Mega Code Archive

 

Categories / Delphi / Forum

 

Neoturk - antivirus araştırmaları

herkese merhaba, nostaljiye devam...... ------------------------------------------------------------- Son zamanlarda yaptığım hummalı araştırmalar netice vermeye başladı.. malum, biliyorsunuz ki serverları yayınlayamamanın nedenlerinden birisi de Symantec AntiVirus™ Corporate Edition nasıl pass geçirebileceğim konusuydu... şu an itibariyle yayınlasaydım zaten hemen tanınacaktı ve verimli olmayacaktı.. dediğim gibi serveri maximum düzeyde tutmak için halen teorik ve pratik araştırmalarıma devam etmekteyim.. bir kaç unsur kaldı halletmem gereken onları da bitirdiğimde yayınlayacağım Welcome to Symantec AntiVirus™ Corporate Edition, a powerful, easy-to-use utility that protects your computer environment from the damaging effects of virus activity. Symantec AntiVirus runs on non-networked computers, or on networked business computers managed with the Symantec System Center. Symantec AntiVirus for standalone computers provides complete antivirus protection and prevention for your personal computer. Symantec AntiVirus for networks includes complete virus protection features, plus the added benefits of automatic virus definitions updates, client configuration controlled by a network administrator, and a centrally-managed, virus-free network environment. Copyright 1999-2002, Symantec Corp. All rights reserved. yaptığım deney ve analiz sonuçlarını söylim, bu network ağında çalışan ve herhangi bir sunucu üzerinden tüm pc leri tarayan bu nav programının herhangi bir pc ye kurulduktan sonra imha edilmesi başarıyla tamamlanmıştır. Dosyalara hiç bir şekilde zarar vermeden bunu sanırım başarıyorum artık. bu konuyu merak edenlere şunları denemelerini istiyorum, windows2000 ortamında nav programının çalışmasını durdurmak isterseniz ne yaparsınız?.. bunu programlama ile yapabiliyorsanız bu gayet güzel bir olay ve şaşırtıcı bir durum(!).. ben bunu sanırım başardım.... böyle giderse hemen hemen bir çok anti-virus veya fw ye karşı bir şeyler yapacağım, ancak buna vaktim müsaid olmuyor... eskisi kadar vakit ayıramıyorum... norton internet securityi detaylı olarak araştırmadım, sanırım serverların ilk sürümlerini de bu olayı araştırmadan yayınlamak zorundayım, çünkü böyle giderse serverların yayınlanması epey zor olacak... olsun varsın, şimdilik NIS tarafından tanınsın ( tanınacak ), ama en azından w2000-network ortamında nav programını disable yaptırabiliyorsam ve çalışmasını kesebiliyorsam bu benim için büyük bir başarıdır, sizlerin de denemesini rica ediyorum, w2000 ortamında bu NAV normalde kendisini ne sildirir, ne sonlandırır ne de bi halt ettirir... taş gibidir... buyrun denemesi bedava HABER -2 : ( yeni keşifler yeni buluşlar ) NAV ı da hallettikten sonra bugünlerde NPFW ( norton personel fire wall ) yi incelemeye ve mercek altına almaya başladım... sanırım bunu da aşmayı başardım.... yaptığım denemelerde NPFW yi açılışta hafızaya yüklettirmemeyi başardım.. ( bu denemeler windows2000 de yapılmıştır, ve defalarca da test etdilmiştir ) gerekli cerrahi müdahaleyi yapıp tekrar restart attıktan sonra baktım ki hiç biri çalışmadı... gidip manuel olarak çalıştırmak istediğimde de sırasıyla şu mesajları aldım: hata mesajı: this feature is not available when Norton Personal Firewall is disabled. TAMAM ardından devam etti: Microsoft Visual C++ Runtime Library Runtime Error! program: C:......exe abnormal program termination TAMAM yani NAV familiasını aşan bir serveri sanırım başarıyla yaptım... elbette kendini gizleyemeyecek, ve userdan onay isteyecek.. ancak user, yes de dese no da dese NAV familiasına elveda diyebiliriz... böylece azimle sıçanın duvarı delebileceğini bir kez daha kendime kanıtlamış bulunmaktayım.. araştırmalara devam.. sırada sgate ve NIS var... bu buluşlarımın bir ilk olduğu kanısındayım... umarım yanılmıyorumdur... HABER -3 : ( win98 denemeleri ) Norton Anti Virus - 2000 programını mercek altına aldığımda açık söylemek gerekirse bu programın kullandığı mantığı ben daha çok beğendim.. çünkü NAV-CE versiyonuna göre bence biraz daha akıl dolu bir yöntemler serisi kullanıyor.. ayrıca bu programı hafızadan kill etme işlemlerinin kendi pcim açısından olumsuz sonuçlara yol açtığını söylemek istiyorum. yani mail bileşenlerini kısıtladığını gördüm böyle bir işlem sonucunda.. yeni serverimin bu NAV-2000 i kill etmemesine izin verdim, NAV2000 çalışmaya devam edecek... tabii tanındığında yakalanacaktır server, ancak 2000 in de güncellemeleri sona erdiği için 2003 e terfi etmek gerekiyor... 2003 versiyonunu incelemedim.. Windows98 de mercek altına aldığım NPFW programının da pek fazla kullanışlı olduğunu söyleyemeyeceğim... w2000 versiyonu daha çok zorlamıştı beni, ancak bu 98 işini pek tutmadım... yani NPFW programı işleyiş olarak son derece Güzel, ancak zayıf kalıyor.. yani bu programı uçurmak ve tahtalı köye göndermek son derece mümkün olmakta... takılacağım tek konu ise serverimin karantinaya alınacağı gün geldiğinde bunu nasıl engelleyebileceğim konusu... serverim db lere geçtiği vakit er-geç karantinaya alınacaktır... ancak bu db lerin güncellemesini durdurabildiğim için buna da kısmen de olsa bir çözüm gelmiş gibi görünüyor, şimdilik... NAV familiasına hiç bir zarar vermiyorum, ancak zarar verebilme durumu da söz konusu olabilir.. çünkü hafızadan atabildiğime göre üzerinde ne istersem yapabiliyorum.. ( normal şartlarda hiç bir işlem yapmanıza izin vermiyor biliyorsunuz ) bakalım zaman ne gösterecek... araştırmalara devam ediyorum, social engineering not: serverları en kısa sürede yayınlayacağım, reaksiyonları görmem gerek, daha sonra kaldığım araştırmalara devam ederim.. şimdilik bu kadar araştırma yeter.. böyle giderse bu serverlar çıkmaz :]] HABER -4: ( NIS platform w2000 ) Norton Internet Security - Version 4.0 programını incelediğimde, yapı itibariyle NPFW ile aynı olduğunu gördüm. Ancak NIS umduğumdan biraz daha zayıf çıktı, bana göre.... PC ye w2000 ortamında NIS i kurduğumda ( çalışan tüm socket programlarını gösterebiliyor ve istenileni bloke edebiliyor ) kendi serverimi de denedim... elbette serverimin çalışması için benden onay istedi... izin vermedim ve dolayısı ile serverim bloke edildi.. ancak serverim buna karşın NIS in canına okudu... ( ne ekersen onu biçersin ).. restart çektiğimde NIS kendisini active edemedi, işin tuhaf yönü de hafızadan kaldırılamayan yan modül programlarını da tetikleyemedi.. ( tetiklettirmem! ) ve NIS e bye-bye... ( dosyalarına hiç bir şekilde zarar vermedim, ancak rahat durmadığı için bir çılgınlık düşünebilirim ) GENEL YORUMLAR: -------------------------- hemen hemen tüm NAV familiasını incelemiş durumdayım... w98 de pek sağlıklı test ettiğim söylenemez, çünkü zamanım ve imkanım olmadı... serverlerim w98 de daha başarısız olacaklar buna garanti verebilirim.. ayrıca, önce NAV familialarına verdiğim zarardan ötürü bundan sonra kurduğum ( ne yaptıysam artık ) hiç bir NAV programı doğru dürüst kurulamadı... abuk subuk hatalar verdi vs vs... ama çalışmaktaydı sorunsuz.. yine de kafayı yemiş bir biçimde çalışması bile programların güvenilirliği konusunda beni düşündürdü şahsen... yani para ile alınan lisanslı bir NAV familasının her türlü saldırıya açık olması ( doğal olarak ) ve yine de sarhoş gibi sapması beni hem düşündürdü hem güldürdü açık konuşmak gerekirse... yaptığım baba deneylerden bir diğeri de zonealarm konusunda idi... zonealarm programının karmaşık olduğunu söylemeliyim.. bunu itiraf ediyorum.. ve eminim ki yeni kullanıcılar bilinç-dışı bir kullanım yapıyorlar.. bunu da söylemekte fayda görüyorum... zonealarmda da şu şekilde bir problem ile karşılaştım, zonealarma verdiğim zarardan dolayı bu program, illa sorunu halletcem-çözcem diye kendi sitesine yönlendiriyor her ne kadar sayfa açılırsa açılsın... bu da gına getiriyor.. e zaten yapabileceğin bi halt yok, neyine gidiyon siteden yardım istiyon vs... yani acayip sinirlendirdi beni... uninstall ettiğimde rahatladım ve bi daha da kurmadım... ( doğru dürüst sitelere giremiyordum bile! düzeltecek ya kafasına göre.. tutturmuş zonelabs. bilmem ne... ) diğer kullanılan revaçta olan programlar arasında da bir çok deneyler yaptım... ve sonuçta şunu öğrendim ki, %100 güvenlikli bir sistem olamaz.. her güvenlik bir açığı, her açık bir güvenliği beraberinde getirir.. bu her yerde böyledir böyle süregelmiştir.. ve tekrar şunu söylemeliyim ki en iyi güvenlik USER'in KENDİSİNDEDİR ! ( para verip kendisini güvende sanan, salakça kullanımlardan dolayı sistemde açık oluşturmayı başaran, olup bitenden haberi olmayan bir Çakal Kullanıcıyı yadırgamak zorundayım... Acemilere bir şey demiyorum, onlara sonsuz saygım var, bilmemek ayık değildir, fırsatı varken araştırmayıp sap gibi duran ot bir kullanıcı ve üstüne üstlük para verdiği bir sisteme %100 güvenip sisteme bişey olmaz diyen kullanıcıya şunu söylemek isterim: "vay o kullanıcının haline" ) Bİlginin Efendisi Olmak için Çalışmanın Kölesi Olmak Zorundayız.... - social engineering - saygılarımla_ xxnt03@lycos.co.uk neoturk