Merhaba arkadaşlar yeni konumuz "PeStudio".
PEStudio , yürütülebilir yani çalıştırlabilir çeşitli bir çok dosya formatını destekleyen bir zararlı yazılım analizi yapmamıza yarayan malware analist programıdır.
Bazen zararlı yazılım tabiri sohbetlerde ;" "FUD"'ladım gizledim defender veya virüstotalde görmez... "gibisinden sözler duyabilirsiniz, evet gizlenebilir ama saklanamaz , biz bu programları kullanarak bazı şüpheli durumlar yakalayabiliyoruz bu yüzden bu programlar ile zararlı yazılım dediğim malware'leri tespit ederek kendimizi bir nebze koruyabiliriz.
Bu konu da sizlere A-Z 'ye bilgiler aktaramiyacağım malesef ama elimden geldiği kadar araştırmam ile buraya anlatmaya çalışacağım.
İNDİRME
Kurulum gerektirmez .exe dosyasını direkt olarak çalıştırabilirsiniz.
Ve önce ki konumda olduğu gibi örnek olarak "THT DOSYA İNDİRİCİ" programını ele alıcam.
Direkt isterseniz sürükleme yöntemi ile "THT DOSYA İNDİRİCİ" programını PEStudio ile açabiliriz.
Burada bizi bir çok alt menü karşılıyor, bu konu da hangi alt menü ne tür bilgiler bulunur bunları işleyeceğiz.
Wikipedia : Heksadesimal sayı sistemi nedir
MENÜLER
STARTT...
İlk'inden Başliyalım
İlk listemizde bizi Kaba Taslak olarak tabir ettiğimiz bilgiler var bunlar ;
Propert : Mülkiyet, ve Kriptoloji Alanından olan ; sha256 , sha1 , md5 ile şifreli imzalar bulunmakta.
First Bytes Hex : Burada ilk hex baytını gösteriyor.
File-Size : Dosya boyutu
File Types : Executable , bu tabir .exe 'nin uzantısıdır .exe executable'den kısalmış tabirdir. Yani burada programın .exe formatında olduğunu belirtiyor.
CPU : 64 bit destekli
Subsystem : Alt sisteminden bahsetmekte
Description : Açıklama kısmı
Stamps kısmında ise compiler stamp : derleyici hakkında tarih bilgisi yer almakta / debugger stamp ' da ise hata ayıklayıcı hakkında tarih bilgisi yer almakta.
Şimdi İndicators Kısmına Geçelim
İndicators
Burası önemli bir kısım burada programların gönderim yaptığı web sitelerin url'leri bulunmakta, ve severit kısmında web sitesinin risk oranını belirten sonuç var , bunlar 1 ile 5 arasında'dır.
1 den başlayarak risk oranı'nın boyutu 5'e kadar artar. Ve gördüğün gibi İndicators listesi kırmızı renkte yani risk belirtiyor ön önde bakılacak kısımlardan bir tanesi olduğunu program bizim için işaretliyor.
Buna örnek 2 fotoğrafdan ele alalım 1. fotoğraf bize ait olan " Tht İndirici" 2. fotoğraf alıntıdır.
31 Adet Url taradı ve bunların 3 tanesini çıkardı ve tanesini riskli olarak kırmızı renkte gösterdi.
Burada ise 56/77 olarak risk bulduğu tüm web url'lerini bizlere verdi.
Foot Prints
Arkadaşlar bu kısımda foot prints'in Türkçe çeviri tabiriyle " Ayak İzleri " bölümüdür.
Burada 14 tane ayak izi görüyoruz.
Footprint'in altında bulunan dosya isimleri > karşısına gelen kriptoloji ile şifrelenerek value/değer kısmının altında listeleniyor.
Virüs Total
Arkadaşlar Virüs Total kısmında program bize 2 türlü çıktı verebilir ya gördüğünüz üzere ekrana taradığı antivirüsleri ve riski belirtir.
2. çıktı olarak bizlere virüs totalden tarama yapıp bunun url'ini verebilir.
Dos-Header
Burada ;
Stil ( tip ; md6 , sha1 , sha256 )
Size ( boyut , byte )
File ratio ( dosya oranı )
VB. bilgiler Gösterir.
Rich Header
Bu kısımda programın hangi yazılım ile kodlandığı gösterir, sürümü her zaman doğru göstermeyebilir.
File Header
Burada dosya isimleri başlıkları yer alıyor.
Optional-Header
Yazılar ve boyutları görselleri, windows uygunluğu , win32 Versiyon değeri.
Directories
Burada byte değerlerini gösterir.
Sections
Burada ; ".txt , .data , data , pdata , RDATA" dosyalar hakkında bilgiler verir.
Libraries
Burada programın kullandığı kütüphane ile bilgiler verir
İmport
İmports kısmında programın ithal ettiği yazılımlar ve onlar hakkında gruplar ve imzalar gibi bilgiler mevcut.
RESOURCES
İcon , version , icon grup hakkında boyut ve doluluk oranı gibi bilgiler içerir.
STRİNG
Burada encoding edilmiş kodların boyutlarını gösteriyor.
DEBUG
İndirilen yolu, referans numarası burada gözükür.
Version
Burayı about gibi düşenebiliriz , Şirket adı , açıklama , program version , gibi bilgiler mevcut.
Certificate
Program certficasını varmı yokmu, doğrulanmış mı bütün değerlerine ulaşılabilecek sekme
Konu buraya kadardı umarım anlatabilmişimdir,
Teşekkür ederim.
PEStudio , yürütülebilir yani çalıştırlabilir çeşitli bir çok dosya formatını destekleyen bir zararlı yazılım analizi yapmamıza yarayan malware analist programıdır.
Bazen zararlı yazılım tabiri sohbetlerde ;" "FUD"'ladım gizledim defender veya virüstotalde görmez... "gibisinden sözler duyabilirsiniz, evet gizlenebilir ama saklanamaz , biz bu programları kullanarak bazı şüpheli durumlar yakalayabiliyoruz bu yüzden bu programlar ile zararlı yazılım dediğim malware'leri tespit ederek kendimizi bir nebze koruyabiliriz.
Bu konu da sizlere A-Z 'ye bilgiler aktaramiyacağım malesef ama elimden geldiği kadar araştırmam ile buraya anlatmaya çalışacağım.
İNDİRME
Gezginlerden İndirebiliriz.
Link
Link
Kurulum gerektirmez .exe dosyasını direkt olarak çalıştırabilirsiniz.
Ve önce ki konumda olduğu gibi örnek olarak "THT DOSYA İNDİRİCİ" programını ele alıcam.
Direkt isterseniz sürükleme yöntemi ile "THT DOSYA İNDİRİCİ" programını PEStudio ile açabiliriz.
Burada bizi bir çok alt menü karşılıyor, bu konu da hangi alt menü ne tür bilgiler bulunur bunları işleyeceğiz.
Kaynaksız içerik itiraz konusu olabilir ve kaldırılabilir. Heksadesimal (İngilizce kısaltmasıyla hex), matematik ve bilişim alanlarında kullanılan 16 tabanlı sayı sistemidir.
MENÜLER
STARTT...
İlk'inden Başliyalım
İlk listemizde bizi Kaba Taslak olarak tabir ettiğimiz bilgiler var bunlar ;
Propert : Mülkiyet, ve Kriptoloji Alanından olan ; sha256 , sha1 , md5 ile şifreli imzalar bulunmakta.
First Bytes Hex : Burada ilk hex baytını gösteriyor.
File-Size : Dosya boyutu
File Types : Executable , bu tabir .exe 'nin uzantısıdır .exe executable'den kısalmış tabirdir. Yani burada programın .exe formatında olduğunu belirtiyor.
CPU : 64 bit destekli
Subsystem : Alt sisteminden bahsetmekte
Description : Açıklama kısmı
Stamps kısmında ise compiler stamp : derleyici hakkında tarih bilgisi yer almakta / debugger stamp ' da ise hata ayıklayıcı hakkında tarih bilgisi yer almakta.
Şimdi İndicators Kısmına Geçelim
İndicators
Burası önemli bir kısım burada programların gönderim yaptığı web sitelerin url'leri bulunmakta, ve severit kısmında web sitesinin risk oranını belirten sonuç var , bunlar 1 ile 5 arasında'dır.
1 den başlayarak risk oranı'nın boyutu 5'e kadar artar. Ve gördüğün gibi İndicators listesi kırmızı renkte yani risk belirtiyor ön önde bakılacak kısımlardan bir tanesi olduğunu program bizim için işaretliyor.
Buna örnek 2 fotoğrafdan ele alalım 1. fotoğraf bize ait olan " Tht İndirici" 2. fotoğraf alıntıdır.
31 Adet Url taradı ve bunların 3 tanesini çıkardı ve tanesini riskli olarak kırmızı renkte gösterdi.
Burada ise 56/77 olarak risk bulduğu tüm web url'lerini bizlere verdi.
Foot Prints
Arkadaşlar bu kısımda foot prints'in Türkçe çeviri tabiriyle " Ayak İzleri " bölümüdür.
Burada 14 tane ayak izi görüyoruz.
Footprint'in altında bulunan dosya isimleri > karşısına gelen kriptoloji ile şifrelenerek value/değer kısmının altında listeleniyor.
Virüs Total
Arkadaşlar Virüs Total kısmında program bize 2 türlü çıktı verebilir ya gördüğünüz üzere ekrana taradığı antivirüsleri ve riski belirtir.
2. çıktı olarak bizlere virüs totalden tarama yapıp bunun url'ini verebilir.
Dos-Header
Burada ;
Stil ( tip ; md6 , sha1 , sha256 )
Size ( boyut , byte )
File ratio ( dosya oranı )
VB. bilgiler Gösterir.
Rich Header
Bu kısımda programın hangi yazılım ile kodlandığı gösterir, sürümü her zaman doğru göstermeyebilir.
File Header
Burada dosya isimleri başlıkları yer alıyor.
Optional-Header
Yazılar ve boyutları görselleri, windows uygunluğu , win32 Versiyon değeri.
Directories
Burada byte değerlerini gösterir.
Sections
Burada ; ".txt , .data , data , pdata , RDATA" dosyalar hakkında bilgiler verir.
Libraries
Burada programın kullandığı kütüphane ile bilgiler verir
İmport
İmports kısmında programın ithal ettiği yazılımlar ve onlar hakkında gruplar ve imzalar gibi bilgiler mevcut.
RESOURCES
İcon , version , icon grup hakkında boyut ve doluluk oranı gibi bilgiler içerir.
STRİNG
Burada encoding edilmiş kodların boyutlarını gösteriyor.
DEBUG
İndirilen yolu, referans numarası burada gözükür.
Version
Burayı about gibi düşenebiliriz , Şirket adı , açıklama , program version , gibi bilgiler mevcut.
Certificate
Program certficasını varmı yokmu, doğrulanmış mı bütün değerlerine ulaşılabilecek sekme
Konu buraya kadardı umarım anlatabilmişimdir,
Teşekkür ederim.
Moderatör tarafında düzenlendi: