- 8 Eyl 2016
- 1,646
- 998
Merhabalar, ileri seviye zararlı yazılım analizi çalışmalarına geçmeden evvel temel statik analiz de atladığımız lablardan biri olan Lab 1-3 zararlısının çözümünü gerçekleştireceğim.
İlgili exe dosyasına ait 4 adet soruyu cevaplandırmamızı istiyor. Tekrardan söylemek isterim temel statik analiz yapacağımızdan dolayı bazı sorular tam olarak açığa kavuşmayabilir. Analiz yapacağımız makine Windows XP SP3 işletim sistemi olacaktır. Buna paralel ilgili yazıyı da not düşmekte fayda var. Yani kısaca lablar XP sistemini hedefliyor, ancak tabii birçoğu diğer Windows sürümlerinde çalışsa da bazıları çalışmayabiliyor.
Biz sorularımızı cevaplandırmaya başlayalım. İlk soru da ilgili dosyayı VirusTotal de tarat bakalım bize neler söylüyor diyor.
69 tarayıcıdan 51 tanesi ilgili dosyanın zararlı olduğunu söylüyor.
Details sekmesinden uygulamanın mimarisi hakkında bilgileri ediniyoruz.
Daha önce virustotal üzerine farklı isimler ile dosya taratılmış. Bu da aslında popüler bir zararlı olduğunu söylüyor. E tabii lab zararlısı olduğunu hatırlatmakta fayda var.
Bu soruya yanıt olarak bu cevapları vermiş olduk. Şimdi 2.sorumuza bakalım.
2. soru da uygulamanın paketlenip paketlenmediğini soruyor, mümkünse de çözün diyor. Şimdi uygulamanın mimarisi executable olduğundan aklıma Portable executable formatı geliyor, VirusTotal bize PE sectionları gösteriyor, bir bakalım ne diyor.
PE executable ait başlıklar değil bunlar, haliyle burada uygulamanın paketlendiği kanısına varıyorum. Şimdi ne ile paketlenmiş ona bakalım, çözebiliyorsak çözelim.
PEiD yazılımı FSG 1.0 ile paketlendiğini görüyorum. Küçük bir araştırma ile bunu çözebilecek hazır bir araç bulamıyorum. Bir başka bahara kaldı diyor, bu soruyu bu şekilde cevaplandırıyorum. Burada temel statik analizde bu zararlıyı çözemeyeceğiz.
3. soru da bize uygulamanın içe aktarmaları neler anlatıyor kontrol et diyor.
VirusTotal üzerinden imports alanını kontrol edebiliyoruz. KERNEL32.dll kullanıyor ve ona bağlı temel fonksiyonları kullanıyor. Sadece bu verilere erişebilmemiz de zaten uygulamanın paketlenmiş olduğunu bize ifade ediyor.
4.soru da uygulamanın ağ tabanlı göstergelerini soruyor. Yani ağ aktivitesi gerçekleştiren bir fonksiyon, belki bir ip adresi bunlar bize bu konuda yardımcı olacaktır. Bu durumdan mütevellit PE Studio adlı yazılıma exe dosyamı sürüklüyorum bakalım uygulamanın içerisinde geçen stringlerden bir şey bulabilecek miyiz.
Akıyor maşallah diyemiyorum, 27 adet stringden ağ tabanlı herhangi bir gösterge bulamıyoruz. Programı çalıştırıp ağ tabanlı aktivitelere baksaydın diyebilirsiniz, ancak analizimiz temel statik analizi kapsıyor. Uygulama zaten paketlenmiş bir biçimde ve çözemedik haliyle başka bahara kalıyor, temel statik analizde elde ettiklerimiz buraya kadar. İleri analizlere geçtiğimiz zaman tüm sırları açığa çıkarmaya çalışacağız. Okuduğunuz için teşekkürler.
İlgili exe dosyasına ait 4 adet soruyu cevaplandırmamızı istiyor. Tekrardan söylemek isterim temel statik analiz yapacağımızdan dolayı bazı sorular tam olarak açığa kavuşmayabilir. Analiz yapacağımız makine Windows XP SP3 işletim sistemi olacaktır. Buna paralel ilgili yazıyı da not düşmekte fayda var. Yani kısaca lablar XP sistemini hedefliyor, ancak tabii birçoğu diğer Windows sürümlerinde çalışsa da bazıları çalışmayabiliyor.
Biz sorularımızı cevaplandırmaya başlayalım. İlk soru da ilgili dosyayı VirusTotal de tarat bakalım bize neler söylüyor diyor.
69 tarayıcıdan 51 tanesi ilgili dosyanın zararlı olduğunu söylüyor.
Details sekmesinden uygulamanın mimarisi hakkında bilgileri ediniyoruz.
Daha önce virustotal üzerine farklı isimler ile dosya taratılmış. Bu da aslında popüler bir zararlı olduğunu söylüyor. E tabii lab zararlısı olduğunu hatırlatmakta fayda var.
Bu soruya yanıt olarak bu cevapları vermiş olduk. Şimdi 2.sorumuza bakalım.
2. soru da uygulamanın paketlenip paketlenmediğini soruyor, mümkünse de çözün diyor. Şimdi uygulamanın mimarisi executable olduğundan aklıma Portable executable formatı geliyor, VirusTotal bize PE sectionları gösteriyor, bir bakalım ne diyor.
PE executable ait başlıklar değil bunlar, haliyle burada uygulamanın paketlendiği kanısına varıyorum. Şimdi ne ile paketlenmiş ona bakalım, çözebiliyorsak çözelim.
PEiD yazılımı FSG 1.0 ile paketlendiğini görüyorum. Küçük bir araştırma ile bunu çözebilecek hazır bir araç bulamıyorum. Bir başka bahara kaldı diyor, bu soruyu bu şekilde cevaplandırıyorum. Burada temel statik analizde bu zararlıyı çözemeyeceğiz.
3. soru da bize uygulamanın içe aktarmaları neler anlatıyor kontrol et diyor.
VirusTotal üzerinden imports alanını kontrol edebiliyoruz. KERNEL32.dll kullanıyor ve ona bağlı temel fonksiyonları kullanıyor. Sadece bu verilere erişebilmemiz de zaten uygulamanın paketlenmiş olduğunu bize ifade ediyor.
4.soru da uygulamanın ağ tabanlı göstergelerini soruyor. Yani ağ aktivitesi gerçekleştiren bir fonksiyon, belki bir ip adresi bunlar bize bu konuda yardımcı olacaktır. Bu durumdan mütevellit PE Studio adlı yazılıma exe dosyamı sürüklüyorum bakalım uygulamanın içerisinde geçen stringlerden bir şey bulabilecek miyiz.
Akıyor maşallah diyemiyorum, 27 adet stringden ağ tabanlı herhangi bir gösterge bulamıyoruz. Programı çalıştırıp ağ tabanlı aktivitelere baksaydın diyebilirsiniz, ancak analizimiz temel statik analizi kapsıyor. Uygulama zaten paketlenmiş bir biçimde ve çözemedik haliyle başka bahara kalıyor, temel statik analizde elde ettiklerimiz buraya kadar. İleri analizlere geçtiğimiz zaman tüm sırları açığa çıkarmaya çalışacağız. Okuduğunuz için teşekkürler.
Son düzenleme: