1 / 2 Sayfa 12 SonuncuSonuncu
Toplam 11 sonuç bulundu. Gösterilen sonuçlar: 1 - 10 arası
  1. #1
    Üye
    Üyelik Tarihi
    Jan 2011
    Bulunduğu Yer
    NA/New York
    Mesajlar
    203

    Zararlı dosya analizi nasıl yapılır ?

    Merhabalar, konu doğru yerde mi emin değilim eğer doğru yerde değilse şimdiden özür diliyorum.

    Bu makalede (herhangibir assembler/disassembler, decrypter, sanal pc, hex editor kullanmadan ve garip terimlerle teknik kod incelemesi yapmadan) en temel şekilde bir executable dosyanın kısmi olarak zararlı ve ya zararsız olup olmadığını anlamak için yapılması gereken testlerden bahsedeceğim.

    Günümüzde interneti bilinçsiz şekilde kullanan kişi sayısı bir hayli fazla bu konu üzerinde verilebilecek sayısız örnek mevcut. Ben, bugün en çok sorun teşkil eden ve kullanıcıların en çok zarar gördükleri "crack","patch","ilaç" şeklinde tabir edilen korsan kullanımı ve beraberinde yaşanılan sorunları ele alacağım ve son olarak bu sorunları minimize etmek için yapılması geren birkaç tavsiyede bulunacağım.

    Kullanıcılar çoğunlukla ücretli yazılımlara para vermek istemezler bunun yerine üst tarafta açıkladığım şekilde ücretli yazılımları ücretsiz olarak kullanma yolları aramaya başlarlar ve korsan kullanıma yönelirler. O anda güzel bir fikir gibi görünsede korsan kullanımın beraberinde getirdiği yük ve sorumluluk bir hayli fazladır. Kullanıcıların yasal olarak yükümlü oldukları sorumluluklardan burada bahsetmeyeceğim küçük bir google araştırması ile halledebilirsiniz.

    Kullanıcıların diğer karşılaşıcakları sorunlardan biri ise korsan kullanımın kimi zaman getirdiği trojan, backdoor tarzı zararlı yazılımları bilgisayarlarına farkına varmadan yüklemeleridir. Trojan gibi zararlılar üçüncü bir kullanıcının sizin bilgisayarınızı uzaktan kontrol etmesine, her türlü kişisel bilgilerinize ulaşmasına (kullanıcı adları - kullanıcı şifreleri dahil) ve sisteminiz üzerindeki tüm kontrolü eline geçirmesine neden olabilmektedir.

    Peki kullanıcılar but tip zararlı yazılımlara sadece korsan kullanım sırasında mı maruz kalıyorlar ?
    Cevap: Hayır.

    Bir çok nedenle bu tip zararlı yazılımlara maruz kalınabilir. İşte anlatım tamda burada başlıyor...

    Bugün bu işi en temel şekilde anlatmak için online çözüm sunan Anubis adlı hizmetten faydalanıyorum.

    Anubis'e gönderebileceğiniz dosya boyutu maximum 8mbtır.

    Siteye girdikten sonra aşağıya doğru iniyoruz ve aşağıda ekrandan devam ediyoruz.



    ilk adım olarak dosya seçiyoruz örnek olarak winrar'ın bir parçasını kullandım.



    ve aç diyerek devam ediyoruz.



    gönderme işleminin bitmesini bekliyoruz...



    dosyamızı gönderdikten ve işlenmesini bekledikten sonra html seçeneği ile raporumuzu açıyoruz.



    benim gönderdiğim dosya registry kaydı oluşturuyormuş ve/ve ya değiştiriyormuş ! (burası önemli) risk seviyesi sarı dikkat edilmeli.

    *General Information ve General information about this executable* kısımlarını geçiyorum...

    *Load-time Dlls kısmı ile program başladığı anda hangi sistem dll dosyalarına gereksinim duyuyor öğrenebilirsiniz.



    *Run-time Dlls kısmı ise çalışma anında kullanılan dll dosyaları hakkında bilgi vermekte.

    *Program output kısmı program çalıştığında gelecek ekranı vermekte. Ben winrar'ın konsol parçasını gönderdiğim için winrar'ın konsol çıktısını aldım.



    *Registry Values Modified: En önemli kısımlardan birtanesi yazılımın hangi registry anahtarlarını değiştirdiğini gösteriyor.

    *Registry Values Read: Bir diğer önemli kısım yazılımın hangi registry anahtarlarını okuduğunu gösteren bölüm



    *Files Created: bu kısımda çok önemli yazılımın oluşturduğu dosyaları gösterir.

    *Files Read: yazılımın okuduğu dosyalar



    *Directories Created: Bu bölümde çok önemli oluşturulan dosya yolları hakkında bilgi veriliyor.



    geriye kalan kısımlar pek önemli değil.

    Umuyorumki artık sizlerde şüphelendiğiniz yazılımları Anubis'in sunduğu rapor içerisinde bulunan registry kaydı oluşturma - düzenleme, oluşturulan dosya ve dosya yolları, anlık dll kullanımı gibi anahtar terimler ile analiz edebilirsiniz.

    -Freedom for US


    sudo apt-get install Freedom
    Malicious code researcher

  2. #2
    Müdavim
    Üyelik Tarihi
    Oct 2012
    Bulunduğu Yer
    ANKARA
    Mesajlar
    368
    Gayet açıklayıcı, mükemmel bir yazı olmuş, ellerine sağlık Freedom for US

  3. #3
    Üye
    Üyelik Tarihi
    Apr 2013
    Bulunduğu Yer
    İzmir
    Mesajlar
    3
    Ellerine sağlık, bu bilgilendirici açıklama için teşekkürler...

  4. #4
    Müdavim
    Üyelik Tarihi
    Oct 2006
    Mesajlar
    1.466
    bilgilendirici açıklamalar için teşekkürler

    bu konuyu dallandırıp budaklandırabilirseniz çok çok daha iyi olur yanlış anlamayın bu haliyle bile tamamen anlaşılır olmuş...
    örneğin çalışma anında bu .exe ler internete çıkmak için hangi portlara gerek duyar işlem numarası nedir v.s gibi
    dünyayı güzellik kurtaracak...

  5. #5
    Üye
    Üyelik Tarihi
    Jan 2011
    Bulunduğu Yer
    NA/New York
    Mesajlar
    203
    Alıntı snrzkn Mesajı Göster
    bilgilendirici açıklamalar için teşekkürler

    bu konuyu dallandırıp budaklandırabilirseniz çok çok daha iyi olur yanlış anlamayın bu haliyle bile tamamen anlaşılır olmuş...
    örneğin çalışma anında bu .exe ler internete çıkmak için hangi portlara gerek duyar işlem numarası nedir v.s gibi
    Konuyu dallandırıp budaklandırıp işin teknik detayına girerek bu konuda bilgisi az olan kullanıcıları soğutmak istemedim. İlerleyen günlerde ve zaman buldukça daha farklı şekillerle ve yöntemlerle bu konu hakkında bilgi verebilirim.
    İşlem numarasından PID'i kast ediyorsanız dosya analizi konusunda pek bir yarar sağlamaz. Yazılımın çalışırken kullandığı portu görebilmek için en basit yolla yazılımı kurmak ve çalıştırmak gerekiyor. Bunun için ana sistemden tamamen bağımsız olan sanal pc yazılımları kullanılabilir. @snrzkn test için istediğiniz yazılımı çalıştırıp cmd üzerinden netstat -abno yazıp enterlayın istediğiniz sonucu alırsınız.

    sudo apt-get install Freedom
    Malicious code researcher

  6. #6
    Müdavim
    Üyelik Tarihi
    Oct 2006
    Mesajlar
    1.466
    Alıntı Freedom for US Mesajı Göster
    Konuyu dallandırıp budaklandırıp işin teknik detayına girerek bu konuda bilgisi az olan kullanıcıları soğutmak istemedim. İlerleyen günlerde ve zaman buldukça daha farklı şekillerle ve yöntemlerle bu konu hakkında bilgi verebilirim.
    İşlem numarasından PID'i kast ediyorsanız dosya analizi konusunda pek bir yarar sağlamaz. Yazılımın çalışırken kullandığı portu görebilmek için en basit yolla yazılımı kurmak ve çalıştırmak gerekiyor. Bunun için ana sistemden tamamen bağımsız olan sanal pc yazılımları kullanılabilir. @snrzkn test için istediğiniz yazılımı çalıştırıp cmd üzerinden netstat -abno yazıp enterlayın istediğiniz sonucu alırsınız.
    ilerleyen günleri bekliyicez o zaman ;) teşekkürler
    dünyayı güzellik kurtaracak...

  7. #7
    Emektar Editör
    Üyelik Tarihi
    Jun 2011
    Mesajlar
    916
    Elinize sağlık, çok açıklayıcı ve faydalı bir anlatım olmuş.
    Tanrı, iradesini hakim kılmak için yeryüzündeki iyi insanları kullanır;
    Yeryüzündeki kötü insanlar ise kendi iradelerini hakim kılmak için Tanrı'yı kullanırlar.(Giordano Bruno)

  8. #8
    Baş Editör
    Üyelik Tarihi
    Feb 2011
    Bulunduğu Yer
    Doctus
    Mesajlar
    3.370
    Konu için teşekkürler sevgili @Freedom for US
    Zararlı dosya analizi yapmak beceri, bilgi ve bir takım araçları gerektiriyor ve dolayısıyla inceleme işi de zaman alan bir süreç. Bu açıdan, Anubis gibi otomatik malware (kötücül) analiz hizmetlerine yönelmek daha mantıklı görünmektedir. Böylelikle, özellikle uzman olmayan analistler, manuel analiz uğraşlarını nereye yoğunlaştıracakları konusunda da bir fikir sahibi olabilirler.

    Ben de çevirim içi dosya analiz aracı olarak özellikle sıkıştırılmış (Zip) dosya analizleri için CWSandbox 'ı tavsiye edebilirim (2mb dosya boyutu ve .zip başına en fazla 50 dosya sınırlaması vardır)

  9. #9
    Üye
    Üyelik Tarihi
    Jan 2011
    Bulunduğu Yer
    NA/New York
    Mesajlar
    203
    CWSandbox'ı da denedim şimdi zip formatında sıkıştırılmış dosya işleyebilmesi güzel bir özellik tavsiye için teşekkürler @Braveheart.

    sudo apt-get install Freedom
    Malicious code researcher

  10. #10
    Üye
    Üyelik Tarihi
    Aug 2009
    Mesajlar
    5
    gayet açıklayıcı olmuş teşekkürler

1 / 2 Sayfa 12 SonuncuSonuncu

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Okuduğunuz Konuya Benzer Konular

  1. Win7 ve WinXP Arası Dosya Aktarımı Nasıl Yapılır?
    By BLaZeBLaST in forum Internet ve Network
    Cevap: 3
    Son Mesaj: 20-08-2010, 20:42
  2. dosya şifreleme nasıl yapılır [Çözüldü]
    By evolon in forum Windows XP
    Cevap: 7
    Son Mesaj: 18-05-2010, 20:09
  3. VirtualBox da sürükle bırak yöntemi ile dosya transferi nasıl yapılır?
    By zinarali in forum Diğer Güvenlik Yazılımları
    Cevap: 4
    Son Mesaj: 02-10-2007, 14:57

Yetkileriniz

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •