ZARARLI YAZILIM ANALİZİNDE (MALWARE ANALYSIS) NASIL İLERLENEBİLİR?
Zararlı yazılımların tanımlarından önceki yazım paylaşımımda bahsetmiştim. Yazımın içeriğine bakacak olur iseniz göreceksinizdir.
Zararlı yazılım analizleriyle ilgilenir iken bilinilmesi gereken iki temel başlık vardır. Birincisi statik, ikincisi ise dinamik zararlı yazılım analizidir. Sandbox (Hybrid Analysis, Falcon Sandbox, VirusTotal vb.) zararlı yazılım barındırılabileceği şüphesi içerisinde danışılan ilk mimari yapıdır, ister statik analiz ister dinamik analize başvuran fakat başlangıçta yapmanız gereken kullanımdır.
Statik zararlı yazılım analizi, elde bulunan dokümanın şüphe uyandırıcı işlevleri ,elektronik cihazınızın güvenlik duvarı engelledi diyelim, gerçekleştirildiğinde veya gerçekleştirilmediğinde dokümanın kaynak kodlarına (bu sebepten ileri seviye bölümüne ait olur) bakılarak zararlı yazılım analizine başlanılmış olunur. Kod analizini ve kod hareketliliği gözlemini gerçekleştirir iken sıklıkla tercih edilen programlar; PeStudio, Process Hacker, Process Monitor, Autoruns, IDA, Wireshark, Ghidra vb.
Dinamik zararlı yazılım analizi, süreç işleyişi bakımından statik analizin aksine zararlı kod parçacığı test ortamında (sanallaştırma, bulut vb.) çalıştırılır ve bellek döküm işlemleri gibi hata ayıklayıcı metotlarla zararlı dosyanın nelere mal olduğu birebir gözlemlenir.
Dinamik ve statik zararlı yazılım teorik bilgiden veya yazıyla anlatımdan ziyade pratikle kavranılabilecek olduğundandır ki alt tarafa adres bırakıyorum:
https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
Yukarıdaki adresin dosyalarına baktığınızda sizi kesinlikle aldatmasın ve “.exe” dosyası Microsoft Windows ürünlerinde çalıştırıldığında tüm modeller ortaya çıkacaktır. Çıktığında dinamik ve statik analiz süreçlerine böylelikle hafiften başlamış olacaksınızdır. Dinamik zararlı yazılım analizinde tercih edilen araç veya programlar; Dumpit, BelkaSoft, PMDump, AccessData FTK Imager, Volatility…
