Basit Malware Analizi / SeNZeRo

SeNZeRo

Özel Üye
8 Eyl 2016
5,109
5
malware.png

Merhaba arkadaşlar. Bu konumda sizlere Malware Analiz' inin nasıl yapıldığını, analiz çeşitlerinin neler olduğunu, ne için yapıldığını, hangi programların kullanıldığını anlatacağım.
Bu konuda temel olarak malware analizinin nasıl yapılacağını ve hangi yöntemler inceleneceği hakkında bilgi sahibi olacaksınız.
Öncelikle bahsetmek isterim ki burada anlattığım yöntemler benim kullandığım yöntemler olup sizler kendinizi geliştirerek kendi yöntemlerinizi geliştirebilirsiniz.

Malware Analizi Nedir ?

Malware: Kötü amaçlı yazılım olarak bilinir. Sistemimizde bizim iznimiz dışında çalışan yazılımlar. Buna örnek olarak rat, trojen, rootkit, ransomware gibi yazılımlar örnek verilebilir.

Malware Analizi: Malware' nin tanımından anlaşılacağı gibi zararlı yazılımları, dosyaları analiz ederek tespit etmektir. Bazı durumlarda anti virüsler yetersiz kalıyor bu gibi durumlarda dosyayı kendiniz analiz etmeniz gerekiyor. Günümüzdeki bir çok virüs anti virüsleri atlatarak sistemlere kolay bir şekilde girebiliyor. Bunu önlemenin en iyi yolu malware analizi yapmaktır.
Malware Analizi iki türlüdür. Statik Analiz ve Dinamik Analiz dir.

Statik Analiz: İncelenecek olan şüpheli dosya çalıştırılmadan kodları incelenerek yapılan analiz türüdür.

Dinamik Analiz: İncelenecek olan şüpheli doya sistem üzerinde çalıştırılarak sistemde neler yaptığına bakılarak yapılan analiz türüdür.

Malware Analizi Nasıl Yapılır ?
Malware analizi hakkında basit düzeyde teknik bilgi sahibi oldunuz. Şimdide malware analizinin nasıl yapıldığına geçelim.

Malware analizinde ilk basamak incelenecek dosya hakkında bilgi toplamak. Bilgi toplama işlemi için bir çok yazılım var. Daha öncede dediğim gibi her insanın yöntemi ve kullandığı programlar farklıdır. Ben kendi kullandığım programları sizlere anlatacağım.
> PEiD
> DIE
> PE İnsider
> CFF Explorer

PEiD Kullanımı:
İlk başta PEiD programı ile dosya hakkında bilgi alıyoruz. Bu sayede inceleyeceğimiz dosyanın hangi dilde yazıldığı hakkında bize bilgi veriyor. PEiD programının başka fazla bir özelliği yok, en önemli özelliği dosyanın hangi dilde yazıldığını öğrenmemiz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz programın kullanımı bu kadar.

image.png

DIE Kullanımı:

DIE programı PEiD programının daha gelişmiş halidir. DIE programından dosya hakkında istediğimiz bir çok bilgiyi alabiliyoruz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz. Ve bize dosya hakkında bir çok bilgi veriyor.

image.png

CFF Explorer Kullanımı:
CFF Explorer programını indirdikten sonra kurmamız gerekiyor. Kurduktan sonra CFF Explorer programını açıyoruz. File sekmesinden Open e basıp incelemek istediğimiz dosyayı seçiyoruz. Ve bize dosya hakkında çok fazla bilgi veriyor.

image.png

Evet arkadaşlar yukarıdaki araçları kullanarak inceleyeceğimiz dosya hakkında yeterli bilgi sahibi olduk. Şimdi ise dosyanın kodlarını okumaya geldi. Eğer dosyada bir malware varsa biz bunu dosyanın kodlarını okuyarak öğreneceğiz.
Kodları okuma işi için ben dnSpy programını kullanıyorum. Siz isterseniz başka bir programı da kullanabilirsiniz. Dosyayı dnSpy programının üzerine sürükleyip bırakıyoruz ve dosyanın bütün kodlarını okunabilir bir hale getiriyoruz.

NOT: Eğer inceleyeceğimiz dosyaya obfuscate veya sıkıştırma işlemi yapılmışsa kodlar okunmaya bilir. Bunun için çeşitli yazılımlarla deobfuscate işlemi yapıp şifrelenmiş dosyanın kodlarını okunabilir bir hale getirebiliyoruz.

dnSpy programını kullanarak dosyanın tek tek bütün kodlarını okuyoruz. Eğer bu okuma işleminde bir zararlı kod tespit edersek programın zararlı olduğuna kanat getirebiliriz.

Kodları okuma işlemini yaparak Statik analiz yapmış oluyoruz. Yani yukarıdaki adımları yaparsak statik analiz yapmış oluyoruz. Şimdide Dinamik Analizin nasıl yapıldığına geçelim.

Dinamik Analiz Nasıl Yapılır ?

Dinamik analiz incelenecek dosyanın sistemler üzerinde çalıştırılarak sistemde neler yaptığını inceleyerek yapılan analiz türüdür. Bunun için sanal makinede bir windows unuzun olması lazım. Veya sandboxie programının olması gerekiyor.
İnceleyeceğimiz dosyayı sanal windows' umuzda çalıştırıyoruz ve sistemde neler yaptığını izliyoruz. Eğer sistemde sizden izinsiz bir şekilde arka planda bilmediğiniz uygulamalar çalışıyor ise dosya zararlıdır.


Veya wiresshark programını çalıştırdıktan sonra dosyamızı çalıştırıyoruz ve dinlemeye alıyoruz. Wiresshark programı ile ağımızda neler yaptığını izleyerek de zararlı olup olmadığını öğrenebiliriz.

Genel olarak basit bir malware analizi bu şekilde yapılıyor. Araştırma yaparak ileri seviye malware analizi hakkında bilgi sahibi olabilirsiniz. Burada anlattıklarım temel ve basit seviyedir. Kolay gelsin. İyi formlar.
 

Eagleweb

Katılımcı Üye
8 May 2021
952
249
malware.png



Merhaba arkadaşlar. Bu konumda sizlere Malware Analiz' inin nasıl yapıldığını, analiz çeşitlerinin neler olduğunu, ne için yapıldığını, hangi programların kullanıldığını anlatacağım.

Bu konuda temel olarak malware analizinin nasıl yapılacağını ve hangi yöntemler inceleneceği hakkında bilgi sahibi olacaksınız.

Öncelikle bahsetmek isterim ki burada anlattığım yöntemler benim kullandığım yöntemler olup sizler kendinizi geliştirerek kendi yöntemlerinizi geliştirebilirsiniz.


Malware Analizi Nedir ?


Malware: Kötü amaçlı yazılım olarak bilinir. Sistemimizde bizim iznimiz dışında çalışan yazılımlar. Buna örnek olarak rat, trojen, rootkit, ransomware gibi yazılımlar örnek verilebilir.


Malware Analizi: Malware' nin tanımından anlaşılacağı gibi zararlı yazılımları, dosyaları analiz ederek tespit etmektir. Bazı durumlarda anti virüsler yetersiz kalıyor bu gibi durumlarda dosyayı kendiniz analiz etmeniz gerekiyor. Günümüzdeki bir çok virüs anti virüsleri atlatarak sistemlere kolay bir şekilde girebiliyor. Bunu önlemenin en iyi yolu malware analizi yapmaktır.


Malware Analizi iki türlüdür. Statik Analiz ve Dinamik Analiz dir.


Statik Analiz:
İncelenecek olan şüpheli dosya çalıştırılmadan kodları incelenerek yapılan analiz türüdür.



Dinamik Analiz: İncelenecek olan şüpheli doya sistem üzerinde çalıştırılarak sistemde neler yaptığına bakılarak yapılan analiz türüdür.


Malware Analizi Nasıl Yapılır ?

Malware analizi hakkında basit düzeyde teknik bilgi sahibi oldunuz. Şimdide malware analizinin nasıl yapıldığına geçelim.


Malware analizinde ilk basamak incelenecek dosya hakkında bilgi toplamak. Bilgi toplama işlemi için bir çok yazılım var. Daha öncede dediğim gibi her insanın yöntemi ve kullandığı programlar farklıdır. Ben kendi kullandığım programları sizlere anlatacağım.


> PEiD

> DIE

> PE İnsider

> CFF Explorer


PEiD Kullanımı:

İlk başta PEiD programı ile dosya hakkında bilgi alıyoruz. Bu sayede inceleyeceğimiz dosyanın hangi dilde yazıldığı hakkında bize bilgi veriyor. PEiD programının başka fazla bir özelliği yok, en önemli özelliği dosyanın hangi dilde yazıldığını öğrenmemiz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz programın kullanımı bu kadar.


image.png



DIE Kullanımı:


DIE programı PEiD programının daha gelişmiş halidir. DIE programından dosya hakkında istediğimiz bir çok bilgiyi alabiliyoruz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz. Ve bize dosya hakkında bir çok bilgi veriyor.


image.png



CFF Explorer Kullanımı:

CFF Explorer programını indirdikten sonra kurmamız gerekiyor. Kurduktan sonra CFF Explorer programını açıyoruz. File sekmesinden Open e basıp incelemek istediğimiz dosyayı seçiyoruz. Ve bize dosya hakkında çok fazla bilgi veriyor.


image.png



Evet arkadaşlar yukarıdaki araçları kullanarak inceleyeceğimiz dosya hakkında yeterli bilgi sahibi olduk. Şimdi ise dosyanın kodlarını okumaya geldi. Eğer dosyada bir malware varsa biz bunu dosyanın kodlarını okuyarak öğreneceğiz.

Kodları okuma işi için ben dnSpy programını kullanıyorum. Siz isterseniz başka bir programı da kullanabilirsiniz. Dosyayı dnSpy programının üzerine sürükleyip bırakıyoruz ve dosyanın bütün kodlarını okunabilir bir hale getiriyoruz.



NOT: Eğer inceleyeceğimiz dosyaya obfuscate veya sıkıştırma işlemi yapılmışsa kodlar okunmaya bilir. Bunun için çeşitli yazılımlarla deobfuscate işlemi yapıp şifrelenmiş dosyanın kodlarını okunabilir bir hale getirebiliyoruz.


dnSpy programını kullanarak dosyanın tek tek bütün kodlarını okuyoruz. Eğer bu okuma işleminde bir zararlı kod tespit edersek programın zararlı olduğuna kanat getirebiliriz.


Kodları okuma işlemini yaparak Statik analiz yapmış oluyoruz. Yani yukarıdaki adımları yaparsak statik analiz yapmış oluyoruz. Şimdide Dinamik Analizin nasıl yapıldığına geçelim.



Dinamik Analiz Nasıl Yapılır ?



Dinamik analiz incelenecek dosyanın sistemler üzerinde çalıştırılarak sistemde neler yaptığını inceleyerek yapılan analiz türüdür. Bunun için sanal makinede bir windows unuzun olması lazım. Veya sandboxie programının olması gerekiyor.

İnceleyeceğimiz dosyayı sanal windows' umuzda çalıştırıyoruz ve sistemde neler yaptığını izliyoruz. Eğer sistemde sizden izinsiz bir şekilde arka planda bilmediğiniz uygulamalar çalışıyor ise dosya zararlıdır.



Veya wiresshark programını çalıştırdıktan sonra dosyamızı çalıştırıyoruz ve dinlemeye alıyoruz. Wiresshark programı ile ağımızda neler yaptığını izleyerek de zararlı olup olmadığını öğrenebiliriz.





Genel olarak basit bir malware analizi bu şekilde yapılıyor. Araştırma yaparak ileri seviye malware analizi hakkında bilgi sahibi olabilirsiniz. Burada anlattıklarım temel ve basit seviyedir. Kolay gelsin. İyi formlar.
Merhaba,
Emeğinize Sağlık
Konu Alıntılandı | +++++++
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.