Korunan Zararlı Yazılımın İncelenmesi

Maveraün Nehr

Katılımcı Üye
25 Haz 2021
973
1,850
41.303921, -81.901693
Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.

Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.

The Enigma Protector : Analyze (Encryption-UnPack)


https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

.NET Deobfuscating

https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/

Elimde bir adet şüpheli dosya var;

7fqs92k.PNG

Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;

ao7ffk2.PNG

Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;

2xysdi7.PNG

Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.

Confuser Unpacker de4dot;



Arşiv Şifresi;

lckt0

Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.


63eus8n.PNG

Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.

rngw4be.PNG

Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?

p93sk36.PNG

Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?

mgsj4ty.PNG

Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.

İndirmek İçin;


de4dot_mobile46

Arşiv Şifresi;

lckt0

Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.

5nvwbd5.PNG


6p4o7n3.PNG

Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.

1hsophd.PNG

Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.

ga31ysp.PNG

Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
 

Wixstra

Katılımcı Üye
10 Mar 2021
310
185
Google
Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.

Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.

The Enigma Protector : Analyze (Encryption-UnPack)


https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

.NET Deobfuscating

https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/

Elimde bir adet şüpheli dosya var;

7fqs92k.PNG

Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;

ao7ffk2.PNG

Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;

2xysdi7.PNG

Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.

Confuser Unpacker de4dot;



Arşiv Şifresi;

lckt0

Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.


63eus8n.PNG

Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.

rngw4be.PNG

Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?

p93sk36.PNG

Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?

mgsj4ty.PNG

Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.

İndirmek İçin;


de4dot_mobile46

Arşiv Şifresi;

lckt0

Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.

5nvwbd5.PNG


6p4o7n3.PNG

Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.

1hsophd.PNG

Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.

ga31ysp.PNG

Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
Ellerinize Sağlık
 

Yeni Kullanıcıyım Ben

Katılımcı Üye
11 Ara 2022
794
301
Matrix
Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.

Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.

The Enigma Protector : Analyze (Encryption-UnPack)


https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

.NET Deobfuscating

https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/

Elimde bir adet şüpheli dosya var;

7fqs92k.PNG

Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;

ao7ffk2.PNG

Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;

2xysdi7.PNG

Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.

Confuser Unpacker de4dot;



Arşiv Şifresi;

lckt0

Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.


63eus8n.PNG

Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.

rngw4be.PNG

Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?

p93sk36.PNG

Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?

mgsj4ty.PNG

Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.

İndirmek İçin;


de4dot_mobile46

Arşiv Şifresi;

lckt0

Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.

5nvwbd5.PNG


6p4o7n3.PNG

Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.

1hsophd.PNG

Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.

ga31ysp.PNG

Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
Mükkemmel olmuş,
Eline sağlık :)
 

rootibo

Kıdemli Üye
13 Mar 2023
2,168
1,459
Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.

Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.

The Enigma Protector : Analyze (Encryption-UnPack)


https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

.NET Deobfuscating

.NET Deobfuscating //Ar-Ge Kulübü

Elimde bir adet şüpheli dosya var;

7fqs92k.PNG

Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;

ao7ffk2.PNG

Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;

2xysdi7.PNG

Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.

Confuser Unpacker de4dot;



Arşiv Şifresi;

lckt0

Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.


63eus8n.PNG

Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.

rngw4be.PNG

Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?

p93sk36.PNG

Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?

mgsj4ty.PNG

Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.

İndirmek İçin;


de4dot_mobile46

Arşiv Şifresi;

lckt0

Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.

5nvwbd5.PNG


6p4o7n3.PNG

Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.

1hsophd.PNG

Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.

ga31ysp.PNG

Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
Artik rat yemeyecegim elinize saglik :)
 

Muslukcu

Katılımcı Üye
17 Kas 2021
699
262
Tesisat dükkanı
Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.

Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.

The Enigma Protector : Analyze (Encryption-UnPack)


https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

.NET Deobfuscating

https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/

Elimde bir adet şüpheli dosya var;

7fqs92k.PNG

Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;

ao7ffk2.PNG

Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;

2xysdi7.PNG

Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.

Confuser Unpacker de4dot;



Arşiv Şifresi;

lckt0

Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.


63eus8n.PNG

Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.

rngw4be.PNG

Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?

p93sk36.PNG

Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?

mgsj4ty.PNG

Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.

İndirmek İçin;


de4dot_mobile46

Arşiv Şifresi;

lckt0

Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.

5nvwbd5.PNG


6p4o7n3.PNG

Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.

1hsophd.PNG

Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.

ga31ysp.PNG

Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
Eline sağlık
 

Maveraün Nehr

Katılımcı Üye
25 Haz 2021
973
1,850
41.303921, -81.901693
Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.

Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.

The Enigma Protector : Analyze (Encryption-UnPack)


https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

.NET Deobfuscating

.NET Deobfuscating //Ar-Ge Kulübü

Elimde bir adet şüpheli dosya var;

7fqs92k.PNG

Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;

ao7ffk2.PNG

Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;

2xysdi7.PNG

Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.

Confuser Unpacker de4dot;



Arşiv Şifresi;

lckt0

Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.


63eus8n.PNG

Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.

rngw4be.PNG

Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?

p93sk36.PNG

Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?

mgsj4ty.PNG

Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.

İndirmek İçin;


de4dot_mobile46

Arşiv Şifresi;

lckt0

Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.

5nvwbd5.PNG


6p4o7n3.PNG

Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.

1hsophd.PNG

Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.

ga31ysp.PNG

Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
Cidden güzel konu emeklerinize sağlık hocam başarılı 👍👍👍👍
 

ByFelez

Uzman üye
9 Tem 2013
1,822
1,778
Merhabalar bugünkü konumuzda Protector olarak da bahsi geçen piyasada bulanan ve yazılımların şifrelenerek tersine mühendislik yöntemlerini zorlaştıran yöntemleri en basitinden ele alıp bir örnek ile inceleyip analizini gerçekleştireceğiz.

Konuya başlamadan benzer konuları inceleyip fikir sahibi olabilir çıtayı bir üst seviyeye çıkarabilirsiniz.

The Enigma Protector : Analyze (Encryption-UnPack)


The Enigma Protector : Analyze (Encryption-UnPack) / Tersine Mühendislik Kulübü

.NET Deobfuscating

.NET Deobfuscating //Ar-Ge Kulübü

Elimde bir adet şüpheli dosya var;

7fqs92k.PNG

Şimdi bunu incelemek için hangi dil ile yazılı olduğunu ve uygulamanın korunup korunmadığını bulacağım. Bunun için DİE programına yansıtınca sonuç;

ao7ffk2.PNG

Dilimiz .NET büyük ihtimal program Visual Basic .NET / C# ile yazılmış. Ama Protector ibaresi dikkatimi çekti. DNSpy ile açmayı deneyince sonuç;

2xysdi7.PNG

Göründüğü üzere satırlar okunmuyor şimdi bunu okunur hale getirmemiz lazım. Bunun için de4dot kullanacağım ve modlanmış olarak.

Confuser Unpacker de4dot;



Arşiv Şifresi;

lckt0

Şüpheli dosyamı indirmiş olduğum klasörün içerisine .exe’nin üzerine sürüklüyorum.


63eus8n.PNG

Daha sonra karşıma bir komut istemi ekranı çıktı işlemi bitirmesini bekledim.

rngw4be.PNG

Bitirdikten sonra aynı dizinde ikinci bir .exe oluşturdu. Hemen DİE’ye yansıtalım bakalım protector ibaresi kalkmış mı?

p93sk36.PNG

Evet kalkmış peki DnSpy ile açalım bakalım düzenli bir veri akışı ile karşılaşacak mıyız?

mgsj4ty.PNG

Ancak ilk safadan daha karmaşık bir veri var bunun için modlanmamış olan de4dot kullanacağım.

İndirmek İçin;


de4dot_mobile46

Arşiv Şifresi;

lckt0

Arşivden çıkarttıktan sonra. İlk klasörde sonu NOCFEX ile biten exe uygulamasını dizine atıyorum ve ilk aşamada yaptığım işlemi yapıyorum yani üzerine sürüklüyorum. Kısa bir komut satırı penceresi çıktıktan ve işlem bittikten sonra klasör üzerinde temizlenmiş bir analiz yapabilirim.

5nvwbd5.PNG


6p4o7n3.PNG

Temizlenmiş olan exe uygulamasını DNSpy ile açtım ve satırlar arasında gezmeye başladım.

1hsophd.PNG

Temizlenen exe’de görev yöneticisinden gizlenme/devre dışı bırakma kodu yer alıyor.

ga31ysp.PNG

Tuş dinleme olaylarını görüyoruz. Bu sonuçlardan şüpheli dosyamızı açmamamız gerektiği sonucuna ulaşıyoruz.
Efsane konu....
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.