Level E1: Digital Ghost / Entropy

Entropi

Artık sistemle etkileşime girmiyorsunuz, sistemin ta kendisi oluyorsunuz. Alternate Data Streams, RPC servis manipülasyonu ve iz bırakmayan işlemler.

0x00 Shadow Storage (ADS)

Görünmez Dosya Oluşturma

Windows Gezgini'nde görünmeyen, normal bir dosyanın arkasına gizlenmiş veri akışları oluşturun.

echo "Gizli Mesaj" > normal.txt:gizli.txt

-- Bu komutla 'normal.txt' boyutu değişmez, ancak 'gizli.txt' onun arkasında yaşar.

Gizli Akışları Listeleme

Sistemdeki tüm ADS (Alternate Data Streams) kayıtlarını tarayın.

dir /R

-- ':$DATA' ekiyle biten satırlar gizli akışları temsil eder.

📡 Remote & RPC Execution

RPC Servis Durumu

Uzak sistemlerdeki (veya yereldeki) RPC servislerinin detaylı haritasını çıkarın.

sc queryex type= service state= all

Sistem Zamanlayıcısı (At)

Eski ama güçlü `at` komutuyla (veya modern `schtasks`) sistem seviyesinde komut enjeksiyonu.

schtasks /create /ru "SYSTEM" /tn "GhostTask" /tr "cmd /c calc.exe" /sc once /st 00:00

🧠 Bellek ve Adli Analiz

Ghost Tool Memory Layer Tactical Use
tasklist /m DLL Mapping Hangi DLL dosyasının hangi bellek adresinde yüklü olduğunu gösterir.
fltmc volumes Filter Drivers Dosya sistemine kanca (hook) atan tüm sürücüleri listeler.
auditpol /get /category:* Security Policy Sistemin neyi loglayıp neyi loglamadığını (kör noktaları) raporlar.

THE ENTROPY PROTOCOL

Bu seviyede bir "Ghost" olarak şu görevleri tamamlamalısın:

  • #1 Bir metin dosyasının arkasına bir `.exe` dosyasını ADS olarak gizle ve `start` komutuyla oradan çalıştır.
  • #2 `Auditpol` kullanarak "Process Creation" loglamasını geçici olarak devre dışı bırakacak komutu bul.
  • #3 Sistemdeki tüm açık ağ oturumlarını (SMB) `net use` ve `net session` ötesinde derinlemesine tara.

// GHOST_VOID_EXECUTION

@echo off

set TARGET=payload.dat

type %SystemRoot%\System32\notepad.exe > %TARGET%:hidden.exe

wmic process call create "cmd /c start %CD%\%TARGET%:hidden.exe"

echo [STATUS: INVISIBLE]