Unpacking Trojan

Maveraün Nehr · 6 Tem 2022

xxtra' Alıntı:
hmm ne dediğinden hiçbir şey anlamadım .NET Reflector programında öyle bir seçenek yok üstelik konuda .NET Reflector'un desteklediği diller diye bir kısım yazmış arkadaş orada büyük saçmalamış o kısmı düzenleyin isterseniz XML kütüphanesini ss alıp koymuş oraya İşte deneme yanılma yapmayın diye bu şekilde söylüyorum. Hızlı olmanız gereken bir ortamla karşılaştığınız zaman (CTF veya zararlı vakası) deneme yanılmaya ayıracak vaktiniz olmayacak

Var MC++ diye bir seçenek mevcut. Başka söylemek istedikleriniz varsa yararlanmak isteriz.

xxtra · 6 Tem 2022

Maveraün Nehr' Alıntı:
Var MC++ diye bir seçenek mevcut. Başka söylemek istedikleriniz varsa yararlanmak isteriz.

SS atıp beni bilgilendirir misiniz nerede bu seçenek? .NET Reflector, .NET mimarisi üzerinde yazılmış bir araç olmasından ziyade sadece .NET mimarisi ile yazılan uygulamaların içeriğini okuyabiliyor. Farklı çalışan PE dosyaları gibi .NET de farklı bir anatomiye sahip olduğu için .NET Reflector içerisinde zaten MC++ diye bir seçenek olması zaten çok saçma olacaktır takdir edersiniz ki...

Maveraün Nehr · 6 Tem 2022

xxtra' Alıntı:
SS atıp beni bilgilendirir misiniz nerede bu seçenek? .NET Reflector, .NET mimarisi üzerinde yazılmış bir araç olmasından ziyade sadece .NET mimarisi ile yazılan uygulamaların içeriğini okuyabiliyor. Farklı çalışan PE dosyaları gibi .NET de farklı bir anatomiye sahip olduğu için .NET Reflector içerisinde zaten MC++ diye bir seçenek olması zaten çok saçma olacaktır takdir edersiniz ki...

xxtra · 6 Tem 2022

Maveraün Nehr' Alıntı:

Aaah ahh... Aylardır var bu özellik MC++ dediğiniz şey C++ ile windows forms geliştirmek olay yine .NET mimarisinde compile ediliyor ben de C++ disas eklediler zannettim ne alaka diyorum deminden beri

Maveraün Nehr · 6 Tem 2022

xxtra' Alıntı:
Aaah ahh... Aylardır var bu özellik MC++ dediğiniz şey C++ ile windows forms geliştirmek olay yine .NET mimarisinde compile ediliyor ben de C++ disas eklediler zannettim ne alaka diyorum deminden beri

Bende Microsoft C++ sanıyorum :d

casteknik · 6 Tem 2022

Demek ki junk kodlar, string'ler eklesem, analizler bir halta yaramayacak. Onu öğrendim. Gelişmeniz dileği ile...

Maveraün Nehr · 6 Tem 2022

casteknik' Alıntı:
Demek ki junk kodlar, string'ler eklesem, analizler bir halta yaramayacak. Onu öğrendim. Gelişmeniz dileği ile...

Bu kadar emin olmayın

casteknik · 6 Tem 2022

Maveraün Nehr' Alıntı:
Bu kadar emin olmayın

Python'da built-in veya üçüncü parti olarak zararsız bildiğimiz modülleri kaynak koddan değiştirsem, onu incelemeye bile yeltenmezdi. Analiz biraz yetersiz kalmış. Bu tür analiz yapan biri kolayca kandırılabilir.

Maveraün Nehr · 6 Tem 2022

casteknik' Alıntı:
Python'da built-in veya üçüncü parti olarak zararsız bildiğimiz modülleri kaynak koddan değiştirsem, onu incelemeye bile yeltenmezdi. Analiz biraz yetersiz kalmış. Bu tür analiz yapan biri kolayca kandırılabilir.

Dikkate alacağız teşekkürler verdiğiniz bilgiler önemli

borekaenxd97 · 8 Tem 2022

K3D' Alıntı:
Eline emeğine sağlık.

Teşekkür ediyorum.

Maveraün Nehr' Alıntı:

Teşekkürler hocam.

GökBörü.' Alıntı:
Eline emeğine sağlık

Teşekkür ederim.

skortup' Alıntı:
Eline sağlık//
#NE MUTLU TÜRKÜM DİYENE#

Teşekkür ederim.

EX' Alıntı:
Eline emeğine sağlık. İyi bir anlatım olmuş.

Teşekkür ediyorum, beğenmenize sevindim.

xKemikkiran' Alıntı:
Elinize sağlık hocam güzel anlatım

Teşekkür ederim.

connec' Alıntı:
Şans eseri discordda yapım aşamasını izleme imkanı buldum. Kolay bir iş değil gerçekten elinize emeğinize sağlık.

Çok teşekkür ediyorum.

kurononyanko' Alıntı:
Nice shot. Ancak çok fazla tool kullanmaktan kafan patlamıyor mu hocam

Teşekkür ediyorum. Araçların hepsine hakim olunmadığı için analiz sırasında da araştırma yapılıp öğreniliyor. Bu yüzden kafa patlamıyor diyebilirim

JohnWick51' Alıntı:
Ellerine saglik

Teşekkür ediyorum.

xxtra' Alıntı:
Konu yine çok sığ. Bu foruma analiz raporu okumak için gelmiştim ancak burada ciddi eksik görüyorum eskilere hiç inmeyeceğim bu sebeple... Özellikle yetkili arkadaşlardan seçtim analiz raporlarını forumda belli bir yere gelmiş insanların tecrübeli olduğunu düşünerek. Konuları çok sığ geçiyorsunuz arkadaşlar mesela arkadaş önce .NET olduğundan şüphelendi dosyanın???? neden bunu yaptın? neden boşa zaman kaybettin? x32dbg üzerinde açıp string avına çıksan direkt göreceksin dosyanın py2exe işlemine sokulduğunu...

Öncelikle foruma analiz raporu okumak için geldiysen amacımıza ulaşmışız diyebilirim. Mükemmel biz analiz gerçekleştirdim şeklinde bir ifade kullanmadım zaten yazımda. Adı üstünde analiz olduğu için üstünkörü geçmek yerine okuyucuları her seviyeden baz alarak açıklama gereği duydum. Eleştirinin dilini ise daha düzgün bir şekilde ifade edersen anlaşabileceğimizi düşünüyorum.

'GECE' Alıntı:
Eline sağlık blue cu

Teşekkür ediyorum.

xxtra · 8 Tem 2022

Tamam, bu kadar detaylı inceleyip moralini daha çok bozmak istemiyordum ama madem öyle başlayalım...
Öncelikle TrID diye bir program kullanmışsın en son 2019 yılında çıkmış çağ öncesi sayılabilecek bir programı kullanarak başladın bunun yerine Detect It Easy gibi hala geliştirilmeye devam eden bir scanner yazılımını tercih etmelisin.

"RAT zararlımız 4444 portu üzerinde 127.0.0.1 (localhost) üzerine çalıştırılıyor." gibi bir cümle kurmuşsun ve bunu "strings" kısmındaki yazılara dayanarak kurmuşsun? orada 1337 1453 gibi sayılar da olsaydı her bir port üzerinden bağlantı kuruyor mu diyecektin?

pyc2byte code işleminden sonra neden kodu decompile etmedin? Şuanda yaptığın şey yazılımı paketten çıkarttın ve disassemble işlemine soktun. Disassemble işleminden sonra yine python vm üzerinden yorumlandığı için bu python bytecode'ları bunu da uncompyle6 ile decompile edip daha temiz ve okunabilir bir sonuç elde edebilirdin.

İlk başta direkt dosyanın .NET olmasından şüphelenmene daha girmiyorum zaten üstteki arkadaşla detaylıca konuştuk.

Yorumladığın kaynak kodlarını da sadece instruction operand üzerinden yorumlamışsın kodların opcode'larının ne anlama geldiğini bilmiyorsun çok yüksek ihtimalle çünkü gördüğüm kadarıyla yine string yorumlamışsın ben mesela bir py yazsam ve sonra exe'ye dönüştürsem içine de tamamen şahsi gıcıklığına zararlı yorumlayabileceğin stringler koysam fakat programın dinamik anlamda hiçbir zararı olmasa demek ki onaydan geçemeyecek...

Konu dışı olacak ama...
PS:
Attığım birkaç yorum da silinmiş sanırım neden silindiğini yetkili bir arkadaş bana özelden iletebilir mi??

Ɲémesis · 8 Tem 2022

Elinize sağlık.

borekaenxd97 · 11 Tem 2022

xxtra' Alıntı:
Tamam, bu kadar detaylı inceleyip moralini daha çok bozmak istemiyordum ama madem öyle başlayalım...
Öncelikle TrID diye bir program kullanmışsın en son 2019 yılında çıkmış çağ öncesi sayılabilecek bir programı kullanarak başladın bunun yerine Detect It Easy gibi hala geliştirilmeye devam eden bir scanner yazılımını tercih etmelisin.

"RAT zararlımız 4444 portu üzerinde 127.0.0.1 (localhost) üzerine çalıştırılıyor." gibi bir cümle kurmuşsun ve bunu "strings" kısmındaki yazılara dayanarak kurmuşsun? orada 1337 1453 gibi sayılar da olsaydı her bir port üzerinden bağlantı kuruyor mu diyecektin?

pyc2byte code işleminden sonra neden kodu decompile etmedin? Şuanda yaptığın şey yazılımı paketten çıkarttın ve disassemble işlemine soktun. Disassemble işleminden sonra yine python vm üzerinden yorumlandığı için bu python bytecode'ları bunu da uncompyle6 ile decompile edip daha temiz ve okunabilir bir sonuç elde edebilirdin.

İlk başta direkt dosyanın .NET olmasından şüphelenmene daha girmiyorum zaten üstteki arkadaşla detaylıca konuştuk.

Yorumladığın kaynak kodlarını da sadece instruction operand üzerinden yorumlamışsın kodların opcode'larının ne anlama geldiğini bilmiyorsun çok yüksek ihtimalle çünkü gördüğüm kadarıyla yine string yorumlamışsın ben mesela bir py yazsam ve sonra exe'ye dönüştürsem içine de tamamen şahsi gıcıklığına zararlı yorumlayabileceğin stringler koysam fakat programın dinamik anlamda hiçbir zararı olmasa demek ki onaydan geçemeyecek...

Konu dışı olacak ama...
PS:
Attığım birkaç yorum da silinmiş sanırım neden silindiğini yetkili bir arkadaş bana özelden iletebilir mi??

Üslubunu eleştiri şeklinde değil de tartışma çıkarır biçimde yazmanın sebebini anlayamıyorum fakat bunu uygun bir dille aktardığın takdirde seninle iletişim kuracağım. Fakat kısa bir özet geçeyim sana istersen. Zararlı yazılım analizi ile ilgili burada aktarırken her şeyin bilinmesi mümkün değil veya her ifadeyi doğru yorumlamak mümkün olmayabiliyor. Bende bunların hepsini kusursuz yaptığımı iddia etmiyorum, adı üstünde analiz olduğu için elimden geldiği biçimde yapıp buraya aktarmaya çalışıyorum.

Ɲémesis' Alıntı:
Elinize sağlık.

Teşekkür ediyorum.

'Seth · 11 Tem 2022

xxtra' Alıntı:
Tamam, bu kadar detaylı inceleyip moralini daha çok bozmak istemiyordum ama madem öyle başlayalım...
Öncelikle TrID diye bir program kullanmışsın en son 2019 yılında çıkmış çağ öncesi sayılabilecek bir programı kullanarak başladın bunun yerine Detect It Easy gibi hala geliştirilmeye devam eden bir scanner yazılımını tercih etmelisin.

"RAT zararlımız 4444 portu üzerinde 127.0.0.1 (localhost) üzerine çalıştırılıyor." gibi bir cümle kurmuşsun ve bunu "strings" kısmındaki yazılara dayanarak kurmuşsun? orada 1337 1453 gibi sayılar da olsaydı her bir port üzerinden bağlantı kuruyor mu diyecektin?

pyc2byte code işleminden sonra neden kodu decompile etmedin? Şuanda yaptığın şey yazılımı paketten çıkarttın ve disassemble işlemine soktun. Disassemble işleminden sonra yine python vm üzerinden yorumlandığı için bu python bytecode'ları bunu da uncompyle6 ile decompile edip daha temiz ve okunabilir bir sonuç elde edebilirdin.

İlk başta direkt dosyanın .NET olmasından şüphelenmene daha girmiyorum zaten üstteki arkadaşla detaylıca konuştuk.

Yorumladığın kaynak kodlarını da sadece instruction operand üzerinden yorumlamışsın kodların opcode'larının ne anlama geldiğini bilmiyorsun çok yüksek ihtimalle çünkü gördüğüm kadarıyla yine string yorumlamışsın ben mesela bir py yazsam ve sonra exe'ye dönüştürsem içine de tamamen şahsi gıcıklığına zararlı yorumlayabileceğin stringler koysam fakat programın dinamik anlamda hiçbir zararı olmasa demek ki onaydan geçemeyecek...

Konu dışı olacak ama...
PS:
Attığım birkaç yorum da silinmiş sanırım neden silindiğini yetkili bir arkadaş bana özelden iletebilir mi??

Dostum, neden bukadar yükseliyorsun ki?
Hocamında söylediği gibi eleştriye açık ama, eleştrinin de bir adabı, üslubu var.
İnsanlar kusursuz değildir zamanla hatalarını düzeltir.
Bi matematik öğrencisi gelip problem çözemediğinde senin başında; "Saçma saçma işlemler yapıyorsun, bunu yapmanın mantığı ne ?, şunu yapmadın bunu yapmadın"
Tarzında konuşsa ne düşünürsün?, Ve dikkat ettiysen bu üslubuna rağmen forumda herkes senle tatlı dille konuştu.

@borekaenxd97 eline sağlık hocam..

borekaenxd97 · 12 Tem 2022

skrosman' Alıntı:
Dostum, neden bukadar yükseliyorsun ki?
Hocamında söylediği gibi eleştriye açık ama, eleştrinin de bir adabı, üslubu var.
İnsanlar kusursuz değildir zamanla hatalarını düzeltir.
Bi matematik öğrencisi gelip problem çözemediğinde senin başında; "Saçma saçma işlemler yapıyorsun, bunu yapmanın mantığı ne ?, şunu yapmadın bunu yapmadın"
Tarzında konuşsa ne düşünürsün?, Ve dikkat ettiysen bu üslubuna rağmen forumda herkes senle tatlı dille konuştu.

@borekaenxd97 eline sağlık hocam..

Değerli yanıtın için teşekkür ediyorum @skrosman

xxtra · 13 Tem 2022

Ben yine ne dedim anlamıyorum sakince tane tane nerelerde yanlış yapıp düzeltmen gerektiğini söylüyorum olay yine yükseldiğime ve tartışma çıkartır gibi yazdığıma geliyor. Aşağıda da birbirinize destek oluyorsunuz burada eleştiri yapmışım adam hala eline sağlık yazıyor sen de teşekkür ediyorsun konu altında. Şimdi hangisi daha çok işine yaradı insanların takdirini kazanmak için mi makale yazıyorsun yoksa insanlara bir şey öğretip kendini de eleştirilerle geliştirmek için mi? Moderatör arkadaş da bana uyarıyı bırakıp pm gelirse kendisi hakkında da yapıcı eleştirilerde bulunabilirim eleştiriyi kabul edemeyen bir megaloman değilse? konu sahibi arkadaş için de aynı şeyi düşüneceğim artık...

icehead · 13 Tem 2022

Yine forumun balta girmeyen ormanından fırlayan baltacılar forumu baltalıyor.
yahu madem siz çok iyisiniz,çok bilgilisiniz açın bir tane konu biz de okuyalım görelim neler yapabiliyorsunuz.
konularınıza bakacak kadar zamanım yok fakat eminim ki 1-2 tane dandik konu vardır onun haricinde de multi olduğunuz hiç anlaşılmıyor(!)
internet alemi ne garip değil mi? gerçek hayatta bir garson dahi olamayacak hayattan kopuk adam gelmiş burada neler yapıyor...

Maveraün Nehr · 13 Tem 2022

Arkadaşlar iyi veya kötü haklı veya haksız buraya bir şeyler öğrenmeye öğrendiklerimizi öğretmeye geldik. Hepimiz insanız biliyorsunuz beş parmağın beşi bir değil... Bu yüzden hatalarımız olacaktır. Evet eleştiri de önemli bizi yükseğe çıkaracak olan aciklarimizin kapanmasıdır. Değerli değersiz yorumlarınızı dikkate alıyoruz hepinize teşekkürler, sevgiler. Daha fazla uzatmanın anlamı yok. Malum bugün bayram pazartesisi artık yoğun tempo başladı herkese iyi çalışmalar

Unpacking Trojan

Maveraün Nehr

Blue Expert / Head of Malware Team

xxtra

Yeni üye

Maveraün Nehr

Blue Expert / Head of Malware Team

xxtra

Yeni üye

Maveraün Nehr

Blue Expert / Head of Malware Team

casteknik

Yeni üye

Maveraün Nehr

Blue Expert / Head of Malware Team

casteknik

Yeni üye

Maveraün Nehr

Blue Expert / Head of Malware Team

borekaenxd97

Blue Tim Emektar

xxtra

Yeni üye

Ɲémesis

Yazılım Ekibi Lider Yardımcısı

borekaenxd97

Blue Tim Emektar

'Seth

Uzman üye

borekaenxd97

Blue Tim Emektar

xxtra

Yeni üye

icehead

Uzman üye

Maveraün Nehr

Blue Expert / Head of Malware Team

Sosyal medya sayfalarımız