- 12 May 2019
- 28
- 0
MALWARE ANALİZ ARACI : PEİD
PEİD,Yürütülebilir dosyalarda bulunan şifreleyici,derleyici ve paketleyicileri algılamak için kullanılan analiz uygulamasıdır.600'den fazla dilde analiz yapabilen bu uygulama virüslerin uygulamalara gizlenmesini zorlaştırıyor.
PEİD Nedir?
PEİD(PE İDentifier) iyi bilinen profesyonel paketleyici / şifreleyici / derleyici tespit programıdır.Neredeyse tüm dosyaların türlerini / kodlandığı dilleri algılayabilecek kadar güçlüdür(şu anda bu sayı 600 dilden oluşuyor) ek olarak PEİD 60+ kitaplık ve eklenti ile bizlere sunulmaktadır.Tersine mühendislik ve yazılım kırma meraklılarının gözde uygulamasıdır.EK olarak PEİD,kullanıcıların bazı kodları özelleştirmesine izin veren "userdb.txt" isimli dosya sunar.BTW,PEİD eklentileri açılırken bir sorun oluşursa bu aşamada PEİD bizlere sunduğu "ImportREC" özelliği ile hatalı eklentiyi onarır.
ÖZELLİKLER
Kod:
Mükemmel bir GUI'ye sahip ve arayüz gerçekten sade ve basit.
Tespit oranları diğer analiz programlarına göre daha yüksek.
Gelişmiş ve üzerinde değişiklik yapılmış bilinmeyen dosyalarda tarama yapmak üzere geliştirilmiş 3 farklı tarama modu.
Shell entegrasyonu,komut satırı desteği,Sürükle-Bırak özelliği.
Çoklu dosya ve dizin tarama desteği.
Görev görüntüleyici ve denetleyici.
OEP Finder,Krypto Analyzer gibi farklı eklentiler.
Daha iyi sonuçlar için kullanılan ekstra tarama yöntemleri.
Sezgisel tarama seçenekleri.
Dosyalar arası yapılan aktarımı izleme olanağı.
Hızlı işlemler için üretilmiş olması.
HEX kodlarını görüntüleme.
Kullanıcı tarafından değiştirilebilen kod yapısı seçeneği.EKLENTİLER
Kod:
UnreaL.DLL
advanced_scan.dll
AntiSPack.dll
crc32.dll
Easy Screen 1.3.0.dll
eCrap.dll
eCrapOepVerify.dll
EPScan.dll
ExtOverlay.dll
ExtractOverlay.dll
FC.DLL
FileInfo.dll
FixCRC.DLL
FNE.dll
GenOEP.dll
GUID.dll
IDToText.DLL
ImpREC.dll
kanal.dll
Morphine.DLL
oepscan.dll
ohfixer_v01.dll
Oversaver.dll
Patch_Maker_0.5.0.dll
PE2HTML.dll
PE2HTML.exe
PEExtract.DLL
PEiDBundle.DLL
PESniffer4PEiD.ASM
PESniffer4PEiD.DLL
PlgLdr.dll
PluginEx.dll
pluzina.dll
pluzina1.dll
pluzina4.dll
QuickChSum.dll
RebuildPE.dll
RelocRebuilder.dll
SecFix.dll
SecTool.DLL
Sendspy.dll
StringViewer.dll
unbero.dll
UnCDS_SS.DLL
undef.dll
UnFakeNinja.DLL
unfsg.dll
UnitsBrowser.dll
UnPPP.DLL
UnRCrypt.DLL
UnRPolyCrypt.DLL
UnUPolyX.dll
UNUPX.DLL
unupx2.dll
UnUPXShit.dll
UPXI.dll
uupx.dll
VerA.dll
xInfo.DLL
XNResourceEditor_Plugin.DLL
XP.dll
YPP.DLL
ZDRx.dllTARAMA MODLARI
Normal Mod : Dosyanın giriş kısmında(açılınca başlatılacak görevler) tarama yapar.
Derin Mod : Dosyanın Başlatma / Görevler kısmında tarama yapar.
HardCore Mod : Dosyanın kod yapısı / başlatma / görevler kısmında tarama yapar,önerilen tarama modudur.
KOMUT SATIRI KODLARI
peid -time -> Bu dosyadan önce yapılan tarama işlemlerini gösterir.
peid -r -> Dosyanın bulunduğu klasörün tümünde tarama yapar.
peid -nr -> Dosyayı tarama emri verseniz bile tarama işlemini başlatmaz.
peid -hard -> Belirtilen dosyayı "HardCore" mod ile tarar.
peid -deep -> Belirtilen dosyayı "Derin" mod ile tarar.
peid -norm -> Belirtilen dosyayı "Normal" mod ile tarar.
Not : İki komutu birleştirerek yazabilirsiniz -> peid -hard -time -r c:\windows\system32
peid -time -deep c:\windows\system32\*.dll
peid -r -> Dosyanın bulunduğu klasörün tümünde tarama yapar.
peid -nr -> Dosyayı tarama emri verseniz bile tarama işlemini başlatmaz.
peid -hard -> Belirtilen dosyayı "HardCore" mod ile tarar.
peid -deep -> Belirtilen dosyayı "Derin" mod ile tarar.
peid -norm -> Belirtilen dosyayı "Normal" mod ile tarar.
Not : İki komutu birleştirerek yazabilirsiniz -> peid -hard -time -r c:\windows\system32
peid -time -deep c:\windows\system32\*.dll
SİSTEM GEREKSİNİMLERİ
Visual Studio .NET 2002 (for MFC70.DLL)
Microsoft Visual C++ 2008 Redistributable Package
Microsoft Visual C++ 2010 Redistributable Package
xInfo.DLL isimli sistem yapılandırma dosyası 64-BİT sistemlerde stabil çalışmadığı için programda çökmeler yaşanabilir.
KULLANIMI
Deneme amaçlı virüs oluşturalım.
Virüsümüzü programımıza tanımlayalım.
Alt sekmede bulunan "C# / Basic.NET" kodlandığı dil ve kütüphane hakkında bilgi vermektedir.Şimdi "First Bytes" butonuna tıklayalım.
Belirttiğim alanda "String" butonuna tıklayarak aşağıda verdiğim anahtar kelimeleri taratarak dosyanın virüs bulundurup bulundurmadığını anlayabilirsiniz.
ANAHTAR KELİMELER
Kod:
[CENTER]Interlocked
#b
b~
keylog
trojan
remote
mouse remote
scramb
[/CENTER]Anlatımım bu kadardı işinize yaradıysa ne mutlu bana,diğer konularda görüşmek üzere!
Son düzenleme:
