programı dump etmeye çalışıyorsun! amacın sadece deÄŸiÅŸtirdiÄŸin komutları kaydetmek olacak, bunun için copy to executable menusunu kullanmalısın…(daha iyi anlayabilmen için tutorial kısmına göz atabilirsin.. örnek olması açısından http://www.trgct.com/files/tut…..D_04_10_07 )

ikinci olaya gelince, dosya formatının illa exe uzantılı olması gerekmez.. içindeki kodların exe yapısında olması çalıştırılabilmesi için yeterlidir.. bunun için en basit yol uzantıyı exe ye çevirip bir analiz aracı ile kontrol etmektir.. yada en basitinden bir hex editörü ile açıp içine bakarsan dosyanın çalıştırılabilir olup olmadığını anlayabilirsin..  bunun için sitemizde yine tutorial kısmında Dosya yapısı-1-2 yazılarını inceleyebilirsin.. http://www.trgct.com/tutorials/  zaten orada da görebileceğin gibi hex editörü ile açtığında yada basit bir metin editörü de olabilir ilk satırın başında MZ.. ibaresi görüyorsan kesinlikle uzantıyı exe olarak değiştirip analiz etmeni öneriyorum.. )

son olayda ÅŸu update mevzusu… öncelikle program belli ÅŸekillerle update prosedürünü iÅŸletir.. bunlardan biri programın baÅŸlatılması olabilirken herhangi bir periyotla hedefe baÄŸlanıp versiyon kontrolü yapabilmektedir.. yöntem çoktur… bunu engellemenin çok fazla metodu mevcut.. bunlardan en saÄŸlamı sistemin update için hangi koÅŸulları saÄŸladığını tespit edip kodda yapılacak kalıcı deÄŸiÅŸikliklerle bunu önlemek olabilir.. koda müdahe etmek dışında ayrıca güvenlik duvarları ile programın internet eriÅŸimini kesmekte kalıcı bir çözüm olmasa da iÅŸe yarayabilir…

 

 

ya bir sorum olacak sana programda şifrelenmiş prosedürler olduğuna nasıl karar verdin söyler misin bana?? gönderdiğin verilerden program hakkında hiçbir bilgi edinemezsin!

ikincisi programın analizini tek program ile yapman ve buna göre karar vermen gerçekten yanlış, not found demesi analiz programının imzayı tanımamasından kaynaklanıyor.. bu programın ÅŸifrelenmiÅŸ vs olduÄŸu anlamına gelmez! çok basit bir ÅŸekilde iki kodu deÄŸiÅŸtirerek bir programın peid tarafından tanınmaması basitçe saÄŸlayabiliriz…

sitede RDG diye bir program var onu indirip onunla taramayı dene… daha saÄŸlıklı sonuçlar alırsın ;)

notuna dikkat etmemişim, ikincisi packer olsaydı resimde EP Section kısmında .text yazısını büyük ihtimalle görmez onun yerine şifrelenmiş sectionları görürdün.. bana göre program olly ile analiz edilebilecek durumda gözüküyor.. tabi hangi dil ile yazıldığından emin olmak için kodlarını görmem gerek..