Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Tersine Mühendislik

Tersine Mühendislik Reverse Engineering ve Cracking ile ilgili dökümanları bulabileceğiniz, CrackMe gibi uygulamaların paylaşıldığı bölüm.



Basic Dynamic Malware Analysis #VB6Coder

Tersine Mühendislik

Yeni Konu aç Cevapla
 
Seçenekler
Alt 3 Hafta önce   #1
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
01/2017
Nereden
Paris.
Mesajlar
Konular

Teşekkür (Etti): 3
Teşekkür (Aldı): 13


Basic Dynamic Malware Analysis #VB6Coder



Dynamic Malware Analyse : Hedef yazılımı çalıştırarak, zararlı olduğunu anlamak.

Kısaca (malicious software) Malware nedir : Bilgisayar sistemlerine zarar vermek, kayıtlı bilgileri çalmak ya da bilgisayar kullanıcılarını rahatsız etmek amacıyla hazırlanmış olan kötü amaçlı yazılımlar.

Malware çeşitlerini sıralıyalım : Adware, Spyware, Ransomware, Worm, Trojan, Rootkit, Backdoors, Keyloggers ;

Malware analizi hakkında bilginiz yoksa bu konu'yu inceleyebilirsiniz :
Malware Analizi Nedir ? / SeNZeRo

Başlamadan önce arkadaşlar, dikkat etmeniz gereken şunlardır ; Zararlı yazılımı çalıştırarak analiz ediceğimiz için, bilgisayarınıza geçici veya kalıcı zarar verebilir, bu yüzden lütfen sanal bilgisayar dediğimiz VirtualBox veya Vmware kullanınız.

not : OLUŞABİLECEK BÜTÜN SORUNLAR KULLANICIYA AİTTİR, TURKHACKTEAM.ORG SORUMLU TUTULAMAZ.

Öncelikle analiz ediceğimiz .exe'nin saf halini görelim :



Şimdi'de açmadan önce StartUP + Regedit ve %temp% dosyalarını canlı izliyelim, bunu yapma sebebimiz real-time exe'nin oluşturduğu yolları ve dosya'lari görmek(tabiki bu işlemi yapmadan önce dosya ayarlarından gizli dosyaları görme seçeneğimizi aktif ediyoruz belki .exe gizli işlem yapabilir.

Gördüğünüz gibi .exe'yi çalıştırmadım ve bu dosyalar ve yollar boş :




Şimdi'de çalıştıralım .exe'mizi ve olucak işlemleri takip edelim ve zarar vermicek bir uygulama neden bunları yapsın hep beraber düşünelim :




Yukarıdaki resimi hep beraber yorumlıyalım, .EXE'yi çalıştırmadan önce startup dosyası + regedit startup + sağda gördüğünüz bayrak temizdi ama .EXE'yi çalıştırdıktan sonra microsoft startup + regedit startup "mscvin.exe" adındaki uygulamayı başlangıca ekledi ve sağdaki bayrak kırmızılaştı sebebi .EXE UAC yani kullanıcı yönetim kurallarını değiştirdi ve güvenlik duvarı dediğimiz firewall'ı devre dışı bıraktı.

ZARARSIZ BİR .EXE neden bunları yapsın ?
Başlangıca eklenme amacı bilgisayar her çalıştığında uygulamanın bilgisayarla birlikte açılması ve zarar vermek istiyen kişiye bilgi yollaması.

UAC ve Firewall'ı devre dışı bırakma amacı, bilgisayar her açıldığında rahatlıkla bağlantı gitmesi eğer program UAC devre dışı bırakılmasaydı bilgisayar çalıştığında mscvin.exe çalışsınmı uyarısı verirdi ve her kullanıcının yapacağı gibi hayır seçeneğini seçmek olurdu amaç bunu sorgusuz çalıştırmak.

----------------------------------------------------------------------------------------------------------
Şimdide CPORTS uygulaması sayesinde .EXE'miz herhangi bir IP adress ve PORT açıyormu, bağlantı kuruyormu diye bakalım.




Görebildiğiz gibi .exe'nin bir ip addresi mevcut ve port açıyor + bağlantı kuruyor, bunun zarar vermeye niyetli olan kişinin bilgileri olabilir.

Portları iyi tanımalısınız arkadaşlar, 1604 bilindiği gibi DARKCOMET, 81 felan yani portları tanırsanız hertürlü anlıyabilirsiniz zararlı .exe'yi.

----------------------------------------------------------------------------------------------------------
Arkadaşlar, tabiki yeni arkadaşlar için malware analizi basit olmasa gerek ama yıllardır sanal ortam'da virüs işinde uğraştığımız için artık az çok hiç açmadan bile virüs'leri tanıyabiliyoruz yılların verdiği gözlem.

Hiç açmadan anlıyabilmek için statik analiz yapmak lazım, statik analiz için Phemis arkadaşımın statik analiz konusunu okuyabilirsiniz.

STATİK ANALİZ : PHEMIS

SON OLARAK EMİN OLMAK İÇİN HİTMAN-PRO real-time taramasından geçirelim ve bakalım.



Gördüğünüz gibi TROJAN imzası verildi, bazen antivirüsler yanılabilir, en zararsız programı bile zararlı gösterebilir ama bu bazen.

Analiz yaparken kendinize güvenin, birşeyden şüphelenirseniz daha detaylı araştırın ve gerekli bütün analizleri(dinamik & startik) yapın arkadaşlar, .exe'yi çok iyi takip ediniz.

ANALİZ ETTİĞİNİZ .EXE ÇOK AÇIK VERDİĞİ İÇİN FAZLA İŞLEM YAPMAYA GEREK DUYMADIM AMA BAZEN ÇOK GÜZEL VE İNANDIRICI SENARYO'LARLA TROJAN'A MARUZ KALABİLİRSİNİZ, VE İŞTE O ZAMAN İŞLER DAHA ZORLAŞIR.

SON OLARAK EXE'nin VirusTotal taramasi :




___________________________________________

0-day.


Konu VB6Coder tarafından ( 3 Hafta önce Saat 16:37 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Teşekkür

WhiteRed, Black Turtle, Phemis Teşekkür etti.
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau