ဒီပုိ႔စ္မွာ ကြ်န္ေတာ္ Crypter အေၾကာင္းကုိ ကြ်န္ေတာ္နားလည္မိသေလာက္
ေရးၾကည့္ပါမယ္။ Crypter ဆုိတာကေတာ့ ကြ်န္ေတာ္တုိ႔ ဖန္တီးလုိက္တဲ့ Virus,
RAT, Keylogger စတဲ့ Tool ေတြကုိ Antivirus ေတြမသိေအာင္ လုပ္ထားတဲ့
ေဆာ့ဝဲလ္တစ္ခုလုိ႔ ေျပာႏုိင္ပါတယ္။ Crypter အလုပ္လုပ္တာကေတာ့
ကုိယ္လုပ္ထားတဲ့ Tool ရဲ႕ source code ေတြကုိ antivirus ေတြမသိေအာင္
ဝွက္လုိက္တာပဲျဖစ္ပါတယ္။ Antivirus ေတြအေနနဲ႕ Virus တစ္ခုကုိ Detect
ျဖစ္ဖုိ႔ အဲဒီေဆာ့ဝဲလ္ရဲ႕ souce code ေတြကုိ split အရင္လုပ္ျပီး သံသယရွိတဲ့
string ေတြကုိလုိက္ရွာပါတယ္။ ဥပမာ souce code ထဲမွာ file ေတြကုိ မတာရား
ေကာ္ပီကူးခုိင္းတဲ့ code ေတြပါဝင္ေနတာမ်ဳိးေပါ့။ ဒါဆုိရင္ antivirus က အဲဒီ
program ကုိ detection ျဖစ္ျပီး ကုိယ္ရဲ႕ RAT ဟာ အဖ်က္ခံရမွာပါ။
FUD Crypter
FUD ဆုိတာက Fully UnDetectable ကုိရည္ညြန္းတာပါ။ FUD Crypter အလုပ္လုပ္ပုံကုိ ကြ်န္ေတာ္အနည္းငယ္ရွင္းျပပါမယ္။ ကြ်န္ေတာ္တုိ႔ program တစ္ခုေရးလုိက္တယ္ဆုိပါစုိ႔။ ေအာက္မွာနမူနာေလးၾကည့္ပါ။
Original Exe Crypted Exe
001————- 010 101————-110
100|Original File|000 > -> Cryptor -> -> 010|Original File|110
010————- 111 110————-010
FUD ဆုိတာက Fully UnDetectable ကုိရည္ညြန္းတာပါ။ FUD Crypter အလုပ္လုပ္ပုံကုိ ကြ်န္ေတာ္အနည္းငယ္ရွင္းျပပါမယ္။ ကြ်န္ေတာ္တုိ႔ program တစ္ခုေရးလုိက္တယ္ဆုိပါစုိ႔။ ေအာက္မွာနမူနာေလးၾကည့္ပါ။
Original Exe Crypted Exe
001————- 010 101————-110
100|Original File|000 > -> Cryptor -> -> 010|Original File|110
010————- 111 110————-010
ဒါက ဘာကုိဆုိလုိတာလဲဆုိေတာ့ File Size ၾကီးသြားတာကုိေျပာတာပါ။ ဒါေၾကာင့္
ေယဘုယ်အားျဖင့္ FUD Crypter ေတြဟာ AV ေတာ္ေတာ္မ်ားမ်ားေတြကုိ bypass
လုပ္ႏုိင္ေပမယ့္ ဖုိင္ဆုိဒ္ၾကီးတာကုိေတာ့ လုပ္လုိ႔မရပါဘူး။ ဥပမာ original
exe ရဲ႕ file size က 10KB ရွိတယ္ဆုိရင္ crypt လုပ္ဖုိ႔က ေနာက္ထပ္ 100 KB
လုိအပ္မွာျဖစ္ပါတယ္။ ဒါေၾကာင့္ 10 KB ရွိတဲ့ program တစ္ခုဟာ 110 KB
ေလာက္ရွိသြားပါမယ္။ 10 ဆေလာက္ကုိၾကီးသြားတာ။ ကြ်န္ေတာ္ကေတာ့ FUD ေတြဘာေတြမလုပ္ဖူးေတာ့ အတိအက်ေတာ့မသိဘူးရယ္။
ကြ်န္ေတာ္တုိ႔ အေနနဲ႔ original exe ရဲ႕ file size ကုိအတိအက်သိခဲ့မယ္ဆုိရင္
FUD Crypter ကုိသိႏုိင္တာေပါ့ေနာ္။ ဒါေပမယ့္ ခုေနာက္ပုိင္း AV ေတြလည္း FUD
ေတြကုိ Detect ျဖစ္လာပါျပီ။ တကယ့္ကုိ FUD ျဖစ္တဲ့ Tool တစ္ခုဟာ Public
မွာမရွိႏုိင္ပါဘူး။ ရွိမယ္ဆုိရင္လည္း AV ကသိမွာျဖစ္ပါတယ္။ ပုံမွန္ FUD
တစ္ခုဟာ Public ျဖစ္ျပီး ၂ ရက္ ၃ ရက္အတြင္း AV Detect ျဖစ္ပါတယ္။ ဒါေၾကာင့္
FUD ျဖစ္တဲ့ Tool တစ္ခုကုိ ရွာဖုိ႔ဆုိရင္ Hackforum ေတြထဲမွာသာ
ရွာလုိ႔ရပါလိမ့္မယ္။ Skill ရွိတဲ့ programmer တစ္ေယာက္ေယာက္ကထြင္ထားျပီး
public မလုပ္ေသးခင္ေပါ့။ ကုိယ့္လုပ္ထားတဲ့ (ဒါမွမဟုတ္ ရထားတဲ့) RAT တစ္ခု
FUD ျဖစ္/မျဖစ္ http://scanner.novirusthanks.org
မွာသြားျပီးစစ္ေဆးၾကည့္ႏုိင္ပါတယ္။ အဲဒီမွာ Do not distribute the sample
ဆုိတဲ့ check box ကုိေတာ့ check လုပ္ထားေပါ့ေနာ္။
ေနာက္ထပ္အေရးၾကီးတဲ့ဟာတစ္ခုကေတာ့ ကုိယ့္ရဲ႕ FUD ကုိ http://www.virustotal.com မွာသြားျပီး မစစ္ေဆးမိဖုိ႔ပါပဲ။ သူ႕ဆီမွာသြားျပီး စစ္ေဆးလုိ႔ကေတာ့ အဲဒီ နမူနာဖုိင္ကုိ auto distrubute
လုပ္ပစ္လုိက္မွာပါ။ ဒါဆုိရင္ ကုိယ္လုပ္ထားတဲ့ RAT ဟာ FUD
မျဖစ္ႏုိင္ေတာ့ပါဘူး။ ကြ်န္ေတာ္တုိ႔ အေနနဲ႔ FUD ေတြကုိ
အင္တာနက္မွာရွာၾကည့္ႏုိင္ပါတယ္။ public မဟုတ္ဘဲ indivual ပုံစံ
ရွယ္ထားတာမ်ဳိးေပါ့။ ကြ်န္ေတာ္အေနနဲ႕ FUD တစ္ခုကုိဘယ္လုိလုပ္မွာလဲဆုိတာ
ေျပာျပခ်င္ေပမယ့္ ေသခ်ာမလုပ္ဖူးေသးလုိ႔ အေသးစိတ္မေျပာျပႏုိင္ပါဘူး။ BT ကေန
အဲလုိအေကာင္တစ္ခုလုပ္လုိ႔ရတယ္လုိ႔ေတာ့ ေတြ႕ဖူးတယ္။ 
ဒါေပမယ့္ အေသးစိတ္မစမ္းဖူးေတာ့ အမ်ားၾကီးမေျပာျပႏုိင္တာ
နားလည္ေပးၾကပါခင္ဗ်။ Veil ကုိသုံးျပီး FUD တစ္ခုျပဳလုပ္နည္းကုိ အဆင္ေျပရင္ ဆက္ေရးပါအုံးမယ္။ ဒီပုိ႔စ္ကုိေတာ့ FUD Crypter Basic
အျဖစ္သာရည္ရြယ္ပါတယ္။
ဒါေပမယ့္ အေသးစိတ္မစမ္းဖူးေတာ့ အမ်ားၾကီးမေျပာျပႏုိင္တာ
နားလည္ေပးၾကပါခင္ဗ်။ Veil ကုိသုံးျပီး FUD တစ္ခုျပဳလုပ္နည္းကုိ အဆင္ေျပရင္ ဆက္ေရးပါအုံးမယ္။ ဒီပုိ႔စ္ကုိေတာ့ FUD Crypter Basic
အျဖစ္သာရည္ရြယ္ပါတယ္။
MSF မွာကြ်န္ေတာ္ရဲ႕ကုိယ္ပုိင္ Thread ေလးကုိျပန္ကူးထားပါသည္။
Read @ http://www.4sectors.com/forum/showthread.php?tid=1117&pid=3784#pid3784
My Next Post: Veil AV Evasion Part I [Installation]
![[MSF]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhirDSlE-BtL225zcwELV-uPG7ShLpQFgYa1B0UAdhebnIIaTM_0_rOPHwId-npaYzO06muISuLmBsRyp5MX83eBBYyDEKmSt-fT-E7WgkrKLn1TKeY5bb2gRuof1vQlhx5MHDUDjgwOko/s1600/4sec.png){kind=small}
No comments:
Post a Comment
If you good, i don't bad. if you think you can bark me, I think i can also fuck you. I'm just ordinary person. Is that OK? :)