- 20 Mar 2022
- 1,866
- 770
- 28
Ellerine saglik
Hepinize merhaba THT mensupları.
Bu konumda sizlere "Temel Seviyede Zararlı Yazılım Analizi" konusunu göstereceğim.
Konu içeriği:
Zararlı Yazılım Nasıl Tespit Edilir?
Zararlı Yazılım Nasıl Oluşturulur?
DIE(Detect IT Easy)
MegaDumper
Snowman
DnSPY
Ön inceleme
DIE ile linker / compiler analizi
DnSPY ile Kodlara Erişim
Kod İncelemesi
Zararlı Yazılım Nasıl Tespit Edilir?Zararlı yazılımları tespit etmenin bir çok yolu vardır.
Virustotal gibi sitelerde taratarak, bir çok anti virüsün tarama sonucunu görebiliriz.
Eğer emin olamazsak:
"any.run" gibi sitelerde gelen bağlantıları, dosya değişikliklerini, gönderilen - alınan verileri, bağlantının kurulduğu IP adresinin güvenli olup olmadığı, indirilen dosyaların güvenli olup olmadığı.. gibi bir çok şeyi "any.run" gibi sitelerde öğrenebiliriz.
Manuel olarak da zararlı yazılımlar tespit edilebilir.
Zararlı Yazılım Nasıl Oluşturulur?Zararlı yazlım oluşturmanın da bir çok yolu vardır.
RAT(Remote Access Tool-Trojan) oluşturan uygulamalar:
DarkComet
Spynet
Spynote
Gibi uygulamalar kullanarak da RAT oluşturabiliriz.
Eğer kendi RAT'ımızı oluşturmak istersek,
VisualStudio ile "Reverse TCP Shell" oluşturabiliriz.
Oluşturduğumuz RTS'yi "NETCAT" gibi uygulamalar ile dinleyebiliriz.
DIE(Detect IT Easy)DIE uygulaması linker / compiler hakkında bizi bilgilerdiren bir yazılımdır.
Linker / Compiler olan uygulamaları DnSpy uygulaması ile açamayız.
Önce decompiler bulmalıyız.
MegaDumperMegaDumper, gerektiği durumlarda .NET uygulamlarını saflaştırarak DnSpy'a yükleyebilmemizi sağlar.
SnowmanSnowman uygulaması DnSpy gibidir,
DnSpy .NET uygulamalarını açarken,
Snowman ise C++ uygulamalarını açmak için kullanılır.
DnSpyDnSpy uygulaması .NET dosyalarını açarak içinde ki kodları incelememize,
Gerektiği durumda ise düzenlememize olanak sağlar.
Ön incelemeÖn inceleme aşamasında uygulamanın özellikler kısmına bakalım.
Eğer özellikler > ayrıntılar kısmında bir bilgi bulamazsak uygulamayı VirusTotal'e taratabiliriz.
DIE ile Linker / Compiler AnaliziUygulamamızı DIE uygulamasına sürükle bırak yapıyoruz,
Gelen kısımda linker / compiler kısmına bakıyoruz.
Eğer .NET yazıyor ise bir compiler kullanılmamış demektir.
Compiler kullanmamış ise direk DnSpy'a yükleyebiliriz.
DnSpy ile Kodlara ErişimUygulamamızı sürükle bırak ile DnSpy'a yüklüyoruz,
Uygulama geldiğinde diğer aşamaya geçebiliriz.
Kod İncelemesi
Gelen kısımdan,
Programın içini açıyoruz,
Form1'in içine giriyoruz(Değişiklik gösterir.)
Kodlarımız karşımıza geldi,
Şimdi inceleme aşamasına geçelim.
Gördüğümüz gibi bir "Mesaj Kutusu ve Zamanlayıcı" bulunuyor.
İkisinin de kodlarını inceleyelim.
Mesaj Kutusu: uygulamanın bir virüs olduğunu söylüyor ve ardından timer1'i başlatıyor.
Timer1 de belirlnen tick hızına göre cmd açıyor.
Tek, tek görelim.
Konumuz bu kadardı, eğer işinize yaradıysa ne mutlu bana..
İyi forumlar!