Pack Crypting همون طور که از اسمش معلوم هست یک نوع و یک سری روش با استفاده از ابزار
هایی هست که دو لایه ی مختلف (این دولایه میتونند خودشون چندین لایه باشن) بر روی فایل مورد
نظر گذاشته میشود تا اون رو از دید برنامه های امنیتی مخفی نگه داره.در این روش با استفاده از یک
سری ابزار و با توجه به نوع فایل و رفتار آن در حین اجرا (از کتاب "کریپتر خود را بسازید") در فایل
تغییراتی ایجاد میکنیم.
*رفتار فایل های اجرایی بعد از اجرا (از کتاب "کریپتر خود را بسازید")
1.برنامه های Stand Alone
فایل های اجرایی Stand Alone مشهور ترین نوع فایل های اجرایی در برنامه های معمولی و معمولا
همه ی برنامه هایی که ما استفاده میکنیم هستند.این فایل ها رو به این صورت میشه توضیح داد که
این فایل ها بر اساس خودشون اجرا میشوند و در سیستم نصب و یا کپی نمیشوند.مثلا فایل
Explorer.exe یکی از مثلا های رایج این فایل هست.این فایل وقتی اجرا میشه هیچ جایی کپی و یا
نصب نمیشه و در واقع فقط خودش اجرا میشه مثل خیلی ار برنامه های دیگر که ما استفاده میکنیم.
2.برنامه های InsPhis
این نوع برنامه ها معمولا برنامه های جاسوسی مانند کیلاگر ها هستند.این فایل ها در یک محل
خاصی از سیستم نصب میشوند.نمونه ی این نوع برنامه ها سرور کیلاگر Rinlogger میباشد.مثلا من
اگر فایلی در درسکتاپ دارم که نامش Myserver.exe هست اگر من این فایل رو اجرا کنم این فایل از
خودش در سیستم با نام مثلا installed.exe کپی میکنه و سپس همین فایل installed.exe رو اجرا
میکنه و درواقع در تسک منیجیر هیچ اثری از فایل اولیه که Myserver.exe بود وجود نداره.
3.برنامه های InjPhis
برنامه های InjPhis کاملا برنامه های متفاوتی از دو دسته ی قبلی هستند.این برنامه ها خودشون رو
به یک برنامه ی معمول که همیشه در سیستم اجرا میشه تزریق میکنن و در واقع هیچ اثری از فایل
اجرایی اصلی خودشون در تسک منیجیر به جا نمیگزارند. سرور برنامه ی DarkComet یکی از نمونه
های این نوع فایل هست که به دو فایل iexplorer.exe و یا explorer.exe تزریق میشوند.
**دو لایه ی اصلی دارای چندین لایه ی متفاوت
لایه های اصلی در روش Pack Crypting دو لایه هستند که به دلیل نوع تغییراتی که بر روی فایل
اعمال میکنند با هم تفاوت دارن.در فیلمی که در اول تاپیک گذاشتم دیدید که چگونه سرور Rinlogger
رو کریپت کنید. این روش چهار قسمت داشت که به این ترتیب بود:
1.پچ کردن سرور با pemaker
2.کور کردن سورس با Clisource
3.پچ کردن سرور با pemaker دوباره
--------------------------------------
4.پک کردن سرور با برنامه ی Virtual کننده
در قسمت های بالا دیدید که این 4 قسمت هر کدام تغییر در فایل ایجاد میکنند اما در کل 2 لایه
تغییرات در فایل ایجاد کرده اید.(با خط تیره جدا کردم)
+لایه ی اول قسمت 1 تا 3 میباشد. به این دلیل این قسمت ها لایه ی اول نامیده میشوند که در
واقع اعمالی که در این قسمت ها بر روی فایل انجام میشود در "خود فایل سرور" تغییر ایجاد
میکند.این اعمال سورس اصلی سرور را تغییر میدهد و در واقع "درون فایل سرور" تغییر ایجاد کرده
است.دقت داشته باشید قسمت اول مهمترین قسمت این روش است. به این دلیل که بعد از اجرا
شدن سرور فایل از پکیج خارج میشود و به لایه ی اول باز میگردد و بر پایه ی لایه ی اول اجرا میشود
پس مهمه که در روی این لایه به خوبی کار شود. مثلا در اولین ویدئوی این تاپیک که آموزش کریپت
کردن سرور Rinlogger با روش Pack Crypting بود به دلیل این که Rinlogger با زبان #C نوشته شده
پس متوجه شدم که میشود سورس این فایل رو کور کرد پس از برنامه ی Clisource استفاده کردم.
+لایه ی دوم قسمت 4 میباشد که در واقع لایه ای هست که فایل اصلی رو میپوشونه. باز هم
بستگی به نوع فایل و روش کار فایل این روش میتونه متفاوت باشه.در آموزش اول این تاپیک من فایل
رو در پایان مجازی کردم تا فایل به صورت مخفی اجرا بشه. این کمک میکنه که لایه ی اول مخفی
باشه و شناسایی نشه.
در قسمت بعدی بیشتر درباره ی لایه ی دوم توضیحاتی خواهم داد.
0 نظر:
Post a Comment
تشکر از نظر شما.