Modül 01 | Ek A | Laboratuvar
İçerikler
A1.1 Donanım Gereksinimleri
A1.2 İşletim Sistemi Gereksinimleri
A1.3 Hipervizör Gereksinimleri
A1.4 Yazılım Gereksinimleri
Kazanım Hedefleri
Bu ek modülünün sonunda aşağıdakileri kazanımlara sahip olup bunları daha iyi anlayacaksınız:
✓ Kötü amaçlı yazılım analizi yapmak için hangi donanım ve yazılımlar önerilir?
✓ Kurs sırasında ihtiyaç duyacağınız ve kullanmayı umacağınız araçlar
✓ Kötü amaçlı yazılım analizi gerçekleştirmek için ağ ortamınızı nasıl kurarsınız
✓ Diğer araçlar ve öneriler
Donanım Gereksinimleri
Gerçek şu ki, hangi donanıma ihtiyacınız olacağı konusunda kesin bir cevap yok. Bu tamamen bütçenize bağlıdır. Bu nedenle burada önerilenler bütçeler dikkate alacaktır.
Kötü Amaçlı Yazılım Analizinde kariyerinize başlamak için en pahalı donanımı satın almanız gerekmez.
Düşük bütçe donanım:
• 4+ çekirdeğe sahip herhangi bir İşlemci (AMD veya Intel)
• 16 GB Fiziksel Bellek
• Sabit Disk Sürücüsü 512 GB
• Ağ Kartı 1Gbps
Önerilen donanım:
• 16+ çekirdeğe sahip herhangi bir İşlemci (AMD veya Intel)
• 32GB/64GB Fiziksel Bellek
• Sabit Disk Sürücüsü 512 GB NVMe / SSD
• Ağ Kartı 1Gbps
İşletim Sistemi Gereksinimleri
Donanımı yerleştirdiğimize göre analizimiz için kullanılacak bir işletim sistemine ihtiyacımız var. Bu noktada başka bir soru ortaya çıkacaktır: hangi işletim sistemini kullanmalıyım?
Gerçek şu ki, tek bir en iyi sistem yok. Kullanılacak çeşitli sistemlere sahip olmak en iyisi ve kurs boyunca nedenini göreceksiniz.
Aşağıdaki sistemleri kullanacağız:
• SecurityOnion
• Tsurugi Linux
• Windows 10
Hipervizör Gereksinimleri
Araştırma ve analiz ortamınızın en önemli kısmı kullanılacak hipervizördür. Piyasada birçok hipervizörd var ancak en yaygın olarak kullanılan ikisi VirtualBox (ücretsiz) ve VMWare'dir (ticari).
Hangisini kullanacağınız seçimini size bırakıyoruz. Hangi markayı seçerseniz seçin, en azından bu kurs için herhangi birini kullanmanın sonucu aynı olacaktır.
Hipervizör kullanarak laboratuvarımızı oluşturmanın yanı sıra hata yaptığımızda geri dönmek için bir yol istiyoruz, ve evet hatalar olabilir.
Endişelenmeyin, demek istediğimiz şu ki, ya bir numuneyi analiz ediyor olsaydınız ve belirli bir hazırlık yapmayı unuttuysanız ya da farklı bir şekilde yapmak için önceki bir adıma geri dönmek isterseniz?
Snapshot almanıza izin veren bir hipervizör kullanmanın son derece kullanışlı olacağı yer burasıdır.
Bu nedenle, laboratuvarınızı hazırlamayı bitirdikten sonra devam etmeden önce temiz durumda bir snapshot aldığınızdan emin olun. Bu durum gerekirse analiz sırasında geri döneceğiniz durumdur.
Bir sonraki bölüme geçmeden önce, bir SNAPSHOT almanız gerektiğini unutmayın.
Bir snapshot alın.
Bir snapshot alın.
Bu şekilde hatırlatmaya devam edeceğiz.
Yazılım Gereksinimleri
Kötü Amaçlı Yazılım Analizinde birçok yazılım aracı kullanacaksınız. Ancak Kötü Amaçlı Yazılım Analizi araçlarla ilgili değil, bu araçların nasıl çalıştığını ve arkalarındaki teknolojileri anlamakla ilgilidir. İhtiyacımız olan araçlar yalnızca nasıl çalıştıklarının inceleme kısmını basitleştirmek içindir, ancak tek başlarına sorunlara çözüm sağlamayacaklardır.
Bu kursta kullanacağımız araçlar aşağıdaki kategorilere ayrılabilir:
1. String ve Metadata
2. Statik Analiz
3. Dinamik Analiz
4. Bellek Analizi
5. Olay Müdahalesi
6. Ağ Analizi
7. Görselleştirme
8. Frameworks
Aşağıdaki araçlar, yukarıdaki kategorilerde kullanılan araçları listeleyecek ve bunların linklerini verecektir.
String ve Metadata Araçları
ExifTool
HxD Hex Editor
Ek olarak String ve Metadata araçları şunları içerir:
• Free Hex Editor Neo
• bstrings
• BinText
• StringSifter
Statik Analiz Araçları
Exeinfo PE (en son sürüm)
PEiD (Şifre= tuts4you) + imzalar
Detect it Easy (DiE)
CFF Explorer
Dependency Walker
PE Stüdyo
Resource Hacker
Ek olarak Statik Analiz araçları şunları içerir:
• TitanMist
• ASPack
• Yansıtıcı PE Paketleyici: Amber
Dinamik Analiz Araçları
Microsoft SysInternals Suite İşlem Gezgini
Microsoft SysInternals Suite İşlem İzleyicisi
Microsoft SysInternals Suite VMMap
Microsoft SysInternals Suite Autoruns
RegShot
API Monitor
PE Capture
64dbg
Immunity Debugger
IDA Pro
Ek olarak Dinamik Analiz araçları şunları içerir:
• Noriben
• Rundll32 (LOLBin)
• Injector (Yansıtıcı DLL Enjeksiyonu)
• Ghidra
Bellek Analizi Araçları
MagnetForensics RAM Yakalama
Belkasoft Live RAM Yakalama
Ek olarak Bellek Analizi Araçları şunları içerir:
• Comae DumpIt
• Nirsoft Memdump
• Mandiant Redline
• Rekall WinPmem
• Volatility3, Volatility 2.6.x, Pluginler, vb.
• MalHunt, AutoTimeliner, vb.
• Rekall
Olay Müdahalesi Araçları
Mandiant IOC Editor
GRR ve Velociraptor
Ek olarak Olay Müdahale araçları şunları içerir:
• Yara Ailesi
• Loki Tarayıcı
• Facebook OSQuery
• ClamAV
Ağ Analizi Araçları
Fiddler
Xplico
Ek olarak Ağ analiz araçları şunları içerir:
• Mandiant AptDNS
• WinDump
• CaptureBAT
• NetworkMiner
• PassiveDNS
• Stenographer
Görselleştirme Araçları
ProcDOT
Ek olarak Görselleştirme araçları şunları içerir:
• XDot
• Graphiz
Framework Araçları
Ana Framework aracı Viper'dır.
Referanslar:
Orijinal sunum belgesinin linki: https://file.io/GZIr1lhD1F8i
@Dolyetyus tarafından çevrilmiştir.
İçerikler
A1.1 Donanım Gereksinimleri
A1.2 İşletim Sistemi Gereksinimleri
A1.3 Hipervizör Gereksinimleri
A1.4 Yazılım Gereksinimleri
Kazanım Hedefleri
Bu ek modülünün sonunda aşağıdakileri kazanımlara sahip olup bunları daha iyi anlayacaksınız:
✓ Kötü amaçlı yazılım analizi yapmak için hangi donanım ve yazılımlar önerilir?
✓ Kurs sırasında ihtiyaç duyacağınız ve kullanmayı umacağınız araçlar
✓ Kötü amaçlı yazılım analizi gerçekleştirmek için ağ ortamınızı nasıl kurarsınız
✓ Diğer araçlar ve öneriler
Donanım Gereksinimleri
Gerçek şu ki, hangi donanıma ihtiyacınız olacağı konusunda kesin bir cevap yok. Bu tamamen bütçenize bağlıdır. Bu nedenle burada önerilenler bütçeler dikkate alacaktır.
Kötü Amaçlı Yazılım Analizinde kariyerinize başlamak için en pahalı donanımı satın almanız gerekmez.
Düşük bütçe donanım:
• 4+ çekirdeğe sahip herhangi bir İşlemci (AMD veya Intel)
• 16 GB Fiziksel Bellek
• Sabit Disk Sürücüsü 512 GB
• Ağ Kartı 1Gbps
Önerilen donanım:
• 16+ çekirdeğe sahip herhangi bir İşlemci (AMD veya Intel)
• 32GB/64GB Fiziksel Bellek
• Sabit Disk Sürücüsü 512 GB NVMe / SSD
• Ağ Kartı 1Gbps
İşletim Sistemi Gereksinimleri
Donanımı yerleştirdiğimize göre analizimiz için kullanılacak bir işletim sistemine ihtiyacımız var. Bu noktada başka bir soru ortaya çıkacaktır: hangi işletim sistemini kullanmalıyım?
Gerçek şu ki, tek bir en iyi sistem yok. Kullanılacak çeşitli sistemlere sahip olmak en iyisi ve kurs boyunca nedenini göreceksiniz.
Aşağıdaki sistemleri kullanacağız:
• SecurityOnion
• Tsurugi Linux
• Windows 10
Hipervizör Gereksinimleri
Araştırma ve analiz ortamınızın en önemli kısmı kullanılacak hipervizördür. Piyasada birçok hipervizörd var ancak en yaygın olarak kullanılan ikisi VirtualBox (ücretsiz) ve VMWare'dir (ticari).
Hangisini kullanacağınız seçimini size bırakıyoruz. Hangi markayı seçerseniz seçin, en azından bu kurs için herhangi birini kullanmanın sonucu aynı olacaktır.
Hipervizör kullanarak laboratuvarımızı oluşturmanın yanı sıra hata yaptığımızda geri dönmek için bir yol istiyoruz, ve evet hatalar olabilir.
Endişelenmeyin, demek istediğimiz şu ki, ya bir numuneyi analiz ediyor olsaydınız ve belirli bir hazırlık yapmayı unuttuysanız ya da farklı bir şekilde yapmak için önceki bir adıma geri dönmek isterseniz?
Snapshot almanıza izin veren bir hipervizör kullanmanın son derece kullanışlı olacağı yer burasıdır.
Bu nedenle, laboratuvarınızı hazırlamayı bitirdikten sonra devam etmeden önce temiz durumda bir snapshot aldığınızdan emin olun. Bu durum gerekirse analiz sırasında geri döneceğiniz durumdur.
Bir sonraki bölüme geçmeden önce, bir SNAPSHOT almanız gerektiğini unutmayın.
Bir snapshot alın.
Bir snapshot alın.
Bu şekilde hatırlatmaya devam edeceğiz.
Yazılım Gereksinimleri
Kötü Amaçlı Yazılım Analizinde birçok yazılım aracı kullanacaksınız. Ancak Kötü Amaçlı Yazılım Analizi araçlarla ilgili değil, bu araçların nasıl çalıştığını ve arkalarındaki teknolojileri anlamakla ilgilidir. İhtiyacımız olan araçlar yalnızca nasıl çalıştıklarının inceleme kısmını basitleştirmek içindir, ancak tek başlarına sorunlara çözüm sağlamayacaklardır.
Bu kursta kullanacağımız araçlar aşağıdaki kategorilere ayrılabilir:
1. String ve Metadata
2. Statik Analiz
3. Dinamik Analiz
4. Bellek Analizi
5. Olay Müdahalesi
6. Ağ Analizi
7. Görselleştirme
8. Frameworks
Aşağıdaki araçlar, yukarıdaki kategorilerde kullanılan araçları listeleyecek ve bunların linklerini verecektir.
String ve Metadata Araçları
ExifTool
HxD Hex Editor
Ek olarak String ve Metadata araçları şunları içerir:
• Free Hex Editor Neo
• bstrings
• BinText
• StringSifter
Statik Analiz Araçları
Exeinfo PE (en son sürüm)
PEiD (Şifre= tuts4you) + imzalar
Detect it Easy (DiE)
CFF Explorer
Dependency Walker
PE Stüdyo
Resource Hacker
Ek olarak Statik Analiz araçları şunları içerir:
• TitanMist
• ASPack
• Yansıtıcı PE Paketleyici: Amber
Dinamik Analiz Araçları
Microsoft SysInternals Suite İşlem Gezgini
Microsoft SysInternals Suite İşlem İzleyicisi
Microsoft SysInternals Suite VMMap
Microsoft SysInternals Suite Autoruns
RegShot
API Monitor
PE Capture
64dbg
Immunity Debugger
IDA Pro
Ek olarak Dinamik Analiz araçları şunları içerir:
• Noriben
• Rundll32 (LOLBin)
• Injector (Yansıtıcı DLL Enjeksiyonu)
• Ghidra
Bellek Analizi Araçları
MagnetForensics RAM Yakalama
Belkasoft Live RAM Yakalama
Ek olarak Bellek Analizi Araçları şunları içerir:
• Comae DumpIt
• Nirsoft Memdump
• Mandiant Redline
• Rekall WinPmem
• Volatility3, Volatility 2.6.x, Pluginler, vb.
• MalHunt, AutoTimeliner, vb.
• Rekall
Olay Müdahalesi Araçları
Mandiant IOC Editor
GRR ve Velociraptor
Ek olarak Olay Müdahale araçları şunları içerir:
• Yara Ailesi
• Loki Tarayıcı
• Facebook OSQuery
• ClamAV
Ağ Analizi Araçları
Fiddler
Xplico
Ek olarak Ağ analiz araçları şunları içerir:
• Mandiant AptDNS
• WinDump
• CaptureBAT
• NetworkMiner
• PassiveDNS
• Stenographer
Görselleştirme Araçları
ProcDOT
Ek olarak Görselleştirme araçları şunları içerir:
• XDot
• Graphiz
Framework Araçları
Ana Framework aracı Viper'dır.
Referanslar:
Orijinal sunum belgesinin linki: https://file.io/GZIr1lhD1F8i
@Dolyetyus tarafından çevrilmiştir.
