THT DUYURU


Zararlı Yazılım Analizi Zararlı Yazılım Analizi , CrackMe gibi uygulamaların paylaşıldığı bölüm.

Seçenekler

Malware Analiz Araçlarım Ve Kullanımları // Black Turtle

Black Turtle - ait Kullanıcı Resmi (Avatar)
Kadim Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.560
Konular:
1380
Teşekkür (Etti):
1087
Teşekkür (Aldı):
1978
Ticaret:
(0) %
47
21583
29-01-2019 22:44
#1
Herkese merhabalar arkadaşlar bu gün sizlere bana çok sorulan "Malware Anlalizini" ve "Kullandığım Araçları" anlatıcam.



Öncelikle malware nedir ? nasıl bulaşır? analiz yöntemleri kaça ayrılır ? Bunları öğrenmek için bu konuya bakmalısınız :

https://www.turkhackteam.org/tersine...i-senzero.html

* Şimdi geldik bu malware analizlerini nerede yapıcağımıza *

Malware analizleri genellikle sanal pc dediğimiz (VM VirtualBox - VMware Workstation) ortamlarında yapılmaktadır. Linux vb. işletim sistemlerinde de yapılabilir. Size tavsiyem sanal pc üzerinden yapmanız. Ve kurucağınız işletim sistemi çok önemlidir. Ben sanal bilgisayarıma "Windows 7" kurmuştum. Sizlere de tavsiyem Windows 7 üzerinden analizlerinizi yapmanız.


VM VirtualBox - VMware Workstation Nedir nasıl kurulur şu video dan öğrenebilirsiniz :




Sakın gerçek bilgisayarınız da analiz vs yapmayın. Çünkü trojen açıcağınız dan bilgisayarınıza büyük zararlar verebilirsiniz. Buna dikkat edin.

Ben sanal pc de yaparken bile bazenleri mavi ekran hatası alıyorum, o derece şeyler çıkabiliyor içinden

Ve unutmayın en etkili analiz yöntemi dinamiktir. Yani programı açıp neyin ney olduğunu gördüğümüz analiz türüdür.




Öncelikle bir darkcomet ratın'dan server yapalım






Serverimiz hazır. Şimdi programları tanıyıp analiz edelim



Önce statik analizimizi yapalım


BinText

Programcıların özellikle ilgisini çekecek küçük, çok hızlı ve güçlü bir metin çıkarıcı. Herhangi bir dosya türünden metin ayıklayabilir ve isteğe bağlı "gelişmiş" görünüm modunda her bir öğe için yararlı bilgiler sağlayan düz ASCII metin, Unicode (çift bayt ANSI) metin ve Kaynak dizeleri bulma özelliğini içerir. Kapsamlı filtreleme, istenmeyen metinlerin listelenmesini önlemeye yardımcı olur. Toplanan liste aranabilir ve düz bir metin dosyası veya bilgilendirici tablo biçiminde ayrı bir dosyaya kaydedilebilir.

Burda programın içinde ki "string's" değerlerini görebiliyoruz. Ön analizler için fena değil







CFF Explorer

CFF Explorer, olabildiğince kolay, ancak taşınabilir yürütülebilir uygulamanın iç yapısını gözden kaçırmadan yapmak için tasarlanmıştır. Bu uygulama sadece mühendisleri değil, aynı zamanda programcıları da Reverse Engineering yardımcı olabilecek bir dizi araç içermektedir. Çok dosyalı bir ortam ve değiştirilebilir bir arayüz sunar.

Burda ki amaç programın içinde çalışan dl dosyalarını görmek ve data string's değerlerine bakmak.

Unutmayın ne kadar çok dll o kadar çok windows üzerinde işlem demektir.

Örnek : Avdapi dll si regedit işlemleri için kullanılır. gibi gibi








Exeinfo PE

Exeinfo PE, .exe dosyalarını doğrulamanızı ve tüm özelliklerini kontrol etmenizi sağlayan bir programdır. Ayrıca dosya adını değiştirebilir, doğrudan .exe dosyasını açabilir veya silebilirsiniz. Sağlanan bir başka bilgi ise tam boyut ve giriş noktasıdır. Kısacası, herhangi bir Windows çalıştırılabilir dosyasını düzenlemek için onlarca farklı seçeneğe erişebilirsiniz.







Şimdiye kadar yaptığımız bütün analizler "Statik" analizlerdi.

Şimdi ise dinamik analize geçiyoruz. (Yani programı çalıştırıp analiz ediyoruz.)




OllyDbg

OllyDbg, genellikle programların tersine mühendislik için kullanılır . [3] Genellikle diğer geliştiriciler tarafından yapılan yazılımları kırmak için kullanılır . Tersine mühendislik için, kullanım kolaylığı ve bulunabilirliği nedeniyle çoğunlukla birincil araçtır; herhangi bir 32-bit çalıştırılabilir hata ayıklayıcı tarafından kullanılabilir ve gerçek zamanlı olarak bitcode / assembly'de düzenlenebilir. [4] Programcılar için programlarının amaçlandığı gibi çalışmasını sağlamak ve kötü amaçlı yazılım analizleri amacıyla kullanışlıdır.

Gördüğünüz gibi "server" imizi "ollydbg" ile çalıştırdığımız zaman bize dns adresimizi, portumuzu , içinde ki kopyalanan klasör yolunu, varsa hata mesajını gösterdi.








Autoruns

Autoruns, Microsoft ürünü ücretsiz bir sistem başlangıç yönetim aracıdır. İşletim sisteminizin başlangıcında yüklenen programların belirlendiği başlangıç klasörü, Run, RunOnce ve diğer Kayıt Defteri değerlerini görebileceğiniz vi direkt olarak müdahale edebileceğiniz başarılı ve kolay bir uygulama. Bunun dışında Internet Explorer araç çubuklarını, eklentilerini, otomatik başlayan sistem servislerini ve daha da fazlasını Autoruns programında bulacaksınız.








FileAlyzer

Dosyaların iç hayatı hakkında daha fazla bilgi edinmek istiyorsanız , FileAlyzer, acilen ihtiyacınız olan araçtır!

FileAlyzer, bir dosyanın amacını anlamanıza yardımcı olan yorumlanmış karmaşık dosya yapıları için temel dosya içeriğini, standart bir altıgen görüntüleyiciyi ve çok çeşitli özelleştirilmiş ekranları gösterir .

Ayrıca OpenSBI gelişmiş dosya parametrelerinin oluşturulmasını da destekler - FileAlyzer ile kendi optimize edilmiş kötü amaçlı yazılım dosya imzalarınızı yazmak için doğru özellikleri bulabilirsiniz !

Gördüğünüz gibi "binder" lediğimiz "Superantispyware.exe" programını bize gösteriyor. Ve program bize başlangıç'a bir şey lerin ekleniceğini,siliniceği vb. şeyler hakkında bilgi veriyor.


Çok güzel ve kullanışlı bir "Dosya Analiz" programıdır. Hemen hemen her şeyi bu program üzerinden görebilirsiniz....








Process Hacker

Process Hacker, ücretsiz ve açık kodlu işlem görüntüleyici programıdır. Process Hacker size bilgisayarınızda işlemci ve hafıza kullanımlarının hangi program ya da işlemler tarafından yapıldığını gösterir. Program ile gereksiz ya da zararlı olduğunu düşündüğünüz program ya da işlemi kolaylıkla sonlandırabilirsiniz. Process Hacker programı için Windows Görev Yöneticisi'nin oldukça gelişmiş bir hali diyebiliriz.










CurrPorts

CurrPorts, yerel bilgisayarınızda halen açık olan tüm TCP / IP ve UDP bağlantı noktalarının listesini görüntüleyen ağ izleme yazılımıdır. Listedeki her bir bağlantı noktası için, bağlantı noktası açan işlemle ilgili bilgiler, işlem adı, işlemin tam yolu, işlemin sürüm bilgileri (ürün adı, dosya açıklaması vb.)
Ek olarak, CurrPorts istenmeyen TCP bağlantılarını kapatmanıza, portları açan işlemi sonlandırmanıza ve TCP / UDP portları bilgilerini HTML dosyasına, XML dosyasına veya sekmeyle ayrılmış metin dosyasına kaydetmenize izin verir.
CurrPorts ayrıca tanımlanamayan uygulamalara ait pembe renkle ilgili şüpheli TCP / UDP bağlantı noktalarını otomatik olarak işaretler (sürüm bilgisi ve simgeler içermeyen uygulamalar)

Burda kendi bilgisarımdan deniceğim için "127.0.0.1" localhost kullandım. Sizde kurbanın port numarası ve ip adresi gözükücektir.









Regshot

Regshot, analistin Windows Kayıt Defteri'nin anlık görüntülerinden önce ve sonra çalışmasını sağlayan dinamik bir kötü amaçlı yazılım analiz aracıdır . Genellikle bu, kötü amaçlı yazılımları çalıştırmadan önce ve ardından hemen sonra sistemin anlık görüntüsünü yakalamak için kullanılır.

Amaç, kötü amaçlı yazılımın yaptığı kayıt defterinde yapılan değişiklikleri belirlemektir. Bu, kötü amaçlı yazılımın neler yapabileceğini, herhangi bir ek dosya atılırsa veya diğer herhangi bir Uzlaşma Göstergesini (“IOC'ler”) belirtir.







Process Monitor

Process Monitor , Windows için gerçek zamanlı dosya sistemi, Kayıt Defteri ve işlem / iş parçacığı etkinliği gösteren gelişmiş bir izleme aracıdır. İki eski Sysinternals hizmet programı olan Filemon ve Regmon'un özelliklerini birleştiriyor ve zengin ve tahribatsız filtreleme, oturum kimlikleri ve kullanıcı adları gibi kapsamlı etkinlik özellikleri, güvenilir işlem bilgileri, tümleşik sembol destekli tam iş parçacığı yığınları gibi kapsamlı bir geliştirme listesi ekliyor Her işlem için, bir dosyaya eşzamanlı günlük kaydı ve daha fazlasını sunuyor. Benzersiz güçlü özellikleri Process Monitor'ü sisteminizde sorun giderme ve kötü amaçlı yazılım avlama araç setinde temel bir yardımcı program haline getirir.








Bu anlatımlarım kısa ve öz anlatımlardır. Eğer üstüne düşerseniz sizde zamanla çok daha iyi analizler yapabilirsiniz.

Ne kadar çok çalışırsanız o kadar çok öğrenirsiniz.




Tüm Araçları İndirmek İçin Tıkla


Paylaşım Tarafımca Onaylanmıştır.




- Diğer Bütün Malware Analiz Konularım -

Linklerin üstüne tıklayarak konuya gidebilirsiniz.



Pestudio İle Malware Analizi

Virüs Total İle Malware Analizi (.exe)

Hybrid Analysis İle Detaylı Malware Analizi (.exe)

Hashcalculator İle Malware Analizi

Virüs Total İle Malware Analizi (.apk)

Api Monitör İle Malware Analizi

İnstallWatch Pro İle Malware Analizi

Security Task Manager İle Malware Analizi

ApateDNS İle Malware Analizi

ILSpy NET Decompiler İle Malware Analizi


---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
Konu P4RS tarafından (28-01-2020 18:28 Saat 18:28 ) değiştirilmiştir.
MRAZE1994 - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
01/2019
Nereden:
AZ,Lenkeran
Mesajlar:
620
Konular:
157
Teşekkür (Etti):
26
Teşekkür (Aldı):
81
Ticaret:
(0) %
29-01-2019 22:45
#2
Teşekkürler Ellerine Sağlık
---------------------
🇹🇷 Hilalim Yıldızım Hiç Bitmeyen Sevdadır Canım Feda Olsun Sen Dalgalan Bayrağım 🇹🇷
Konu Black Turtle tarafından (30-01-2019 15:17 Saat 15:17 ) değiştirilmiştir.
ENİGMA - ait Kullanıcı Resmi (Avatar)
Uzman Üye
Üyelik tarihi:
01/2016
Mesajlar:
1.903
Konular:
106
Teşekkür (Etti):
5
Teşekkür (Aldı):
1149
Ticaret:
(0) %
29-01-2019 23:12
#3
Dünyanın en yararlı konusu Elinize sağlık hocam beni yanılttınız
---------------------

Teşekkür Butonunu Kullanalım...! >

Black Turtle - ait Kullanıcı Resmi (Avatar)
Kadim Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.560
Konular:
1380
Teşekkür (Etti):
1087
Teşekkür (Aldı):
1978
Ticaret:
(0) %
29-01-2019 23:49
#4
Alıntı:
MRAZE1994´isimli üyeden Alıntı Mesajı göster
Teşekkürler Ellerine Sağlık
Alıntı:
ENİGMA´isimli üyeden Alıntı Mesajı göster
Dünyanın en yararlı konusu Elinize sağlık hocam beni yanılttınız
Teşekkürler arkadaşlar
---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
Konu Black Turtle tarafından (30-01-2019 15:17 Saat 15:17 ) değiştirilmiştir.
Blue Panda - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
01/2019
Nereden:
Nereye
Mesajlar:
282
Konular:
63
Teşekkür (Etti):
24
Teşekkür (Aldı):
34
Ticaret:
(0) %
29-01-2019 23:53
#5
Hocam gerçekten çok güzel olmuş ellerinize sağlık
Black Turtle - ait Kullanıcı Resmi (Avatar)
Kadim Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.560
Konular:
1380
Teşekkür (Etti):
1087
Teşekkür (Aldı):
1978
Ticaret:
(0) %
29-01-2019 23:55
#6
Alıntı:
Blue Panda´isimli üyeden Alıntı Mesajı göster
Hocam gerçekten çok güzel olmuş ellerinize sağlık
Aman dikkat ette trojen içeren konular paylaşma Teşekkür ederim
---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
fazeL - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
09/2016
Nereden:
Ordugâh
Mesajlar:
738
Konular:
44
Teşekkür (Etti):
55
Teşekkür (Aldı):
339
Ticaret:
(0) %
30-01-2019 00:09
#7
Emek verip güzel bir iş çıkarmışsın. Tebrikler Black Turtle.
--------------------- "Gençler cesaretimizi takviye ve idame eden sizlersiniz. Siz, almakta olduğunuz terbiye ve irfan ile insanlık ve medeniyetin, vatan sevgisinin, fikir hürriyetinin en kıymetli timsali olacaksınız. Yükselen yeni nesil, istikbal sizsiniz. Cumhuriyeti biz kurduk, onu yükseltecek ve yaşatacak sizsiniz."
'Creative - ait Kullanıcı Resmi (Avatar)
Kıdemli Üye
Üyelik tarihi:
03/2017
Mesajlar:
3.164
Konular:
95
Teşekkür (Etti):
211
Teşekkür (Aldı):
1334
Ticaret:
(0) %
30-01-2019 03:52
#8
Eline,emeğine sağlık baya sağlam konu olmuş.
Black Turtle - ait Kullanıcı Resmi (Avatar)
Kadim Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.560
Konular:
1380
Teşekkür (Etti):
1087
Teşekkür (Aldı):
1978
Ticaret:
(0) %
30-01-2019 11:42
#9
Teşekkürler iyi analizler
---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
'PedroDavis - ait Kullanıcı Resmi (Avatar)
Yardımsever
Üyelik tarihi:
06/2015
Nereden:
Unknown
Mesajlar:
2.246
Konular:
64
Teşekkür (Etti):
99
Teşekkür (Aldı):
913
Ticaret:
(0) %
30-01-2019 16:51
#10
Her şeyden önce emek var, anlatım harika olmuş. Elinize sağlık

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler