UPX Nedir ?
Ultimate Packer for eXecutables yani calistirilabilir dosyalarin SIKISTIRILMASINA yarayan cok etkili bir programdir.
Oncelikle trojanlarin nasil yakalandigini genel manada cok kisaca incelersek, Anti Virusler trojanlarin
Headerlarindan dijital birtakim hex karakterleri cekip bunlari kendi databaselerine atarlar. Daha sonra, makinanizdaki
tum .exe uzantili dosyalari kendi DB lerindeki bu headers hex kodlari ile karsilastirip, birebir tutanlari trojan
olarak algilayip silerler. Gelismis bircok AV, bu islemlerde artik bildigimiz gibi sadece Headerlari degil, trojanlarin
executable kisimlarinin ilk 10 KB ini, son 10 KB sini cekerler. Hatta birtakim kaliteli AV lerde bu islem, random olarak
yapilir. Yani rastgele cekilmis belirli kisimlar farkli olarak DB ye kaydedilir
ve karsilastirma bu random sellected hexler ile karsilastirilir.
Heuristic Approach nedir?
Heuristic Approach, kaliteli AV sirketlerinin artik yaygin olarak kullandigi fakat hala randiman olarak %100
bir verim alinamamkla beraber tercih edilen bir yontemdir. Bu sisteme gore AV ler, executable dosyalarin (Attribute)
hareket tarzlarina bakarak onlarin zararli olup olmadiklarina karar verirler.
Ornegin calistirdiginiz program, makinanizda bir port acip anormal duzeyde packet gonderimi yapiyorsa.
AV niz bunu bir Flooder olarak algilar ve engeller. Veya yeni bir worm turu ciktiysa ve bu worm makinanizda bir
SMTP motoru calistirip disariya yuksek miktarda veri yolluyorsa, bu da AV niz tarafindan tespit edilir.
Neden bu yaklasimin tam verimli olmadigina gelirsek; AV ler bu tur Attributelara tepki vermek icin programlandiklari
icin, makinanizda zararli olmasa bile buna benzer bir Attribute yapan bir executable dosyayi da engelleyeceklerdir.
Ornegin, gecenler ogrencilerime yazdirdigim bir FTP Toolu McAfee, su uyari ile calismasini durdurmustur;
This program is attempting a dangerous action! The action has been blocked!
Yani bu program zararli bir aksiyon yapmaktadir. Aksiyon bloke edilmistir.
Nedeni de, programin makinadaki 21 portunu acarak disariya baglanmasi ve veri aktarimi yapmasidir.
Bu demek degildir ki AV ler butun FTP programlarini yakalayacak. Hayir, piyasada bilinen tum FTP programlari
hemen hemen bu AV ler tarafindan bilinmektedir. Benim ogrencilerime yazdirdigim FTP tool, taninmadigindan dolayi
boyle bir bloke ile karsilasilmistir. Iste Heuristic Approach a olan guvensizligi olusturan nedenlerden biri budur.
Neyse konumuza donecek olursak, kullandiginiz trojan AV lere yakalanmaya basladiysa,
bu trojani UPX yardimi ile SIKISTIRABILIRSINIZ.
SKIŞTIRMA İşlemi Yapıldığında Ne Olur ?
SIKISTIRMA islemi yapildiginda iste AV lerin cektigi Headers Hex kodlari degismis olur.
Cok kaliteli AV lerde bu bazen pek ise yaramaz.
Ama genel manada trojaninizi pek cok AV den rahatlikla bypass edebilirsiniz.
UPX'i Nasıl Kullanırım ?
Once UPX inizi download edin ve C:// klasorunuzun icine tum dosyalari ile yerlestirin.
Daha sonra olusturdugunuz trojan serverini da ayni klasorun icine yerlestirin. (C:server.exe)
Daha sonra UPX dosyasini tiklayin ve calistirin.
DOS komutuna dusun.
Trojaninizi oncelikle Unpack etmeyi deneyin. Cunku Trojaniniz onceden pack edilmis olabilir.
Nasıl Unpack Edilir ?
C:\upx -d server.exe
Unpack oldugunda asagidaki gibi bir yazi cikacaktir:
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe
Unpacked 1 file.
Şimdi Serverimizi Tekrar Pack Edelim ;
C:\upx -5 server.exe
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe
Packed 1 file.
Dikkat ettiyseniz burada serverimizi seviye 5 ile pack ettik. Cunku seviye 5, orta hizda SIKISTIRMA islemi yapar. Bu islem,
serverinizi birtakim ozellikle bedava AV lerden %50 sans ile kaciracaktir.
Eger olmadiysa serverinizi seviye 9 ile pack edin.
Bunun icin oncelikle seviye 5 ile pack ettigimiz dosyamizi unpack etmemiz gerekir.
Burada Yeniden Unpack İşlemini Tekrarlıyoruz ;
C:\upx -d server.exe
Unpack oldugunda asagidaki gibi bir yazi cikacaktir:
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe
Unpacked 1 file.
Simdi tekrar pack ediyoruz fakat bu sefer seviye 9 ile yapiyoruz ;
C:\upx -9 server.exe
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe
Packed 1 file.
Bu yöntem ile bircok AV den %70 oraninda serverinizi kacirabilirsiniz.
Tabii ki sunu unutmamak gerekir ki, pack etmeye yani SIKISTIRMAYA calistiginiz trojan serverinizin onceden SIKISTIRILMIS
olmamasi gerekmektedir. Eger SIKISTIRILDIYSA da bu islemin UPX ile yapilmis olmasi gerekmektedir.
Baska bir Pack tool ile SIKISTIRILMIS trojan serverini UPX ile Unpack edemezsiniz.
UPX ile SIKISTIRILMIS bir trojan ornegi Vatos Ajan dir. Kaspersky den bu yontemle bu trojani kacirmak cok zordur fakat
free olan AV lerden kolaylikla kacirabilirsiniz tabii ki eger free AV lerde calisma sistemlerini degistirmedilerse
Kolay gelsin.!!!
Ultimate Packer for eXecutables yani calistirilabilir dosyalarin SIKISTIRILMASINA yarayan cok etkili bir programdir.
Oncelikle trojanlarin nasil yakalandigini genel manada cok kisaca incelersek, Anti Virusler trojanlarin
Headerlarindan dijital birtakim hex karakterleri cekip bunlari kendi databaselerine atarlar. Daha sonra, makinanizdaki
tum .exe uzantili dosyalari kendi DB lerindeki bu headers hex kodlari ile karsilastirip, birebir tutanlari trojan
olarak algilayip silerler. Gelismis bircok AV, bu islemlerde artik bildigimiz gibi sadece Headerlari degil, trojanlarin
executable kisimlarinin ilk 10 KB ini, son 10 KB sini cekerler. Hatta birtakim kaliteli AV lerde bu islem, random olarak
yapilir. Yani rastgele cekilmis belirli kisimlar farkli olarak DB ye kaydedilir
ve karsilastirma bu random sellected hexler ile karsilastirilir.
Heuristic Approach nedir?
Heuristic Approach, kaliteli AV sirketlerinin artik yaygin olarak kullandigi fakat hala randiman olarak %100
bir verim alinamamkla beraber tercih edilen bir yontemdir. Bu sisteme gore AV ler, executable dosyalarin (Attribute)
hareket tarzlarina bakarak onlarin zararli olup olmadiklarina karar verirler.
Ornegin calistirdiginiz program, makinanizda bir port acip anormal duzeyde packet gonderimi yapiyorsa.
AV niz bunu bir Flooder olarak algilar ve engeller. Veya yeni bir worm turu ciktiysa ve bu worm makinanizda bir
SMTP motoru calistirip disariya yuksek miktarda veri yolluyorsa, bu da AV niz tarafindan tespit edilir.
Neden bu yaklasimin tam verimli olmadigina gelirsek; AV ler bu tur Attributelara tepki vermek icin programlandiklari
icin, makinanizda zararli olmasa bile buna benzer bir Attribute yapan bir executable dosyayi da engelleyeceklerdir.
Ornegin, gecenler ogrencilerime yazdirdigim bir FTP Toolu McAfee, su uyari ile calismasini durdurmustur;
This program is attempting a dangerous action! The action has been blocked!
Yani bu program zararli bir aksiyon yapmaktadir. Aksiyon bloke edilmistir.
Nedeni de, programin makinadaki 21 portunu acarak disariya baglanmasi ve veri aktarimi yapmasidir.
Bu demek degildir ki AV ler butun FTP programlarini yakalayacak. Hayir, piyasada bilinen tum FTP programlari
hemen hemen bu AV ler tarafindan bilinmektedir. Benim ogrencilerime yazdirdigim FTP tool, taninmadigindan dolayi
boyle bir bloke ile karsilasilmistir. Iste Heuristic Approach a olan guvensizligi olusturan nedenlerden biri budur.
Neyse konumuza donecek olursak, kullandiginiz trojan AV lere yakalanmaya basladiysa,
bu trojani UPX yardimi ile SIKISTIRABILIRSINIZ.
SKIŞTIRMA İşlemi Yapıldığında Ne Olur ?
SIKISTIRMA islemi yapildiginda iste AV lerin cektigi Headers Hex kodlari degismis olur.
Cok kaliteli AV lerde bu bazen pek ise yaramaz.
Ama genel manada trojaninizi pek cok AV den rahatlikla bypass edebilirsiniz.
UPX'i Nasıl Kullanırım ?
Once UPX inizi download edin ve C:// klasorunuzun icine tum dosyalari ile yerlestirin.
Daha sonra olusturdugunuz trojan serverini da ayni klasorun icine yerlestirin. (C:server.exe)
Daha sonra UPX dosyasini tiklayin ve calistirin.
DOS komutuna dusun.
Trojaninizi oncelikle Unpack etmeyi deneyin. Cunku Trojaniniz onceden pack edilmis olabilir.
Nasıl Unpack Edilir ?
C:\upx -d server.exe
Unpack oldugunda asagidaki gibi bir yazi cikacaktir:
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe
Unpacked 1 file.
Şimdi Serverimizi Tekrar Pack Edelim ;
C:\upx -5 server.exe
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe
Packed 1 file.
Dikkat ettiyseniz burada serverimizi seviye 5 ile pack ettik. Cunku seviye 5, orta hizda SIKISTIRMA islemi yapar. Bu islem,
serverinizi birtakim ozellikle bedava AV lerden %50 sans ile kaciracaktir.
Eger olmadiysa serverinizi seviye 9 ile pack edin.
Bunun icin oncelikle seviye 5 ile pack ettigimiz dosyamizi unpack etmemiz gerekir.
Burada Yeniden Unpack İşlemini Tekrarlıyoruz ;
C:\upx -d server.exe
Unpack oldugunda asagidaki gibi bir yazi cikacaktir:
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 <- 71680 37.63% win32/pe server.exe
Unpacked 1 file.
Simdi tekrar pack ediyoruz fakat bu sefer seviye 9 ile yapiyoruz ;
C:\upx -9 server.exe
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002
File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21% win32/pe server.exe
Packed 1 file.
Bu yöntem ile bircok AV den %70 oraninda serverinizi kacirabilirsiniz.
Tabii ki sunu unutmamak gerekir ki, pack etmeye yani SIKISTIRMAYA calistiginiz trojan serverinizin onceden SIKISTIRILMIS
olmamasi gerekmektedir. Eger SIKISTIRILDIYSA da bu islemin UPX ile yapilmis olmasi gerekmektedir.
Baska bir Pack tool ile SIKISTIRILMIS trojan serverini UPX ile Unpack edemezsiniz.
UPX ile SIKISTIRILMIS bir trojan ornegi Vatos Ajan dir. Kaspersky den bu yontemle bu trojani kacirmak cok zordur fakat
free olan AV lerden kolaylikla kacirabilirsiniz tabii ki eger free AV lerde calisma sistemlerini degistirmedilerse
Kolay gelsin.!!!