Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Tersine Mühendislik

Tersine Mühendislik Reverse Engineering ve Cracking ile ilgili dökümanları bulabileceğiniz, CrackMe gibi uygulamaların paylaşıldığı bölüm.


Malware Analiz Araçlarım Ve Kullanımları // Black Turtle

Tersine Mühendislik

Yeni Konu aç Cevapla
 
Seçenekler
Alt 29-01-2019 22:44   #1
  • Analiz Ekibi Sorumlusu
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 929
Teşekkür (Aldı): 1660


Malware Analiz Araçlarım Ve Kullanımları // Black Turtle



Herkese merhabalar arkadaşlar bu gün sizlere bana çok sorulan "Malware Anlalizini" ve "Kullandığım Araçları" anlatıcam.



Öncelikle malware nedir ? nasıl bulaşır? analiz yöntemleri kaça ayrılır ? Bunları öğrenmek için bu konuya bakmalısınız :

https://www.turkhackteam.org/tersine...i-senzero.html

* Şimdi geldik bu malware analizlerini nerede yapıcağımıza *

Malware analizleri genellikle sanal pc dediğimiz (VM VirtualBox - VMware Workstation) ortamlarında yapılmaktadır. Linux vb. işletim sistemlerinde de yapılabilir. Size tavsiyem sanal pc üzerinden yapmanız. Ve kurucağınız işletim sistemi çok önemlidir. Ben sanal bilgisayarıma "Windows 7" kurmuştum. Sizlere de tavsiyem Windows 7 üzerinden analizlerinizi yapmanız.


VM VirtualBox - VMware Workstation Nedir nasıl kurulur şu video dan öğrenebilirsiniz :




Sakın gerçek bilgisayarınız da analiz vs yapmayın. Çünkü trojen açıcağınız dan bilgisayarınıza büyük zararlar verebilirsiniz. Buna dikkat edin.

Ben sanal pc de yaparken bile bazenleri mavi ekran hatası alıyorum, o derece şeyler çıkabiliyor içinden

Ve unutmayın en etkili analiz yöntemi dinamiktir. Yani programı açıp neyin ney olduğunu gördüğümüz analiz türüdür.




Öncelikle bir darkcomet ratın'dan server yapalım






Serverimiz hazır. Şimdi programları tanıyıp analiz edelim



Önce statik analizimizi yapalım


BinText

Programcıların özellikle ilgisini çekecek küçük, çok hızlı ve güçlü bir metin çıkarıcı. Herhangi bir dosya türünden metin ayıklayabilir ve isteğe bağlı "gelişmiş" görünüm modunda her bir öğe için yararlı bilgiler sağlayan düz ASCII metin, Unicode (çift bayt ANSI) metin ve Kaynak dizeleri bulma özelliğini içerir. Kapsamlı filtreleme, istenmeyen metinlerin listelenmesini önlemeye yardımcı olur. Toplanan liste aranabilir ve düz bir metin dosyası veya bilgilendirici tablo biçiminde ayrı bir dosyaya kaydedilebilir.

Burda programın içinde ki "string's" değerlerini görebiliyoruz. Ön analizler için fena değil







CFF Explorer

CFF Explorer, olabildiğince kolay, ancak taşınabilir yürütülebilir uygulamanın iç yapısını gözden kaçırmadan yapmak için tasarlanmıştır. Bu uygulama sadece mühendisleri değil, aynı zamanda programcıları da Reverse Engineering yardımcı olabilecek bir dizi araç içermektedir. Çok dosyalı bir ortam ve değiştirilebilir bir arayüz sunar.

Burda ki amaç programın içinde çalışan dl dosyalarını görmek ve data string's değerlerine bakmak.

Unutmayın ne kadar çok dll o kadar çok windows üzerinde işlem demektir.

Örnek : Avdapi dll si regedit işlemleri için kullanılır. gibi gibi








Exeinfo PE

Exeinfo PE, .exe dosyalarını doğrulamanızı ve tüm özelliklerini kontrol etmenizi sağlayan bir programdır. Ayrıca dosya adını değiştirebilir, doğrudan .exe dosyasını açabilir veya silebilirsiniz. Sağlanan bir başka bilgi ise tam boyut ve giriş noktasıdır. Kısacası, herhangi bir Windows çalıştırılabilir dosyasını düzenlemek için onlarca farklı seçeneğe erişebilirsiniz.







FileAlyzer

Dosyaların iç hayatı hakkında daha fazla bilgi edinmek istiyorsanız , FileAlyzer, acilen ihtiyacınız olan araçtır!

FileAlyzer, bir dosyanın amacını anlamanıza yardımcı olan yorumlanmış karmaşık dosya yapıları için temel dosya içeriğini, standart bir altıgen görüntüleyiciyi ve çok çeşitli özelleştirilmiş ekranları gösterir .

Ayrıca OpenSBI gelişmiş dosya parametrelerinin oluşturulmasını da destekler - FileAlyzer ile kendi optimize edilmiş kötü amaçlı yazılım dosya imzalarınızı yazmak için doğru özellikleri bulabilirsiniz !

Gördüğünüz gibi "binder" lediğimiz "Superantispyware.exe" programını bize gösteriyor. Ve program bize başlangıç'a bir şey lerin ekleniceğini,siliniceği vb. şeyler hakkında bilgi veriyor.


Çok güzel ve kullanışlı bir "Dosya Analiz" programıdır. Hemen hemen her şeyi bu program üzerinden görebilirsiniz....






Şimdiye kadar yaptığımız bütün analizler "Statik" analizlerdi.

Şimdi ise dinamik analize geçiyoruz. (Yani programı çalıştırıp analiz ediyoruz.)




OllyDbg

OllyDbg, genellikle programların tersine mühendislik için kullanılır . [3] Genellikle diğer geliştiriciler tarafından yapılan yazılımları kırmak için kullanılır . Tersine mühendislik için, kullanım kolaylığı ve bulunabilirliği nedeniyle çoğunlukla birincil araçtır; herhangi bir 32-bit çalıştırılabilir hata ayıklayıcı tarafından kullanılabilir ve gerçek zamanlı olarak bitcode / assembly'de düzenlenebilir. [4] Programcılar için programlarının amaçlandığı gibi çalışmasını sağlamak ve kötü amaçlı yazılım analizleri amacıyla kullanışlıdır.

Gördüğünüz gibi "server" imizi "ollydbg" ile çalıştırdığımız zaman bize dns adresimizi, portumuzu , içinde ki kopyalanan klasör yolunu, varsa hata mesajını gösterdi.








Autoruns

Autoruns, Microsoft ürünü ücretsiz bir sistem başlangıç yönetim aracıdır. İşletim sisteminizin başlangıcında yüklenen programların belirlendiği başlangıç klasörü, Run, RunOnce ve diğer Kayıt Defteri değerlerini görebileceğiniz vi direkt olarak müdahale edebileceğiniz başarılı ve kolay bir uygulama. Bunun dışında Internet Explorer araç çubuklarını, eklentilerini, otomatik başlayan sistem servislerini ve daha da fazlasını Autoruns programında bulacaksınız.








Process Hacker

Process Hacker, ücretsiz ve açık kodlu işlem görüntüleyici programıdır. Process Hacker size bilgisayarınızda işlemci ve hafıza kullanımlarının hangi program ya da işlemler tarafından yapıldığını gösterir. Program ile gereksiz ya da zararlı olduğunu düşündüğünüz program ya da işlemi kolaylıkla sonlandırabilirsiniz. Process Hacker programı için Windows Görev Yöneticisi'nin oldukça gelişmiş bir hali diyebiliriz.










CurrPorts

CurrPorts, yerel bilgisayarınızda halen açık olan tüm TCP / IP ve UDP bağlantı noktalarının listesini görüntüleyen ağ izleme yazılımıdır. Listedeki her bir bağlantı noktası için, bağlantı noktası açan işlemle ilgili bilgiler, işlem adı, işlemin tam yolu, işlemin sürüm bilgileri (ürün adı, dosya açıklaması vb.)
Ek olarak, CurrPorts istenmeyen TCP bağlantılarını kapatmanıza, portları açan işlemi sonlandırmanıza ve TCP / UDP portları bilgilerini HTML dosyasına, XML dosyasına veya sekmeyle ayrılmış metin dosyasına kaydetmenize izin verir.
CurrPorts ayrıca tanımlanamayan uygulamalara ait pembe renkle ilgili şüpheli TCP / UDP bağlantı noktalarını otomatik olarak işaretler (sürüm bilgisi ve simgeler içermeyen uygulamalar)

Burda kendi bilgisarımdan deniceğim için "127.0.0.1" localhost kullandım. Sizde kurbanın port numarası ve ip adresi gözükücektir.









Regshot

Regshot, analistin Windows Kayıt Defteri'nin anlık görüntülerinden önce ve sonra çalışmasını sağlayan dinamik bir kötü amaçlı yazılım analiz aracıdır . Genellikle bu, kötü amaçlı yazılımları çalıştırmadan önce ve ardından hemen sonra sistemin anlık görüntüsünü yakalamak için kullanılır.

Amaç, kötü amaçlı yazılımın yaptığı kayıt defterinde yapılan değişiklikleri belirlemektir. Bu, kötü amaçlı yazılımın neler yapabileceğini, herhangi bir ek dosya atılırsa veya diğer herhangi bir Uzlaşma Göstergesini (“IOC'ler”) belirtir.







Process Monitor

Process Monitor , Windows için gerçek zamanlı dosya sistemi, Kayıt Defteri ve işlem / iş parçacığı etkinliği gösteren gelişmiş bir izleme aracıdır. İki eski Sysinternals hizmet programı olan Filemon ve Regmon'un özelliklerini birleştiriyor ve zengin ve tahribatsız filtreleme, oturum kimlikleri ve kullanıcı adları gibi kapsamlı etkinlik özellikleri, güvenilir işlem bilgileri, tümleşik sembol destekli tam iş parçacığı yığınları gibi kapsamlı bir geliştirme listesi ekliyor Her işlem için, bir dosyaya eşzamanlı günlük kaydı ve daha fazlasını sunuyor. Benzersiz güçlü özellikleri Process Monitor'ü sisteminizde sorun giderme ve kötü amaçlı yazılım avlama araç setinde temel bir yardımcı program haline getirir.








Bu anlatımlarım kısa ve öz anlatımlardır. Eğer üstüne düşerseniz sizde zamanla çok daha iyi analizler yapabilirsiniz.

Ne kadar çok çalışırsanız o kadar çok öğrenirsiniz.




Process Monitor

Bintext

Ollydbg.

Process Hacker

Autoruns

CurrPorts

Regshot

FileAlyzer/filealyz

Exeinfo PE

CFF Explorer


Paylaşım Tarafımca Onaylanmıştır.










___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -

Konu Black Turtle tarafından ( 2 Hafta önce Saat 11:37 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 29-01-2019 22:45   #2
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
01/2019
Nereden
AZ,Lenkeran
Mesajlar
Konular

Teşekkür (Etti): 20
Teşekkür (Aldı): 35




Teşekkürler Ellerine Sağlık



___________________________________________


🇹🇷 Hilalim Yıldızım Hiç Bitmeyen Sevdadır Canım Feda Olsun Sen Dalgalan Bayrağım 🇹🇷


Konu Black Turtle tarafından (30-01-2019 15:17 Saat 15:17 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 29-01-2019 23:12   #3
  • Binbaşı
  • Üye Bilgileri
Üyelik tarihi
01/2016
Mesajlar
Konular

Teşekkür (Etti): 11
Teşekkür (Aldı): 942




Dünyanın en yararlı konusu Elinize sağlık hocam beni yanılttınız



___________________________________________


Teşekkür Butonunu Kullanalım...! >




 Offline  
 
Alıntı ile Cevapla
Alt 29-01-2019 23:49   #4
  • Analiz Ekibi Sorumlusu
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 929
Teşekkür (Aldı): 1660




Alıntı:
MRAZE1994´isimli üyeden Alıntı Mesajı göster
Teşekkürler Ellerine Sağlık
Alıntı:
ENİGMA´isimli üyeden Alıntı Mesajı göster
Dünyanın en yararlı konusu Elinize sağlık hocam beni yanılttınız
Teşekkürler arkadaşlar



___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -

Konu Black Turtle tarafından (30-01-2019 15:17 Saat 15:17 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 29-01-2019 23:53   #5
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
01/2019
Nereden
Nereye
Mesajlar
Konular

Teşekkür (Etti): 7
Teşekkür (Aldı): 21




Hocam gerçekten çok güzel olmuş ellerinize sağlık
 Offline  
 
Alıntı ile Cevapla
Alt 29-01-2019 23:55   #6
  • Analiz Ekibi Sorumlusu
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 929
Teşekkür (Aldı): 1660




Alıntı:
Blue Panda´isimli üyeden Alıntı Mesajı göster
Hocam gerçekten çok güzel olmuş ellerinize sağlık
Aman dikkat ette trojen içeren konular paylaşma Teşekkür ederim



___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -
 Offline  
 
Alıntı ile Cevapla
Alt 30-01-2019 00:09   #7
  • Üsteğmen
  • Üye Bilgileri
Üyelik tarihi
09/2016
Nereden
Ordugâh
Mesajlar
Konular

Teşekkür (Etti): 49
Teşekkür (Aldı): 194




Emek verip güzel bir iş çıkarmışsın. Tebrikler Black Turtle.



___________________________________________

"Meşrutiyeti her derde deva sanıyorlar. Denesinler, görsünler..."

 Offline  
 
Alıntı ile Cevapla
Alt 30-01-2019 03:52   #8
  • Researcher
  • Üye Bilgileri
Üyelik tarihi
03/2017
Mesajlar
Konular

Teşekkür (Etti): 199
Teşekkür (Aldı): 893




Eline,emeğine sağlık baya sağlam konu olmuş.
 Offline  
 
Alıntı ile Cevapla
Alt 30-01-2019 11:42   #9
  • Analiz Ekibi Sorumlusu
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 929
Teşekkür (Aldı): 1660




Teşekkürler iyi analizler



___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -
 Offline  
 
Alıntı ile Cevapla
Alt 30-01-2019 16:51   #10
  • Binbaşı
  • Üye Bilgileri
Üyelik tarihi
06/2015
Mesajlar
Konular

Teşekkür (Etti): 65
Teşekkür (Aldı): 262




Her şeyden önce emek var, anlatım harika olmuş. Elinize sağlık
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau