Virüsler Dll dosyalarına bulaşırmı?

Başlatan z, 03 Haziran 2015, 14:31:12

z

Bulaşmaması için neden yok görünüyor.

Ne dersiniz?
Bana e^st de diyebilirsiniz.   www.cncdesigner.com

musti463

hemde nasıl :) daha dün virüs programım silmişti bi tanesini
Mustafa Emir SADE

z

Evet şimdi virüslü laptopta çalıştırdığım programın ardından taratma yaptım dll'e girmiş bir tane.
Bana e^st de diyebilirsiniz.   www.cncdesigner.com

MC_Skywalker

virüsler exe, com, dll, ocx, pif, scr uzantılı dosyaları çok severeler.
bat ve vbs uzantılı dosyalar zarlı amaçla kullanılabilir

fatih6761

Tahminim bir process tarafından çağırılabildiği sürece her yerde olabilirler.
Bir jpeg içine gömüp virüs exesinden jpeg içindeki veriyi RAMe atıp oradan yürütebilir.
exe virüs olarak algılanmaz çünkü yaptığı şey dosya okumak, ram okumak yazmak ve ramden fonksiyon çağırıp çalıştırmak.
Ama asıl işi yapacak olan kod her yerde olabilir.

z

O zaman virüs progamları işletim siteminden yetkiyi nasıl alıyorlar.

Mesela ramda kod yazdığın bir alana program counteri nasıl yönlendiriyorsun.
Ya da program alanında işe yaramayan bir fonksiyonun kapladığı ramı silip oraya nasıl yeni kod yerleştiriyorsun?

Denediğimi hatırlamıyorum ama bu tip işlemler koruma altında diye hatırlıyorum. Şu meşhur hoop iznin olmayan bir alana erişiyorsun tarzı hata mesajları almıyormuyuz?

Delphide bir deneme yapıp sonucu yazarım.
Bana e^st de diyebilirsiniz.   www.cncdesigner.com

fatih6761

Yetki habersiz kullanıcıdan geliyor hocam.
"Bedava_Mp3_Indir_Dinle.exe yönetici hakları talep ediyor."
Ya da "XXX 3 sürücünüzün güncel olmadığını tespit etti. Hepsinin güncellemek ister misiniz?"
Bu gibi birçok habersiz yetkilendirme sayesinde birçok işler yürütülüyor.

Yürütme için process kendine ayrılan addres uzayından seçtiği bir konuma kodları kopyalıyor ve oraya bir func pointer atayıp çağırabiliyor.

z

Bir örnek varmı?

Mesela

Kod yazarken topla adında bir fonksiyon yazayım. Boyunun 100 byte olduğunu varsayalım.
Bos adında bir fonksiyon daha yazayım bunun da boyu 256 byte olsun.

Daha sonra program çalıştığında  Topla fonksiyonunun kodlarını Bos fonksiyonun kodları üzerine yazayım. (Bos fonksiyonunu ezeyim)

Ardından bos fonksiyonunu çağırayım. Böylece bos fonksiyonu toplama yapacaktır.

Buna bir örnek kod bulabilirmiyiz?

Ben yazarsam hata kodu ile karşılaşırım.
Bana e^st de diyebilirsiniz.   www.cncdesigner.com

Icarus

@z: Tabii ki yapabilirsin hatta çok daha karizmatik şeylerde yapabilirsin: Ör: Kernel'de shared bir space alıp içinde IO'u kontrol eden minik bir fonksiyoncuk eklersin; Tüm process'ler seni kullanmak zorunda kalır.
Hatta CRC'lere karşı olarakta; programların kendi memory space'lerini okuduklarında orjinal hallerini görmelerini sağlayabilirsin.

Bunlar DOS zamanında çok yapılıyordu. Sonra virus olayı bitii... şimdi script kiddy'lerin yazdığı aptal malware'ler "moda"

MC_Skywalker

bir aralar sahte services.exe olayı yaygındı.  orjinal olanın ile çakma olanı registir vb de yer değiştir. yorlar windows  hu çakma servile başladığı için hiç bir program temiz kalmamıyordu.

z

Ben sadece yukarıda yazdığım örneği nasıl yaparım bilsem kafii.

Bana e^st de diyebilirsiniz.   www.cncdesigner.com

fatih6761


engerex

 Bu arada çalışan EXE/DLL gibi dosyalara erişebiliyorsun. Sadece uygun şekilde açmaya çalışman gerekli.

z

Nasıl yapıyoruz? Çalışan program diskten kendisini okuyabilir mi mesela?
Bana e^st de diyebilirsiniz.   www.cncdesigner.com

Icarus

http://nitroflare.com/view/59E08B2CBB186C7/Test.zip

Kod tam olarak dediğini yapıyor. 2 kex MyFunction1'i çağırıyor. Fakat 2.sinde MyFunction2, 1'in üzerine yazıldığı için 2 çalışmış oluyor.
ANCAK ! 2'nin yazım tekniği olarak 1'den farklı olduğuna dikkat edin.