FileAlyzer analiz aracı detaylı inceleme ve kullanımı

LerJenHARD

LerJenHARD

Junior Hunter
10 Ara 2017
78
57
☾★


Merhaba değerli forum üyeleri bugün sizlere FileAlyzer analiz aracı nedir, neyapar?
detaylı bir şekilde anlatacağım umarım faydası olur iyi okumalar.

f8l1281.png

FileAlyzer Nedir?

FileAlyzer bir dosyanın temel yapısını ve içeriğini incelemesini ve bilgi sağlanmasını sağlayan bir analiz aracıdır.
Metin, Görsel, HTML ve PE dosyalarını yorumlayıp hakkında bilgiler verir.
Bizim için önemli olan PE dosyalarını incelemek çünkü genelde tehdit içeren yazılımlar .exe formatında oluyor. peki PE nedir?

PE (portable executable): Windows işletim sistemleride taşınabilir ve çalıştırılabilir olan dosyaları ifade eder .exe , .dll uzantılı dosyalar için geçerlidir.
dll (dynamic link library): Türkçesi "dinamik bağlantı kitaplığı" olan dll dosyaları, birden çok uygulama tarafından paylaşılabilen ve uygulamaların
ihtiyaç duyduğu fonksiyonları içeren dosyalardır.


na7otd3.png

FileAlyzer Kullanım Amaçları

Zararlı yazılım analizi:

Siber güvenliğin zararlı yazılım analizi, tersine mühendislik (reverse engineering), cracking gibi alanlarda sıkça kullanılmaktadır.
Dosyanın içeriğine bakılarak zararlı olup olmadığının tespitinde kullanılmaktadır.
Bunun için zararlının kullandığı kritik kütüphaneler ve fonksiyonların incelenmesi örnek verilebilir.

Güvenlik İncelemeleri ve Sorun Giderme:

Güvenlik incelemeleri sırasında, oluşan sorunları tespit etmek ve çözümlemek içinde kullanılabilir.

Bağlamsal bilgi çıkarma:

Dosyanın içeriğinden bağlamsal bilgiler çıkarma, örneğin adli bilişim hizmeti olarak bir vaka da metin içeriği, görsel içerikler ve seslerde bulunan dijital izlerin takip edilmesinde kullanılabilmektedir.

Dosya Özellikleri ve İstatistikleri:

Dosyanın içindeki özellikleri ve istatistikleri analiz etmek, dosyanın boyutu, türü, sıkıştırma oranı gibi bilgileri çıkarmak amacıyla kullanılabilir.


na7otd3.png


FileAlyzer Nasıl Kullanılır?


Aşağıdaki linkten aracı indirip windowsa kurabilirsiniz.
FileAlyzer indir

Gelin şimdi aracımızın neler yapabildiğini ve özelliklerine genel bir göz atalım ve nasıl kullanıldığından bahsedelim.

File Open diyerek incelemek istediğimiz PE dosyasını seçiyoruz.

f8D_h0Nsa2n.png


Ben örnek olması üzerine WannaCry fidye zararlısını seçerek sizlere göstermeye çalışacağım.

General sekmesi


5bRjgUZ.png


Dosyamızı seçip açtıktan sonra general(genel) sekmesi bizi karşılıyor ve diğer sekmelerde sıralanmış şekilde görünmekte.
General sekmesi bize dosyamızın genel bilgilerini vermekte, önemli olan bir kaç başlığa bakalım.
Version: Programın sürüm bilgisini içerir.

MD5: Burda bize dosyanın MD5 değerini vermiş peki bu nedir niye önemli? MD5, dosyanın içeriğini bir özet (hash) fonksiyonundan geçirerek benzersiz bir MD5 değeri üretir. Bu değer, dosyanın bütünlüğünü kontrol etmek ve dosyadaki değişiklikleri tespit etmek amacıyla kullanılır. Dosya içeriği değişirse, MD5 değeri değişir. Antivirüs ve virüstotal gibi hizmetlerde bu değerler saklanarak, dosyaların zararlı olup olmadığını tespit etmekte kullanılır.
MD5: DB349B97C37D22F5EA1D1841E3C89EB4


SHA-1: Sha-1 md5'a benziyor aynı şekilde veri bütünlülüğünü kontrol etmek ve benzersiz bir hash oluşturmayı amaçlar. bu iki değeri virustotal veritabanların da taratıp inceleyebilirsiniz.
SHA-1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26

Hemen altında ise Visual C++ 5.0 ve 6.0 yazdığını görüyoruz bu bize programın bu dille yazıldığının bilgisini veriyor.
En altta ise oluşturma, son erişim gibi bazı olay zamanları içermekte.

HEX Sekmesi

6Iz_HCN8.png



Dosya içeriğini onaltılık(hexadecimal) formatta gösterir ve karşılığında ASCİ karakterleri ile düşük seviye bir şekilde programın incelenmesi yapılıp nasıl çalıştığı hakkında fikir edinmemizi sağlar.


P_jnbqTU7.png



Filenames kısmında içerisinde kullanılan klasörleri ve import(eklenmiş) edilmiş dll dosyalarını listeler.​

MZ Header


yqgGFI.png


MZ header programın başlangıcını işaret eder, DOS tabanlı windows sürümleri ve 16 bitlik uygulamalarda bulunur.
Bu başlık, bir dosyanın DOS uyumlu bir ortamda çalıştırılabilmesi için gerekli bilgileri içerir.

PE Header


b28dSXlY4gt.png
PE header, modern Windows işletim sistemlerinde kullanılan ve 32-bit ve 64-bit uygulamaları temsil eden bir dosya biçimidir. PE header, uygulamanın yürütülmesi, bellek yönetimi ve dinamik bağlantı gibi çeşitli bilgileri içerir. 0x50 0x45 0x00 0x00 imzası uygulamanın PE biçiminde olduğunu gösterir.


PE Section


cOimx.png

PE Section'da dört adet bölüm bulunmaktadır: .text, .rdata, .data, .rsrc. Bunlar bizim dosyamızın kategorize edilmiş hali diyebiliriz.
Bunlar bizim ne işimize yarayacak dediğinizi duyar gibiyim tek tek bakalım o halde.


.text
Uygulamanın gerçek işlevselliğini içeren makine kodunu(assembly) içermektedir. Zararlı yazılım analistleri bu kodları inceleyerek zararlı davranışları ve potansiyel güvenlik tehditlerini belirleyebilir.
.data
Programın çalışma zamanında içerisinde veri ve değişkenlerin tutulduğu bölümdür. Genelde saldırganlar bu kısmı gizlemeye çalışmaktadır.

.rdata
Sadece okunabilir verileri tutar. Genellikle sabit veri, metin dizeleri veya diğer salt veri türlerini içerir.
.rsrc
Bu kısım, uygulamanın kullanıcı arayüzünün kaynaklarını depolar; fotoğraflar, ikonlar gibi. Kötü amaçlı yazılımların bu bölümü manipüle ederek sahte veya zararlı içerik gösterme potansiyeli vardır.


PE kısımlarını analiz edilerek zararlı yazılım tespit edilebilir. Özellikle .text bölümündeki kodun analizi, zararlı yazılımın işleyişini anlamak ve karşı tedbirler almak için önemlidir. En altta ise Graph kısmını görüyoruz bu da bize bölümlerin dosyada kapladığı alanların grafiksel oranlamasını ve karşısında byte miktarlarını göstermektedir.

PE Imports


a5oKdcDC60j.png




Bu kısım bize uygulamamızın içerisinde kullanılan dll'ler ve onun altındaki fonksiyonları listeler ve kullanılan özellikler "+" ile kullanılmayanları "-" ile işaretler.
Fonksiyonların neler yapabildiğini öğrenmek için adlarını Google amcadan aratıp Microsoft'un kendi sitesinde detaylı şekilde inceleyebilirsiniz.
Örnek olması açısında CreatServiceA'yı aşağıdaki linkten inceleyebilirsiniz.
CreatServiceA msdn

Disassembler


OBixP.png

Disassembler sekmesi bize uygulamamızın assembly kodlarını göstermektedir. Bu kodları debug ederek çalışma adımlarını ve olaylarını izleyebiliriz.

Virus Total


47SOjB.png

Son olarak, VirusTotal sekmesinde dosyamızı VirusTotal'e göndererek eğer varsa hazır tespit edilmiş veya incelenmiş zararlılarla eşleşmesi durumunda detaylı bilgi alabiliriz.

FileAlyzer'da submit etmeyi denedim fakat bendeki sürümde bir sıkıntı var galiba, result dönmüyor. Onun yerine WannaCry'ı manuel olarak ekleyerek denedim ve sonuçları aşağıda:


CZWxjr.png


detaylı incelemek isteyenler için :
Virus Total

na7otd3.png


FileAlyzer aracı ile ilgili inceleyeceklerimiz bu kadardı. Önemli olan birkaç sekmesine göz attık ve daha çok bize neler sunduğunu anlatmaya çalıştım. Tek tek üzerinde durmadım, fazla sıkıcı olmasın diye. Umarım bilgilendirici olmuştur.
Yazımı buraya kadar okuduğunuz için teşekkür ederim. İyi forumlar THT ailesi

r1qu971.png
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.