Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.
Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.
The Enigma Protector : Analyze (Encryption-UnPack)
https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/
.NET Deobfuscating
https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/
Elimde bir adet şüpheli dosya var;
Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;
Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;
Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.
Confuser Unpacker de4dot;
Arşiv Şifresi;
lckt0
Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.
Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.
Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?
Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?
Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.
İndirmek İçin;
de4dot_mobile46
Arşiv Şifresi;
lckt0
Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.
Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.
Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.
Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.
The Enigma Protector : Analyze (Encryption-UnPack)
https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/
.NET Deobfuscating
https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/
Elimde bir adet şüpheli dosya var;
Confuser Unpacker de4dot;
ConfuserEx_Unpacker
MediaFire is a simple to use free service that lets you put all your photos, documents, music, and video in a single place so you can access them anywhere and share them everywhere.
www.mediafire.com
Arşiv Şifresi;
lckt0
Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.
İndirmek İçin;
de4dot_mobile46
Arşiv Şifresi;
lckt0
Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.
