//Temel Seviyede Zararlı Yazılım Anlizi\\

Nikon of Disast

Uzman üye
16 May 2020
1,641
1,170

Hepinize merhaba THT mensupları.

Bu konumda sizlere "Temel Seviyede Zararlı Yazılım Analizi" konusunu göstereceğim.


Konu içeriği:

Zararlı Yazılım Nasıl Tespit Edilir?
Zararlı Yazılım Nasıl Oluşturulur?
DIE(Detect IT Easy)
MegaDumper
Snowman
DnSPY
Ön inceleme
DIE ile linker / compiler analizi
DnSPY ile Kodlara Erişim
Kod İncelemesi


bGn47Z.png

Zararlı Yazılım Nasıl Tespit Edilir?

Zararlı yazılımları tespit etmenin bir çok yolu vardır.
Virustotal gibi sitelerde taratarak, bir çok anti virüsün tarama sonucunu görebiliriz.
Eğer emin olamazsak:
"
any.run" gibi sitelerde gelen bağlantıları, dosya değişikliklerini, gönderilen - alınan verileri, bağlantının kurulduğu IP adresinin güvenli olup olmadığı, indirilen dosyaların güvenli olup olmadığı.. gibi bir çok şeyi "any.run" gibi sitelerde öğrenebiliriz.
Manuel olarak da zararlı yazılımlar tespit edilebilir.


bGn47Z.png

Zararlı Yazılım Nasıl Oluşturulur?

Zararlı yazlım oluşturmanın da bir çok yolu vardır.
RAT(Remote Access Tool-Trojan) oluşturan uygulamalar:
DarkComet
Spynet
Spynote
Gibi uygulamalar kullanarak da RAT oluşturabiliriz.
Eğer kendi RAT'ımızı oluşturmak istersek,
VisualStudio ile "
Reverse TCP Shell" oluşturabiliriz.
Oluşturduğumuz RTS'yi "
NETCAT" gibi uygulamalar ile dinleyebiliriz.




bGn47Z.png

DIE(Detect IT Easy)

DIE uygulaması linker / compiler hakkında bizi bilgilerdiren bir yazılımdır.
Linker / Compiler olan uygulamaları DnSpy uygulaması ile açamayız.
Önce decompiler bulmalıyız.




bGn47Z.png

MegaDumper

MegaDumper, gerektiği durumlarda .NET uygulamlarını saflaştırarak DnSpy'a yükleyebilmemizi sağlar.



bGn47Z.png

Snowman

Snowman uygulaması DnSpy gibidir,
DnSpy .NET uygulamalarını açarken,
Snowman ise C++ uygulamalarını açmak için kullanılır.




bGn47Z.png

DnSpy

DnSpy uygulaması .NET dosyalarını açarak içinde ki kodları incelememize,
Gerektiği durumda ise düzenlememize olanak sağlar.




bGn47Z.png

Ön inceleme

Ön inceleme aşamasında uygulamanın özellikler kısmına bakalım.



Eğer özellikler > ayrıntılar kısmında bir bilgi bulamazsak uygulamayı VirusTotal'e taratabiliriz.

bGn47Z.png

DIE ile Linker / Compiler Analizi

Uygulamamızı DIE uygulamasına sürükle bırak yapıyoruz,



Gelen kısımda linker / compiler kısmına bakıyoruz.
Eğer .NET yazıyor ise bir compiler kullanılmamış demektir.
Compiler kullanmamış ise direk DnSpy'a yükleyebiliriz.


bGn47Z.png

DnSpy ile Kodlara Erişim

Uygulamamızı sürükle bırak ile DnSpy'a yüklüyoruz,
Uygulama geldiğinde diğer aşamaya geçebiliriz.


bGn47Z.png

Kod İncelemesi



Gelen kısımdan,
Programın içini açıyoruz,
Form1'in içine giriyoruz(Değişiklik gösterir.)




Kodlarımız karşımıza geldi,
Şimdi inceleme aşamasına geçelim.




Gördüğümüz gibi bir "
Mesaj Kutusu ve Zamanlayıcı" bulunuyor.
İkisinin de kodlarını inceleyelim.


bGn47Z.png


Mesaj Kutusu: uygulamanın bir virüs olduğunu söylüyor ve ardından timer1'i başlatıyor.
Timer1 de belirlnen tick hızına göre cmd açıyor.

Tek, tek görelim.




bGn47Z.png




Konumuz bu kadardı, eğer işinize yaradıysa ne mutlu bana..
İyi forumlar!
 

DeathWarrior01

Uzman üye
14 Ocak 2021
1,731
1,070
Evren

Hepinize merhaba THT mensupları.

Bu konumda sizlere "Temel Seviyede Zararlı Yazılım Analizi" konusunu göstereceğim.


Konu içeriği:

Zararlı Yazılım Nasıl Tespit Edilir?
Zararlı Yazılım Nasıl Oluşturulur?
DIE(Detect IT Easy)
MegaDumper
Snowman
DnSPY
Ön inceleme
DIE ile linker / compiler analizi
DnSPY ile Kodlara Erişim
Kod İncelemesi


bGn47Z.png

Zararlı Yazılım Nasıl Tespit Edilir?

Zararlı yazılımları tespit etmenin bir çok yolu vardır.
Virustotal gibi sitelerde taratarak, bir çok anti virüsün tarama sonucunu görebiliriz.
Eğer emin olamazsak:
"
any.run" gibi sitelerde gelen bağlantıları, dosya değişikliklerini, gönderilen - alınan verileri, bağlantının kurulduğu IP adresinin güvenli olup olmadığı, indirilen dosyaların güvenli olup olmadığı.. gibi bir çok şeyi "any.run" gibi sitelerde öğrenebiliriz.
Manuel olarak da zararlı yazılımlar tespit edilebilir.


bGn47Z.png

Zararlı Yazılım Nasıl Oluşturulur?

Zararlı yazlım oluşturmanın da bir çok yolu vardır.
RAT(Remote Access Tool-Trojan) oluşturan uygulamalar:
DarkComet
Spynet
Spynote
Gibi uygulamalar kullanarak da RAT oluşturabiliriz.
Eğer kendi RAT'ımızı oluşturmak istersek,
VisualStudio ile "
Reverse TCP Shell" oluşturabiliriz.
Oluşturduğumuz RTS'yi "
NETCAT" gibi uygulamalar ile dinleyebiliriz.




bGn47Z.png

DIE(Detect IT Easy)

DIE uygulaması linker / compiler hakkında bizi bilgilerdiren bir yazılımdır.
Linker / Compiler olan uygulamaları DnSpy uygulaması ile açamayız.
Önce decompiler bulmalıyız.




bGn47Z.png

MegaDumper

MegaDumper, gerektiği durumlarda .NET uygulamlarını saflaştırarak DnSpy'a yükleyebilmemizi sağlar.



bGn47Z.png

Snowman

Snowman uygulaması DnSpy gibidir,
DnSpy .NET uygulamalarını açarken,
Snowman ise C++ uygulamalarını açmak için kullanılır.




bGn47Z.png

DnSpy

DnSpy uygulaması .NET dosyalarını açarak içinde ki kodları incelememize,
Gerektiği durumda ise düzenlememize olanak sağlar.




bGn47Z.png

Ön inceleme

Ön inceleme aşamasında uygulamanın özellikler kısmına bakalım.



Eğer özellikler > ayrıntılar kısmında bir bilgi bulamazsak uygulamayı VirusTotal'e taratabiliriz.

bGn47Z.png

DIE ile Linker / Compiler Analizi

Uygulamamızı DIE uygulamasına sürükle bırak yapıyoruz,



Gelen kısımda linker / compiler kısmına bakıyoruz.
Eğer .NET yazıyor ise bir compiler kullanılmamış demektir.
Compiler kullanmamış ise direk DnSpy'a yükleyebiliriz.


bGn47Z.png

DnSpy ile Kodlara Erişim

Uygulamamızı sürükle bırak ile DnSpy'a yüklüyoruz,
Uygulama geldiğinde diğer aşamaya geçebiliriz.


bGn47Z.png

Kod İncelemesi



Gelen kısımdan,
Programın içini açıyoruz,
Form1'in içine giriyoruz(Değişiklik gösterir.)




Kodlarımız karşımıza geldi,
Şimdi inceleme aşamasına geçelim.




Gördüğümüz gibi bir "
Mesaj Kutusu ve Zamanlayıcı" bulunuyor.
İkisinin de kodlarını inceleyelim.


bGn47Z.png


Mesaj Kutusu: uygulamanın bir virüs olduğunu söylüyor ve ardından timer1'i başlatıyor.
Timer1 de belirlnen tick hızına göre cmd açıyor.

Tek, tek görelim.




bGn47Z.png




Konumuz bu kadardı, eğer işinize yaradıysa ne mutlu bana..
İyi forumlar!
Temel statik analizin yanında, temel dinamik analizi de anlatsaydın güzel olabilirdi.Eline sağlık : )
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.