@fortunee, demek istedigini anladim simdi. O kisimda ironiyi anlamayip yanlis anlamisim, ben hataliyim. Ozur dilerim.

Birden fazla RAT iceren saldirilar elbette olabilir, asla olmaz demiyorum; Sadece bu tarz bir senaryoda mantiksiz olurdu. Dosya boyutunu artirir, cakisma ihtimali olusturur, yakalanma ihtimalini artirir. Tek bir tane iyi hazirlanmis payload zaten yeterli olur. Ek olarak zararli iceren korsan oyunlarda RAT'tan daha cok infostealer, miner, clipboard hijacker, credential stealer tarzi zararlilar daha yaygin olarak goruluyor.

Ucretsiz RAT da cesitli yontemlerle AV'yi bypass edebilir. Crypter, packer, kullanilmasi, loader uzerinden calismasi, henuz imzasi olusmamasi gibi faktorlere dayali olarak. Ama soyledigin sey biraz muglak. Hangi RAT, hangi AV, hangi kullanici davranisi, hangi yapilandirma gibi onlarca degisken var.

AV uyarisiyla kesin trojan ya da kesin temiz denilemedigine son derece katiliyorum zaten. Sadece bir vendorun hatta birden fazla vendorun dahi ne dedigiyle o dosyanin ne olduguna emin olamayiz. Dosyanin kaynagi, hash dogrulamasi, topluluk geri bildirimi, davranis analizi, sandbox analizi gibi faktorlerle birlikte degerlendirilmeli. Ornegin Any.Run, Hybrid-Analysis, FileScan.io, Tria.ge, TIP tarzi servisler sandbox analizi icin oldukca faydali servisler. Indirdigim korsan oyunlari incelemek icin genelde kullaniyorum bu tarz yerleri. Ek olarak sanal makinede kendin indirip sistem uzerindeki davranislari da kontrol edilebilir. Basit IOC analizleri yapilabilir.

Daha gelismis ve ileri seviyede manuel olarak tersine muhendislik de yapiliyor fakat o kadarini yapabilecek kadar bilgi sahibi degilim. Kodlama bilgim neredeyse hic yok desem yalan olmaz.

Zaten Crack kuruyorum AV kapatayim kisminda da ilk mesajimda bu sebeple BitDefender Antivirus Free onermistim. Windows Defender, modern haliyle fena olmasa da korsanda cok fazla false-positive veriyor. Bu da kullanicinin artik bu duruma alismasina ve ileride gercekten de dogru tespit yaptiginda sozune guvenememesine neden olabilir. Kendi deneyimimce BitDefender cok daha az false-positive veriyor. Kaspersky da oyle keza. Yillardir bu iki antivirusle yuzlerce kez korsan oyun indirdim, bir kere bile kapatma ihtiyaci hissetmedim.
 
Ek olarak, korsan oyun oynayacaksan Win Defender kullanilmaz. Cok fazla false-positive veriyor. Baska bir pro-aktif calisan antivirus kullan. BitDefender Antivirus Free olabilir.
Malwarebytes kullanıyorum ben zaten, Defender kapalı oluyor hep ama açık kalmış ve dosyayı silmiş. Malwarebytes vermedi mesela bi uyarı ama yine de save'i yedekleyip silip fitgirl'ün paketlediğini indirmek istedim. Belki hiçbir farkı yok, ama psikolojik olarak daha rahat hissetmek için belki de.
 
@Rogue, daha once indirdiginiz yer cok tekin degilse ondan olabilir. Ki eger oyleyse dogru bir secim yapmissiniz zaten. Oyunindir.vip tarzi sitelerden indirdiyseniz, onermiyorum boyle siteleri hicbir zaman. FitGirl ise orijinal kaynaklari kullanildigi surece gayet iyi bir kaynak.

Malwarebytes'in Free surumunde pro-aktif koruma yok. Sadece manuel tarama yapiliyor. Defender'i kapatmaniz bu sebeple yanlis bir davranis, tamamen korumasiz birakir. Alternatif bir proaktif calisan antivirus kurmalisiniz.

Ucretli surum Malwarebytes olsa dahi, pro-aktif korumasi pek iyi degil. Manuel ikincil tarama disinda Malwarebytes onermiyorum.
 
@Rogue, daha once indirdiginiz yer cok tekin degilse ondan olabilir. Ki eger oyleyse dogru bir secim yapmissiniz zaten. Oyunindir.vip tarzi sitelerden indirdiyseniz, onermiyorum boyle siteleri hicbir zaman. FitGirl ise orijinal kaynaklari kullanildigi surece gayet iyi bir kaynak.

Malwarebytes'in Free surumunde pro-aktif koruma yok. Sadece manuel tarama yapiliyor. Defender'i kapatmaniz bu sebeple yanlis bir davranis, tamamen korumasiz birakir. Alternatif bir proaktif calisan antivirus kurmalisiniz.

Ucretli surum Malwarebytes olsa dahi, pro-aktif korumasi pek iyi degil. Manuel ikincil tarama disinda Malwarebytes onermiyorum.
Orijinal Fitgirl'ün sitesinden indirdiğimde de birebir aynı uyarıyı verdi ya yine voices38.dll dosyasında, değişen bi şey olmadı. Pek sallamadım artık crack dosyası diye.
 
@Rogue, gayet normal. voices38.dll, EMP.dll tarzi dosyalarin icinde crack kodlari bulunur, DRM bypass edebilmek icin gerekli. Antivirusler bu tarz dosyalari zararli yazilimlara benzer davranislarda bulundugu icin pozitif algilayabiliyor.

Oyun bellegine kod enjekte ediyor, lisans kontrollerini degistiriyor, obfuscated kod iceriyor, farkli processlere mudahale ediyor.

BitDefender Antivirus Free kullanirsaniz muhtemelen zirt pirt bu tarz uyarilara maruz kalmayacaksiniz.