İPUCU

Zararlı Yazılım Analizi Zararlı Yazılım Analizi , CrackMe gibi uygulamaların paylaşıldığı bölüm.

Seçenekler

Malware Analiz Araçlarım Ve Kullanımları // Black Turtle

29-01-2019 22:44
#1
Black Turtle - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
5.828
Teşekkür (Etti):
1006
Teşekkür (Aldı):
1779
Konular:
1330
Herkese merhabalar arkadaşlar bu gün sizlere bana çok sorulan "Malware Anlalizini" ve "Kullandığım Araçları" anlatıcam.



Öncelikle malware nedir ? nasıl bulaşır? analiz yöntemleri kaça ayrılır ? Bunları öğrenmek için bu konuya bakmalısınız :

https://www.turkhackteam.org/tersine...i-senzero.html

* Şimdi geldik bu malware analizlerini nerede yapıcağımıza *

Malware analizleri genellikle sanal pc dediğimiz (VM VirtualBox - VMware Workstation) ortamlarında yapılmaktadır. Linux vb. işletim sistemlerinde de yapılabilir. Size tavsiyem sanal pc üzerinden yapmanız. Ve kurucağınız işletim sistemi çok önemlidir. Ben sanal bilgisayarıma "Windows 7" kurmuştum. Sizlere de tavsiyem Windows 7 üzerinden analizlerinizi yapmanız.


VM VirtualBox - VMware Workstation Nedir nasıl kurulur şu video dan öğrenebilirsiniz :




Sakın gerçek bilgisayarınız da analiz vs yapmayın. Çünkü trojen açıcağınız dan bilgisayarınıza büyük zararlar verebilirsiniz. Buna dikkat edin.

Ben sanal pc de yaparken bile bazenleri mavi ekran hatası alıyorum, o derece şeyler çıkabiliyor içinden

Ve unutmayın en etkili analiz yöntemi dinamiktir. Yani programı açıp neyin ney olduğunu gördüğümüz analiz türüdür.




Öncelikle bir darkcomet ratın'dan server yapalım






Serverimiz hazır. Şimdi programları tanıyıp analiz edelim



Önce statik analizimizi yapalım


BinText

Programcıların özellikle ilgisini çekecek küçük, çok hızlı ve güçlü bir metin çıkarıcı. Herhangi bir dosya türünden metin ayıklayabilir ve isteğe bağlı "gelişmiş" görünüm modunda her bir öğe için yararlı bilgiler sağlayan düz ASCII metin, Unicode (çift bayt ANSI) metin ve Kaynak dizeleri bulma özelliğini içerir. Kapsamlı filtreleme, istenmeyen metinlerin listelenmesini önlemeye yardımcı olur. Toplanan liste aranabilir ve düz bir metin dosyası veya bilgilendirici tablo biçiminde ayrı bir dosyaya kaydedilebilir.

Burda programın içinde ki "string's" değerlerini görebiliyoruz. Ön analizler için fena değil







CFF Explorer

CFF Explorer, olabildiğince kolay, ancak taşınabilir yürütülebilir uygulamanın iç yapısını gözden kaçırmadan yapmak için tasarlanmıştır. Bu uygulama sadece mühendisleri değil, aynı zamanda programcıları da Reverse Engineering yardımcı olabilecek bir dizi araç içermektedir. Çok dosyalı bir ortam ve değiştirilebilir bir arayüz sunar.

Burda ki amaç programın içinde çalışan dl dosyalarını görmek ve data string's değerlerine bakmak.

Unutmayın ne kadar çok dll o kadar çok windows üzerinde işlem demektir.

Örnek : Avdapi dll si regedit işlemleri için kullanılır. gibi gibi








Exeinfo PE

Exeinfo PE, .exe dosyalarını doğrulamanızı ve tüm özelliklerini kontrol etmenizi sağlayan bir programdır. Ayrıca dosya adını değiştirebilir, doğrudan .exe dosyasını açabilir veya silebilirsiniz. Sağlanan bir başka bilgi ise tam boyut ve giriş noktasıdır. Kısacası, herhangi bir Windows çalıştırılabilir dosyasını düzenlemek için onlarca farklı seçeneğe erişebilirsiniz.







Şimdiye kadar yaptığımız bütün analizler "Statik" analizlerdi.

Şimdi ise dinamik analize geçiyoruz. (Yani programı çalıştırıp analiz ediyoruz.)




OllyDbg

OllyDbg, genellikle programların tersine mühendislik için kullanılır . [3] Genellikle diğer geliştiriciler tarafından yapılan yazılımları kırmak için kullanılır . Tersine mühendislik için, kullanım kolaylığı ve bulunabilirliği nedeniyle çoğunlukla birincil araçtır; herhangi bir 32-bit çalıştırılabilir hata ayıklayıcı tarafından kullanılabilir ve gerçek zamanlı olarak bitcode / assembly'de düzenlenebilir. [4] Programcılar için programlarının amaçlandığı gibi çalışmasını sağlamak ve kötü amaçlı yazılım analizleri amacıyla kullanışlıdır.

Gördüğünüz gibi "server" imizi "ollydbg" ile çalıştırdığımız zaman bize dns adresimizi, portumuzu , içinde ki kopyalanan klasör yolunu, varsa hata mesajını gösterdi.








Autoruns

Autoruns, Microsoft ürünü ücretsiz bir sistem başlangıç yönetim aracıdır. İşletim sisteminizin başlangıcında yüklenen programların belirlendiği başlangıç klasörü, Run, RunOnce ve diğer Kayıt Defteri değerlerini görebileceğiniz vi direkt olarak müdahale edebileceğiniz başarılı ve kolay bir uygulama. Bunun dışında Internet Explorer araç çubuklarını, eklentilerini, otomatik başlayan sistem servislerini ve daha da fazlasını Autoruns programında bulacaksınız.








Process Hacker

Process Hacker, ücretsiz ve açık kodlu işlem görüntüleyici programıdır. Process Hacker size bilgisayarınızda işlemci ve hafıza kullanımlarının hangi program ya da işlemler tarafından yapıldığını gösterir. Program ile gereksiz ya da zararlı olduğunu düşündüğünüz program ya da işlemi kolaylıkla sonlandırabilirsiniz. Process Hacker programı için Windows Görev Yöneticisi'nin oldukça gelişmiş bir hali diyebiliriz.










CurrPorts

CurrPorts, yerel bilgisayarınızda halen açık olan tüm TCP / IP ve UDP bağlantı noktalarının listesini görüntüleyen ağ izleme yazılımıdır. Listedeki her bir bağlantı noktası için, bağlantı noktası açan işlemle ilgili bilgiler, işlem adı, işlemin tam yolu, işlemin sürüm bilgileri (ürün adı, dosya açıklaması vb.)
Ek olarak, CurrPorts istenmeyen TCP bağlantılarını kapatmanıza, portları açan işlemi sonlandırmanıza ve TCP / UDP portları bilgilerini HTML dosyasına, XML dosyasına veya sekmeyle ayrılmış metin dosyasına kaydetmenize izin verir.
CurrPorts ayrıca tanımlanamayan uygulamalara ait pembe renkle ilgili şüpheli TCP / UDP bağlantı noktalarını otomatik olarak işaretler (sürüm bilgisi ve simgeler içermeyen uygulamalar)

Burda kendi bilgisarımdan deniceğim için "127.0.0.1" localhost kullandım. Sizde kurbanın port numarası ve ip adresi gözükücektir.









Regshot

Regshot, analistin Windows Kayıt Defteri'nin anlık görüntülerinden önce ve sonra çalışmasını sağlayan dinamik bir kötü amaçlı yazılım analiz aracıdır . Genellikle bu, kötü amaçlı yazılımları çalıştırmadan önce ve ardından hemen sonra sistemin anlık görüntüsünü yakalamak için kullanılır.

Amaç, kötü amaçlı yazılımın yaptığı kayıt defterinde yapılan değişiklikleri belirlemektir. Bu, kötü amaçlı yazılımın neler yapabileceğini, herhangi bir ek dosya atılırsa veya diğer herhangi bir Uzlaşma Göstergesini (“IOC'ler”) belirtir.







Process Monitor

Process Monitor , Windows için gerçek zamanlı dosya sistemi, Kayıt Defteri ve işlem / iş parçacığı etkinliği gösteren gelişmiş bir izleme aracıdır. İki eski Sysinternals hizmet programı olan Filemon ve Regmon'un özelliklerini birleştiriyor ve zengin ve tahribatsız filtreleme, oturum kimlikleri ve kullanıcı adları gibi kapsamlı etkinlik özellikleri, güvenilir işlem bilgileri, tümleşik sembol destekli tam iş parçacığı yığınları gibi kapsamlı bir geliştirme listesi ekliyor Her işlem için, bir dosyaya eşzamanlı günlük kaydı ve daha fazlasını sunuyor. Benzersiz güçlü özellikleri Process Monitor'ü sisteminizde sorun giderme ve kötü amaçlı yazılım avlama araç setinde temel bir yardımcı program haline getirir.








Bu anlatımlarım kısa ve öz anlatımlardır. Eğer üstüne düşerseniz sizde zamanla çok daha iyi analizler yapabilirsiniz.

Ne kadar çok çalışırsanız o kadar çok öğrenirsiniz.




Process Monitor

Bintext

Ollydbg.

Process Hacker

Autoruns

CurrPorts

Regshot

FileAlyzer/filealyz

Exeinfo PE

CFF Explorer


Paylaşım Tarafımca Onaylanmıştır.




- Diğer Bütün Malware Analiz Konularım -

Linklerin üstüne tıklayarak konuya gidebilirsiniz.



Pestudio İle Malware Analizi

Virüs Total İle Malware Analizi (.exe)

Hybrid Analysis İle Detaylı Malware Analizi (.exe)

Hashcalculator İle Malware Analizi

Virüs Total İle Malware Analizi (.apk)

Api Monitör İle Malware Analizi

İnstallWatch Pro İle Malware Analizi

Security Task Manager İle Malware Analizi

ApateDNS İle Malware Analizi

ILSpy NET Decompiler İle Malware Analizi


Kullanıcı İmzası
- Siyah Kaplumbağa -

- / Malware Analysis... / -
Konu Black Turtle tarafından ( 2 Hafta önce Saat 16:16 ) değiştirilmiştir.

29-01-2019 22:45
#2
MRAZE1994 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2019
Nereden:
AZ,Lenkeran
Mesajlar:
300
Teşekkür (Etti):
20
Teşekkür (Aldı):
45
Konular:
96
Teşekkürler Ellerine Sağlık
Kullanıcı İmzası

🇹🇷 Hilalim Yıldızım Hiç Bitmeyen Sevdadır Canım Feda Olsun Sen Dalgalan Bayrağım 🇹🇷
Konu Black Turtle tarafından (30-01-2019 15:17 Saat 15:17 ) değiştirilmiştir.
29-01-2019 23:12
#3
ENİGMA - ait Kullanıcı Resmi (Avatar)
Bilgi Teknolojileri Ekibi
Üyelik tarihi:
01/2016
Mesajlar:
1.702
Teşekkür (Etti):
11
Teşekkür (Aldı):
988
Konular:
92
Dünyanın en yararlı konusu Elinize sağlık hocam beni yanılttınız
Kullanıcı İmzası

Teşekkür Butonunu Kullanalım...! >

29-01-2019 23:49
#4
Black Turtle - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
5.828
Teşekkür (Etti):
1006
Teşekkür (Aldı):
1779
Konular:
1330
Alıntı:
MRAZE1994´isimli üyeden Alıntı Mesajı göster
Teşekkürler Ellerine Sağlık
Alıntı:
ENİGMA´isimli üyeden Alıntı Mesajı göster
Dünyanın en yararlı konusu Elinize sağlık hocam beni yanılttınız
Teşekkürler arkadaşlar
Kullanıcı İmzası
- Siyah Kaplumbağa -

- / Malware Analysis... / -
Konu Black Turtle tarafından (30-01-2019 15:17 Saat 15:17 ) değiştirilmiştir.
29-01-2019 23:53
#5
Blue Panda - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2019
Nereden:
Nereye
Mesajlar:
206
Teşekkür (Etti):
8
Teşekkür (Aldı):
22
Konular:
32
Hocam gerçekten çok güzel olmuş ellerinize sağlık
29-01-2019 23:55
#6
Black Turtle - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
5.828
Teşekkür (Etti):
1006
Teşekkür (Aldı):
1779
Konular:
1330
Alıntı:
Blue Panda´isimli üyeden Alıntı Mesajı göster
Hocam gerçekten çok güzel olmuş ellerinize sağlık
Aman dikkat ette trojen içeren konular paylaşma Teşekkür ederim
Kullanıcı İmzası
- Siyah Kaplumbağa -

- / Malware Analysis... / -
30-01-2019 00:09
#7
fazeL - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
Ordugâh
Mesajlar:
694
Teşekkür (Etti):
51
Teşekkür (Aldı):
222
Konular:
43
Emek verip güzel bir iş çıkarmışsın. Tebrikler Black Turtle.
Kullanıcı İmzası
"Meşrutiyeti her derde deva sanıyorlar. Denesinler, görsünler..."
30-01-2019 03:52
#8
THE HACKER 21 - ait Kullanıcı Resmi (Avatar)
Junior Pentester
Üyelik tarihi:
03/2017
Mesajlar:
2.944
Teşekkür (Etti):
199
Teşekkür (Aldı):
908
Konular:
86
Eline,emeğine sağlık baya sağlam konu olmuş.
30-01-2019 11:42
#9
Black Turtle - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
5.828
Teşekkür (Etti):
1006
Teşekkür (Aldı):
1779
Konular:
1330
Teşekkürler iyi analizler
Kullanıcı İmzası
- Siyah Kaplumbağa -

- / Malware Analysis... / -
30-01-2019 16:51
#10
Üyelik tarihi:
06/2015
Nereden:
Unknown
Mesajlar:
1.623
Teşekkür (Etti):
66
Teşekkür (Aldı):
262
Konular:
34
Her şeyden önce emek var, anlatım harika olmuş. Elinize sağlık

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı