- 20 Mar 2022
- 1,867
- 770
- 28
Ellerine saglik
Hepinize merhaba THT mensupları.
Bu konumda sizlere "Temel Seviyede Zararlı Yazılım Analizi" konusunu göstereceğim.
Konu içeriği:
Zararlı Yazılım Nasıl Tespit Edilir?
Zararlı Yazılım Nasıl Oluşturulur?
DIE(Detect IT Easy)
MegaDumper
Snowman
DnSPY
Ön inceleme
DIE ile linker / compiler analizi
DnSPY ile Kodlara Erişim
Kod İncelemesi
![]()
Zararlı Yazılım Nasıl Tespit Edilir?Zararlı yazılımları tespit etmenin bir çok yolu vardır.
Virustotal gibi sitelerde taratarak, bir çok anti virüsün tarama sonucunu görebiliriz.
Eğer emin olamazsak:
"any.run" gibi sitelerde gelen bağlantıları, dosya değişikliklerini, gönderilen - alınan verileri, bağlantının kurulduğu IP adresinin güvenli olup olmadığı, indirilen dosyaların güvenli olup olmadığı.. gibi bir çok şeyi "any.run" gibi sitelerde öğrenebiliriz.
Manuel olarak da zararlı yazılımlar tespit edilebilir.
![]()
Zararlı Yazılım Nasıl Oluşturulur?Zararlı yazlım oluşturmanın da bir çok yolu vardır.
RAT(Remote Access Tool-Trojan) oluşturan uygulamalar:
DarkComet
Spynet
Spynote
Gibi uygulamalar kullanarak da RAT oluşturabiliriz.
Eğer kendi RAT'ımızı oluşturmak istersek,
VisualStudio ile "Reverse TCP Shell" oluşturabiliriz.
Oluşturduğumuz RTS'yi "NETCAT" gibi uygulamalar ile dinleyebiliriz.
![]()
DIE(Detect IT Easy)DIE uygulaması linker / compiler hakkında bizi bilgilerdiren bir yazılımdır.
Linker / Compiler olan uygulamaları DnSpy uygulaması ile açamayız.
Önce decompiler bulmalıyız.
![]()
MegaDumperMegaDumper, gerektiği durumlarda .NET uygulamlarını saflaştırarak DnSpy'a yükleyebilmemizi sağlar.
![]()
SnowmanSnowman uygulaması DnSpy gibidir,
DnSpy .NET uygulamalarını açarken,
Snowman ise C++ uygulamalarını açmak için kullanılır.
![]()
DnSpyDnSpy uygulaması .NET dosyalarını açarak içinde ki kodları incelememize,
Gerektiği durumda ise düzenlememize olanak sağlar.
![]()
Ön incelemeÖn inceleme aşamasında uygulamanın özellikler kısmına bakalım.
Eğer özellikler > ayrıntılar kısmında bir bilgi bulamazsak uygulamayı VirusTotal'e taratabiliriz.
![]()
DIE ile Linker / Compiler AnaliziUygulamamızı DIE uygulamasına sürükle bırak yapıyoruz,
Gelen kısımda linker / compiler kısmına bakıyoruz.
Eğer .NET yazıyor ise bir compiler kullanılmamış demektir.
Compiler kullanmamış ise direk DnSpy'a yükleyebiliriz.
![]()
DnSpy ile Kodlara ErişimUygulamamızı sürükle bırak ile DnSpy'a yüklüyoruz,
Uygulama geldiğinde diğer aşamaya geçebiliriz.
![]()
Kod İncelemesi
Gelen kısımdan,
Programın içini açıyoruz,
Form1'in içine giriyoruz(Değişiklik gösterir.)
Kodlarımız karşımıza geldi,
Şimdi inceleme aşamasına geçelim.
Gördüğümüz gibi bir "Mesaj Kutusu ve Zamanlayıcı" bulunuyor.
İkisinin de kodlarını inceleyelim.
![]()
Mesaj Kutusu: uygulamanın bir virüs olduğunu söylüyor ve ardından timer1'i başlatıyor.
Timer1 de belirlnen tick hızına göre cmd açıyor.
Tek, tek görelim.
![]()
Konumuz bu kadardı, eğer işinize yaradıysa ne mutlu bana..
İyi forumlar!