-----------[Yazının Orjinali {ajanlar.org} a aittir. Lütfen alıntı yapacak arkadaşlar kaynak belirtsinler...]
Merhaba arkadaşlar.
captainbrain arkadaşımızın özel isteği üzerine Zararlı Tespiti nasıl yapılır anlatmaya karar verdim.
Bu yazıda yeni arkadaşların daha kolay anlayabilmeleri için basit ve online yapılabilecek (çeşitli programlar kurmaya gerek kalmadan) analiz yapmayı göstereceğim.
İnşallah vakit bulursam ileri derece derslere de zamanla geçeriz.
Kullanacağımız sanallaştırıcı {VxStream Sandbox v5.40} ...
[hide]
1-)
Bu siteyi açalım...
Site: https://www.hybrid-analysis.com/?lang=tr
2-)
Şüphelendiğiniz Executable dosyayı seçiniz...
3-)
Güvenlik kodunu giriniz.
Eğer Windows dosyasıysa "Windows7 32bit",
APK gibi Android dosyası ise "Android Static Analiysis" seçiniz...
Şimdi Analiz Seçenekleri sekmesini tıklayarak genişletelim ve ayrıntılı ayarlara geçelim...
4-)
[font=Cabin, sans-serif]Çalışma zamanı eylem komutu:[/font]
[font=Cabin, sans-serif]Eylem komutları bir analiz boyunca insan davranışına benzetim yaparlar ve müşteriyle etkileşim kurarlar (ör. analiz sırasında yeniden başlatma). Bu özellik, bağımsız sürümde yapılandırılabilir.[/font]
[font=Cabin, sans-serif]Bu nedenle {Heavy Anti-Evasion} seçiniz...[/font]
[font=Cabin, sans-serif][font=Cabin, sans-serif]Çalışma zamanı süresi: [/font][/font]
[font=Cabin, sans-serif][font=Cabin, sans-serif]En uzun hale getiriniz. Çünkü bazı zararlı programlar hemen kendilerini belli etmeyip beklemeyi seçerler. Bu seçenek tarama rapor süresini biraz uzatacaktır ama tarama soucuna katkısı olur...[/font][/font]
[font=Cabin, sans-serif][font=Cabin, sans-serif]Karma Analizi:[/font][/font]
[font=Cabin, sans-serif][font=Cabin, sans-serif]Benzersiz bir süreç belleği incelemesi etkinleştir. Bu özellik genel analizi yavaşlatabilir, ancak yürütme dikkate alınmaksızın komut seviyesi incelemesi yoluyla davranış analizini geliştirir.[/font][/font]
[font=Cabin, sans-serif][font=Cabin, sans-serif][font=Tahoma, Arial, Helvetica, sans-serif]Deneysel Kaçış Tespiti:[/font]
[/font][/font][font=Tahoma, Arial, Helvetica, sans-serif]Deneysel anti-kaçış özelliklerini etkinleştirebilirsiniz. Zararlı uygulama sandbox yada antilerden kaçacak ve saklanacak bir özellikle kodlanmış olabilir. (AntiSanbox, AntiVirtual, AntiBypass)[/font]
[font=Tahoma, Arial, Helvetica, sans-serif]Ancak aynı zamanda çok kolay kaçan kötü amaçlı yazılımların performansını artırarak deşifre olmalarını sağlar...[/font]
[font=Tahoma, Arial, Helvetica, sans-serif]Input Tampering:[/font]
[font=Tahoma, Arial, Helvetica, sans-serif][font=Tahoma, Arial, Helvetica, sans-serif]Girilen örnek işlem belleği manipülasyonuna izin verme seçeneğidir. Yani bazı trojan, worm ve çoğunluklada virüsler bellek manipülasyonu yada bellek taşmasını yaparak zarar verebilirler.[/font][/font]
[font=Tahoma, Arial, Helvetica, sans-serif][font=Tahoma, Arial, Helvetica, sans-serif]Bu özellik ile bellek manipülasyonuna izin verilir. Zaten bu gibi problemlerden kurtulmak amacıyla Microsoft NT sürümünden beridir DEP özelliğini kullanmaktadır.[/font][/font]
[font=Tahoma, Arial, Helvetica, sans-serif][font=Tahoma, Arial, Helvetica, sans-serif]Bizde engellemeyip yani AntiDEP gibi çalışarak kötü amaçlı yazılımların yakalanmasını artırabiliriz.[/font][/font]
5-)
6-)
Enson sözleşme kabul edilip üst resimdeki yerler işaretlenir ve {Genel Rapor Oluştur} tıklanır...
7-)
Karşısınıza aşağıdaki gibi bir sayfa gelir.
Bu sayfada bekliyoruz. Eğer sistem analize başlarsa otomatik olarak analiz bekleme sayfasına 5-10 sn içinde yönlenecektir...
9-)
Eğer bu sayfayı görüyorsak analiz sırası bizim yüklediğimize gelmiştir ve başlamıştır.
Bu sayfanın geçmesi uzun sürebilir. Tahminen 5-20 dk arası.
Çünkü Sandbox çeşitli testler ve insan taklitleri yaparak zararlı kodları ve yazılımları kendini belli etsinler diye zorlar...
10-)
Şimdilik bu kadar.
Çıkan Rapor'u okumayı ve raporda yazan bilgileri anlayıp nasıl gözden geçireceğimizi 2.Ders te anlatacağım...
Şimdiden İyi Analizler...
) [/hide]
[size=x-large][Trsz_kwT][/size]
