Pandora'nın Kutusu Nasıl Açılır?



Benzer belgeler
2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.



IDA Pro ile Remote Linux Debugging

ENF 100 Temel Bilgi Teknolojileri Kullanımı Ders Notları 5. Hafta. Öğr. Gör. Dr. Barış Doğru

Exploit.CVE Analizi

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

Antivirus Nasıl Atlatılır?

NOT: BU BELGEYİ OKUMADAN LÜTFEN YAZILIMI YÜKLEMEYE ÇALIŞMAYIN.

İşletim Sistemi. BTEP205 - İşletim Sistemleri

Bellek Analizi ile Zararlı Yazılım Analizi

Windows İşletim Sistemi

Twitter da bu durumla karşılaşan başka kullanıcılar var mı diye twitter virüs anahtar kelimeleri ile genel bir arama yaptığımda ise bu durumun Nisan

BİLİŞİM İLE TANIŞIYORUM BİLİŞİM TEKNOLOJİLERİNİN KULLANILDIĞI ALANLAR

Laboratuvar Çalışması Veri Depolama Kapasitesini Belirleme

Akdeniz Üniversitesi

MUDDYWATER / PROXYRAT SİSTEM SIKILAŞTIRMA ÖNERİLERİ

Bu bölüm V- Ray License Server lisans sunucusu uygulamasının kurulumundan

Korsan Yazılımlardaki Tehlike

IOT NEDİR? Bölüm 1. Internet of Things ekosistemi altında donanım, programlama, veri tabanı, veri analizi gibi alt yapılar yer almaktadır.

ZAFİYET TESPİTİ VE SIZMA YÖNTEMLERİ. Eyüp ÇELİK Bilgi Teknolojileri Güvenlik Uzmanı

Exploit Geliştirme Altyapıları. Fatih Özavcı Bilgi Güvenliği Danışmanı

Bolum 9. Konu Başlıkları

Kategori:Allplan->Teknik Destek ve Kurulum->SSS_Allplan_2016_Server_Lisans_Kurulumu

Bilgisayarların Gelişimi


Duo Installation Guide

İşletim Sistemlerine Giriş

Kullanıcı Dostluğu vs Kullanıcı Güvenliği

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Windowsta Dosya Sıkıştırmak

Print Komutu ile Değişkenleri Yazdırmak

KONU: İşletim Sistemleri I - Ms-Dos İşletim Sistemi SORULAR

7. BELGEYE RESİM EKLEME, YAZIM ve ÇİZİM ÖZELLİKLERİ

İş Başvuru Kayıt Formu

III. Ünite A. BAŞLANGIÇ B. TEMEL İŞLEMLER C. BİÇİMLEME D. SAYFA BİÇİMLEME E. YAZDIRMA F. İLERİ ÖZELLİKLER KELİME İŞLEM PROGRAMI

.. ROBOTİK VE KODLAMA EĞİTİMİ ÇERÇEVESİNDE ÖĞRETİM YILI BİLİŞİM TEKNOLOJİLERİ DERSİ ÜNİTELENDİRİLMİŞ YILLIK DERS PLANI

Bu kullanma kılavuzu Piranha Razor U Type oyun kumandası için geçerlidir.

Kepware Veritabanı Ürünleri. Teknolojiye Genel Bir Bakış

FONKSİYONLARIN TABLO ŞEKLİNDE HESAPLANMASI

TEMEL EXCEL. 1 - Excel e Giriş

İnternet Yapılandırma Gereksinimleri. PC lerin Yapılandırılması. Windows XP altında ayar yapılması

Flash dosyası, kaynak koduna çevrilip incelendikten sonra Flash dosyasının kullanıcıyı sayfasına yönlendirdiği,

SAB 103 TEMEL BİLGİSAYAR KULLANIMI

Hızlı Başlangıç Kılavuzu

Temel Bilgi Teknlolojileri 1. Ders notları 5. Öğr.Gör. Hüseyin Bilal MACİT 2017

Servisiniz için. Bizim servisimiz. MAHLE Aftermarket, artık Behr klima servis cihazları da sunuyor.

Mobil Uygulamalarda Güvenlik Denetimi

Sistem Programlama. Kesmeler(Interrupts): Kesme mikro işlemcinin üzerinde çalıştığı koda ara vererek başka bir kodu çalıştırması işlemidir.

Hızlı Başlangıç: Çevrimiçi toplantı ayarlama, başlatma ve toplantıya katılma

Windows XP Professional Kurulumu

EK 1 Sayısal Verilerin Özel İncelemesi - Dosya İncelemesi

Servis olarak Altyapı

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

İÇİNDEKİLER BÖLÜM-1. BİLGİSAYARIN TANIMI VE ÇALIŞMA PRENSİBİ...1 BÖLÜM-2. WİNDOWS XP İŞLETİM SİSTEMİ...27

EXIF verisi, Firefox eklentisi olan Exif Viewer gibi gibi çeşitli araçlarla incelenebilmektedir. Exif Viewer eklentisi sayesinde görüntülenen

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Dosya ve Klasör İşlemleri

LİNUX. Dosyalar ve dizinler

Smoothwall URL Filter Kurulumu

Şimdi Pro Zamanı: MapInfo Pro 64 bit versiyonu tanıtımı!

Akdeniz Üniversitesi

2000 de Programlarla Çalışmalar

1. VERİ TABANI ARAÇLARI

Bilgisayar Yazılımları

Akdeniz Üniversitesi

NOT: LÜTFEN BU BELGEYİ OKUMADAN YAZILIMI YÜKLEMEYİ DENEMEYİN.

İŞLETİM SİSTEMİ İşletim sistemi kullanıcıyla bilgisayar donanımı arasında iletişim sağlayan programdır.

Bilgisayarda Programlama. Temel Kavramlar

ENFORMATİK Dersin Amacı

İNÖNÜ ÜNİVERSİTESİ MALATYA MESLEK YÜKSEKOKULU DERS TANITIM FORMU. Kredisi AKTS Eğitim Dili Tipi: Zorunlu/ Saat

İçindekiler Önsöz ix Giriş xi 1) Adli Bilimler ve Adli Bilişim 1 2) Adli Bilişimin Aşamaları 17

İşletim Sisteminin Temel İşlemleri

BİLİŞİM TEKNOLOJİLERİ NESNEYE DAYALI PROGRAMLAMA C# GELİŞTİRME VE UYUM EĞİTİMİ MODÜLER PROGRAMI (YETERLİĞE DAYALI)

Temel Mantık Kapıları

2. hafta Bulut Bilişime Giriş

Simülasyona Dayalı Ağ Temelleri Dersi Eğitimi

AKTEPE İMAM HATİP ORTAOKULU EĞİTİM VE ÖĞRETİM YILI BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ 5. SINIFLAR ÜNİTELENDİRİLMİŞ YILLIK DERS PLANI

3) Bilgisayarı oluşturan fiziki parçalara verilen genel ad aşağıdakilerden hangisidir? A)Yazılım B) Program C)Kasa D) Donanım

Sqlmap pyhton dili yazılarak geliştirilmiş Sql injection için testerlara son derece yardımcı olan bir araçtır.

T E M E L B Ü Y Ü M E İ

2. SCADA PROGRAMI. TEOS' un size sunduğu bir çok hizmet içerisinde en önemlilerini şöyle sıralayabiliriz:

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

5.36. FINDIK SAVURMA OTOMASYONU

DA Kullanım Kılavuzu. USB IDE ve SATA Kablosu

İÇİNDEKİLER BİRİNCİ BÖLÜM BİLGİSAYARDA BELGE AÇMAK VE TEMEL İŞLEMLER YAPMAK

Archive Player Divar Series. Kullanım kılavuzu

MAK 1005 Bilgisayar Programlamaya Giriş. BİLGİSAYARA GİRİŞ ve ALGORİTMA KAVRAMI

VERİ TABANI UYGULAMALARI

Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu


KULLANIM KILAVUZU Ahşap Nem Ölçer PCE-PMI 2

MS Publisher Kullanım Hatırlatmaları

12/02/2013. Sayın Av. Murat ERGÜN,

MESLEKİ BİLGİSAYAR DERSİ SORU BANKASI

- İlk dikkat edilecek konu; 3B BIM modelinin her katının ayrı bir çizim dosyasında ve DWG nin de ayrı bir çizim dosyasında olmalıdır.

Transkript:

Pandora'nın Kutusu Nasıl Açılır? Zararlı yazılım analistini nedense meraklı Pandora ya benzetirim çünkü işi gereği kötülük ile dolu olan o kutuyu (paketlenmiş zararlı yazılım) açarak kötülüğün tüm işletim sistemine hakim olmasına neden olur fakat efsanenin aksine kutuyu kapatmaya çalışmaz çünkü analistin tek amacı zararlı yazılımı baştan sona analiz edebilmektir. Daha önceki yazılarımda da belirttiğim üzere art niyetli kişiler zararlı yazılımların disk üzerinde antivirüs ve benzer koruma yazılımları tarafından tespit edilmesini ve ayrıca zararlı yazılımın analiz edilmesini zorlaştırma adına paketleyici (packer) yazılımlar kullanırlar. Fakat bilinenin aksine bu yazılımların asıl kullanım amacı hedef programın diskte kapladığı yeri azaltmaktır çünkü bu yazılımlar ile paketlenen programların boyutunun yarı yarıya azaldığı bilinmektedir. Hem iyi hemde art niyetli kişiler arasında en çok tercih edilen paketleme yazılımlarının başında UPX gelir. Art niyetli kişiler arasında tercih edilmesinin en büyük nedenleri arasında ücretsiz olması ve çoğu zararlı kod paketleyici yazılımının UPX yazılımını içeriyor olmasıdır. UPX veya herhangi bir paketleyici yazılım ile paketlenmiş bir programın analiz edilebilmesi için öncelikle paket içinden çıkartılması gerekmektedir. Örnek olarak UPX ile paketlenmiş bir programı ele alacak olursak bu programı analiz edebilmek için yapılması gereken ilk iş ya debugger (ollydbg) ile çalıştırmak yada paket açma işini otomatik olarak gerçekleştiren araçlardan faydalanmak olacaktır fakat bu araçlar paketleme yazılımların yeni sürümlerinin yayınlanmasından sonra beklentileri karşılayamadıkları için çoğu zaman debugger ile çalıştırmak ve analiz etmek gerekmektedir fakat ben iki yoldan da kısaca bahsedeceğim. Örnek olarak UPX ile calc.exe (windows hesap makinası) programını sıkıştırdığımızda programın boyutunun %49 oranında ufaldığını görüyoruz. calc_upx.exe programını Ollydbg ile açtığımız zaman normal programlarda karşılaştığımız fonksiyon prologue nin aksine PUSHAD ile karşılaşıyoruz. PUSHAD tüm register değerlerini stack e kopyalamaya yaramaktadır ve UPX ve ASPack gibi paketleme yazılımlarında PUSHAD sonrasında paketlenmiş veri

açılır ve daha sonrasında POPAD ile daha önce stack e kaydedilmiş olan değerler register a geri kopyalanır. Paketlenmiş programlarda EP (entry point) paketin açılmasını sağlayan fonksiyonu işaret eder ve paket açıldıktan sonra OEP (original entry point) sayesinde program çalışabilmesi için ilgili bölüme (section) yönlendirilir. Amacımız OEP i bulmak olduğu için ve programın çalışabilmesi için öncelikle paketin açılması gerektiği ve ardından ilgili bölüme gitmesi gerektiği için OEP in bilinmesi gerekmektedir. Bunun için PUSHAD ile saklanan ESP register ına hardware on access breakpoint koyarsak, POPAD komutu ile eninde sonunda bu değer registera geri kopyalanacağı için breakpoint sayesinde POPAD e kısa yoldan gidebilir ve OEP i tespit edebiliriz. OEP i tespit ettikten sonra Ollydbg eklentisi olan Ollydump ile paketi açılmış olan programı (calc_upx.exe) diske kayıt (dump) edebiliriz.

Diske kayıt edilmesiyle Import adres tablosu (import edilen modüller ve fonksiyonlar) bozulan programı analiz edebilmek ve tekrar çalıştırabilmemiz için imprec programı ile import tablosunu düzelttikten sonra amacımıza ulaşmış oluruz.

Tabiiki UPX veya benzer yazılımlar ile paketlenen programları paketten çıkartmak için her defasında böyle uğraşmamıza gerek yok çünkü piyasada bu yazılımlar ile paketlenmiş programları otomatik olarak çözen programlar mevcut. Örnek olarak ReversingLabs firması tarafından hazırlanmış olan deupx programını ücretsiz olarak temin edebilirsiniz.

Programların yanı sıra internette bu işi otomatize etmek ve kendi paket açma aracınızı hazırlamak için kütüphaneler de bulabilirsiniz. Mesela Blackhat konferanslarında bol bol sunum yapan ReversingLabs firmasının geliştirdiği TitanEngine kütüphanesini duymuş olabilirsiniz. Duymadıysanız Titanengine, içinde entegre debugger, disassembler bulunduran ve yukarda manuel olarak gerçekleştirilen işlemleri otomatik olarak gerçekleştirmenizi sağlayan ve 400 fonksiyonu kullanmanıza imkan tanıyan oldukça başarılı bir kütüphanedir. Zararlı yazılım analizi ile yakından ilgileniyorsanız bu kütüphaneye göz atmanızı şiddetle tavsiye eder, bir sonraki yazıda görüşmek dileğiyle herkese iyi haftasonları dilerim.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim