İPUCU

Zararlı Yazılım Analizi Zararlı Yazılım Analizi , CrackMe gibi uygulamaların paylaşıldığı bölüm.

Seçenekler

Basit Malware Analizi / SeNZeRo

13-07-2018 00:34
#1
SeNZeRo - ait Kullanıcı Resmi (Avatar)
Süper Moderatör
Üyelik tarihi:
09/2016
Mesajlar:
4.966
Teşekkür (Etti):
59
Teşekkür (Aldı):
1138
Konular:
430

Merhaba arkadaşlar. Bu konumda sizlere Malware Analiz' inin nasıl yapıldığını, analiz çeşitlerinin neler olduğunu, ne için yapıldığını, hangi programların kullanıldığını anlatacağım.
Bu konuda temel olarak malware analizinin nasıl yapılacağını ve hangi yöntemler inceleneceği hakkında bilgi sahibi olacaksınız.

Öncelikle bahsetmek isterim ki burada anlattığım yöntemler benim kullandığım yöntemler olup sizler kendinizi geliştirerek kendi yöntemlerinizi geliştirebilirsiniz.


Malware Analizi Nedir ?


Malware: Kötü amaçlı yazılım olarak bilinir. Sistemimizde bizim iznimiz dışında çalışan yazılımlar. Buna örnek olarak rat, trojen, rootkit, ransomware gibi yazılımlar örnek verilebilir.


Malware Analizi: Malware' nin tanımından anlaşılacağı gibi zararlı yazılımları, dosyaları analiz ederek tespit etmektir. Bazı durumlarda anti virüsler yetersiz kalıyor bu gibi durumlarda dosyayı kendiniz analiz etmeniz gerekiyor. Günümüzdeki bir çok virüs anti virüsleri atlatarak sistemlere kolay bir şekilde girebiliyor. Bunu önlemenin en iyi yolu malware analizi yapmaktır.

Malware Analizi iki türlüdür. Statik Analiz ve Dinamik Analiz dir.


Statik Analiz: İncelenecek olan şüpheli dosya çalıştırılmadan kodları incelenerek yapılan analiz türüdür.

Dinamik Analiz: İncelenecek olan şüpheli doya sistem üzerinde çalıştırılarak sistemde neler yaptığına bakılarak yapılan analiz türüdür.


Malware Analizi Nasıl Yapılır ?

Malware analizi hakkında basit düzeyde teknik bilgi sahibi oldunuz. Şimdide malware analizinin nasıl yapıldığına geçelim.


Malware analizinde ilk basamak incelenecek dosya hakkında bilgi toplamak. Bilgi toplama işlemi için bir çok yazılım var. Daha öncede dediğim gibi her insanın yöntemi ve kullandığı programlar farklıdır. Ben kendi kullandığım programları sizlere anlatacağım.

> PEiD
> DIE
> PE İnsider
> CFF Explorer


PEiD Kullanımı:

İlk başta PEiD programı ile dosya hakkında bilgi alıyoruz. Bu sayede inceleyeceğimiz dosyanın hangi dilde yazıldığı hakkında bize bilgi veriyor. PEiD programının başka fazla bir özelliği yok, en önemli özelliği dosyanın hangi dilde yazıldığını öğrenmemiz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz programın kullanımı bu kadar.



DIE Kullanımı:


DIE programı PEiD programının daha gelişmiş halidir. DIE programından dosya hakkında istediğimiz bir çok bilgiyi alabiliyoruz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz. Ve bize dosya hakkında bir çok bilgi veriyor.



CFF Explorer Kullanımı:

CFF Explorer programını indirdikten sonra kurmamız gerekiyor. Kurduktan sonra CFF Explorer programını açıyoruz. File sekmesinden Open e basıp incelemek istediğimiz dosyayı seçiyoruz. Ve bize dosya hakkında çok fazla bilgi veriyor.



Evet arkadaşlar yukarıdaki araçları kullanarak inceleyeceğimiz dosya hakkında yeterli bilgi sahibi olduk. Şimdi ise dosyanın kodlarını okumaya geldi. Eğer dosyada bir malware varsa biz bunu dosyanın kodlarını okuyarak öğreneceğiz.
Kodları okuma işi için ben dnSpy programını kullanıyorum. Siz isterseniz başka bir programı da kullanabilirsiniz. Dosyayı dnSpy programının üzerine sürükleyip bırakıyoruz ve dosyanın bütün kodlarını okunabilir bir hale getiriyoruz.


NOT: Eğer inceleyeceğimiz dosyaya obfuscate veya sıkıştırma işlemi yapılmışsa kodlar okunmaya bilir. Bunun için çeşitli yazılımlarla deobfuscate işlemi yapıp şifrelenmiş dosyanın kodlarını okunabilir bir hale getirebiliyoruz.


dnSpy programını kullanarak dosyanın tek tek bütün kodlarını okuyoruz. Eğer bu okuma işleminde bir zararlı kod tespit edersek programın zararlı olduğuna kanat getirebiliriz.


Kodları okuma işlemini yaparak Statik analiz yapmış oluyoruz. Yani yukarıdaki adımları yaparsak statik analiz yapmış oluyoruz. Şimdide Dinamik Analizin nasıl yapıldığına geçelim.


Dinamik Analiz Nasıl Yapılır ?

Dinamik analiz incelenecek dosyanın sistemler üzerinde çalıştırılarak sistemde neler yaptığını inceleyerek yapılan analiz türüdür. Bunun için sanal makinede bir windows unuzun olması lazım. Veya sandboxie programının olması gerekiyor.
İnceleyeceğimiz dosyayı sanal windows' umuzda çalıştırıyoruz ve sistemde neler yaptığını izliyoruz. Eğer sistemde sizden izinsiz bir şekilde arka planda bilmediğiniz uygulamalar çalışıyor ise dosya zararlıdır.


Veya wiresshark programını çalıştırdıktan sonra dosyamızı çalıştırıyoruz ve dinlemeye alıyoruz. Wiresshark programı ile ağımızda neler yaptığını izleyerek de zararlı olup olmadığını öğrenebiliriz.


Genel olarak basit bir malware analizi bu şekilde yapılıyor. Araştırma yaparak ileri seviye malware analizi hakkında bilgi sahibi olabilirsiniz. Burada anlattıklarım temel ve basit seviyedir. Kolay gelsin. İyi formlar.
Kullanıcı İmzası
Nûn kadar suskun,
Vâv kadar edebli olabilmeli,
insan...

13-07-2018 00:37
#2
xdeadprox - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Nereden:
Evden
Yaş:
19
Mesajlar:
1.213
Teşekkür (Etti):
61
Teşekkür (Aldı):
125
Konular:
149
Elinize sağlık demek keylo hocam böyle yapıyormuş.
13-07-2018 00:39
#3
Ceys - ait Kullanıcı Resmi (Avatar)
Moderasyon Lider Yardımcısı
Üyelik tarihi:
04/2016
Nereden:
Ötüken
Mesajlar:
7.014
Teşekkür (Etti):
142
Teşekkür (Aldı):
3043
Konular:
687
Eline sağlık kardeşim
Kullanıcı İmzası
13-07-2018 00:40
#4
ch_arli41 - ait Kullanıcı Resmi (Avatar)
Eğitmen
Üyelik tarihi:
07/2009
Mesajlar:
933
Teşekkür (Etti):
557
Teşekkür (Aldı):
438
Konular:
57
Eline saglik
Kullanıcı İmzası
13-07-2018 00:41
#5
RageUnseen - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2015
Nereden:
İstanbul
Mesajlar:
3.611
Teşekkür (Etti):
1120
Teşekkür (Aldı):
901
Konular:
157
Ellerine sağlık, merak ettiğim bir konuydu.
Kullanıcı İmzası
UMUDUN BİTTİĞİ YERDE TÜRK'ÜN KUDRETİ BAŞLAR

Sizin dediğiniz ”Vatan” dağda başlayıp çöplükte biter. Bizim bildiğimiz ”Vatan” yürekte başlayıp ”ŞEHADETLE” biter!

Devlet-i Ebed Müddet
SOLO-TÜRK
13-07-2018 00:54
#6
"Squ4LL - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2009
Mesajlar:
13.304
Teşekkür (Etti):
100
Teşekkür (Aldı):
2207
Konular:
772
Eline emeğine sağlık kardeşim.
13-07-2018 10:56
#7
SeNZeRo - ait Kullanıcı Resmi (Avatar)
Süper Moderatör
Üyelik tarihi:
09/2016
Mesajlar:
4.966
Teşekkür (Etti):
59
Teşekkür (Aldı):
1138
Konular:
430
Saolun teşekkürler.
Kullanıcı İmzası
Nûn kadar suskun,
Vâv kadar edebli olabilmeli,
insan...
13-07-2018 16:28
#8
R4V3N - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2016
Nereden:
Antalya
Yaş:
21
Mesajlar:
5.810
Teşekkür (Etti):
681
Teşekkür (Aldı):
1991
Konular:
318
Eline sağlık hocam
13-07-2018 16:58
#9
Üyelik tarihi:
07/2017
Mesajlar:
1.032
Teşekkür (Etti):
963
Teşekkür (Aldı):
255
Konular:
158
Ellerine sağlık
Kullanıcı İmzası


Dikkatli Geçirilen Vakit Nakittir...!
Kader Zamanı Takip Eder...!
Kaderin Çizdiği Yol Başarısız Olsa Bile Başarmaktadır...!

13-07-2018 18:23
#10
'Adige - ait Kullanıcı Resmi (Avatar)
Sosyal Medya Timi Lider Yardımcısı
Üyelik tarihi:
10/2012
Nereden:
Secure Shell
Yaş:
25
Mesajlar:
8.221
Teşekkür (Etti):
756
Teşekkür (Aldı):
987
Konular:
529
Emeğine sağlık güzel anlatım olmuş
Kullanıcı İmzası
"Kendinizi geliştirmeye o kadar çok zaman harcayın ki Başkalarının yaptıklarıyla ilgilenmeye ve onları eleştirmeye vaktiniz olmasın"

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı