Malware Analizi Nedir ?
Malware: Kötü amaçlı yazılım olarak bilinir. Sistemimizde bizim iznimiz dışında çalışan yazılımlar. Buna örnek olarak rat, trojen, rootkit, ransomware gibi yazılımlar örnek verilebilir.
Malware Analizi: Malware nin tanımından anlaşılacağı gibi zararlı yazılımları, dosyaları analiz ederek tespit etmektir. Bazı durumlarda anti virüsler yetersiz kalıyor bu gibi durumlarda dosyayı kendiniz analiz etmeniz gerekiyor. Günümüzdeki bir çok virüs anti virüsleri atlatarak sistemlere kolay bir şekilde girebiliyor. Bunu önlemenin en iyi yolu malware analizi yapmaktır.
Malware Analizi iki türlüdür. Statik Analiz ve Dinamik Analizdir.
Statik Analiz: İncelenecek olan şüpheli dosya çalıştırılmadan kodları incelenerek yapılan analiz türüdür.Dinamik Analiz: İncelenecek olan şüpheli doya sistem üzerinde çalıştırılarak sistemde neler yaptığına bakılarak yapılan analiz türüdür.
Malware Analizi Nasıl Yapılır ?
Malware analizi hakkında basit düzeyde teknik bilgi sahibi oldunuz. Şimdide malware analizinin nasıl yapıldığına geçelim.
Malware analizinde ilk basamak incelenecek dosya hakkında bilgi toplamak. Bilgi toplama işlemi için bir çok yazılım var. Daha öncede dediğim gibi her insanın yöntemi ve kullandığı programlar farklıdır. Ben kendi kullandığım programları sizlere anlatacağım.
> PEiD> DIE> PE İnsider> CFF Explorer
PEiD Kullanımı:
İlk başta PEiD programı ile dosya hakkında bilgi alıyoruz. Bu sayede inceleyeceğimiz dosyanın hangi dilde yazıldığı hakkında bize bilgi veriyor. PEiD programının başka fazla bir özelliği yok, en önemli özelliği dosyanın hangi dilde yazıldığını öğrenmemiz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz programın kullanımı bu kadar.
DIE Kullanımı:
DIE programı PEiD programının daha gelişmiş halidir. DIE programından dosya hakkında istediğimiz bir çok bilgiyi alabiliyoruz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz. Ve bize dosya hakkında bir çok bilgi veriyor.
CFF Explorer Kullanımı:
CFF Explorer programını indirdikten sonra kurmamız gerekiyor. Kurduktan sonra CFF Explorer programını açıyoruz. File sekmesinden Open e basıp incelemek istediğimiz dosyayı seçiyoruz. Ve bize dosya hakkında çok fazla bilgi veriyor.
Evet arkadaşlar yukarıdaki araçları kullanarak inceleyeceğimiz dosya hakkında yeterli bilgi sahibi olduk. Şimdi ise dosyanın kodlarını okumaya geldi. Eğer dosyada bir malware varsa biz bunu dosyanın kodlarını okuyarak öğreneceğiz.Kodları okuma işi için ben dnSpy programını kullanıyorum. Siz isterseniz başka bir programı da kullanabilirsiniz. Dosyayı dnSpy programının üzerine sürükleyip bırakıyoruz ve dosyanın bütün kodlarını okunabilir bir hale getiriyoruz.
NOT: Eğer inceleyeceğimiz dosyaya obfuscate veya sıkıştırma işlemi yapılmışsa kodlar okunmaya bilir. Bunun için çeşitli yazılımlarla deobfuscate işlemi yapıp şifrelenmiş dosyanın kodlarını okunabilir bir hale getirebiliyoruz.
dnSpy programını kullanarak dosyanın tek tek bütün kodlarını okuyoruz. Eğer bu okuma işleminde bir zararlı kod tespit edersek programın zararlı olduğuna kanat getirebiliriz.
Kodları okuma işlemini yaparak Statik analiz yapmış oluyoruz. Yani yukarıdaki adımları yaparsak statik analiz yapmış oluyoruz. Şimdide Dinamik Analizin nasıl yapıldığına geçelim.
Dinamik Analiz Nasıl Yapılır ?
Dinamik analiz incelenecek dosyanın sistemler üzerinde çalıştırılarak sistemde neler yaptığını inceleyerek yapılan analiz türüdür. Bunun için sanal makinede bir windows unuzun olması lazım. Veya sandboxie programının olması gerekiyor.İnceleyeceğimiz dosyayı sanal windows umuzda çalıştırıyoruz ve sistemde neler yaptığını izliyoruz. Eğer sistemde sizden izinsiz bir şekilde arka planda bilmediğiniz uygulamalar çalışıyor ise dosya zararlıdır.Veya wiresshark programını çalıştırdıktan sonra dosyamızı çalıştırıyoruz ve dinlemeye alıyoruz. Wiresshark programı ile ağımızda neler yaptığını izleyerek de zararlı olup olmadığını öğrenebiliriz.
Malware: Kötü amaçlı yazılım olarak bilinir. Sistemimizde bizim iznimiz dışında çalışan yazılımlar. Buna örnek olarak rat, trojen, rootkit, ransomware gibi yazılımlar örnek verilebilir.
Malware Analizi: Malware nin tanımından anlaşılacağı gibi zararlı yazılımları, dosyaları analiz ederek tespit etmektir. Bazı durumlarda anti virüsler yetersiz kalıyor bu gibi durumlarda dosyayı kendiniz analiz etmeniz gerekiyor. Günümüzdeki bir çok virüs anti virüsleri atlatarak sistemlere kolay bir şekilde girebiliyor. Bunu önlemenin en iyi yolu malware analizi yapmaktır.
Malware Analizi iki türlüdür. Statik Analiz ve Dinamik Analizdir.
Statik Analiz: İncelenecek olan şüpheli dosya çalıştırılmadan kodları incelenerek yapılan analiz türüdür.Dinamik Analiz: İncelenecek olan şüpheli doya sistem üzerinde çalıştırılarak sistemde neler yaptığına bakılarak yapılan analiz türüdür.
Malware Analizi Nasıl Yapılır ?
Malware analizi hakkında basit düzeyde teknik bilgi sahibi oldunuz. Şimdide malware analizinin nasıl yapıldığına geçelim.
Malware analizinde ilk basamak incelenecek dosya hakkında bilgi toplamak. Bilgi toplama işlemi için bir çok yazılım var. Daha öncede dediğim gibi her insanın yöntemi ve kullandığı programlar farklıdır. Ben kendi kullandığım programları sizlere anlatacağım.
> PEiD> DIE> PE İnsider> CFF Explorer
PEiD Kullanımı:
İlk başta PEiD programı ile dosya hakkında bilgi alıyoruz. Bu sayede inceleyeceğimiz dosyanın hangi dilde yazıldığı hakkında bize bilgi veriyor. PEiD programının başka fazla bir özelliği yok, en önemli özelliği dosyanın hangi dilde yazıldığını öğrenmemiz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz programın kullanımı bu kadar.
DIE Kullanımı:
DIE programı PEiD programının daha gelişmiş halidir. DIE programından dosya hakkında istediğimiz bir çok bilgiyi alabiliyoruz. İncelemek istediğimiz dosyayı programın üstüne sürükleyip bırakıyoruz. Ve bize dosya hakkında bir çok bilgi veriyor.
CFF Explorer Kullanımı:
CFF Explorer programını indirdikten sonra kurmamız gerekiyor. Kurduktan sonra CFF Explorer programını açıyoruz. File sekmesinden Open e basıp incelemek istediğimiz dosyayı seçiyoruz. Ve bize dosya hakkında çok fazla bilgi veriyor.
Evet arkadaşlar yukarıdaki araçları kullanarak inceleyeceğimiz dosya hakkında yeterli bilgi sahibi olduk. Şimdi ise dosyanın kodlarını okumaya geldi. Eğer dosyada bir malware varsa biz bunu dosyanın kodlarını okuyarak öğreneceğiz.Kodları okuma işi için ben dnSpy programını kullanıyorum. Siz isterseniz başka bir programı da kullanabilirsiniz. Dosyayı dnSpy programının üzerine sürükleyip bırakıyoruz ve dosyanın bütün kodlarını okunabilir bir hale getiriyoruz.
NOT: Eğer inceleyeceğimiz dosyaya obfuscate veya sıkıştırma işlemi yapılmışsa kodlar okunmaya bilir. Bunun için çeşitli yazılımlarla deobfuscate işlemi yapıp şifrelenmiş dosyanın kodlarını okunabilir bir hale getirebiliyoruz.
dnSpy programını kullanarak dosyanın tek tek bütün kodlarını okuyoruz. Eğer bu okuma işleminde bir zararlı kod tespit edersek programın zararlı olduğuna kanat getirebiliriz.
Kodları okuma işlemini yaparak Statik analiz yapmış oluyoruz. Yani yukarıdaki adımları yaparsak statik analiz yapmış oluyoruz. Şimdide Dinamik Analizin nasıl yapıldığına geçelim.
Dinamik Analiz Nasıl Yapılır ?
Dinamik analiz incelenecek dosyanın sistemler üzerinde çalıştırılarak sistemde neler yaptığını inceleyerek yapılan analiz türüdür. Bunun için sanal makinede bir windows unuzun olması lazım. Veya sandboxie programının olması gerekiyor.İnceleyeceğimiz dosyayı sanal windows umuzda çalıştırıyoruz ve sistemde neler yaptığını izliyoruz. Eğer sistemde sizden izinsiz bir şekilde arka planda bilmediğiniz uygulamalar çalışıyor ise dosya zararlıdır.Veya wiresshark programını çalıştırdıktan sonra dosyamızı çalıştırıyoruz ve dinlemeye alıyoruz. Wiresshark programı ile ağımızda neler yaptığını izleyerek de zararlı olup olmadığını öğrenebiliriz.
