Artık sistemin üzerinde değil, içindeki boşluktasınız. Kod ve veri arasındaki farkın silindiği, Windows çekirdeğinin mutlak sessizliği.
Bellekte çalışan bir sürece dışarıdan müdahale etmek ve sistem seviyesinde tetikleyiciler oluşturmak.
wmic /node:"127.0.0.1" process call create "cmd.exe /c powershell.exe -enc [BASE64]"
Driver Signature Enforcement (DSE) durumunu sorgulama ve boot konfigürasyonunu (BCD) manipüle etme.
bcdedit /enum all /v
Dosya sistemi seviyesinde "silme" işlemi sadece bir referans değişikliğidir. E2 seviyesinde biz, veriyi Master File Table (MFT) üzerinden tamamen takip eder veya yok ederiz.
fsutil fsinfo ntfsinfo C:
Sektör başına bayt ve MFT başlangıç kümesini verir.
fsutil hardlink list [dosya]
Aynı veriye işaret eden tüm fiziksel girişleri bulur.
fsutil sparse setflag [dosya]
Disk alanını işgal etmeyen devasa boş veri alanları yaratır.
Sistem günlüklerinin yazılmasını servis seviyesinde değil, iş parçacığı (thread) seviyesinde durdurma mantığı.
net stop eventlog /y
-- Sistem kritik servis olduğu için reddedebilir, kernel bypass gerekir.
Dosyayı sildikten sonra üzerine rastgele veri yazarak adli kurtarmayı imkansız kılma.
cipher /w:C:\Hedef_Klasor
Bu, serinin son görevidir. Sistemin içinde tamamen görünmez ve her yerde olan bir "Singularity" olman gerekiyor:
Bir batch script hazırlayarak kendi kendini silen (Self-Deleting) ve arkasında hiçbir log bırakmayan bir akış kur.
`Wbemtest` veya `WMIC` kullanarak sistem her boşta kaldığında (Idle) tetiklenecek bir kernel görevi oluştur.
`Cipher` ve `FSUtil` kullanarak bir diskin boş alanını tamamen sanitize et.