Zararlı Yazılım Analizinde Tersine Mühendislik Ve İncelemeleri

Maveraün Nehr

Maveraün Nehr

Blue Team Expert
25 Haz 2021
975
1,861
41.303921, -81.901693
Merhabalar bugünlerde sıkça sorulan bazı soruların cevaplarını analiz edip inceleyeceğiz. Android, java, C++, C#, Visual Basic gibi yazılım dillerinde derlenmiş, şifrelenmiş vb. işlemlerden geçmiş olan yürütülebilir uygulamaların Windows üzerinde tersine mühendislik kullanılarak kodlarının analiz edilmesi ve yorumlanmasına bakacağız. Konu altında yer alan linklerde benzer yönler işlenmiştir.

Bazı zararlı yazılımların kaynak kodlarını incelemeniz için kendi arşivimden vereceğim. Yalnız bunlarda builder dediğimiz ana menü oluşumu yer almamaktadır amaç zaten virüs oluşturmak değil virüsü tanımak ve decrypt ettikten sonra çıkan kodlarla karşılaştırma yaparak bir yorum geliştirmektir.

O halde haydi C ve benzeri dillerde tersine mühendislik kullanarak kodlara bakalım.

Örneğin bana bir arkadaşım direkt olarak sosyal mühendislik kullanarak virüs yedirmeye çalışsın.

Bana gönderilen hedef dosya adı; Resource.exe

nkb6x1h.PNG

Bunu RDRG Packer Detectory'e yansıtıp hangi dil ile yazılmış olduğunu bulacağım.

74296ux.PNG

C#/Visual Basic.NET ile yazıldığını buldum. Bunun için DnSpy veya Net Reflector kullanabilirsiniz. Ben NetReflector’e yansıttım. Ve kodlar içerisinde gezmeye başladım.

tlsvjdt.PNG


3uvlqxw.PNG

Görüldüğü üzere bir mail fonksiyonu belirlenmiş ve tuş dinleme yapılmış. Bir keylogger virüsü.

Başka bir örneğimizi inceleyelim. Bu sefer farklı bir arkadaşımız bize yine sosyal mühendislik kullanarak bir “.exe” göndersin. Binder ile birleştirme işlemi yapılmış olsun. Şimdi bunu OllyDbg kullanarak içeriğini, kullandığı kütüphaneleri ve birleştirme yapılan dosyaların hangi dizinlere neler yaptığını göreceğiz.

pc5d2av.PNG

Yus.exe uygulaması zararlım olsun bunu OllyDbg’e yansıttım. Daha sonra aşağıdaki harflere tıklayarak tek tek sekme açıyorum.

repgux0.PNG

L harfine basarak uygulamanın Windows üzerinde yaptığı işlemleri görüyorum. Local/Temp üzerine çıkardığı ilk uygulama adı DCONTROL.exe

pl4eip7.PNG

Az aşağı inince Trainer’ımı görüyorum demek ki virüsüm yukarıda.

588oe7n.PNG

E tuşuna basarsanız da uygulamanızın işlemi gerçekleştirmek için kullandığı DLL dosyalarını görüntülemiş olursunuz. Belki buda aklınızda bir fikir oluşmasını sağlar.

df9oti7.PNG

M tuşuna basarak hafızada gerçekleşen işlemleri görüntüledim. Dosya küçültme işlemi için UPX kullanılmış.

8ol4o9c.PNG

4eeivax.png

Şahsi olarak bu çalışmaları geliştirmeniz mümkün. Nasıl mı?
  • İlgilendiğiniz yazılım ile ilgili hazır kaynak kod paylaşımı yapan siteleri bulup inceleyerek.
  • İlgilendiğiniz yazılım ile ilgili kendiniz fikir ve mantık üreterek.
  • Udemy gibi online eğitim yerlerinde kurslar izleyerek.
  • Youtube, Dailymotion gibi bazı video sitelerinde ilgilendiğiniz yazılım ile alakalı videoları takip ederek.
  • Bilirkişilere danışmak(Yazılım mühendisliği okumuş birisi olabilir vs.)
  • İlgili alanla uğraşan kişiler olabilir örneğin forumda android ile alakalı olarak dikkatimi çeken bir isim ByZehirx.
Çok fazla uzatmadan bazı zararlıların kaynak kodları;

Python Keylogger Kodları Konusu

https://www.turkhackteam.org/konular/keylogger-yapimi-python.2005345/

Python RAT Örneği

Python RAT.py indir

Android Keylogger Örneği

Android Keylogger.rar indir

Android RAT Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

C# Keylogger Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

C# RAT Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

Visual Basic.NET Keylogger Örneği

Keylogger vb.net.rar indir

Visual Basic.NET RAT Örneği

vb.net_rat.rar indir

C++ Keylogger Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

C++ RAT Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

Bu projeleri inceleyerek içerisinde yer alan Main, Sub, Module gibi fonksiyonların ne yaptığını görmeniz mümkün. Bu ve bunun gibi benzer projeleri inceleyebilir kod benzerliklerine bakarak Decrypt etmiş olduğunuz projeleri inceleyerek zararlı olup olmadığını anlayabilirsiniz.

Konu başında bahsedilen bazı kaynaklar;

The Enigma Protector : Analyze

https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

Android Uygulamalarının Reverse Engineering (Tersine Mühendislik) Yöntemi ile İncelenmesi

https://turkhackteam.org/konular/an...-muhendislik-yontemi-ile-incelenmesi.1202008/

.NET Deobfuscating

https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/

DnSpy ile Disassemble

https://turkhackteam.org/konular/dnspy-ile-disassemble-crackme.2016125/

OllyDBG Kullanımı

https://turkhackteam.org/konular/ollydbg-kullanimi-tersine-muhendislik-kulubu.1669053/

.Apk Uzantılı Dosyaların Kaynak Kodlarını Öğrenme!


Noisette Deobfuscator

https://turkhackteam.org/konular/noisette-deobfuscator.1878704/

~Konu Henüz Sona Ermedi Devamı Gelecek~
 
cloz

cloz

Üye
28 May 2022
196
100
Maveraün Nehr' Alıntı:
Merhabalar bugünlerde sıkça sorulan bazı soruların cevaplarını analiz edip inceleyeceğiz. Android, java, C++, C#, Visual Basic gibi yazılım dillerinde derlenmiş, şifrelenmiş vb. işlemlerden geçmiş olan yürütülebilir uygulamaların Windows üzerinde tersine mühendislik kullanılarak kodlarının analiz edilmesi ve yorumlanmasına bakacağız. Kona altında yer alan linklerde benzer yönler işlenmiştir.

Bazı zararlı yazılımların kaynak kodlarını incelemeniz için kendi arşivimden vereceğim. Yalnız bunlarda builder dediğimiz ana menü oluşumu yer almamaktadır amaç zaten virüs oluşturmak değil virüsü tanımak ve decrypt ettikten sonra çıkan kodlarla karşılaştırma yaparak bir yorum geliştirmektir.

O halde haydi C ve benzeri dillerde tersine mühendislik kullanarak kodlara bakalım.

Örneğin bana bir arkadaşım direkt olarak sosyal mühendislik kullanarak virüs yedirmeye çalışsın.

Bana gönderilen hedef dosya adı; Resource.exe

nkb6x1h.PNG

Bunu RDRG Packer Detectory'e yansıtıp hangi dil ile yazılmış olduğunu bulacağım.

74296ux.PNG

C#/Visual Basic.NET ile yazıldığını buldum. Bunun için DnSpy veya Net Reflector kullanabilirsiniz. Ben NetReflector’e yansıttım. Ve kodlar içerisinde gezmeye başladım.

tlsvjdt.PNG


3uvlqxw.PNG

Görüldüğü üzere bir mail fonksiyonu belirlenmiş ve tuş dinleme yapılmış. Bir keylogger virüsü.

Başka bir örneğimizi inceleyelim. Bu sefer farklı bir arkadaşımız bize yine sosyal mühendislik kullanarak bir “.exe” göndersin. Binder ile birleştirme işlemi yapılmış olsun. Şimdi bunu OllyDbg kullanarak içeriğini, kullandığı kütüphaneleri ve birleştirme yapılan dosyaların hangi dizinlere neler yaptığını göreceğiz.

pc5d2av.PNG

Yus.exe uygulaması zararlım olsun bunu OllyDbg’e yansıttım. Daha sonra aşağıdaki harflere tıklayarak tek tek sekme açıyorum.

repgux0.PNG

L harfine basarak uygulamanın Windows üzerinde yaptığı işlemleri görüyorum. Local/Temp üzerine çıkardığı ilk uygulama adı DCONTROL.exe

pl4eip7.PNG

Az aşağı inince Trainer’ımı görüyorum demek ki virüsüm yukarıda.

588oe7n.PNG

E tuşuna basarsanız da uygulamanızın işlemi gerçekleştirmek için kullandığı DLL dosyalarını görüntülemiş olursunuz. Belki buda aklınızda bir fikir oluşmasını sağlar.

df9oti7.PNG

M tuşuna basarak hafızada gerçekleşen işlemleri görüntüledim. Dosya küçültme işlemi için UPX kullanılmış.

8ol4o9c.PNG

4eeivax.png

Şahsi olarak bu çalışmaları geliştirmeniz mümkün. Nasıl mı?
  • İlgilendiğiniz yazılım ile ilgili hazır kaynak kod paylaşımı yapan siteleri bulup inceleyerek.
  • İlgilendiğiniz yazılım ile ilgili kendiniz fikir ve mantık üreterek.
  • Udemy gibi online eğitim yerlerinde kurslar izleyerek.
  • Youtube, Dailymotion gibi bazı video sitelerinde ilgilendiğiniz yazılım ile alakalı videoları takip ederek.
  • Bilirkişilere danışmak(Yazılım mühendisliği okumuş birisi olabilir vs.)
  • İlgili alanla uğraşan kişiler olabilir örneğin forumda android ile alakalı olarak dikkatimi çeken bir isim ByZehirx.
Çok fazla uzatmadan bazı zararlıların kaynak kodları;

Python Keylogger Kodları Konusu

https://www.turkhackteam.org/konular/keylogger-yapimi-python.2005345/

Python RAT Örneği

Python RAT.py indir

Android Keylogger Örneği

Android Keylogger.rar indir

Android RAT Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

C# Keylogger Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

C# RAT Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

Visual Basic.NET Keylogger Örneği

Keylogger vb.net.rar indir

Visual Basic.NET RAT Örneği

vb.net_rat.rar indir

C++ Keylogger Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

C++ RAT Örneği

www.dosyaupload.com

Hata indir

Hata
www.dosyaupload.com www.dosyaupload.com

Bu projeleri inceleyerek içerisinde yer alan Main, Sub, Module gibi fonksiyonların ne yaptığını görmeniz mümkün. Bu ve bunun gibi benzer projeleri inceleyebilir kod benzerliklerine bakarak Decrypt etmiş olduğunuz projeleri inceleyerek zararlı olup olmadığını anlayabilirsiniz.

Konu başında bahsedilen bazı kaynaklar;

The Enigma Protector : Analyze

https://turkhackteam.org/konular/th...on-unpack-tersine-muhendislik-kulubu.1673961/

Android Uygulamalarının Reverse Engineering (Tersine Mühendislik) Yöntemi ile İncelenmesi

https://turkhackteam.org/konular/an...-muhendislik-yontemi-ile-incelenmesi.1202008/

.NET Deobfuscating

https://turkhackteam.org/konular/net-deobfuscating-ar-ge-kulubu.1599900/

DnSpy ile Disassemble

https://turkhackteam.org/konular/dnspy-ile-disassemble-crackme.2016125/

OllyDBG Kullanımı

https://turkhackteam.org/konular/ollydbg-kullanimi-tersine-muhendislik-kulubu.1669053/

.Apk Uzantılı Dosyaların Kaynak Kodlarını Öğrenme!


Noisette Deobfuscator

https://turkhackteam.org/konular/noisette-deobfuscator.1878704/






Genişletmek için tıkla ...
elinize sağlık hocam
 
Maveraün Nehr

Maveraün Nehr

Blue Team Expert
25 Haz 2021
975
1,861
41.303921, -81.901693
Extazİ

Extazİ

Moderatör
20 Haz 2021
2,494
1,464
https://tr.wikipedia.org/wiki/Ekstazi
ByZehirx

ByZehirx

Yaşayan Forum Efsanesi
10 Şub 2012
12,376
1,985
Dinlenmede.
Normalde bir düzeltme 2 sorum olurdu bu konuya :) ama salça olmak haksızlık olur
Konu güzel hazırlanıp sunulmuş ellerine sağlık.
 
Maveraün Nehr

Maveraün Nehr

Blue Team Expert
25 Haz 2021
975
1,861
41.303921, -81.901693
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.