Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak

ZARARLI YAZILIM
ANALİZİ İÇİN
LAB ORTAMI
HAZIRLAMAK
Yazar:MücahitCeylan
Mentör:HalilDalabasmaz
Baskı:2018

[ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
İÇİNDEKİLER
Giriş..................................................................................................................................4
Lab Ortamının Önemi........................................................................................................4
Analiz Yapılacak Ortama Karar Verilmesi ...........................................................................5
Sanallaştırma Uygulamasının Seçimi ......................................................................................... 5
İşletim Sistemi Seçimi ve Gereksinimleri ................................................................................... 6
Analiz Edilecek Ortam......................................................................................................................6
Ağı İzleyen Ortam ............................................................................................................................8
Sanal Network Oluşturma ve Snapshot alma .....................................................................8
Analiz Çeşitleri................................................................................................................11
Örnek Zararlı Yazılım Bulma ............................................................................................12
Otomatik Analiz Araçları ve Sandbox’lar..........................................................................12
Online Analiz Araçları ............................................................................................................. 13
Malware Sandbox Araçları...................................................................................................... 15
Basit Statik Analiz ...........................................................................................................15
Hashcalculator - “https://hashcalc.soft112.com/”.......................................................................17
Md5sum - “http://www.pc-tools.net/win32/md5sums/”............................................................17
PE Viewer - ...................................................................................................................................18
Bintext - “https://bintext.soft32.com” .........................................................................................19
Strings - “https://docs.microsoft.com/en-us/sysinternals/downloads/strings”..........................20
Dependecy Walker - “http://www.dependencywalker.com”....................................................21
Detect It Easy - “http://ntinfo.biz/index.html”.............................................................................22
Resource Hacker - “http://www.angusj.com/resourcehacker/”..................................................23
PE Insider - “http://cerbero.io/peinsider/” ..................................................................................25
PEiD (PE identifier) - “http://www.softpedia.com/get/Programming/Packers-Crypters-
Protectors/PEiD-updated.shtml” ..................................................................................................25
PEstudio - “https://www.winitor.com/”.......................................................................................26
ILSPY - “http://ilspy.net/”.............................................................................................................27
CFF Explorer - “http://www.ntcore.com/exsuite.php” ................................................................28
Basit Dinamik Analiz .......................................................................................................29
1- Ağ Trafiği Analiz Araçları..................................................................................................... 29
apateDNS - “https://www.fireeye.com/services/freeware/apatedns.html”...............................29
Netstat...........................................................................................................................................30
Tcpview - “https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview”....................31
Netcat - “https://eternallybored.org/misc/netcat/”....................................................................31
INetSim - “http://www.inetsim.org/”..........................................................................................33
Wireshark - “https://www.wireshark.org/download.html”.........................................................35
2- Dosya Ve Kayıt Defteri Analizi Araçları ................................................................................ 36
Regshot - “https://sourceforge.net/projects/regshot/”...............................................................36
CaptureBat - “https://www.honeynet.org/node/315” ................................................................37
3- Process Analiz Araçları........................................................................................................ 38
System Internal Suite (procmon - autoruns - processexplorer) “https://docs.microsoft.com/en-
us/sysinternals/downloads/sysinternals-suite”............................................................................38
Process Hacker - “http://processhacker.sourceforge.net/”.........................................................40

İleri Analiz Araçları..........................................................................................................41
IDA - “https://www.hex-rays.com/products/ida/support/download.shtml” .............................41
radare2 - “https://github.com/radare/radare2”..........................................................................44
Hopper - “https://www.hopperapp.com/download.html”..........................................................45
Ollydbg - “http://www.ollydbg.de/”.............................................................................................46
Immunity Debugger - “https://www.immunityinc.com/products/debugger/”..........................48
x64dbg - “https://sourceforge.net/projects/x64dbg/files/snapshots/”.....................................49
API Monitor - “http://www.rohitab.com/apimonitor”.................................................................50
Bellek Dökümü Analizi ....................................................................................................52
Bellek Dökümü Alan Yardımcı Programlar ............................................................................... 52
● Vmware ................................................................................................................................52
● DumpIt - “https://www.fireeye.com/services/freeware/memoryze.html”........................52
● Memoryze - “https://www.fireeye.com/services/freeware/memoryze.html” ..................53
● Process Explorer ve Process Hacker ....................................................................................54
● LordPE - “http://www.softpedia.com/get/Programming/File-Editors/LordPE.shtml” .......55
● OllyDump - “https://tuts4you.com/download.php?view.88”.............................................55
Bellek Dökümü Analiz Araçları................................................................................................ 56
Volatility - “http://www.volatilityfoundation.org/24”.................................................................56
Mandiant Redline - “https://www.fireeye.com/services/freeware/redline.html” ....................57
Anti Analiz Tekniklerini Engellemek İçin Kullanılan Programlar ........................................58

Giriş
Bu doküman Windows işletim sistemi üzerinde çalışan zararlı yazılımları inceleme konusuna
merak duyan ve zararlı yazılım analizi yapabilmek için lab ortamı hazırlamak isteyen kişiler için
kılavuz niteliğindedir.
Doküman içerisinde lab ortamının hazırlanabilmesi için gerekli sanallaştırma
uygulamalarından, bu uygulamaların neden gerekli olduğundan, geliştirdiği uygulamaya analiz
yapılmasını istemeyen zararlı geliştiricisinin nasıl bir yaklaşım sergilediğinden bahsedilmiş
ayrıca analiz sırasında kullanılacak olan uygulamaların temel işlevleri ve aynı amacı taşıyan
alternatifleri üzerinde durulmuştur.
Lab Ortamının Önemi
Analiz aşamasına geçilmeden önce, analizi yapılacak olan yazılımın bir “zararlı” olduğu
unutulmamalıdır. Sistemlere zarar verme, bilgi ve verileri çalma gibi kötücül amaçlara sahip
olan bu uygulamaların gerçek sistemlerden ve ağdan olabildiğince izole edilmiş, sanal bir lab
ortamında incelenmesi gerekmektedir.
Sanal bir lab ortamı oluşturmak için ise; Virtualbox, Vmware gibi bir sanallaştırma uygulamaları
kullanılır. Bu uygulamaların yardımıyla, zararlının çalışacağı ortamı farklı mimari (32/64 bit) ve
farklı işletim sistemlerinde (Windows XP, Windows 7, Windows10 vb.) simule ederek zararlının
farklı ortamlardaki farklı davranışlarını inceleyebiliriz.
Yine bu sanallaştırma uygulamalarının birden fazla sistemi aynı anda çalıştırabilme özelliği
sayesinde; zararlı yazılımın ağ içerisindeki davranışlarını incelemek amacıyla ağa dahil ikinci bir
sanal cihaz oluşturularak sanal bir ağ oluşturulabilir. İkinci olarak kurulan sistem üzerinde
sahte ağ servislerinin simule edildiği ve ağ trafiğinin dinlenildiği programlar barındırılır. Bu
sayede birden fazla fiziksel cihaza olan ihtiyacı sanallaştırma uygulamaları tek cihaza indirger.
Aynı zamanda sanallaştırma uygulamalarında bulunan ‘Snapshot’ özelliği (sistemin sanal
sunucudaki yedeğini alma özelliği) sayesinde çalıştırılan zararlı yazılımın bulunduğu sistemi,
zararlının çalıştırılmadan önceki zamana geri döndürme amacıyla kullanılmaktadır. Bu şekilde
zararlıyı sistemden kaldırma, temiz lab ortamına dönüşü kolaylaştırır ve zaman kaybetmeden
tekrar tekrar analiz edebilme olanağı verir. Ayrıca bu özellik ile sistemi ilk haline getirmenin
yanı sıra, zararlının analizi sırasındaki aşamalarda analizi kolaylaştırma amacıyla gerekli
görülen farklı zamanlarda snapshot alınarak analiz süreci hızlandırılmaktadır.
İhtiyacımız olan bu özellikleri barındırdığı ve sistemimizin güvenliğini sağladığı için sanal bir
lab ortamı analiz sürecinde çok önemli bir yere sahiptir.

Analiz Yapılacak Ortama Karar Verilmesi
Bir zararlı yazılımın amacına ulaşabilmesi için çalışabileceği bir işletim sistemine ihtiyaç
duyması gibi, bir zararlı yazılım analizinin de başarıya ulaşabilmesi için zararlının davranışlarını
incelemek amacıyla analiz programlarının bulunduğu bir işletim sistemine ve bu ortamı fiziksel
ortamdan izole edecek bir sanallaştırma uygulamasına ihtiyaç vardır.
Sanallaştırma Uygulamasının Seçimi
Öne çıkan sanallaştırma uygulamaları ve başlıca özellikleri şu şekilde listelenebilir:
● VMware Workstation Pro – Yüksek performanslı bir şekilde çalışan ve Windows
işletim sistemlerini çalıştırmak için en iyi seçenek olarak karşımıza çıkan sanallaştırma
uygulamasıdır.
● VMware Workstation Player – Pro olan versiyonun daha hafif sürümüdür. Hızlı
şekilde sanal makine kurulumu sağlar ancak zararlı yazılım analizinde bizim için çok
önemli olan ‘Snapshot’ özelliği bulunmamaktadır.
● KVM – Linux işletim sistemi üzerinde çalışan sanallaştırma uygulamasıdır. Zararlı
yazılım geliştiren kişiler, çalışan programın sanal makinede çalışıp çalışmadığını
kontrol eden kod parçaları ekleyerek, programları sanal makinede çalışıyorsa analiz
edilmesini zorlaştırmak amacıyla programlarında farklı önlemler alırlar. Bu noktada
Vmware ve Virtualbox gibi sanallaştırma uygulamalarına önlem alınırken, KVM
programı genelde göz ardı edilmektedir. Bu sebeple Anti-VM (Anti-Virtual Machine)
yöntemlerin kullanıldığı zararlı yazılımlarda, KVM analiz işleminde oldukça kullanışlı
olabilmektedir.
● ESXi – Vmware ESXi sanallaştırma yapan bir programdan ziyade içinde sanallaştırma
yapmaya imkân sağlayan bir işletim sistemidir. Böylelikle kaynakların kullanımı daha
az olur ve çok sayıda sanal işletim sisteminin aynı anda çalışmasına imkân verir.
● VirtualBox - Sanallaştırma yapmaya olanak sağlayan, ücretsiz, snapshot gibi
özelliklerin kullanımına imkan sağlayan bir programdır. Ücretsiz ve kullanışlı yönü
sebebiyle çoğu kişi için tercih sebebidir.
Doküman içerisinde sanallaştırma uygulaması olarak Vmware Workstation 12 Pro versiyonu
kullanılmıştır. Tercihe bağlı olarak VirtualBox gibi farklı bir sanallaştırma uygulaması ile de aynı
lab ortamı hazırlanabilir.

İşletim Sistemi Seçimi ve Gereksinimleri
Sanallaştırma uygulaması seçildikten sonra, sanallaştırma uygulaması ile çalıştırılacak olan ve
zararlı yazılımın analizinin yapılacağı ortam olan işletim sistemi seçilmelidir. Burada zararlının
çalıştırılıp, analiz edileceği ortam için seçim yapılırken, ağ trafiğini dinleyen ve sahte servis
sunan ikinci bir ortam için de seçim yapılacaktır.
Analiz Edilecek Ortam
Günümüzde çoğu zararlı yazılım bulaştığı sistemde yakalanma ihtimalini azaltmak veya başka
amaçlar için iki bölümden oluşur. Birinci bölüm yükleyici (loader) olarak adlandırılan sistemde
ilk olarak çalışan, ikinci bölümün yüklenmesini ve çalıştırılmasını sağlayan bölümdür. İkinci
bölüm ise zararlı yazılımın amacını gerçekleştirdiği stage olarak adlandırılan kısımdır. Buna
örnek olarak zararlının çalıştırıldığı işletim sistemi mimarisi 32 bit ise 32 bit bir çalıştırılabilir
dosya, 64 bit ise 64 bit çalıştırılabilir dosya bırakırlar. Bu sebepten ötürü tersine mühendislik
yaklaşımında bulunulacak olan zararlı yazılımı incelemek isteyen analist, 32 bit işlemci
mimarisine 64 bit sistemlerden daha çok hakimse 32 bit işletim sistemini tercih etmelidir.
Windows ailesinin en güncel işletim sistemi olan Windows 10 işletim sistemi, önceki sürümlere
oranla sahip olduğu daha kompleks yapı yüzünden oldukça fazla kaynak tüketimine sahiptir ve
güncel yapısı itibariyle düşük versiyonları hedef alan zararlı yazılımların tamamı bu işletim
sisteminde çalışmayabilir. Bu sebepten ötürü spesifik amaçlar dışında analiz sürecinde
Windows 10 tavsiye edilmemektedir. Ayrıca Windows 10 işletim sistemi içerisinde, arka
planda yer alan interneti kullanan servisler önceki sürümlere oranla daha gürültülü çalışır.
Daha önceki sistemlerde opsiyonel olarak sunulan güncellemeler, Windows 10 üzerinde böyle
değildir. Up-to-date ve güvenlik felsefesiyle hareket eden Windows 10 arka planda birçok
internet kullanan servis çalıştırır. Zararlı analizi yapmak isteyen bir kişi, network analizi
sırasında zararlıya ait olmayan ve paketin analizini zorlaştıracak bir sürü gereksiz veriyle
karşılaşır. Bu da zararlının yaklaşımını bulmamızı zorlaştırır.
Windows 7 ve Windows XP arasında seçim yapılması ise sahip olduğunuz donanım (işlemci,
RAM) gücünüz ile alakalıdır. Windows 7, Windows XP ye oranla daha çok kaynak
tüketmektedir.
Ayrıca İşletim sistemi olarak Windows XP tercih edilmesi durumunda Service Pack 3 olmalıdır.
İşletim sistemleri içinde barındırdığı eksiklikler ve hatalar, sonradan gelişen uygulamalara
cevap veremediği veya desteklemede yetersiz kaldığı için yama eklemeleri yapılarak bu
durumlara çözüm getirilir. XP üzerinde sonradan geliştirilen zararlı yazılımların sistem üzerinde
cevap alabilmesi için Service Pack 3 güncellemesi almış olmalıdır. Aksi halde zararlı yazılımların
birçoğu sistem üzerinde çalışmaz ve dinamik analizi yapılamaz.
Dokuman içerisinde analiz edilecek olan ortam olarak Windows 7 (32 bit versiyon) tercih
edilmiş. 2.0 GB bellek alanı, 1 işlemci ve isteğe bağlı olarak 35 GB hard disk alanı tercih
edilmiştir.

Bellek sıkıntısı yaşayanlar için, daha düşük (256MB- 1 GB) değerlerle Windows XP analiz
yapılacak makine olarak kullanılabilir. Hard disk için ise 20 ile 30 GB arası bir değer yeterlidir.
İndirilecek olan Windows işletim sistemi sanal makine üzerinde çalışacağı ve zararlı
yazılımların ürün anahtarını ele geçirme ihtimali taşıdığı için aktif edilmeden kullanılır.
Şekil üzerinde Windows product key yazan kısım boş bırakılmıştır.

Ağı İzleyen Ortam
Zararlı yazılım bulunan işletim sistemi ile aynı sanal ağda yer alarak, ağ trafiğini incelemek ve
zararlı yazılım bulunduğu sisteme sahte servis sunmak amacıyla ikinci bir sanal işletim sistemi
seçilir. Inetsum ve wireshark programlarının yüklü olarak gelmesi sebebiyle doküman
içerisinde “REMnux” işletim sistemi kullanılmıştır.
REMnux zararlı yazılım analizi ile uğraşan kişiler için üretilmiş, içerisinde programları
barındıran bir Linux dağıtımıdır. Hazır olarak atanmış parolası “malware” dir.
“https://remnux.org/” adresi içerisinde yer alan “.OVA” uzantılı sanal diski indirip,
sanallaştırma yapılan cihaz içerisine import ederek doğrudan kullanılabilmektedir.
Sanal Network Oluşturma ve Snapshot alma
Zararlı yazılımın gerçek bir ağa dahil olmasını engellemek için kurulmuş olan Windows işletim
sistemi ve gözlemci olarak çalışan REMnux işletim sistemi ortak bir sanal ağ yapılandırması
içerisinde yer alır.
Bunun için network manager olarak host only seçeneği seçilerek, sanal makinelerin internet
çıkışı engellenebilir. Ancak host makine ile etkileşiminin de kesilmesi için custom bir network
oluşturmak daha akılcı bir çözümdür.
Bunun için Vmware içerisinde “Edit - Virtual Network Editor” seçeneği seçilir. Çıkan ekran
üzerinde “Add Network” butonuna basılarak yeni bir network arayüzü şekildeki gibi
oluşturulur.

vmnet2 ismini verdiğimiz network arayüzüne isteğe bağlı olarak 10.10.10.0 subnet maskı
verilerek verilecek olan ip aralığı belirlenmiştir. Ayrıca “Connect a host virtual adapter to this
network” seçeneği aktif edilmeyerek sanal cihazların host makine ile ağ üzerindeki ilişkisi
kesilmiştir.
Oluşturulan network arayüzü her iki işletim sistemi için de “VM-Settings-Network Adaptor”
seçeneğinden seçilerek, ip adresine bakılarak ağa dahil olup olmadığı bakılır.

Windows 7 için ipconfig komutu ile 10.10.10.130 ip adresine sahip olduğu görülmektedir.
REMnux için ifconfig komutu ile 10.10.10.128 ip adresine sahip olduğu görülmektedir.
Snapsot
Vmware üzerinde yer alan snapshot alma, daha önceden alınmış snapshot’a geri dönme ve
alınmış olan snapshot’ları yönetme butonları ile kurulmuş olan işletim sistemi üzerinde hızlı
geri dönüşler yapabilirsiniz. Analiz işlemleri için kullanılacak olan programlar yüklendikten
sonra sistemin zararlı bulaştırılmadan önceki hali snapshot alarak saklanmalıdır.
Snapshot butonları

Analiz Çeşitleri
Analiz sırasında izlenecek yöntemler temel olarak statik analiz, dinamik analiz ve memory
analizi olmak üzere üçe ayrılmıştır. Analiz sürecindeki önemli nokta detaylara boğulmadan,
sonuç alamadığımız noktada belki başka bir program ile sonuca ulaşabileceğimiz ihtimalini
değerlendirerek, sonuca farklı yollardan ulaşabileceğimizi bilmektir.
Statik analiz: Kötü niyetli yazılımı çalıştırmadan yapılan analiz yöntemlerini kapsar.
Basit statik analiz ve ileri statik analiz olarak ikiye ayrılır.
Basit statik analiz: Dosya formatının tespiti, içerisinde geçen kelimelerin derinlemesine
kod analizi yapmadan incelenmesi, analiz edilecek zararlının antivirüsler karşısındaki tepkisinin
ölçülmesi, hash değeri alınmış halinin daha önceki zararlı hashleri ile kıyaslanması ve
uygulamanın packed ya da obfuscated edilmiş olup olmadığının programlar yardımıyla tespit
edildiği kısımdır.
İleri statik analiz: IDA pro, radare2 gibi programlar kullanarak low level seviyede
(disassembly edilmiş kod, binary kod vb) geçen kelimeler, bağlantılı kütüphaneler,
fonksiyonlar gibi özelliklerin incelenerek zararlı yazılımın işleyişinin analiz edildiği kısımdır.
Dinamik Analiz: Oluşturulmuş olan lab ortamında zararlı yazılımı çalıştırarak, sistem üzerinde
yaptığı değişiklikleri inceleme üzerine yapılan analiz çeşididir. Basit ve ileri dinamik analiz
olmak üzere ikiye ayrılır.
Basit dinamik analiz: Çalıştırılan uygulamanın davranışsal analizinin yapıldığı kısımdır.
Uygulamanın ağ üzerindeki davranışlarını, dosya ve kayıt defteri üzerinde yaptığı değişiklikleri,
oluşturulan processlerin incelendiği kısımdır.
İleri dinamik analiz: Zararlı yazılımın çalıştırılır durumdayken incelendiği, debug edildiği
kısımı kapsar. İşlemci komutları, cpu, register üzerindeki verilerin değişimi incelenir. Fonksiyon
çağrımlarını izleme (function call hooking/trace), fonksiyon parametrelerini izleme gibi
teknikler kullanılır.
Bellek Dökümü (Memory) Analizi: Zararlı yazılımın çalıştırıldıktan sonra hafızada
kaplayan yerinin kopyalanarak diske kaydedilmesi ve diske kaydedilmiş bu hafıza alanının
programlar yardımıyla incelenmesini oluşturan kısımdır.

Örnek Zararlı Yazılım Bulma
Döküman içerisinde kullanılan zararlı yazılım örnekleri, https://ctftime.org/writeups
adresinde geçmiş CTF’lerde yer alan reverse engineering sorularından ve zararlı yazılım analizi
konusunda en bilindik kitap olan “Practical Malware Analysis” kitabının
https://github.com/mikesiko/PracticalMalwareAnalysis-Labs adresindeki Lab sorularından
oluşmuştur.
Zararlı yazılım analizi ile vakit geçirmek isteyenler için internet üzerinde örnek zararlı yazılımlar
paylaşan siteler de bulunmaktadır.
Bunlardan bazıları:
● https://malwaretips.com
● https://virusshare.com
● http://www.virusign.com/
● http://malshare.com
● http://dasmalwerk.eu/
● https://www.hybrid-analysis.com/recent-submissions?filter=file
Otomatik Analiz Araçları ve Sandbox’lar
Malware sandbox, zararlı yazılımların çalıştırılarak, davranışsal analizlerinin otomatik olarak
programlar yardımıyla yapılıp, rapor olarak sunulduğu ortamlardır. Bu ortamlar; verilen
örnekleri çalıştırarak arka planda dosya sisteminde, registry kayıtlarında, bellekte ne değişiklik
yapıyor, ağ üzerinden hangi adresler ve protokollerle konuşuyor, hangi süreçleri ve API leri
çağırıyor gibi maddeleri başlıklar halinde toplayarak rapor halinde sunarlar.
Sandbox ortamı iki ana yapıdan oluşur:
● İlki analiz yapılacak olan sanal ortam ile haberleşmeyi sağlayan controller’ların
bulunduğu raporu sunan ortamdır.
● İkincisi analizi yapılacak olan programın ve analiz programlarının çalıştırıldığı analiz
edilecek sanal lab ortamıdır. Analiz programları network trafiğini analiz eden
programlar, dosya ve kayıt defterinde meydana gelen değişikliği kayıt eden
programlar, process ve memory alanını incelemeye yarayan programları kapsar. Aynı
zamanda web üzerinden antivirüs firmalarının sunmuş olduğu imza tabanlı zararlı
yazılım örnekleri ile çalıştırılacak olan programın hash’ini alarak kıyaslama yaparak
raporda daha önceden tespit edilmiş bir zararlı olup olmadığını bizlere sunar.

Online Analiz Araçları
İncelenilmesi istenen zararlı yazılımın online servis sunan sitelere yüklenmesi ile analizin
servisi sunan sistem tarafından yapılmasıdır. İmza tabanlı (hash değeri vb) özelliklere bakılarak
zararlı yazılımın daha önceden bilinen bir zararlı yazılım olup olmadığı bilgisini sunar.
● Virustotal: En bilindik zararlı yazılım tespit aracıdır. Antivirüs firmaları tarafından daha
önce upload edilen uygulamanın zararlı olarak belirtilip belirtilmediğini, belirtilmiş ise
davranışlarının nasıl olduğunu sunar.
● any.run: Projesi, zararlı olduğundan şüphelendiğiniz uygulamaları 32bit ya da 64 bit bir
Windows7 cihaz üzerinde uzaktan kontrol edebildiğiniz ve bir dakika boyunca
oluşturulan aktiviteleri gözlemleyebileceğiniz çok kullanışlı bir zararlı yazılım analizi
projesidir. Bu aktiviteler uygulama tarafından oluşturulan HTTP ve DNS isteklerini,
yapılan bağlantıları, tehdit olarak görülen ağ aktivitelerini ve oluşturulmuş PCAP
dosyası gibi network aktiviteleri ile dosya yapısında meydana gelen değişiklikleri ve
dosyanın çalıştırılması sonucu process tree’sinde meydana gelen değişiklikleri kapsar.

Şekil üzerinde bir network trojanının kurmaya çalıştığı bağlantılar, drop ettiği PE dosyası ve
oluşturulan bu çalıştırılabilir dosyasının process’inin “PROCESS DETAILS” kısmında detaylı
incelemesi verilmiştir.
● hybrid-analysis: Dosyanın upload edilmesi sonucu, çalıştırılacağı ortama göre
(windows, linux, android) analiz edilmesini sağlar. Analiz sonucunu ve antivirüs
taramalarından elde ettiği tepkileri sunar.
● threat expert: Uygulamaların davranışsal analizini incelemek için otomatize edilmiş
programlarla inceleme yapan online zararlı yazılım analizi servisidir.

Malware Sandbox Araçları
Online servislerin dışında, sisteminize kurup daha ayrıntılı rapor almanıza olanak sağlayan
sandbox’lar mevcuttur. Bunların açık kaynak olup, oldukça popüler olanı cuckoo sandbox’dur.
● cuckoo - “https://cuckoosandbox.org/”
● Buster Sandbox Analyzer - “http://bsa.isoftware.nl/”
Basit Statik Analiz
Statik analiz süreci uygulama çalıştırılmadan yapılan analiz sürecini kapsar. Analiz ortamını
hazırlamak amacıyla gerekli programları indirmek için, sanal network adaptörü vmnet2 den
NAT ayarına alınmalıdır. Gerekli uygulamalar indirildikten sonra tekrar vmnet2 ile
yapılandırılan ağa geçiş yapılır.
Bu bölümde aynı amacı taşıyan birden fazla uygulamadan bahsedilmiştir ancak amaca ulaşmak
için farklı uygulamalardan aynı sonuçlar alınabileceği unutulmamalıdır.
İndirilmiş olan programlar C dizini altında “AnalizProgramlari” adlı bir klasör içerisinde
toplanmış ve bu dizinin yolu “Ortam Değişkeni” olarak kaydedilmiştir. Böylelikle istenilen
programların “cmd” programı ile belirtilen dizine gitmeden doğrudan çalıştırılması
sağlanmıştır.
Bunun için:
● Ortam değişkenine uygun klasörü eklemek için “Bilgisayar” klasörüne sağ tık
seçeneği ile özellikler açılır.
● “Gelişmiş Sistem Ayarları” seçilir.
● “Ortam Değişkenleri” seçeneğine tıklanılır.

● “Path” yazılı sistem değişkeni seçilerek “Düzenle” seçeneğine tıklanılır.
● noktalı virgül “;” konularak cmd üzerinde doğrudan çalıştırmak istenen yol eklenilir.
● Tamam seçeneğine tıklanılarak çıkış yapılır. Bundan sonra C: dizini altındaki
“AnalizProgramlari” adlı klasörün altında yer alan exe’ler doğrudan komut satırından
çağrılabilmektedir.

Hashcalculator
İncelenmek istenen uygulamanın hash değerlerini hesaplar. Böylelikle analist bu hash
değerlerini internette araştırarak, incelenecek olan yazılımın daha önceden başkaları
tarafından incelenip incelenmediğini, incelendiyse zararlı bir yazılım olup olmadığını bilgisine
ulaşır.
Md5sum
Linux tarafında hazır olarak gelen ve terminal üzerinde “md5sum dosyaadı” şeklinde
çalıştırmaya alışık olduğumuz md5 hash’i almaya yarayan program Windows tarafında hazır
olarak gelmemektedir. Komut satırında hash almaya alışık olanlar için oluşturulmuştur.
“md5sums.exe bin” komutu kullanılarak “bin” isimli dosyanın md5 hashi alınmıştır.

PE Viewer -
PE dosya formatında yer alan ‘section’lara ait bilgilerin yer aldığı, bu ‘section’lardaki dataların
hexadecimal formatta bizlere sunulduğu inceleme aracıdır. Şekil üzerinde incelenmek istenen
131.exe adlı programın “Time Data Stamp” kısmında 2016/04/24 tarihinde oluşturulduğu
bilgisi yer almaktadır. Aynı zamanda image dosyasının 32 bit işlemci mimarisine ait olduğu
gözlemlenmektedir.
.rdata section’ı incelendiği zaman import ve export edilmiş librarylere ulaşılır.

Bintext
Hedef program içerisinde geçen stringleri ve stringlerin konumunu bulmamıza olanak sağlayan
programdır.
Şekil üzerinde analiz edilen .exe içerisinde “But detected Debugger, NtGlobalFlag, OllyDebug,
IDA” gibi kelimelerin olması analiz edilmeye çalışılan program içerisinde anti analiz teknikleri
uygulandığı ipucunu edinmemize olanak sağlar.
Ayrıca .exe içerisinde yer alan stringler arasında bulunan “.dll” isimleri, fonksiyon isimleri,
değişken isimleri incelenmek istenen programın işleyişi hakkında tahmin yürütmemize olanak
verir.

Strings
Linux tarafında kullanmaya alışık olduğumuz, çalıştırılabilir dosya içerisinde geçen stringleri
ekrana basmaya yarayan bir diğer programdır. Komut satırı üzerinde çalışmaktadır.

Dependecy Walker
PE dosya formatı içerisinde .rdata section’ı içerisinde yer alan dynamic olarak import edilmiş
.dll ve fonksiyonları gösterir.
Şekil üzerindeki zararlı KERNEL32.DLL ve ADVAPI32.DLL kütüphanelerini import etmiştir.
kernel32 dll’i içerisinde CreateFile gibi fonksiyonların kullanıldığı gözlemlenerek, bu yazılımın
sistem üzerinde dosya oluşturduğu çıkarımı yapılabilir. Yine ADVAPI32.DLL kütüphanesi servis
yöneticisi, registry kayıtları gibi ileri Windows yapılarına ulaşmak için kullanılan bir
kütüphanedir.

Detect It Easy
Programın packed edilip edilmediği hangi programlama dili ile yazılıp, hangi compiler ile
derlendiği, programın boyutu, entry pointi, import edilmiş kütüphaneleri gibi bilgileri sunan
analiz aracıdır.
Şekil üzerindeki exe programının UPX packer kullanarak paketlendiği, C/C++ kodu olduğu
gözlemlenmektedir. “Import” seçeneğine tıklandığında import edilen kütüphaneler
gözükmektedir.

Şekil üzerindeki InternetOpenA fonksiyonu WININET.dll’i üzerinde çağrılan ve internet ulaşımı
sağlayan bir fonksiyondur.
Resource Hacker
PE dosyasının .rsrc section’ı içerisinde yer alan, çalıştırılacak olan dosyanın kullandığı
kaynakları barındıran kısmı görüntüememizi sağlar. “.rsrc” section’ı içerisinde executable
tarafından kullanılan resimler, simgeler, menüler ve stringler bulunur. (Stringler ana program
içerisinde de burada da bulunabilir.)
Şekil üzerindeki örnek Windows işletim sistemi üzerinde hazır olarak gelen calculator (Hesap
Makinesi) programının kullandığı kaynakları görüntülemektedir.
Şekil üzerindeki kaynağa sağ tıklayarak bu kaynağı dışarı resim olarak aktarabileceğimiz gibi,
kaynağı değiştirmemiz de mümkündür.
UYGULAMA - Resource Hacker
İncelenmek istenen Lab01-04.exe adlı zararlı yazılım programı Resource Hacker programına
sürükle bırak yapılır. “.rsrc” yani kaynaklar section’ı program yardımıyla incelenir.

Binary formattaki bu kaynağı incelediğimiz takdirde, “This program cannot be run in DOS
mode” şeklindeki header bilgisi dikkatimizi çeker. Bu header bilgisi her PE içerisinde yer alan
DOS header’in error mesajıdır. Bundan dolayı incelediğimiz zararlı yazılımın kaynaklar
bölümünde başka bir program olduğu gözlemlenmektedir.
Sağ tıklama ile “Dosyayı *bin” formatında kaydet seçeneği ile, bu kısım dışarıya aktarılır ve
dışarıya aktarılmış dosya Dependency Walker programı ile incelenir.
Burada yer alan kodun URLDownloadToFile fonksiyonu kullandığı ve internet bağlantısı
yaparak indirme işlemi gerçekleştirdiği gözlemlenir.

PE Insider
PE dosyalarını incelemek için oluşturulmuştur. Section’lar hakkında diğer PE inceleme
programlarının sunduğu bilgileri sunar.
Şekil üzerinde .net ile yazılmış bir programın kullanmış olduğu methodlar listelenmiştir.
PEiD (PE identifier)
Packer ve compiler tespiti için oluşturulmuş oldukça popular bir araçtır. Ayrıca çeşitli
plugin’lere sahip olan PEiD uygulamalarda kullanılmış olan kriptolama algoritmalarını da tespit
etme amacıyla kullanılır.
Programın FSG ile paketlendiği tespit edilmiştir.

PEstudio
Oldukça kullanıcı dostu olan bir PE analiz aracıdır. Analiz yapan kişi için işleri kolaylaştırır.
Tehlikeli olabilecek şüpheli görülen yerlerde uyarı verir. Analiz edilecek programın “Virüstotal”
sitesinde uyarı verip vermediği raporunu sunar.
PEstudio programının sunduğu Virustotal raporu.
Tehlikeli olarak görülen ve kullanılmış .dll fonksiyonları.

Resources içerisinde executable bir dosya olduğu uyarısı.
ILSPY
.NET uygulamalarını decompiler etme amacıyla kullanılır. Açık kaynaklıdır. Şekil üzerinde web
proxy uygulaması olan Fiddler uygulamasının ILSpy kullanılarak decompiler edilmiş hali
gösterilmiştir.

CFF Explorer
CFF Explorer, PE üzerinde düzenleme yapmak için oluşturulmuş bir araçtır. Resource
section’ını değiştirme, import ekleme, imza tarama gibi amaçlar için kullanılır.
Oldukça kullanışlı olan bu program ile hedef program hakkında tespit yapabilir, içerisinde
barındırdığı HexEditor, disassembly seçeneklerini kullanabilir ya da UPX ile packlenmiş
programları kolayca unpack edebilirsiniz.

Basit Dinamik Analiz
Dinamik analiz süreci, zararlı uygulamanın çalıştırıldıktan sonraki davranışlarının ağ trafiği
bazında, dosya ve kayıt günlüğü üzerinde yapılan değişiklikler bazında ve
oluşturulan/öldürülen processler bazında yapılan incelemelerini kapsar. Çalıştırılan
uygulamanın kod işleyişinin adım adım takip edilmesi ve yaptığı değişiklerin kod bazında takip
edilmesi de bu sürece dahil ve belki de en önemli noktasıdır.
1- Ağ Trafiği Analiz Araçları
Gerçek network ortamından izole edilmiş sistemde zararlı yazılım davranışlarını analiz
edebilmek için sahte servisler oluşturmamıza ve ağ trafiğini dinlememize yarayan araçlar
mevcuttur.
apateDNS
apateDNS programı DNS spoofing yapma amacıyla üretilmiş bir programdır. Zararlı yazılımın
yaptığı DNS isteklerini 53 numaralı UDP portunu dinleyerek ekrana basar. Ayrıca yapılan bu
isteklere cevap olarak programı kullanan kişinin belirttiği adresi verir. İstek belirtilmezse,
hazırda kullanılan Gateway/DNS sunucusuna istek gönderilir.
DNS Reply seçeneği isteklere sahte yönlendirme yaparken, NXDOMAIN seçeneği ise domain
adresine bağlanmaya çalışan zararlının başarısız olduğunu düşündürerek başka bir domain
adresi denemesi için kullanılır.

Netstat
Network bağlantılarını, routing tablosunu, arabirim istatiskleri ve benzer ağ bağlantısı bilgileri
ile ilgili ayrıntılı bilgiler verebilen bir konsol komutudur. Linux ve Windows tarafında hazır
olarak kurulu olarak gelir. Çeşitli parametreler içermektedir. “-a” gelen ve giden bağlantıları
gösterir, “-n” gelen ve giden bağlantıların sayısal değerini (ip adresi vb.) gösterir, “-e” gelen ve
giden paketi, “-r” yönlendirme tablosunu gösterir.
Şekil üzerinde “netstat -an” komutu çalıştırılarak sisteme gelen ve giden bağlantıların ip
adresleri, uç bağlantı noktaları gözlemlenmiştir.

Tcpview
Bir sysinternal aracı olan Tcpview microsoft tarafından netstat programının daha bilgilendirici
ve kolay bir şekilde kullanım alternatifi olması için üretilmiştir.
Process ismi, pid değeri, protokolü, local ve remote adres ile port bilgileri gözlemlenir.
Netcat
Netcat port dinlemek ya da gelen/giden bağlantı başlatmak için kullanılan oldukça popüler
olan bir araçtır. Zararlı yazılım analizi sürecinde zararlının göndereceğe isteği ekrana basan
netcat yazılımı tıpkı bir server gibi hareket etmiş olur. Netcat çeşitli paremetreleri alan komut
satırı programıdır. Analiz sürecinde “-l” (dinleme modu) ve “-p port numarası” (Dinlenilecek
olan port ) olarak kullanılır.
Zararlı yazılımın dosya indireceği ya da shell açacağı göz önüne alınırsa, bağlantı kurmaya
çalıştığı yeri localhost yani kendi ip adresimiz yapabilmek için “ApateDNS” programı ile DNS
sorgusuna cevap olarak kendi ip adresimiz verilir.
Zararlı yazılımlar ağırlıklı olarak 80 numaralı http ve 443 numaralı https portunu kullanır. Bu
yüzden örnek kullanımlar şu şekildedir:
● “nc -l -p 80”
● “nc -l -p 443”

Örnek Kullanım
Şekil üzerinde apateDNS programı DNS sorgusuna cevap olarak local ip adresini döner.
Böylelikle “comp.eng.ankra.edu.tr” adresi için DNS cevabı 127.0.0.1 olur. 127.0.0.1 adresinin
80 portuna ulaşmaya çalışılırken yapılan isteği netcat programı ekrana basar. (GET
/HTTP/1.1)

INetSim
Zararlı yazılımlar her zaman 80 ve 443 portunu kullanmaz. Bu noktada zararlı yazılımın network
üzerindeki davranışlarını ayrıntılı bir şekilde izlemek için INetSim adında birçok servisi (HTTP,
HTTPS, FTP, IRC, DNS, SMTP vb.) sahte şekilde simüle eden program kullanılır.
INetSim programı Remnux adlı linux işletim sisteminde kurulu olarak gelir. Vmnet2 ortak
ağına bağlı olan windows ve remnux işletim sistemleri için sırasıyla:
● Windows tarafında DNS server olarak 127.0.0.1 atanır.
● ApateDNS programı çalıştırılarak DNS isteklerine cevap olarak Remnux işletim
sisteminin sahip olduğu ip adresi verilir.
Linux Cihazın ip Adresi
ApateDNS programının DSN sorgularına cevap olarak Linux makinenin ip adresini yollaması

● Remnux işletim sisteminde “/etc/inetsim” dizini altındaki inetsim.conf dosyası
üzerinde ayarlamalar yapılır.
● Remnux üzerinde “inetsim” komutu ile servisler aktif edilir ve Windows tarafında test
etmek için herhangi bir web sayfası açılır.

Wireshark
Ağ üzerindeki paketleri canlı olarak yakalamaya yarayan, derinlemesine analiz edilmesine
olanak sağlayan iyi ya da kötü niyetle kullanılabilecek oldukça populer açık kaynaklı bir paket
analiz aracıdır. Zararlı yazılım incelemesinde, trafiğin yönlendirildiği makinede (öncelikli
tercih) ya da zararlının bulaştırıldığı makinede ağ trafiğini yakalayarak, analiz etme amacıyla
kullanılır.
Gelen bağlantı üzerine sağ tıklama yapılarak “Follow TCP Stream” seçeneği seçilerek yakalanan
paketler hakkında önemli bilgiler öğrenilir.
Remnux işletim sistemi üzerinde çalıştırılan wireshark programı ile gelen
TCP ve HTTP bağlantılarının görüntülenmesi

2- Dosya Ve Kayıt Defteri Analizi Araçları
Zararlı yazılımlar sistem üzerinde dosya açar, siler, payload bırakır, internet üzerinden indirme
işlemi yapar ya da kayıt defterinde değişikler yapar. Windows kayıt defteri, sistem
donanımları, kurulu programlar, ayarlar, her bir kullanıcıya ait hesap profili gibi önemli bilgileri
içermektedir. Bu bölümdeki analiz yöntemleri sistem dosyalarında yapılan değişiklikleri
kapsar.
Regshot
Regshot programı ile zararlı çalıştırılmadan önce 1.Shot alınır. Zararlı çalıştırıldıktan sonra ise
2. Shot alınır. Daha sonra compare tuşuna basarak zararlı çalışmadan önce ve çalıştıktan sonra
sistemde ne gibi değişikler olduğu ekrana basılır.
Şekil üzerindeki zararlı yazılım msgina32.dll adlı bir .dll drop etmiştir.

CaptureBat
Terminal uygulaması olan CaptureBat, dosya, kayıt defter ve process üzerinde olan
değişiklikleri öğrenmek için kullanılır.
-c parametresi silinen ya da değiştirilen dosyaları yakalamaya, -n parametresi network
aktivitelerini yakalamaya, -l parametresi ise sonuçları bir .txt dosyasına yazmaya olanak verir.

3- Process Analiz Araçları
Process analizi yapılırken, bu processler genelde sistem üzerinde (Kayıt defteri, dosya,
memory ve network) değişiklik yaptığı için bu bölümdeki araçlar sadece processler üzerinde
meydana gelen değişiklikleri değil, processlerin sonuçlarını da incelemeye yöneliktir.
System Internal Suite (procmon - autoruns - processexplorer)
Microsoft tarafından sistem sorunlarına çözüm bulunması amacıyla paylaşılmış programlar
bütününü kapsar. Daha önceden bahsedilen TcpView, Strings gibi araçlar da bu toolkit’e
dahildir.
● Procmon
Registiry, file, network, process ve thread analizi yapma amacıyla kullanılan bu program sistem
çağrılarından, sistemde meydana gelen değişikliklere kadar derinlemesine analiz yapmayı
sağlar.
Birçok event arasından ulaşılmak istenen bilginin bulunması zorlaştığı için basit bir şekilde…
…butonlarını aç kapa yaparak sırasıyla registiry, file, network ve process hakkındaki etkinlikleri
aktif ederek kapatabilirsiniz.
Detaylı filtreleme özelliği ile belirli bir programa ait çıktıları almak gibi ya da belirli bir kayıt
defterine ait fonksiyonu çağıran etkinlikleri sıralamak gibi aramalar yapabilirsiniz.
process id değeri 640 olan etkinlikleri listelemek için filtreleme oluşturma

● Process Explorer
Çalışan process’leri ve hangi klasörden çalıştıklarını bizlere sunar. Görev yöneticisinden daha
ayrıntılı bilgiler sunar. Process’lerin tree şeklindeki yapısını, hangi .dll process’i açıldı ve
yüklendi gibi bilgileri bizlere sunar. Ayrıca çalışmakta olan bir process’in bellek dökümünü
almaya yarar.
Sonlandırılmış processleri kırmızı renkte, yeni başlayan processleri yeşil renkte göstermesi gibi
özellikleri ile kullanıcı dostudur.
Alt ekranda ilişkili olan .dll ler gösterilir.
Şekil üzerinde chrome uygulamasının process’ine müdahale edilip edilmediğini anlamak için
process özelliklerine gidilerek disk içerisindeki ve memory içerisindeki stringsleri aynı mı diye
kontrol edilmiştir. (Image = disk, Memory = bellek)

● autoruns
İşletim sistemi başladığı zaman sistem tarafından otomatik olarak başlatılan programları,
herhangi bir sistem programına import edilmiş .dll’leri, otomatik olarak başlayan servisleri,
tarayıcı için yardımcı uygulamaları (BHO) listelemeye yarayan programdır. Zararlı yazılımın
tespitinde ve silinmesinde oldukça kullanışlıdır.
Process Hacker
Process Explorer gibi çalışan bir görev yöneticisidir. Ancak process explorer den çok daha
yeteneklidir. Belirtilen string’i bellekte aratma, servisoluşturma ve dll inject etme ya da unload
etme gibi özellikleri de vardır.

İleri Analiz Araçları
İleri statik analiz süreci, disassembly(disassembler) yapan programlar yardımıyla, analiz
edilecek programın makine kodundan assembly koduna çevrilme ve çevrilen assembly
kodunun incelenmesi sürecini kapsar. İleri dinamik analiz süreci ise assembly seviyesinde
uygulamanın çalıştırılması ile işleyişini takip eden programları kapsar.
IDA, Radare2 ve Hopper günümüzde en çok kullanılan disassembly araçlarına örnek
verilebilirken; Immunity Debugger, Ollydbg, x64dbg gibi programlar en popüler debugger
araçlarına örnek verilebilir.
IDA
Zararlı yazılım analistleri, tersine mühendislikle uğraşan kişiler ve zafiyet araştırmacıları
tarafından en çok tercih edilen disassembly aracıdır. Hatta IDA sadece disassembler olarak
değil debugger olarak da kullanılabilmektedir. Ayrıca bu özelliklerinin yanı sıra, birçok dosya
formatını disassembly etmek için desteklemesi, grafik olarak kod akışını sunması, yapılan
çalışmaları kaydedebilmesi, fonksiyon isimlendirmesine izin vermesi, modifiye yapılabilmesi,
stack analizine olanak vermesi ve local variable’ların tanımlanmasından yorum satırları
eklenmesine ve birçok plugin (eklenti) desteklemesiyle bir disassembly’den daha fazlasıdır.
Ücretli ve bu yüzden internet üzerinde izinsiz çok sayıda crack’li versiyonu bulunan bir program
olan IDA Pro’nun, kısıtlı kullanım amaçlı üretilmiş versiyonu olan “ Free” ve demo amaçlı
üretilmiş sadece x86 mimarisini içeren ”Demo” versiyonlarını “https://www.hex-
rays.com/products/ida/support/download.shtml” adresinden indirebilirsiniz.
Ancak kısıtlı ve 5.0 versiyonunda bırakılmış olan free versiyonu, ciddi analiz süreçlerinde tercih
edilmemelidir.
Ida sahip olduğu pluginler ile alaniz sürecini kolaylaştırır.
● BinDiff - Binary düzeyde karşılaştırma yaparak, zararlı yazılımlar arasında benzer
fonksiyonları, eksik fonksiyonları ne kadar benzer olduğu gibi kıyaslamalar yapmaya
yarayan güçlü bir eklentidir.
● IDAPython - python scriptleri yazmaya olanak sağlayan IDA eklentisidir.

Grafik modune ve text koduna geçişler için boşluk tuşuna basılabileceği gibi ilgili yere sağ
tıklama ile graph mode seçimi yapılarak da geçiş yapılabilir.
Graph Mode IDA
Strings sekmesi, gidilmek istenen yer hakkında ipucu verebilir.

“sub_*” ile başlayan yerler fonksiyonları simgeler, iki kez tıklayarak ilgili fonksiyona
gidebileceğiniz gibi, “sağ tıklama - rename” seçeneği ile fonksiyona akılda kalıcı incelemenizi
kolaylaştıracak isim verebilirsiniz.
Hexadecimal formattaki sayıların üzerine geldikten sonra “H” tuşuna basarak ondalık
formattaki karşılığını görebilirsiniz.
Ayrıca IDA sahip olduğu debugging özelliği ile debugger olarak da kullanılmaktadır. “Debugger”
sekmesinde yer alan “Run” seçeneği ile bir uygulama çalıştırılıp debug edilebileceği gibi,
“Attach” seçeneği ile çalışmakta olan bir uygulama import edilerek debug edilebilir.
Şekil üzerinde “bin.exe” adlı çalıştırılabilir dosyanın IDA programı ile debugging edilme süreci
gösterilmiştir. Instruction pointer, stack pointer ve register’larda tutulan değerler ile
oluşturulan “Thread”ler gözlemlenmektedir. Bu değerler programın akışı içerisinde isteğe
bağlı modifiye edilebilmektedir.

radare2
IDA alternatifi olması için üretilmiş, kullanan çoğu kişi tarafından IDA’dan güçlü olduğu
öngörülen, ücretsiz disassembly aracıdır. Terminal üzerinde çalışmaktadır. Birçok dosya
formatını ve işletim sistemini destekler.
“rabin2 -I” komutu analiz yapılacak program hakkında bilgi alınmasını sağlar
“rabin2 -S” komutu analiz edilecek programın sectionları hakkında bilgi verir
“radare2 dosyaismi” şeklinde analiz edilecek program çalıştırılarak “aaa” komutu girilir. “aaa”
komutu binary düzeyde analizlerin yapılmasını sağlar.
“V” tuşuna basılarak “hex modu”na geçiş yapılır. Böylelikle ilgili kodda aranan yere (örnek
olarak main) gidilerek tekrar V tuşuna basılır ve graph ekranı gözlemlenir.

Hopper
Linux ve Mac Os için üretilmiş, ücretli bir disassembly aracıdır.

Ollydbg
Çalıştırılan uygulamaların assembly seviyesinde debug edilmesini sağlar. Verinin stack’de,
register’lar üzerinde ve bellekte nasıl tutulduğu hakkında bilgiler verir.
Sahip olduğu plugin’ler (eklentiler) sayesinde yeni özellikler kazanır.
“Sağ tıklama - Appearance - Highlighting” seçeneği ile dallanmalar, JMP fonksiyonları gibi
özellikleri renklendirebilirsiniz.
Registerlar ve instructionlar üzerindeki verileri anlık olarak değiştirebilirsiniz.

Sahip olduğu OllyDump eklentisi sayesinde bellek dökümü almayı sağlar.
“https://low-priority.appspot.com/ollydumpex/”
“Sağ tıklama- Search for - All referenced strings” diyerek stringleri görüntüleyebilir, ilgili
stringin geçtiği instructiona geçebilir ve breakpoint koyarak detaylı inceleme yapabilirsiniz.

Immunity Debugger
Ollydbg ile aynı şekilde çalışmakta olan Immunity Debugger, Ollydbg programı üzerindeki GUI
yapısı ve fonksiyoneliği alarak, üzerine python scriptleri ve API kullanımına izin veren özellikler
eklemiştir.
Tıpkı Ollydbg programında olduğu gibi birçok eklentiyi destekler. Ancak bu eklentiler genelde
Ollydbg için yazılmış eklentilerin Immunity Debugger için uyarlanmış halidir.
Örnek bir CTF çözümü

PyCommand listesi ve Python Shell’i, exploit yazma ve debug sürecini hızlandırır.
x64dbg
Kullanıcı dostu görüntüsüyle, açık kaynak bir debugger aracıdır.

Örnek x64dbg arayüzü
API Monitor
API Monitor, uygulamalar ve servisler tarafından yapılan API çağrılarını gözlemleye ve kontrol
etmeye olanak sağlayan güçlü bir programdır. Sahip olduğu breakpoint özelliği ile istenilen
noktalarda uygulamaların yaptığı API çağrılarına müdahale edilerek programın işleyişinde
değişiklikler yapılabilir.
API monitor programı ile sahip olduğu API filtreleme özelliğini kullanarak bir programın
çalışması sırasında filtrelenen çağrıları listeleyebilir, bu API çağrısına gönderilen parametreleri
ve dönen değerleri inceleyebilir hatta değiştirebilirsiniz. Bu anlamda bir zararlının bilgisayar
içerisindeki davranışlarını gözlemlemenin yanı sıra kullanılan bir tarayıcının yaptığı API
çağrılarını dinleyerek sniffing yapma, lisanslı bir programın davranışlarını inceleyerek lisansı
geçersiz kılma ya da bir uygulamanın ekrana bastığı çıktısını değiştirme gibi çok daha farklı
amaçlar için de kullanılmaktadır.
API Filter sekmesinde Ctrl+F5 ile filtrelenmek istenen çağrılar ya da bu çağrıların içerdiği
fonksiyonlar aratılabilir.Şekil üzerinde Windows Internet Explorer programının kullandığı
kütüphane filtrelenmiştir.
Daha sonra “Running Procesess” kısmından çalışmakta olan bir process’e sağ tıklayarak
monitoring işlemi başlatılabileceği gibi “File” - “Monitor New Process” seçeneğinden
monitoring edilmek üzere bir dosya çalıştırılabilir.

Şekil üzerinde “API Filter” sekmesinden “ntCreateFile” filtrelemesi ile çalıştırılmış dosyanın
“Monitored Process” ekranında cmd.exe programı çalıştırdığı, “Summary” ekranında
filtrelenmiş olan fonksiyonun çağrılma sıraları ve gönderilen parametreleri, “Parameters”
ekranında ise yapılan bu çağrılar arasından seçili olanının detaylı raporu yer almaktadır.
Breakpoint konulmak istenilirse, Summary kısmında yer alan ilgili çağrıya sağ tıklama ile
giderek istenilen özellikte breakpoint konularak monitoring edilen program yeniden çalıştırılır.

Bellek Dökümü Analizi
Bellek dökümü analizi, çalışan programın bellek üzerindeki yerinin kopyalanarak disk üzerine
kaydedilmesi ve daha sonra disk üzerindeki bu anlık ekran görüntüsünün incelenmesi
aşamalarını kapsar. Bellek analizi yapılmasındaki amaç, zararlı yazılımın hedef aldığı sistem
hakkında daha hızlı analiz yapmak, temel işlemleri, ağ bağlantılarını, yüklenen modülleri vb.
göstermektir. Aynı zamanda çalışır durumda bulunan programların bellekteki dökümünü
incelenerek, paketlenmiş uygulamaların unpack edilmesi için kullanılır.
Bellek Dökümü Alan Yardımcı Programlar
Programlar yardımıyla bellek dökümü almak oldukça kolaydır. Bellek dökümü almak için
kullanılan programları; bütün sistemin bellek dökümünü alan ve ilgili process’in bellek
dökümünü alan programlar olarak ikiye ayırabiliriz.
1- Bütün Sistemin Bellek Dökümünü Alan Programlar:
Üzerinde çalışılmakta olan işletim sisteminin tamamının bellek üzerinde kapladığı yeri alırlar.
Memoryze, Dumplt, FastDump gibi programlar kullanılır. Sistemin o anki bellek tüketimi,
dosya boyutuyla eş değerdir.
● Vmware
Sanallaştırma uygulamaları, üzerlerine kurulmuş olan sistemleri bellek dökümü olarak
tutar. Sanallaştırma uygulaması ile kurulmuş olan Windows işletim sisteminin
bulunduğu dizine gidilerek, *.vmem dosyası analiz edilmek için doğrudan kullanılabilir.
● DumpIt
Komut satırı üzerinden “DumpIt.exe” programının çağrılması ile bütün sistemin
bellek dökümü alınabilir.

● Memoryze
Komut satırı üzetinden “MemoryDD.bat” komutunun çağrılması ile sistem üzerinde
bellek dökümü alınır. Alınan bellek dökümü ilgili programın “Audits” klasörü altında
yer alır.

2- İlgili Process’in Bellek Dökümünü Alan Programlar:
Bütün sistemin bellek dökümünü almak yerine, istenilen process’in bellek dökümünü alan
yardımcı programlar da vardır. Görev yöneticisini kullanarak da bellek dökümü alabileceğiniz
gibi, bu programlara LordPE, Process Explorer, Process Hacker, OllyDump örnek verilebilir.
● Process Explorer ve Process Hacker
İlgili process’e sağ tıklama yapılarak, dump seçeneği seçilir. Full dump seçeneği
process’in sanal bellek dökümüne ait threat aktiviteleri, stack objeleri, heap durumu,
yüklenmiş kütüphaneler gibi bütün bilgilerini içerir. Mini dump ise çık kısıtlı process
bilgilerini tutar.

● LordPE
LordPE executable bir programın bellek üzerindeki dökümünü dump etmeye yarayan
ücretsiz ve kullanışlı bir programdır. Çalışan uygulamaların hangi “.dll” leri kullandığını
gösterir. LordPE programı aynı zamanda PE editlenmesine ve dump edilmiş
programların onarılmasına olanak sağlar. Ayrıca LordPE programı bu özellikleri
sayesinde paketlenmiş programları unpack etmede kullanılır.
“dump full…” seçeneği ile seçili olan programın bellek dökümü alınır.
● OllyDump
OllyDbg programı için üretilmiş ilgili process’in bellek dökümünü almaya yarayan bir
eklentidir.

Bellek Dökümü Analiz Araçları
Alınmış olan bellek dökümlerini incelemeye yarayan programları kapsar. Volatility veya
Mandiant Redline uygulamaları analiz sürecinde kullanılabilir. En popüler ve kullanışlı analiz
aracı Volatility’dir.
Volatility
Volatility, bellek analizi için oluşturulmuş açık kaynak bir programdır. Linux, Windows, Mac ve
Android sistemler için analiz yapmamızı sağlar. Python üzerine yazılmıştır ve raw dumps, crash
dumps, vmware dumps (.vmem), virtual box dumps gibi pek çok bellek dökümünü analiz
etmeye yaramaktadır. Zararlının bulaştırıldığı işletim sistemi yerine, zararlı bulaştırılmamış bir
işletim sistemi üzerinde (örnek olarak volatility programının hazır olarak geldiği Remnux
işletim sistemi) analiz sürecinde kullanılır.
Birçok parametresi bulunan volatility programı sahip olduğu özellikler ile zararlı yazılımın
analiz edilme sürecini çok hızlandırır.
Volatility İçin Örnek Kullanım:
“-f” parametresi ile bellek dökümü alınmış dosya ve “imageinfo” komutu ile de bellek
dökümü alınmış dosyanın hangi işletim sistemine ait olduğu bilgisi elde edilmek için kullanılır.
Örnetk kullanım : “volatility -f ZAFIYETLI-PC.raw imageinfo”
Suggested Profie kısmında gördüğümüz üzere inceleme yapacağımız bellek windows makineye aittir.

Volatility Analize Yardımcı Bazı Parametreler:
● pslist - Çalışmakta olan processleri listeler
● connection - Ağ bağlantılarını listeler
● connscan - kapatılmış ama bellekten silinmemiş bağlantıları da listeler
● Sockets - çalışan soketleri ve hangi processlere ait olduğunu listeler
● Memdump - pid değeri ile belirtilen işlemin bellek dökümünü verir
● Malfind - bellekte yer alan zararlı kod parçacıklarını tespit eder
● cmdscan - cmd arayüzüne girilmiş komutları listeler
● iehistory - internet explorer geçmişini görüntüler
Mandiant Redline
Windows için üretilmiş, kullanıcı dostu grafik arayüzü ile incelenmek istenen bellek
dökümünde şüpheli görülen metadata, kayıt defteri, event logları, servisler, görevler ve
internet geçmişi bilgilerini bize sunar.
Şekil üzerinde injection gerçekleşen memory section’ları gösterilmiştir

Anti Analiz Tekniklerini Engellemek İçin Kullanılan Programlar
Zararlı uygulama geliştiricileri tarafından, kötücül uygulamaların analizini zorlaştırma
amacıyla uygulanan teknikler vardır. Başlıca teknikler ve bu teknikleri engelleyen programlar
şunlardır:
1. Anti Debugging: Debug edilme sürecini engellemek adına API kullanımı, PEB yöntemi
ile flag kontrolü, breakpoint tespiti, debuggera müdahale, debugger zafiyetlerini
kullanma, zaman süreci farkı gibi tekniklerle debugger kullanılıp kullanılmadığı tespiti
yapılır. Önlemek için;
● Adım adım dinamik kod analizi yaparken kontrolün yapıldığı yeri bularak,
sorunu çözebilir,
● OllyAdvanced eklentisi kullanılabilir,
● HideDebugger eklentisi kullanılabilir,
● Phantom eklentisi kullanılabilir,
● IDA için ise idastealth eklentisi kullanılabilir.
2. Anti - Vm: Proseslerde, Registry, Hafızada, Dosyalarda ve Donanım bilgilerinde
sanallaştırma ile ilgili kalıntılar aranır. Ayrıca komut çıktılarından da (I/O portları vb.)
VM kullanılılp kullanılmadığı tespit edilir. Engellemek için;
● Adım adım dinamik kod analizi yaparken kontrolün yapıldığı yeri bularak,
sorunu çözebilir,
● ScoopyNG aracı kullanılabilir,
● Yardımcı sanal makine uygulamalarını kaldırabilirsiniz. (VMWare Tools,
VirtualBox Guest Additions vs.)
3. Anti disassembly:
4. Obfuscation : Karmaşıklaştırma, gizleme anlamı taşıyan teknik ile kaynak koduna
çevrilebilen programların statik analiz sürecinde analiz edilmesi engellenmeye
çalışılır.
● .NET uygulamalar için De4dot kullanılabilir.
5. Packed: Paketleme işlemi dosya boyutunu küçülterek ve küçültme algoritmasını yine
paketlenmiş dosya üzerinde barındırarak, çalıştırılmadan önce statik analizi yapıldığı
süreçte incelenmesini, içerisindeki kodlara ve stringlere ulaşılmasını zorlaştırmayı
amaçlar. Peid, Detect It Easy gibi programlar yardımıyla paketleme yöntemleri tespit
edilir. Unpack araçları kullanılarak unpack işlemi yapılır. Popüler paketleme
programları şunlardır;

● UPX, PECompact, ASPack, Petite, WinUpack, Themida.
Packed edilmiş bir uygulamayı manuel olarak unpack etmek için;
● Uygulama debugger kullanılarak çalıştırılır, OEP yani orjinal girdi noktası tespit
edilir.
● çalışmakta olan uygulama dump edilir. (Lord PE, ollydump, process explorer
vb.)
● IAT değerini düzeltmek için orjinal program ImpREC programı ile açılır, bunun
OEP değeri girilir, importlar elde edilir ve dump edilmiş programın üzerine
FixDump seçeneği ile kaydedilir.

BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.

Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak

Similar to Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak (20)

More from BGA Cyber Security

More from BGA Cyber Security (20)

Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak