Zemana Blog

Zemana AntiLogger, Para okurlarina hediye

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 13 Oct 2009 09:06:00 +0000

Bu hafta Para dergisi , tüm okurlara, tam sürüm 1 yıllık Zemana AntiLogger kurulum CD'si hediye ediyor. Farsatı kaçırmayın.

Güncelleme zamanı

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 28 Sep 2009 15:29:00 +0000

Zamana AntiLogger, Sistem Savunma modulunde onemli bir zafiyet bildirildi ve az once yayinladigimiz 1.9.2.150 sürümünde sorun giderildi.

Zemana AntiLogger’ı güncellemenizi öneririz.

Açığın bildiriminde ve çözümünde, katkılarından dolayı, utkusoft, teakolik ve civil engineer'e çok teşekkür ederiz.

Konu hakkında teakolik'in değerlendirmesi.

Iyi Bayramlar!

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 18 Sep 2009 13:36:00 +0000

Herşey para için!

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 18 Sep 2009 12:37:00 +0000

Bu derece karmaşık ve akıllı virüslerin arka planındaki kişileri harekete geçiren motivasyon, ancak paradır.

Bu kişiler, programlama yeteneklerine sahip olan ve medyanın dikkatini hedefleyen lamer gençler değil, suç niyetli profesyonel malware programcıları.

NOT: AntiLogger, sezgisel defense modülü sayesinde, ilgili zararlının sisteme infecte olmasını başarı ile engelledi.

Authenticode Challange 3 - Sonucu

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 16 Sep 2009 14:26:00 +0000

Aslında bu yarışma her ne kadar bir öncekinden zor olsa da, aslında çok zor değildi. Çünkü en önemli husus olan, PE dosyasının cheksum'unu değiştirildiğinde, imzanın bozulmadığını 1. yarışmada belirtmiştik.

Bu yarışmada kullanılan exe de, hiç bir packer/crypter/protector kullanılmadığı için, herhangi bir disassembler ile koda baktığımızda , programın kendisinin crc32 değerini hesapladığını ve bu değer 0x0000BAC2 ise istediğimiz mesajı verdiğini görüyoruz.

Soru şu idi;
Bu değeri elde etmek için, IMAGE_OPTIONAL_HEADER->CheckSum'a nasıl bir değer atamaliydık ki dosyanın crc32 değeri 0x0000BAC2 olsun?

Cevap; uzunca bir sure, 32 bitlik bir değere brute force yaparak olabilirdi ,ancak crc32 algoritmasını google'da biraz araştırdığımızda alttaki cümleye ulaşıyoruz.
"The CRC-32 is neither keyed nor collision-proof"
ve bunu anında kırabilecek bir tool aradığımızda Julien Tinnes'in crctools(tweakcrc) programını buluyoruz ve resimde görüldüğü gibi, 1 saniyede puzzel'i çözmüş oluyoruz.

Bir sonraki yarışma, biraz daha assembly bilgisi gerektirecek ve hediyesi de güzel olacak, yakında hazırlayıp bloğa post edeceğim.

Virus, Delphi derleyicisinden yayılıyor

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 07 Sep 2009 12:44:00 +0000

Sunbelt Tehdit Araştırma ve Teknoloji Başkan Yardımcısı Michael St. Neitzel’e göre, Delphi, ABD’den daha fazla Avrupa ve Rusya’daki geliştiriciler tarafından kullanılıyor.

St. Neitzel’e göre, “Antivirüs tarayıcıları, programlari Win32.Induc ile bulaşmış olarak saptamaya başlaması halinde, ortaya çıkan açık soru, tarayıcıların bunları temizleyip temizleyemeyeceğidir.”

Neitzel, “Şayet temizlemezlerse, orijinal geliştiriciler, enfeksiyonu Delphi derleyicilerinden çıkarmak, uygulamaları yeniden derlemek ve temizlenen kodu yeniden müşterilere çevirmek mecburiyetinde kalacaklar. Bulaşmış uygulamaların değişik sürümleri oluşabileceğini göz önünde bulundurursak, bazı şirketlerin bunun üstesinden gelme yolunda gerçek bir kâbus yaşayabileceklerini söyleyebiliriz,” diyor.

Delphi ile program derleyenlerin $DELPHI_DIR$\source\rtl\sys\SysConsts.pas dosyasini virustotal’da taratmalarini tavsiye ederiz.

Authenticode Challange 2 - Sonuçları

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 29 Jul 2009 15:18:00 +0000

İbrahim Akgül ve civil engineer yarışmayı kazananlar oldu.

Aslinda yarisma gercekten de cok kolaydi, çünkü reverse edip koda baktığınızda program, kendi CheckSum'unu kontrol ediyor ve bunu NULL olarak bulursa, "Authenticode Challange 2" mesajını gösteriyordu. Direk olarak Opcode larda ya da string te oynama yapmak tabiki sertifikayı bozuyordu.

Peki cheksum değiştiğinde, nasıl oluyordu da dijital imza bozulmuyordu?
Bu durum, Authenticode teknolojisinde gizliydi.
Microsoft Authenticode PE.docx

Yani PE dosyasina ait SHA1 hash oluşturulurken 3 tane DWORD'luk değer hesaplanmıyor, bunlar IMAGE_OPTIONAL_HEADER daki CheckSum , IMAGE_DIRECTORY_ENTRY_SECURITY deki Certificate Table adresi ve uzunluğu.

Şimdi gelelim yeni yarışmamıza:
Bir öncekinden daha zor olan, yeni Authenticode Challenge v3
http://zemana.com/Challenge/RSA_Authenticode/Challenge3.exe

Challenge calistiginda "sha1RSA Authenticode Challenge v3 -1" mesajini veriyor. İsteğim, bunu "sha1RSA Authenticode Challenge v3 - 2" yapacak şekilde ve dijital imzasını bozmadan patch etmeniz.

Bunu çözen ilk 3 kişiye blog yada forumunda paylaşması için 20 adet AntiLogger lisansı vereceğiz.

UPDATE - 4:36 PM 9/5/2009: Huseyin Bey'de yarismamizi kazandi , son yarismaciyi bekliyoruz.

UPDATE - 11:58 AM 8/4/2009: Ilk yarismayai cozmeyi basaran civil engineer bu yarismayida cozdu. Son iki finalistimizi beklemeye devam ediyoruz, cozenler oldukca blogu guncelleyecegim.

UPDATE - 11:58 AM 8/4/2009: .

Authenticode Challenge v2

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 24 Jul 2009 15:29:00 +0000

Kriptoloji ve MD5 collision üzerinde araştırma yaparken, PDFID'in yazarı olan Didier Stevens'in bloğunda "Authenticode Challenge" baslıklı bir yarışma ile karşılaştım.

(PDFID, pdf’ler icinde gizli zararlilari ve exploitleri teshis etmekte kullandigimiz cok basarili bir tool ayni zamanda virustotal’ada eklendi)

Bu yarışmada, Didier Stevens’in isteği şöyle olmuş,yazdığı bir windows consol uygulamasının, print ettiği mesajın, dosyanın dijital imzasının bozulmadan patch edilerek değiştirilmesi.

Konunun üzerinden zaman geçtiği için, çözüm bulunmuş, ancak işin ilginç tarafı, çözümü bulan kişinin çözümü (Mister P and Q.) Didier'in çözümünden çok daha uzun ve prof olması.

Yarisma Detayları ve çözümler:
http://blog.didierstevens.com/2008/07/22/authenticode-challenge/
Didier Stevens'in Çözümü:
http://blog.didierstevens.com/2008/09/17/authenticode-challenge-solution-part-1/
Mister P and Q. 'nun cozumu:
http://rapidshare.com/files/142655251/Solution.zip

Buradaki yarışmanın ve çözümün temelini, MD5 algoritmasındaki zafiyet oluşturuyor.
Eğer takip etti iseniz, geçenlerde Alexander Sotirov da PlayStation'lar ile md5 algoritmalı RapidSSL CA sertifikası oluşturmuştu.

Bende buna benzer bir yarışma yapmak istedim ve bunun için, basit bir win32 uygulaması yaptım, bu uygulamanın, Zemana'ya ait private key ile imzalaması için yazılım koordinatörümüzden rica ettim. (Private key onun dışında kimsede yok)

Sonuç olarak, Challenge calistiginda "sha1RSA Authenticode Challenge 1" mesajini veriyor. İsteğim, bunu "sha1RSA Authenticode Challenge 2" yapacak şekilde ve dijital imzasını bozmadan patch etmeniz.

Yalniz burda MD5 collision kullanamıyorsunuz, çünkü dijital sertifikamızdaki kriptoloji algoritması 528 bitlik SHA1 =)

Saka yaptigimi dusunmeyin cunku oncelikle kendim denedim ve cozumu olduguna garanti veririm , daha öncede dediğim gibi private key bende yok.

Çözümü bulanlara kutulu AntiLogger hediye. İçinizden neden IPhone değil, diye düşünmeyin, çünkü çözüm aslında çok basit.

Geri dönüşleri bekliyorum. (Bulanlar bana erkan.arnaudov@zemana.com ‘dan mail atsin lutfen ve yorum yaparkende cozum hakkinda ipucu vermeyin)

Authenticode Challenge v2

http://zemana.com/Challenge/RSA_Authenticode/Challenge.exe

Zemana AntiLogger ,Turkcell Mobile ile Cebinizde

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 29 Jun 2009 13:33:00 +0000

Zemana Ltd. olarak, ürünümüz AntiLogger’ın tek SMS ile satın alınmasını sağlayan, Turkcell Mobil ödeme hizmetini başlatmış bulunmaktayız.

Eğer Turkcell hat kullanıyorsanız, ( kontörlü veya faturalı fark etmez ) geçici süreliğine yaptığımız kampanyamızdan faydalanarak, AntİLogger’a tek SMS ile 24 TL yerine, 12 TL / 80 kontör ödeyerek sahip olabilirsiniz.

SMS ile ödeme yapmanın faydaları:
· % 50 indirimle 24 TL yerine, 12 TL / 80 kontör
· Lisans anahtarı, anında cebinizde
· Faturalı veya kontörlü hat fark etmez
· Kredi kartı gerekmez
· Kayıt yok, abonelik yok, bekleme yok

Hemen Tıkla! SMS ile Satın Al!

Bu hizmetten sadece Turkcell faturalı ve kontörlü hat sahipleri faydalanabilir.
Ödemeniz Turkcell Mobil Ödeme ile alınacak olup Turkcell faturanıza yansıtılacaktır.
Fiyatlar, KDV ve özel iletişim vergisinden muaftır.

Değişen tehditler

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 08 Jun 2009 20:07:00 +0000

Burada okuduğum haberde AVG’den Thomson “Ana savunma hattı olan antivirüs tarayıcısının günü geçti… ancak birçok kişi bunun hala farkında değil,” diyor. AVG, sadece geçen yıl antivirüs motoruna 650 binin üzerinde imza ekledi. “Her gün 20 bin ila 30 bin arasında değişmez binary örnekleri var. Kötü niyetliler antivirusu mağlup etmesini biliyorlar.”

Virüs bulma işlemi üzerine odaklanan testlerin, anti-malware çözümünün değerlendirilmesinde tamamen yararsız olduğunu da belirtmekte fayda var. Günümüzde sunucu taraflı polimorfik malware’leri engellemek, geleneksel antivirüs motorları için imkânsız hale geldi. Zemana AntiLogger Protection, malware salgınının en erken anlarında ve her bir yeni şeklinin ortaya çıkışında korumaya geçerek sıradan antivirüs teknolojisine bütünleyici bir kalkan sağliyor.

Sunucu taraflı polimorfik malware? AV motorlarının korkulu rüyası olan bu sistem üzerine uzun bir blog yazacağım.

İş Geliştirme Uzmanı Arıyoruz

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 01 Jun 2009 15:47:00 +0000

Zemana Ltd.olarak ürünlerimizi Türkiye ile beraber tüm dünyaya pazarlamaktayız. Bu süreçte, yabancı müşterilerimizle iletişim kurabilecek ve müşterilerimize yeni müşteriler katabilecek iş geliştirme uzmanı aramaktayız. Bloğumuzu takip eden takipçilerimizin teknolojiye ve güvenlik programlarına hakim olduklarını düşünerek aşağıdaki özellikleri taşıyanların bize başvurmasını talep etmekteyiz. Cv özetlerinizi cv@zemana.com adresine gönderebilirsiniz.

Sorumluluklar:

· Potansiyel Zemana iş ortakları bulunup, onlara ürünlerimizin özelliklerini ve iş ortaklık modellerimizi ikna edici bir dille anlatılması
· iş ortaklarımıza telefon yada email yolu ile destek verilmesi
· Yurtdışı müşterilerimizle olan görüşmelerimizin koordine edilmesi
· Mevcut müşterilerimizle diyalogların geliştirilmesi
· Yeni iş fırsatlarının geliştirilmesi

Özellikler:
· Minimum 1 yıl yazılım yada donanım satış işi ile ilgili bir işte çalışmış olmak.
· İleri düzeyde iletişim ve sunum becerisi
· İleri düzeyde İngilizce konuşup-yazabilme (tercihen bir dönem Amerika veya İngiltere’de yaşamış olmak)
· Telefonda veya yüz yüze iş görüşmelerinde ileri düzey iletişim kabiliyeti
· Telefonda müşteri ve bayilerimizin cevaplarına ikna edici şekilde cevaplar verebilme
· Office programlarını çok iyi kullanabilme, özellikle PowerPoint ve Word

Eğer isterseniz, diğer iş ilanlarımıza da göz atabilirsiniz.

Intel AMT SDK 5.1

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 15 May 2009 16:37:00 +0000

Intel AMT SDK’nin yeni sürümünde “Alarm Clock Feature” adında bir teknoloji eklenmiş. Bu teknoloji zamanlanmış görevlerin bilgisayar kapalı olduğunda dahi yerine getirilmesini ve kapanmasını sağlıyor.

Örneğin, Pazartesi günü saat 9.00 da tüm kurumun bilgisayarları güncellemelerinin yapılması, antivirus taraması, backup işlemleri gibi işlemeler yapılması gerekmekte, ancak bazı çalışanlar ogün izinli olduklarında veya geç kaldıklarından bu görevleri ertelemek yerine tüm bilgisayarlar, Intel AMT teknolojisi ile tek komutla, kapalı bilgisayarlar dahil bütün işleri yerine getirmiş oluyor.
Gerçekten harika! Bu teknolojinin bireysel IS de gereksiz olduğuna inandığımız için, kurumsal AV sürümümüzde kullanmayı düşünüyoruz ve şimdiden AR-GE çalışmalarını başlattık.

Şimdilik bu teknoloji sadece masa üstü bilgisayarlar için uretilen ciplerde aktif, ancak yakın zamanda laptoplarda da aktif olacaktır.

Manageability teknolojisini gelistirenlerden Ajay Mungara'nin AMT uzerine konusmasini buradan dinliyebilirsiniz.

Eurovision, Hadise ve Zemana Anti-Webcam

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 13 May 2009 18:13:00 +0000

Karışık bir başlık gibi gözüküyor ancak anlatmaya çalışacağım.

Güzel sarkıcı Hadisenin milliyet.com.tr deki klibini izlemek isteyen bir çok AntiLogger kullanıcısı,tarafımıza Webcam logger uyarisi ile karsılaştıklarını belirten geri bildirim yaptı.

İlk basta milliyet.com.tr’ın mass sql injection saldırılarına maruz kaldığını ve infecte olduğunu düşündük. Sonrasında yaptığımız derinlemesine incelemede durumun tahmin ettiğimiz gibi olmadığını, verilen uyarının bu sitedeki bazı flash animasyonlar için verildiğini gördük.

AntiLogger’ın verdiği uyarılarda 1.etken ilgili flash animasyonları kodlayanların hatalı kodlamaları, 2.Etken Mocramedia mimarisinin zaafları ve 3.etken ise, geri bildirimleri ile WebCam koruma modülümüzü daha agresif yapmamızı telkin eden ve bu agresifliği yapmamızı sağlayan TEAkolik tir :)

İnceleme sonuçlarına dönecek olursak, AntiLogger milliyet.com tr deki ilgili flash animasyon için verilmesi gereken bir uyarı vermiş ancak bu uyarı aynı zamanda gereksiz bir uyarı olmuştur.

Milliyet.com.tr daki Flash’ın web kamerasına bağlanmak gibi bir amacı olmadığı için yanlış uyarı diyoruz, ancak ilgili Flash’, Flash player’in (Flash10b.ocx) web kamerasına bağlanmasına sebep verdiği içinde doğru uyarı diyoruz.

Action scriptte kamera objesi oluşturulduğu gibi Macromedia Flash Player, sistemde webcam olup olmadığına bakıyor ve varsa kullanıcıya soru sormadan bağlanıyor. Ancak bu obje üzerinden getCamera() dendiğinde kullanıcıya alttaki uyarıyı gösteriyor.

Durum böyle olunca aslında bu uyarıdan çok daha önce iexplore. exe içinde çalışan Flash10b.ocx componenti web kamerasına bağlantı kurmuş oluyor ve AntiLogger da bu bağlantı öncesi uyarı veriyor. Halbuki belki kamera objesi kullanılmayacak.

Bu durumda ilgili falsh’i kodlayan kişi bir yerde Kamera objesini yada bu objeyi dolaylı yoldan çağıran bir component kullandıysa bu uyarının vermesine sebebiyet verecektir.

Aslında Macromedia Flash Player bu obje oluşturulduğunda değil, bu class’a ait webcam bağlantı fonksiyonu çağrıldığında gerçekten uyarı vermeli ve uyarı doğrulanırsa webcam cihazına bağlanmalı ki bu şekilde olsa AntiLogger Flash player uyarısı onaylandıktan sonra kendi uyarısını gösterirdi.

Nedense Macromedia Player bu Camera onjesini gördüğü gibi webcam bağlantısına hazırlayıp çağrıları bekliyor. Burada Flash Player mimarisinde bir kodlama hatası var gibi görünüyor ve güvenlik riskide yaratabilir. Yakın geçmişte yine flash taki bir acık ile kullanıcı onayı istemeden hackerlar kullanıcıların web kameralarını kayıt altına almışlardı. Aynı açıktan, AntioLogger kullanıcıları, ikinci bir uyarı aldıkları için etkilenmemişlerdi.

Eğer Flash programlayıcısı iseniz ve AntiLogger, animasyonlarınızda webcam bağlantısı gerekmediği halde Webcam logger uyarısı veriyor ise Kamera object’ini kullanmaktan sakininiz.

Örneğin alttaki sitede GO butonuna basınca kameranıza bağlanıyor ve resminizi çekiyor. Doğru kodlanmış bir flash olduğunu anlıyoruz, çünkü flash açıldığı gibi AntiLogger uyarı vermiyor, sadece GO butonu basıldığında kamera bağlantısı kuruluyor ve ilk önce AntiLogger, arkasında da Flash Player uyarı veriyor.
http://www.picanom.com/

Google da Hadise diye arayıp bu postu bulanlar bu ne alaka diyeceklerdir. Bu yüzden yanlış uyarıya sebep veren Hadisenin kilibinin linkinide verelim:
http://www.milliyet.com.tr/Yasam/SonDakika.aspx?aType=SonDakika&ArticleID=1093499&Date=12.05.2009&b=Hadisenin

Sonuç olarak ne Macromedia’dan Flash Player’i nede Flash programcılarından Flash’larını istediğimiz gibi kodlamalarını isteyemeyiz. Bundan dolayı Flash Player Internals üzerine AR-GE yapip ileriki sürümlerde bu yanlış uyarıların önüne geçmeye çalışacağız.

Bu zaman zarfında güvendiğiniz sitelere onay vermelisiniz aksi halde Browser kapanır.
Ancak IE8’e yada Google Chrom’a terfi ettiyseniz ve bu eylemi engellediyseniz alttaki resimdeki gibi sadece ilgili tab kapanacaktır, çünkü bu iki browser her tab için ayrı bir process oluşturuyor ve AntiLogger’da bu process’i kill edince ana browser kapanmıyor. İlk defa chrome’un uyguladığı bu teknolojiyi simdi IE8 de uyguladı ve Mozilladan gelen habere Gorede FireFox yeni versiyonda uygulayacakmış. Bu teknoloji hakkında da ayrıca bir blog yazacağım.

Zemana Türkçe web sitesi yayında

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 06 May 2009 10:29:00 +0000

Tarayacıların sayısının artması ve farklı JavaScript ve HTML render ve motor kullanmalarından dolayı sitemizi final haline getirirken çok fazla Cross browser uyumsuzlukları yasadık.

Tüm bunlara rağmen biraz gecikerek te olsa sitemizi final haline getirdik ve Türkçe olarak ta yayına sokabildik.

Web sitemize ait gözünüze çarpan her hangi bir eksiklik veya yanlışlık var ise bize yazmanızı bekliyoruz.

Rent A Cracker

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 27 Apr 2009 11:27:00 +0000

Rent A Coder’in ne olduğunu ve ne işe yaradığını birçoğunuz duymuşsunuzdur.
İşin tanımı veriyorsunuz ve programcılar işi bitirecekleri sure/fiyat olarak ihaleye giriyorlar.

Bu freelance çalışanlar için çok güzel bir fırsat.

Ama bu yazida size Rent A Coder yerine Rent A Cracker servisinden bahsedecegim. Kısaca açıklamak gerekirse, kiralık program kırıcısı (emek hırsızı) diyebiliriz.

Birkaç sene öncesine kadar, gelen crack istekleri sadece hobi ve güç gösterisi için gerçekleştiren guruplar artan talebi fırsat bilerek, para karşılığı program kırmaya başladılar.

Çalışma tarzları şu şekilde gerçekleşmektedir; istediğiniz programın ismini veriyorsunuz size fiyat ve süre vererek programı kırıp veriyorlar. Sizde istediğiniz programa daha ucuza tam sürüm sahip oluyorsunuz

Çalışma sistemlerini tam anlamıyla öğrenmek ve ciddiyetlerini test etmek için, normal bir kullanıcı kılığında AntiLogger’ın crack edilmesi için başvurduk. AntiLogger’ın kırılması karşılığında 15 USD fiyat istediler. Pazarlık etmeyi denedik, pazarlık payı olmadığını söylediler. Devamında aşağıdaki ödeme bilgilerini gönderdiler.

>here is a payment instruction.
>Your items will be delivered in 1-2 business days after payment.

>-----------------------------------------------------
>PayPal / Credit Card Payment
>-----------------------------------------------------
>Since, we can not accept PayPal directly,
>we offer you to make a payment using one of third-party
>exchangers, which will accept your PayPal or Card and send us E-GOLD.

>hxxp://www.wwwbox.us/?account=xxxxxxx

Kendilerini olabildiğince gizlemek için direk E-GOLD veya PayPal bilgilerini vermek yerine wwwbox.us adında bir aracı kurum ile çalışıyorlar. Ödemeyi buradan E-GOLD veya PayPal olarak yapıyorsunuz.

Programımızın kırılmaması için birçok önlem almamıza rağmen “Çalışan her kod kırılır”mantığına inancımızdan dolayı, beklemeye başladık. Bir gün içerisinde bize %100 çalışan bir patch gönderdiler. Gönderdikleri patch AntiLogger’ı static olarak patch ediyordu. Bu durum, protector kullanmamızdan dolayı basta ekibe biraz garip geldi. Sebebine gelince, genelde bir cracker kolay olan yolu seçer. Protect edilmis bir programi en kolay yoldan crack etmek icin, ya memory patch yapılır yada ilk once unpack edilir daha sonra static olarak patch edilir ve işlem bitirilmiş olur.

Tahminimize göre gelen isteklere çok hızlı cevap vermek ve istenen programları bir iki hamlede kırmak için, otomasyon program geliştirmişler.

Bu otomasyon program, win32 hedef program üzerinde boş bulduğu bir bölgeye bir shell code(altta ne ise yaradığını anlatacağım) yazıyor. Packer ve protectorlerin IAT building kodunun aşağı yukarı nerede olduğunu saptıyor ve packer’in son import adresini yazmasnından hemen sonra yukarıda bahsettiğim shell koda bir jump atıyor. Shell code çalıştığında GetLocalTime, GetSystemTime ve GetLocaleInfo fonksiyonlarını inline olarak patch ediyor. Bu patch, fonksiyonların her çağrıldığında ilk patch edildiğindeki tarihi dönmesini sağlıyor. Aşağıdaki resim GetLocalTime fonksiyonun pacth edilmiş halini gösteriyor. Resimde görüldüğü gibi çok temiz bir inline patch. Eğer dikkatli bakılmazsa sanki orijinal fonksiyon gibi gozukuyor.

Hedef program tarihi öğrenmek için bu api lerden birini çağırdığı zaman herzaman geriye aynı tarih dönülüyor ve programın trial süresi hiç bitmiyor.

Sonuç olarak Rent A Cracker tarzı servisleri doğru bulmasak ta, yazılım sektörüne pozitif yönde bazı katkıları olabileceğini düşünüyoruz. Örneğin, yaptiginiz anti-crack sistemini cüzi bir fiyat ile test ettirip nerelerde zayıflıklar olduğunu bulup geliştirebilirsiniz.

Diğer bir faydası da, bu tip servislerin neredeyse istenilen programının kırılması karşılığında yarı fiyata yakın fiyatlar vermesi neticesinde, birçok kişinin cracklı programa yarı fiyatını vermektense tam fiyatla aynı programın orijinaline yönelmesini sağlar diye düşünüyoruz.

Peki, sizce bu tur servisler shareware sektörünü nasıl etkiler?

NOT: Bir sonraki sürümümüzde protector kodun bu tur otomasyon programlar ile kırılmasını engelleyip ve anti-crack sistemini geliştirip tekrar bu servise göndereceğiz. Sonrasında gelişmeleri sizlerle tekrar paylaşacağız.

MX-V CPU emulation

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 22 Apr 2009 09:18:00 +0000

Daha önceki blog postlarda AntiVirus motoru olarak neden VIPRE’yi seçtiğimizden sık sık bahsedeceğimizden söz etmiştik. Bu yazı dizisinin ilkini yayınlıyoruz.

Klasik(imza veri tabanına göre koruma yapan)güvenlik programları,hızla gelişmekte olan gelişmiş malware uygulamalarını durdurmakta yetersiz kalmaktadır.Sebebi ise,günümüz zararlıların yüksek obfuscation teknikleri kullanmalarıdır.

Bu tekniklerden akla ilk geleni Packer kullanımıdır. Bu teknik, antiviruslerin bir dosyayı analiz edebilmek için özelleştirilmiş çözme işlemleri (Static Unpackers) üretmesini gerektirmektedir.Bu durum antivirus üreticilerinin devamlı özelleştirilmiş unpackerları Virus Engine’lerinin içerisine eklemek yoluyla zaman kaybetmelerine neden olmaktadır.

Antivirus firmaları, yeni obfuscation tekniklerini bertaraf edebilecek imzaları yeterince hızlı üretemedikleri için, geçen süre içerisinde kullanıcılar yeni tehditlere karşı tamamen korunmasız kalmaktadır.

Bizim kullandığımız antivirüs motoru VIPRE, malware leri saptamak için arka planda birbirinden farklı bazı teknikler uygulamaktadır. Bu teknikler,klasik imza tespiti, heuristic ve en önemlisi de virtualized environment'tir.

Virtualized Environment (sanallaştırılmış windows ortamı), olası zararlı uygulamaları kendi üzerinde çalıştırarak test ediyor, bu sayede obfuscation edilen kod çalıştığında normal haline geliyor ve static imza karşılaştırılması yapılabiliyor. VIPRE ve sadece 2 AV tarafından desteklenen bu teknoloji sayesinde static unpacker’lar kullanılmıyor ve zararlı, bilinmeyen bir obfuscation tekniği ile tanınmaz yapılmış olsa bile yakalanıyor. Ancak bu tekniğin dezavantajı, her zararlı bir nevi kontrol altındaki sanal makinada çalıştırıldığı icin performans kaybı oluşturmaktadır. Sunbelt Software bu konuda yaptığı ar-ge ler sayesinde bu performans kaybının önüne geçen ve bu alanda dünyada ilk kez kullanılan MX-V’i teknolojisini kullanmaya başladı ve bunu basına duyurdu.

MX-V teknolojisi, VIPRE’de kurulu emülasyonun, dinamik çeviri (ikili çevirinin farklı bir formu) adıyla bilinen bir metodu kullanan uzantısıdır. Bu sayede klasik CPU emülasyonun 10 MIPS olan performans bariyerini rahatlıkla kırabilmektedir.

Dinamik çeviri, performansı 400 MIPS e kadar çıkarabilmek için programın geniş parçalarını anında tekrar derleyebilen bir teknolojidir. Vipre'nin gömülü emülasyonunda kullanılan da dinamik çeviridir. MX-V katmanı da ona malware yapısını hızla analiz edebilmesi için yeterli olan bir ilavedir .

Bizim ürettiğimiz imzalarda, MX-V kullanan VIPRE motoru üzerinde çok hızlı bir şekilde taranacaktır.

Electromagnetic Sniffing

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 20 Apr 2009 11:47:00 +0000

İsviçre Ecole Polytechnique Federale de Lausanne Enstitüsünde bulunan Güvenlik ve Kriptografi laboratuarı araştırmacıları çok ilginç bir araştırmaya imza atmışlar. Elektromanyetik dalgalar vasıtasıyla yan odadaki bilgisayarın klavyesine basılan tuşları, tamamen bağlantısız olarak havadan sniff eden, çözen ve deşifre eden bir sistem geliştirmişler. Üstelik klavyenin wireless klavye olması yada olmaması hiç fark etmiyor. Konu tamamen fiziksel tuş vuruşlarının çıkardığı manyetik dalgalarla alakalı.

Testin uygulamasını detaylıca gösteren iki ayrı video;

İlk video, oda içerisinden basit sinek anten vasıtasıyla; diğeri ise yan odanın duvarına odaklanmış büyük bir anten ile electromagnetic sniffing yapılabileceğinin açık ispatı.
Sanırım bundan sonra bankamatikten para çekerken bile anahtarlığımıza takılı bir elekromanyetik parazit jeneratörü taşımamız gerekecek..

CAPTCHA KONUSU

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 14 Apr 2009 18:18:00 +0000

Websitemizin “contact form” sayfasındaki sabit CAPTCHA koduna ilişkin epeydir olumsuz eleştiriler almaktaydık. Konuya açıklama getirme görevini bana verdikleri için kullandığımız durağan captcha mantığını kısaca açıklamak istiyorum.

Google üzerinden sitemize rastgele ulaşan akıllı (!) Spiderlar formmail üzerinden bizi epey rahatsız etmekteydiler. Hemen aklımıza dünyada en çok kullanılan yontem olan CAPTCHA yı entegre edip işimize bakmak geldi.

Fakat durum, günde 6-7 kez form-mail sayfamızı kullanan değerli ziyaretçilerimize boşu boşuna sıkıntı çıkarmak demekti, zira sitemize bir merhaba deyip geçen bu örümceklerin bize rastgele ulaştıkları ve kişisel husumetleri de olmadığı için, bizde 5 dakikada bu sabit CAPTCHA yı sayfaya entegre edip daha önemli olan işlerimize devam etmeyi uygun bulduk.

Bu sayede günde birçok kez form sayfamızı kullanan kişiler, otomatik tamamlama özelliği sayesinde gereksiz güvenlik kodu yazma zahmetine girmemiş oluyorlardi. Sitemizi rastgele tarayan spiderlar da sabit kodu geçememiş oluyorlardi.

Fakat bazı çevrelerce “siz profesyonel değil misiniz? ” tarzı söylemlerde bulunulması nedeniyle, siz değerli kullanıcılarımızın ve başka kimselerin olası yanlış anlamalarına sebebiyet vermemek için uygun bir dinamik CAPTCHA'yı sayfaya yerleştirdik.

Web sitemiz yenilendi

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 14 Apr 2009 17:10:00 +0000

Web sitemizin tasarım ve alt yapısını değiştirerek yayına soktuk. Şu an için sadece İngilizce sayfalar çalışmaktadır. Hafta sonuna kadar Türkçe sayfalarda yayına sokulacaktır.

Siz takipçilerimizden, gelecek geri beslemeler; yorum, öneri, hata bildirimi ve dizayn yönlendirmelerine çok önem veriyoruz.

Tarafımıza sizler tarafından yapılacak her türlü teklifi en ince ayrıntısına kadar değerlendirip sitemize en son halini vereceğiz. Geri bildirimlerinizi bekliyoruz.

NOT: Geçici olarak web formları çalışmayabilir bu yüzden geri bildirimleri yorum olarak yada mail ile bildirirseniz seviniriz.

AntiLogger Exper bilgisayarlarında

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 13 Apr 2009 08:26:00 +0000

Exper marka bilgisayarların sahibi Data Teknik ile yaptığımız anlaşma uyarınca 2009 yılı Nisan ayından itibaren, üretilen tüm masa üstü ve diz üstü Exper marka bilgisayarlarda Zemana AntiLogger kurulu olarak kullanıcılara sunulmaya başlanmıştır.

İlgilenenler daha geniş bilgiye Exper bilgisayarın resmi web sitesinden ulaşabilirler.
http://www.exper.com.tr

Zemana AntiLogger Brighthub’da

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 01 Apr 2009 13:27:00 +0000

Dünyaca ünlü BRIGHT HUP sitesi ürünümüz AntiLogger hakkında bir inceleme yazısı yayınladı.

Ürünümüzün incelemesini yapan kişinin Tolga Balcı adlı bir Türk’ün olması bizi daha da çok gururlandırdı. Umarız çok yakında bu tür teknolojik içerikli, dünyanın her tarafındaki büyük kuruluş ve şirketlerdeki Türk sayısı artar.

İnceleme yazısının en çarpıcı cümlesi ise şu idi: "Zemana AntiLogger 5 yerine 6 puanı hak ediyor, ancak puanlama sistemimize göre en yüksek puan 5 olduğu için 6 veremiyorum."

İnceleme yazısının hepsini aşağıdaki linkten okuyabilirsiniz.
http://www.brighthub.com/computing/smb-security/reviews/29144.aspx

Olumlu yazısı için Tolga Balcı'ya tekrar tekrar teşekkür ederiz.

TrialPay ile Zemana AntiLogger’ı 1 yıl ücretsiz kullanın

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 01 Apr 2009 13:09:00 +0000

TrialPay sayesinde Zemana Antilogger`ın ÜCRETSİZ lisanslı full versiyonuna hemen sahip olabilirsiniz!

Ücretsiz AntiLogger’a nasıl sahip olurum?
1.TrialPay ortağı servislerden birisine üye olun
2.TrialPay tarafından sunulan ürünlerden birini alın.
3.Zemana AntiLogger`ın a ücretsiz 1 yıllık lisansına sahip olursunuz..

TrialPay’da ne tür içerikler var ve fiyatları nedir?
TrialPay, içerisinde kaliteli alışveriş siteleri, online müzik ve hatta çocuklara özel siteleri kapsayan binlerce içerik sunar.
Bir kredi kartı ile üye oluyorsunuz. Sonrasında indirimli otomobiller, makyaj malzemeleri, ev eşyaları, kitaplar, oyuncaklar, herhangi bir hizmetin ücretsiz deneme üyelikleri ve çok çok daha fazlasını sahip olabiliyorsunuz.

İçerikler yaşadığınız ülkeye göre değişebilmektedir. Şu anda ABD için dünyanın diğer bölgelerine oranla önemli ölçüde daha fazla içerik bulunmaktatır. İçerik sayısı her ülkede hızla artmaktadır.

AntiLogger’ı ne zaman kullanmaya başlayabilirim?
TrialPay da alışveriş yaparken ücretsiz promosyon olarak AntiLogger’ı seçtiyseniz, alış verişinizi bitirdikten sonra TrialPay size e-posta ile bir lisans anahtarı gönderir. Yazılımı web sitemizden hemen indirip gönderilen lisans anahtarı ile lisanslayabilirsiniz.

Destek:
TrialPay kendi platformundaki her işlemin neticesini garanti eder, bu sebeple de herhangi bir problem yaşarsanız lütfen bizimle (ya da kendileriyle) iletişime geçiniz.

Sizde yazılım üreticisi iseniz TrialPay'a buradan üye olabilirsiniz.

Zemana AntiLogger giveawayoftheday.com’da

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 05 Mar 2009 15:23:00 +0000

Dünyaca ünlü software promosyon sitesi Giveawayoftheday 05.03.2009 tarihinde 24 saatliğine programımızı kullanıcılarına ücretsiz dağıtıyor.

Giveawayoftheday takipçileri programımızı 24 saat içerisinde indirip 1 yıllığına lisanslayabiliyorlar.

Programımıza gösterilen talep tahminlerimizin çok fazla üzerinde gerçekleşiyor. Buradan forumlarda sadece Türk yapımı olduğumuz için programımızı ve firmamızı acımasızca eleştirenlere karşı müspet yorumları ile bizi destekleyen Türk kullanıcılarına teşekkür ederiz.

AntiVirus değerlendirmeleri

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Sat, 28 Feb 2009 11:38:00 +0000

Güvenlik forumlarında çok geçen değerlendirmelerden birisi şudur; “X marka anti virüs ile bilgisayarımı tarattım bir şey bulamadı, ancak Y marka anti virüs ile taratınca 2 tane zararlı buldu. “ Bu değerlendirmeden yola çıkılarak anti virüs şirketlerinin iyi yada kötü ayrımı yapılmak istenir. Gerçekte yukarıda yazılan değerlendirme ile anti virüs şirketleri iyi ya da kötü olduğu iddia edilemez. Bir anti virüsün iyi veya kötü olduğunu söyleyebilmek için aşağıdakilere bakmak gerekmektedir.

1- Sistemde çalışan anti virüs’ün kullandığı memory alanının boyutu,
2- Virüs imza veri tabanının çok büyük olması değil, nitelikli olup olmadığı,
3- Sistemi tarama hızı ve zararlıları sistemden silme başarısı,
4- Gerçek zamanlı savunma modüllerinin olup olmadığı,
5- Her şeyden önemlisi bilgi hırsızlığına karşı savunma yapıp yapmadığı,

Yukarıda ki kıstaslar çoğaltılabilir, ancak en önemlilerini not etmeye çalıştık. Antivirüs seçiminde sıraladığımız ve benzeri kriterleri göz önüne almalısınız.

Zemana AntiLogger Raymond Blog’da

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 23 Feb 2009 13:03:00 +0000

Teknoloji meraklılarının takip ettiği ve dünyaca ünlü Raymond blog editöru, Zemana AntiLogger’ı inceleyerek çok olumlu tespitlere yer verdi. Dünyaca ünlü bir bloğun bize yer vermiş olması yaptığımız işin ne kadar değerli olduğunu bir daha hatırlamamıza ve daha iyi teknolojiler üretmemiz için motive olmamıza vesile oldu. Orijinal link aşağıdadır inceleyebilirsiniz.

http://www.raymond.cc/blog/archives/2009/02/23/impressive-zemana-antilogger-proactive-protection-free-1-year-license/