İyi günler Türk Hack Team ailesi.
Bugün sizlerle beraber Windows'a zararlı yazılım analiz ortamını kurmamıza yarayan Flare VM'den bahsediceğim.
Flare VM nedir?
Flare VM, FireEye firması tarafından Windows sistemleri üzerinde tersine mühendisliktir, zararlı yazılım analizi gibi işleri kolaylaştıracak tool'ları içerisinde bulunduran bir yazılımdır. Windows tabanlı bir dağıtım olması yanı sıra ücretsizdir. İçerisinde tersine muhendislik ve zararlı yazılım analizini gerçekleştirmenize yarayacak bin bir çeşit tool barındırır. Bu tool'lara bakalım biraz;
- Cygwin: Windows işletim sistemi üzerin'e Linux sisteminin belirli özelliklerini ekleyen açık kaynak kodlu bir yazılımdır. Oldukça popülerdir.
- Far Manager: Windows işletim sisteminde dosyaları, klasörleri ve arşivleri yönetmenize yarayan bir yazılımdır. Linux'taki Dolphin gibi.
- ILSpy: .Net'i derlemek ve kod çözümlemesi yapmanıza yarayacak bir araçtır. Kullanışlı olduğunu pek söyliyemiyeceğim.
- Cmder:Renkli ve özeleştirilmiş bir terminal. Oldukça kullanışlıdır.
- Oledump:.OLE dosyalarını analiz etmeyi sağlayan araçtır.
- Signature Explorer: Hali hazırda hazır o lan imzaları inceleyebillir. İstediği zaman bu imzalarla iletişime geçer.
- ImpRec: Paket programların, içeri aktarma adres tablosunu görüntüleyebilmemize ve içerisinde değisiklik yapmamıza imkağan sunar.
- NASM: Taşınabilinir ve kod editörlüğü yapmak için yazılmış x86-64 ve 80x86 için Assembly dili birleştiricisidir. İşlemciler üzerinden process yapabillir
- Resource Hacker: Kaynak kodları değistirmenize yarar. Ayrıca DLL dosyalarınında kaynak kodlarına erişebillirsiniz.
- IDA Pro Free: Programlanabilir, multi işlemciyle çalışabilen debugger.
- 010 Editor: Hec editör aracıdır. Bir çok farklı dosya formatını anlaşılabilir biçinde düzenleyip karşımıza çıkartır.
- x64dbg: Zaralı yazılım analizleri ile x86 debug işlemi yapmayı sağlayan kaliteli bir araçtır.
- binaryNinja : Tersine mühendislik analizi için kullanılan güzel bir araçtır.
Burada yazdığım tool'lar dışında bir sürü daha tool bulunuyor. Fakat bunlar en çok kullananılanlar diyebillirim.
Flare VM neden yapıldı?
Simdi düşünücek olursak bu dağıtım neden ortaya çıktı. FireEye şirketi bu dağıtımı neden pisaya sürdüğüne bakalım. Flare VM'i oluşturmalarının temel sebeblerinden bazıları. Yapılacak zararlı yazılım analizlerinde izole bir ortam oluşturmak yerine bu yöntemi kullanmak istemeleri en temel sebeblerinden sadece birisidir. Onun dışında bir sisteme tool'ları kurup optimize etmek vb çok fazla zaman ve gereksiz iş gücü harcamakta. Onun yerine bunu bu şekilde otomatiğe bağlarlarsa işleri daha kolay olur. Zaten yukarda gösterdiğim gibi içerisinde çok ama çok fazla tool bulunduruyor.
Flare VM nasıl kurulur?
Simdi Flare VM'in nasıl kurulduğuna bakalım. İlk başta diyecek sunu demek isterim Flare VM'i kurması kullanmasından kolay. Çok basiti şlemleri gerçekleştiriyoruz. İlk başta PowerShell'imizi açıyoruz. PowerShell'imiz arkada açık kalsın. Simdi Github linkinden bu dosyayı indirelim. Ardından adım adım benim yazdığım kodları giriyoruz.
Bu işlemi gerçekleştiriyoruz. Simdi ise indirmiş olduğumuz flare-vm-master klasör'üne gidiyoruz. Oradan install.ps1'i çalıştırmamız gerekiyor. Onu çalıştırıyoruz.
Flare VM neden yapıldı?
Simdi düşünücek olursak bu dağıtım neden ortaya çıktı. FireEye şirketi bu dağıtımı neden pisaya sürdüğüne bakalım. Flare VM'i oluşturmalarının temel sebeblerinden bazıları. Yapılacak zararlı yazılım analizlerinde izole bir ortam oluşturmak yerine bu yöntemi kullanmak istemeleri en temel sebeblerinden sadece birisidir. Onun dışında bir sisteme tool'ları kurup optimize etmek vb çok fazla zaman ve gereksiz iş gücü harcamakta. Onun yerine bunu bu şekilde otomatiğe bağlarlarsa işleri daha kolay olur. Zaten yukarda gösterdiğim gibi içerisinde çok ama çok fazla tool bulunduruyor.
Flare VM nasıl kurulur?
Simdi Flare VM'in nasıl kurulduğuna bakalım. İlk başta diyecek sunu demek isterim Flare VM'i kurması kullanmasından kolay. Çok basiti şlemleri gerçekleştiriyoruz. İlk başta PowerShell'imizi açıyoruz. PowerShell'imiz arkada açık kalsın. Simdi Github linkinden bu dosyayı indirelim. Ardından adım adım benim yazdığım kodları giriyoruz.
Rich (BB code):
Set-ExecutionPolicy Unrestricte
Bu işlemi gerçekleştiriyoruz. Simdi ise indirmiş olduğumuz flare-vm-master klasör'üne gidiyoruz. Oradan install.ps1'i çalıştırmamız gerekiyor. Onu çalıştırıyoruz.
Kod:
.\install.ps1[/SIZE][/SIZE][/B][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][B][SIZE=5][SIZE=5][CENTER]
Kurmuş olduğumuz sanal makinemiz bir kaç kez kapanıp açılabillir. Bundan sonra bilgisayarımı yeniden başlatıktan masaüstünde bulunan Boxstarter Shell adlı uygulamayı çalıştırıyoruz. Ve işlem tamamlandı. Eğer Boxstarter Shell'i başlatığınızda hata aldıysanız bunu interneten bakar çözebillirsiniz.
İyi günler dilerim sağlıcakla kalın.
İyi günler dilerim sağlıcakla kalın.