Kötü amaçlı yazılımı işlevini ve enfeksiyon rutinini bozmak için analiz etmek bir tür zor iştir. burada tam olarak tarif ediyoruz Kötü Amaçlı Yazılım Analizi Eğitimleriaraçlar ve ayrıntılı hile sayfası.
Ayrıca Okuyun; Sertifikalı Kötü Amaçlı Yazılım Analisti Oldu
Kötü Amaçlı Yazılım Analizi Nedir?
Kötü amaçlı yazılım analizi Truva atı, virüsler, rootkit’ler, fidye yazılımlar ve casus yazılımlar gibi kötü amaçlı yazılım ailelerinin örneklerini izole bir ortamda bulaşmayı, türünü, amacını ve işlevselliğini anlamak için davranışına dayalı çeşitli yöntemler uygulayarak analiz eden bir süreçtir. Kullanıcıları önlemek için kurallar ve imza oluşturarak uygun azaltmayı uygulamak.
Kötü Amaçlı Yazılım Analizi Eğitimleri
Bu kötü amaçlı yazılım analizi eğitiminde, çeşitli analiz türlerine ve ilgili kötü amaçlı yazılım analiz araçları çoğunlukla kötü amaçlı yazılımı parçalamak için kullanılır.
- Statik Kötü Amaçlı Yazılım Analizi
- Dinamik Kötü Amaçlı Yazılım Analizi
- Adli Bellek
- Kötü Amaçlı Yazılım Algılama
- Web Etki Alanı Analizi
- Ağ etkileşimleri Analizi
- Hata Ayıklama ve Hata Ayıklayıcı
- Kötü amaçlı URL’leri analiz edin
- Sandbox Tekniği
Statik Kötü Amaçlı Yazılım Analizi Nedir?
Bu prosedür, farklı ikili bileşenlerin çıkarılmasını ve incelenmesini ve bir yürütülebilir dosyanın statik davranışsal indüksiyonlarını içerir, örneğin, Örnekleri yürütmeden API başlıkları, Yönlendirilen DLL’ler, PE alanları ve benzeri tüm varlıklar.
Normal sonuçlardan herhangi bir sapma oluştuğunda statik incelemede kaydedilir ve aynı şekilde karar verilir. statik analiz kötü amaçlı yazılımı çalıştırmadan yapılır, oysa dinamik analiz kötü amaçlı yazılımın kontrollü bir ortamda yürütülmesiyle gerçekleştirilmiştir.
1.demontaj – Kaynak kodu farklı bir ortamda derlenerek programlar yeni bilgisayar platformlarına taşınabilir.
2. Dosya Parmak İzi – bir ağdaki verileri tanımlamak ve izlemek için ağ veri kaybını önleme çözümleri
3.Virüs Taraması -Virüs tarama araçları ve kötü amaçlı yazılım ve virüs temizleme talimatları. Kötü amaçlı yazılımları, virüsleri, casus yazılımları ve diğer tehditleri kaldırın. ör: VirusTotal, Yük Güvenliği
4. Bellek yapılarını analiz etme – Hafızayı parçalamak için harcanan süre boyunca, örneğin eski nadirlikler[RAM dump, pagefile.sys, hiberfile.sys] müfettiş, Hileli Sürecin Belirlenmesine başlayabilir
5. Paketleyici Algılama – Paketleyicileri, şifreleyicileri, Derleyicileri, Paketleyicileri Scrambler, Marangozları, Yükleyicileri Algılamak için kullanılan Paketleyici Algılama.+ Yeni Semboller+.
Statik Kötü Amaçlı Yazılım analiz Araçları
Hibrit-analiz
virüstotal.com
BinText
Bağımlılık Yürüteç
IDA
Md5derin
PEiD
Exeinfo PE
RDG Paketleyici
D4nokta
PEview
Dinamik Kötü Amaçlı Yazılım Analizi Nedir?
Dinamik analiz her zaman bir analistin ilk yaklaşımı olmalıdır. kötü amaçlı yazılım keşfetmek işlevsellik. dinamik analizde, bir sanal makine kötü amaçlı yazılım analizi yapmak için bir yer olarak kullanılacaktır.
Ek olarak, kötü amaçlı yazılım, kötü amaçlı yazılım korumalı alanı ve kötü amaçlı yazılımın izleme süreci ve kötü amaçlı yazılım tarafından yapılan analiz paketleri verileri kullanılarak analiz edilecektir.
Sanal Ortamda önemli bir husus
Kötü Amaçlı Yazılımdan kaçmamak için çevreyi izole etmek çok önemlidir.
- tek yol (yürütme izi) incelenir
- analiz ortamı muhtemelen görünmez değil
- analiz ortamı muhtemelen kapsamlı değil
- ölçeklenebilirlik sorunları
- analiz ortamını hızlı bir şekilde geri yüklemeye izin verin
- algılanabilir (x86 sanallaştırma sorunları)
Dinamik analiz araçları:
procmon
Süreç araştırmacısı
Anubis
Comodo Anında Kötü Amaçlı Yazılım Analizi
Proses İzlemeKayıt Görüntüsü
DNS dışında
OllyDbg
Regshot
ağ kedisi
Tel köpekbalığı
Kötü Amaçlı Yazılım Analizi Eğitimleri – Adli Bellek
Fiziksel bellekte bulunan geçici bellek yapıları. geçici bellek Adli sistemin çalışma zamanı durumu hakkında değerli bilgiler içerir, geleneksel adli analizden elde edilen yapıtları bağlama yeteneği sağlar (ağ, dosya sistemi, kayıt defteri).
- tüm sistem belleği aralığını büyütün (API çağrılarına güvenmeyin).
- Bir işlemin yüklenen DLL’leri, EXE’leri, yığınları ve yığınları dahil, bir işlemin tüm adres alanını diske görüntüleyin.
- Belirli bir sürücüyü veya belleğe yüklenen tüm sürücüleri diske aktarın.
- İşlem adres alanındaki EXE ve DLL’leri karma hale getirin (MD5, SHA1, SHA256.)
- EXE’lerin ve DLL’lerin (disk tabanlı) dijital imzalarını doğrulayın.
- İşlem bazında bellekteki tüm dizeleri çıktılayın.
Önemli Araçlar
- WinDbg –Windows sistemleri için çekirdek hata ayıklayıcı
- Fark – Volatilite kullanarak analiz bölümlerini otomatikleştirmek için bir komut dosyası
- DAMM –Volatilite üzerine kurulu Bellekteki Kötü Amaçlı Yazılımların Diferansiyel Analizi
- FindAES –Bellekte AES şifreleme anahtarlarını bulun
- oynaklık — Gelişmiş bellek adli tıp çerçevesi
Kötü Amaçlı Yazılım Algılama
İmzaya Dayalı veya Kalıp Eşleştirme: İmza, belirli bir virüsü benzersiz şekilde tanımlayan bir algoritma veya karmadır (metin dizisinden türetilen bir sayı).
Sezgisel Analiz veya Pro-Aktif Savunma: Buluşsal tarama, belirli imzaları aramak yerine, bir program içinde tipik uygulama programlarında bulunmayan belirli yönergeleri veya komutları araması dışında, buluşsal taramaya benzer.
Kurala Dayalı: Analizi yürüten buluşsal motorun bileşeni (analizör) bir dosyadan belirli kuralları çıkarır ve bu kurallar kötü amaçlı kod için bir dizi kuralla karşılaştırılır.
Davranışsal Engelleme: Şüpheli davranış yaklaşımı, aksine, bilinen virüsleri tanımlamaya çalışmaz, bunun yerine tüm programların davranışını izler.
Ağırlık Bazlı: Oldukça eski tarz bir yaklaşım olan ağırlık tabanlı bir sistem üzerine kurulu bir buluşsal motor, tespit ettiği her bir işlevselliği belirli bir ağırlıkla tehlike derecesine göre derecelendirir.
Kum havuzu: dosyanın ne yaptığını görmek için kontrollü bir sanal sistemde (veya “korumalı alan”) çalışmasına izin verir.
Kötü amaçlı yazılım analizi eğitimlerinde önemli Araçlar
- YARA – Analistler için kalıp eşleştirme aracı.
- Yara kuralları oluşturucu – Bir dizi kötü amaçlı yazılım örneğine dayalı olarak YARA kuralları oluşturun. Ayrıca, yanlış pozitiflerden kaçınmak için iyi bir DB dizesi içerir.
- Dosya Tarama Çerçevesi – Modüler, özyinelemeli dosya tarama çözümü.
- derin karma – Çeşitli algoritmalarla özet karmalarını hesaplayın.
- Loki – IOC’ler için ana bilgisayar tabanlı tarayıcı.
- Arıza – Kötü amaçlı yazılımları bir işlev düzeyinde kataloglayın ve karşılaştırın.
- MASTIFF – Statik analiz çerçevesi.
Web Etki Alanı Analizi
Bunda Kötü Amaçlı Yazılım Analizi Eğitimleri, Alan analizi bir yazılım mühendisinin arka plan bilgilerini öğrendiği, etki alanlarını ve IP adreslerini incelediği süreçtir.
Etki alanı analizi, bulduğunuz bilgilerin kısa bir özetini ve başkalarının bu bilgileri bulmasını sağlayacak referansları içermelidir.
Önemli Araçlar
- SpamCop – IP tabanlı spam engelleme listesi.
- SpamHaus – Etki alanlarına ve IP’lere dayalı engelleme listesi.
- Sucuri SiteCheck – Ücretsiz Web Sitesi Kötü Amaçlı Yazılım ve Güvenlik Tarayıcısı.
- TekDefense Automatic – URL’ler, IP’ler veya karmalar hakkında bilgi toplamak için OSINT aracı.
- URLQuery – Ücretsiz URL Tarayıcı.
- IPinfo – Çevrimiçi kaynakları arayarak bir IP veya etki alanı hakkında bilgi toplayın.
- Whois – DomainTools ücretsiz çevrimiçi whois araması.
- posta denetleyicisi – Diller arası geçici e-posta algılama kitaplığı.
Ağ etkileşimlerine Dayalı Kötü Amaçlı Yazılım Analizi Eğitimleri
Daha genel ağ trafiği analizi için kapsamlı platformu izleyerek ağ güvenliğine odaklanırken.
Ağ üzerinde herhangi bir trafik oluşturmadan işletim sistemlerini, oturumları, ana bilgisayar adlarını, açık portları vb. tespit etmek için pasif bir ağ dinleyicisi/paket yakalama aracı.
Ethernet, PPP, SLIP, FDDI, Token Ring ve boş arabirimler arasında IPv4/6, TCP, UDP, ICMPv4/6, IGMP ve Raw ve daha yaygın paket koklama ile aynı şekilde BPF filtre mantığını anlar.
Önemli Araçlar
- Tcpdump – Ağ trafiğini toplayın.
- tcpick – Ağ trafiğinden TCP akışlarını takip edin ve yeniden birleştirin.
- tcpxtract – Dosyaları ağ trafiğinden çıkarın.
- Wireshark – Ağ trafiği analiz aracı.
- CapTipper – Kötü amaçlı HTTP trafik gezgini.
- Chopshop – Protokol analizi ve kod çözme çerçevesi.
- CloudShark – Paket analizi ve kötü amaçlı yazılım trafiği algılaması için web tabanlı araç
Hata Ayıklama ve Hata Ayıklayıcı
Kötü amaçlı yazılım analizi eğitimlerinde, Hata Ayıklayıcılar, kodun düşük düzeyde analizine izin veren kullanışlı kötü amaçlı yazılım analiz araçlarından biridir. Hata ayıklayıcının en önemli işlevlerinden biri kesme noktasıdır.
Bir kesme noktasına ulaşıldığında, programın yürütülmesi durdurulur ve kontrol hata ayıklayıcıya verilir, böylece o sırada ortamın kötü amaçlı yazılım analizine izin verilir.
Hata ayıklayıcı, bu amaç için özel olarak tasarlanmış Merkezi İşlem Birimi (CPU) olanaklarını kullanan bir yazılım parçasıdır.
Hata ayıklayıcı, bir programın görevlerini nasıl gerçekleştirdiğine ilişkin içgörü sağlar, kullanıcının yürütmeyi denetlemesine olanak tanır ve hata ayıklanan programın ortamına erişim sağlar.
Bu, kötü amaçlı yazılımları analiz ederken çok yardımcı olabilir, çünkü kurcalamayı nasıl algılamaya çalıştığını görmek ve bilerek girilen çöp talimatlarını atlamak mümkün olacaktır.
Önemli Araçlar
- obj dump – Linux ikili dosyalarının statik analizi için GNU Binutils’in bir parçası.
- OllyDbg – Windows yürütülebilir dosyası için bir derleme düzeyinde hata ayıklayıcı
- FPort – Raporlar, canlı bir sistemde TCP/IP ve UDP bağlantı noktalarını açar ve bunları sahip olunan uygulamayla eşler.
- GDB – GNU hata ayıklayıcı.
- IDA Pro – Ücretsiz bir değerlendirme sürümü ile Windows ayrıştırıcı ve hata ayıklayıcı.
- Bağışıklık Hata Ayıklayıcı – Bir Python API ile kötü amaçlı yazılım analizi ve daha fazlası için hata ayıklayıcı.
Kötü amaçlı URL’leri analiz edin
Günümüzde web siteleri, güvenlik açıklarından yararlanan çeşitli tehditlere maruz kalmaktadır. Güvenliği ihlal edilmiş bir web sitesi bir sıçrama tahtası olarak kullanılacak ve saldırganların kötü amaçlarına hizmet edecektir.
Örneğin, URL yeniden yönlendirme mekanizmaları, web tabanlı saldırıları gizlice gerçekleştirmenin bir yolu olarak yaygın olarak kullanılmaktadır.
yeniden yönlendirme erişim hedeflerinin otomatik olarak değiştirilmesini ifade eder ve genellikle web üzerindeki bir HTTP protokolü tarafından kontrol edilir.
Bu geleneksel yönteme ek olarak, harici web içeriğine otomatik olarak erişmeye yönelik diğer yöntemler, örn. iframe etiketi, özellikle web tabanlı saldırılar için sıklıkla kullanılmaktadır.
Önemli Araçlar
- Firebug – Web geliştirme için Firefox uzantısı.
- Java Decompiler – Java uygulamalarını yeniden derleyin ve inceleyin.
- jsunpack-n – Tarayıcı işlevselliğini taklit eden bir javascript paket açıcı.
- Krakatau – Java kod çözücü, derleyici ve ayrıştırıcı.
- Malzilla – Kötü niyetli web sayfalarını analiz edin.
Sandbox Tekniği
Korumalı alan, programları ayıran, kötü niyetli veya başarısız projelerin PC’nizde kalan her şeye zarar vermesini veya gözetlemesini engelleyen kritik bir güvenlik sistemidir.
Kullandığınız ürün şu anda her gün çalıştırdığınız kodun önemli bir bölümünü korumalı alana alıyor.
Korumalı alan, projelerin yürütülebileceği, sıkı bir şekilde kontrol edilen bir durumdur. Korumalı alanlar, bir parça kodun yapabileceklerini sınırlar, buna benzer şekilde, fazladan yetkilendirmeler eklemeden ihtiyaç duyduğu sayıda izin vererek kötüye kullanılabilir.
Önemli Araçlar
- firmware.re – Hemen hemen tüm yazılım paketlerini açar, tarar ve analiz eder.
- Hibrit Analiz – VxSandbox tarafından desteklenen çevrimiçi kötü amaçlı yazılım analiz aracı.
- IRMA – Şüpheli dosyalar için eşzamansız ve özelleştirilebilir bir analiz platformu.
- Cuckoo Sandbox – Açık kaynak, kendi kendine barındırılan sanal alan ve otomatik analiz sistemi.
- guguk kuşu – GPL altında yayınlanan Cuckoo Sandbox’ın değiştirilmiş versiyonu.
- PDF Examiner – Şüpheli PDF dosyalarını analiz edin.
- ProcDot – Grafiksel kötü amaçlı yazılım analiz araç takımı.
- Yeniden Oluşturucu – İkili dosyaları güvenli bir şekilde korumalı alan sitelerine yüklemek için bir yardımcı komut dosyası.
- Sand droid – Otomatik ve eksiksiz Android uygulama analiz sistemi.
Çözüm
Bunda kötü amaçlı yazılım analizi çevrimiçi öğreticileri, kötü amaçlı yazılımı analiz etmenin çeşitli yöntemlerini ve kötü amaçlı yazılımı analiz etmek için kullanılan çeşitli araç türlerini tanımladık. sınırlı değil, burada tam olarak kullanabilirsiniz kötü amaçlı yazılım analiz araçları.