99 101 121 104 117 110 32 58 47
Kendim için aldığım notlar belki sizler için de yararlı olur. TWVyYWsgYmlsZ2l5ZSBna WRlbiB5b2xkYSBlbiDDtm5 lbWxpIGFkxLFtZMSxci4=
Home Yaralı İpuçları Malware Analiz Araçları ve Kullanım Örnekleri

Malware Analiz Araçları ve Kullanım Örnekleri


Statik Analiz Araçları

  • Pe File
    • Dependency Walker
    • Linux Command
    • Disassambler

Uzantısına Göre Kulanılacak Araçlar

  • Powershell
    • Python Code
    • Linux Command
  • DLL
    • DLL Decompiler
  • Office File
    • Olevba
    • Oledump
  • PDF
    • Pdfid
    • PdfScan
    • ExtractJS
  • Python
    • Python Decompile
  • .NET
    • dotPeek
  • JAVA
    • JD Project

Dinamik Analiz Araçları

  • Sysinternals Tools
    • Network Tools
      • TcpView
    • ProcessTools
      • Process Monitor
      • Process Explorer
      • ListDLLs
    • Registry Tools
      • Autoruns
  • Diğer Araçlar
    • RegShot
    • WireShark
  • Online Malware Platformaları

 

Statik Analiz

  • Dosya çalıştırmadan yapılır.
  • Dosya yapısı incelenir.
  • Disasembly ile assembly dilinde tersine mühendislik yapılır.
  • Malware’in işlemleri nasıl gerçekleştirdiği araştırılır.
  • Kural setleri oluşturulmasında oldukça önemlidir.

Dinamik Analiz

  • Zararlı çalıştırılır ve analiz öyle gerçekleştirilir.
  • Sandbox gibi ortamlar kullanıcılır.
  • Real-Time izleme ile zararlının davranışları incelenir.
  • Zararlının yaptığı işlemler (register kayıt ekleme, dosya oluşturma, network trafiği) tespit edilir.

Tshark Kullanım Örnekleri

  • tshark -r xyz.pcap “tcp.port==80”
  • tshark -r xyz.pcap -T fields -e http.host | sort
  • tshark -r xyz.pcap -T fields -n -e dns.qry.name | sort
  • tshark -r xyz.pcap -T fields -e http.host -e http.request.uri| sort
  • tshark -r xyz.pcap -T fields -e http.host -e http.request.uri -Y ‘http.equest.method==”GET” ‘
  • tshark -r xyz.pcap -T fields -e http.host -Y http.user_agent | sort
  • tshark -r xyz.pcap -T fields -e ip.src | sort | uniq
  • tshark -r xyz.pcap -T fields -e ip.dst -Y “ip.dst==10.100.1..2” > dst.txt
  • tshark -r xyz.pcap -qz conv, tcp
  • tshark -r xyz.pcap -qz dns, tree
  • tshark -r xyz.pcap -T fields -Y “udp” -e tcp.srcport -e tcp.dstport

En çok ziyaret edilen 10 Site

tshark -r xyz.pcap -T fields -e http.host -r ‘%s’ | sort | uniq -c | sort -nr

Tüm uri istekleri

tshark -r xyz.pcap -T fields -e http.host -e http.request.uri -Y ‘http.request.method == \”GET\”‘ -r ‘%s’ | sort | uniq”

User Agent Listesi

tshark -r xyz.pcap -Y ‘http contains \”User-Agent:\”‘ -T fields -e http.user_agent -r ‘%s’ | sort | uniq -c | sort -nr”

Bağlantı Detayları

tshark -r ‘%s’ -qz io,stat,10,tcp,udp,icmp,ip,smtp,smb,arp,browser”

TCP

tshark -r xyz.pcap ‘%s’ -qz conv,tcp”

UDP

tshark -r ‘%s’ -qz conv,ip”

IP

tshark -r ‘%s’ -qz conv,ip”

tcpdump -nn -r ‘%s’ -p ‘tcp or udp’ | awk -F’ ‘ ‘{print $5}’ | awk -F’.’ ‘{print $5}’ | sed ‘s/:/ /g’ | sort | uniq -c | sort -n

Tüm IP Adreslerinin Listelenmesi

tcpdump -nn -r ‘%s’ -p ‘tcp or udp’

Web Atak Tespiti

sql = [‘UNION’, ‘SELECT’, ‘CONCAT’, ‘FROM’, ‘union’, ‘select’, ‘@@version’, ‘substring’, ‘information’,

‘table_name’, ‘from’, ‘convert’, ‘concat’]

xss = [‘%3Cscript%3E’, ‘ALeRt’, ‘ScriPt’, ‘<script>’, ‘</script>’, ‘alert(\’xss\’)’, ‘XSS’, ‘xss’,

‘alert(‘, ‘\’;alert’, ‘onerror’, ‘document.cookie’, ‘onmouseover’, ‘<img>’, ‘<SCRIPT>’,

‘SCscriptIPT’, ‘scSCRIPTipt’, ‘onfocus=alert’, ‘alALERTert’, ‘String.fromCharCode’]

lfi = [‘../../’, ‘..//..//’, ‘../’, ‘/etc/passwd’, ‘/etc/’, ‘/proc/self/environ’, ‘%00’,

‘php://filter/convert.base64-encode/resource=’, ‘cat /etc/passwd’, ‘system()’, ‘exec()’,

‘whoami’] # & Code Exec

Memory Analizi

Memory dump alma işlemi, Dumpit aracı kullanılarak gerçekleştirilir.

Volality ile Memory Dump Analizi

python2.7 vol.py -f ../bilgisayarmemoryimaji.raw imageinfo

imageinfo bu memory dump’ının hangi işletim sisteminden alındığını tespit için kullanılır.

python2.7 vol.py -f ../bilgisayarmemoryimaji.raw –profile Win10x64 pslist

python2.7 vol.py -f ../bilgisayarmemoryimaji.raw –profile Win10x64 dlllist

python2.7 vol.py -f ../memdump.mem –profile Win10x64 malfind

python2.7 vol.py -f ../memdump.mem –profile Win10x64 malfind -p pidnumarası

python2.7 vol.py -f ../memdump.mem –profile Win10x64 procdump -p pidnumarası –dump-dir=/tmp/dmp

python2.7 vol.py -f ../memdump.mem –profile Win10x64 netscan

python2.7 vol.py -f ../memdump.mem –profile Win10x64 netscan | grep -E “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” -o > ipliste.txt | sort |uniq

Office Dosyaları Malware Analizi

Oledump ve Olevba araçaları ile inceleme yapılır.

python oledump.py makrolu.doc

python oledump.py makrolu.doc -s 8 v

olevba makrolu.doc

Leave a Comment

* By using this form you agree with the storage and handling of your data by this website.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy