Crypter Nedir?
Crypter zararlı bir yazılımı bir başka yazılım içerisine koyma işlemidir. Bu işlem kutu içerisine kutu koyma diyede düşünülebilir. İçte kalan kutunun içindeki bilgi zararlı iken dışta kalan kutuda zararsız bilgi var. Crypter(şifreleyici) ise iki kutuyu iç içe yerleştiriyor. Crypter=packer=protector benzer yazılımlardır.
c=stup+zy dır.
Oluşan yeni dosya(c) virüs programları tarafından tespit edilip edilmediğine göre çeşitleri bulunmaktadır. Birçok virüs programı tespit edince kendi veri tabanına göndermektedir. Eğer online virüs total uygulamasından yapılmış ise bir çok virüs programı şirketine göndermektedir.
Virüs programlarının tespit etmesi olayına detect(yakalam -bilme) denilmektedir. Detect işleminin eğer virüs programı yapmış ve zararlı demişse detected olmuş oluyor. C yazılımının tespit edilmemesi(un detected=UD) için şu işlemler yapılmaktadır.
UD(Un Detected): Yakalanmayan (c) yazılımıdır. Fakat kesin denilemez bir yazılım tespit edemezken bir başka yazılım tespit edebilir.
FUD(Full Un Detected): Hiç yakalanmayan demektir. Fakat %100 denilmez. %95 Diyebiliriz.
Yukarıdaki resimde, atın içine gizlenmiş zararlı askerler olarak ifade edilebilir. Burada askerleri at ille kamufle etme işlemini yapan yazılıma şifreleyici(crypter) denilmektedir.Oluşturulan yeni dosyaların çeşitli türleri bulunmaktadır.
Crypter Client: maske ve zararlı yazılımı birleştiren yazılım.
stup: Gizlemeye yarayan yazılım. Maske yazılımı
zararlı yazılım: Yasal olmayan işlemler için kullanılan yazılım
c=stup(maske)+(zy)zararlı yazılımc=stup+zy dır.
Oluşan yeni dosya(c) virüs programları tarafından tespit edilip edilmediğine göre çeşitleri bulunmaktadır. Birçok virüs programı tespit edince kendi veri tabanına göndermektedir. Eğer online virüs total uygulamasından yapılmış ise bir çok virüs programı şirketine göndermektedir.
Virüs programlarının tespit etmesi olayına detect(yakalam -bilme) denilmektedir. Detect işleminin eğer virüs programı yapmış ve zararlı demişse detected olmuş oluyor. C yazılımının tespit edilmemesi(un detected=UD) için şu işlemler yapılmaktadır.
UD(Un Detected): Yakalanmayan (c) yazılımıdır. Fakat kesin denilemez bir yazılım tespit edemezken bir başka yazılım tespit edebilir.
FUD(Full Un Detected): Hiç yakalanmayan demektir. Fakat %100 denilmez. %95 Diyebiliriz.
BINDER
dosya birleştirme işlemine verilen genel tanımlamadır binder prorgamları A dosyası ile B dosyasını birleştirip C dosyasını oluşturur. Bu programlara binder programları denir. Resim+Zararlı Yazılım vb.
BIND
A+B=C dosyasının oluşumuna verilen genel tanımlamadır
örnek
dosya bind edildi
ama buna dosya binder edildi deseydik yanlış olurdu
Stealer: Bilgisayarınızdaki şifreleri başka bir adrese gönderen yazılımlardır.
Runtime Crypter
Bu yöntem ile şifrelenen yazılım herhangi bir dizine çıkarılmadan direkt olarak memorye yüklenir ve çalıştırılır. Bu şekilde şifrelenen bir yazılımın ilkel yöntemlerde tespit edilmesi imkansızdır. Memory analizi ve dinamik analiz yapılması gerekir.
dosya birleştirme işlemine verilen genel tanımlamadır binder prorgamları A dosyası ile B dosyasını birleştirip C dosyasını oluşturur. Bu programlara binder programları denir. Resim+Zararlı Yazılım vb.
BIND
A+B=C dosyasının oluşumuna verilen genel tanımlamadır
örnek
dosya bind edildi
ama buna dosya binder edildi deseydik yanlış olurdu
Stealer: Bilgisayarınızdaki şifreleri başka bir adrese gönderen yazılımlardır.
Crypterlar çalışma şekillerine göre ikiye ayrılırlar;
Scantime Crypter
Bu tarz crypter ile şifrelenen yazılımlar, stub çalıştığı anda önceden belirlenmiş bir dizine çıkartılırlar. Bu yöntemde, stub çalışmadan önce yazılım tespit edilemez. Fakat stub çalıştıktan sonra yazılım export edileceğinden ilgili dizin kontrol edildiğinde tespit edilebilmektedir.
Bu tarz crypter ile şifrelenen yazılımlar, stub çalıştığı anda önceden belirlenmiş bir dizine çıkartılırlar. Bu yöntemde, stub çalışmadan önce yazılım tespit edilemez. Fakat stub çalıştıktan sonra yazılım export edileceğinden ilgili dizin kontrol edildiğinde tespit edilebilmektedir.
Runtime Crypter
Bu yöntem ile şifrelenen yazılım herhangi bir dizine çıkarılmadan direkt olarak memorye yüklenir ve çalıştırılır. Bu şekilde şifrelenen bir yazılımın ilkel yöntemlerde tespit edilmesi imkansızdır. Memory analizi ve dinamik analiz yapılması gerekir.
Yorumlar
Yorum Gönder