Statik Analiz Araçları
-
Pe File
- Dependency Walker
- Linux Command
- Disassambler
Uzantısına Göre Kulanılacak Araçlar
-
Powershell
- Python Code
- Linux Command
-
DLL
- DLL Decompiler
-
Office File
- Olevba
- Oledump
-
PDF
- Pdfid
- PdfScan
- ExtractJS
-
Python
- Python Decompile
-
.NET
- dotPeek
-
JAVA
- JD Project
Dinamik Analiz Araçları
-
Sysinternals Tools
-
Network Tools
- TcpView
-
ProcessTools
- Process Monitor
- Process Explorer
- ListDLLs
-
Registry Tools
- Autoruns
-
-
Diğer Araçlar
- RegShot
- WireShark
- Online Malware Platformaları
Statik Analiz
- Dosya çalıştırmadan yapılır.
- Dosya yapısı incelenir.
- Disasembly ile assembly dilinde tersine mühendislik yapılır.
- Malware’in işlemleri nasıl gerçekleştirdiği araştırılır.
- Kural setleri oluşturulmasında oldukça önemlidir.
Dinamik Analiz
- Zararlı çalıştırılır ve analiz öyle gerçekleştirilir.
- Sandbox gibi ortamlar kullanıcılır.
- Real-Time izleme ile zararlının davranışları incelenir.
- Zararlının yaptığı işlemler (register kayıt ekleme, dosya oluşturma, network trafiği) tespit edilir.
Tshark Kullanım Örnekleri
- tshark -r xyz.pcap “tcp.port==80”
- tshark -r xyz.pcap -T fields -e http.host | sort
- tshark -r xyz.pcap -T fields -n -e dns.qry.name | sort
- tshark -r xyz.pcap -T fields -e http.host -e http.request.uri| sort
- tshark -r xyz.pcap -T fields -e http.host -e http.request.uri -Y ‘http.equest.method==”GET” ‘
- tshark -r xyz.pcap -T fields -e http.host -Y http.user_agent | sort
- tshark -r xyz.pcap -T fields -e ip.src | sort | uniq
- tshark -r xyz.pcap -T fields -e ip.dst -Y “ip.dst==10.100.1..2” > dst.txt
- tshark -r xyz.pcap -qz conv, tcp
- tshark -r xyz.pcap -qz dns, tree
- tshark -r xyz.pcap -T fields -Y “udp” -e tcp.srcport -e tcp.dstport
En çok ziyaret edilen 10 Site
tshark -r xyz.pcap -T fields -e http.host -r ‘%s’ | sort | uniq -c | sort -nr
Tüm uri istekleri
tshark -r xyz.pcap -T fields -e http.host -e http.request.uri -Y ‘http.request.method == \”GET\”‘ -r ‘%s’ | sort | uniq”
User Agent Listesi
tshark -r xyz.pcap -Y ‘http contains \”User-Agent:\”‘ -T fields -e http.user_agent -r ‘%s’ | sort | uniq -c | sort -nr”
Bağlantı Detayları
tshark -r ‘%s’ -qz io,stat,10,tcp,udp,icmp,ip,smtp,smb,arp,browser”
TCP
tshark -r xyz.pcap ‘%s’ -qz conv,tcp”
UDP
tshark -r ‘%s’ -qz conv,ip”
IP
tshark -r ‘%s’ -qz conv,ip”
tcpdump -nn -r ‘%s’ -p ‘tcp or udp’ | awk -F’ ‘ ‘{print $5}’ | awk -F’.’ ‘{print $5}’ | sed ‘s/:/ /g’ | sort | uniq -c | sort -n
Tüm IP Adreslerinin Listelenmesi
tcpdump -nn -r ‘%s’ -p ‘tcp or udp’
Web Atak Tespiti
sql = [‘UNION’, ‘SELECT’, ‘CONCAT’, ‘FROM’, ‘union’, ‘select’, ‘@@version’, ‘substring’, ‘information’,
‘table_name’, ‘from’, ‘convert’, ‘concat’]
xss = [‘%3Cscript%3E’, ‘ALeRt’, ‘ScriPt’, ‘<script>’, ‘</script>’, ‘alert(\’xss\’)’, ‘XSS’, ‘xss’,
‘alert(‘, ‘\’;alert’, ‘onerror’, ‘document.cookie’, ‘onmouseover’, ‘<img>’, ‘<SCRIPT>’,
‘SCscriptIPT’, ‘scSCRIPTipt’, ‘onfocus=alert’, ‘alALERTert’, ‘String.fromCharCode’]
lfi = [‘../../’, ‘..//..//’, ‘../’, ‘/etc/passwd’, ‘/etc/’, ‘/proc/self/environ’, ‘%00’,
‘php://filter/convert.base64-encode/resource=’, ‘cat /etc/passwd’, ‘system()’, ‘exec()’,
‘whoami’] # & Code Exec
Memory Analizi
Memory dump alma işlemi, Dumpit aracı kullanılarak gerçekleştirilir.
Volality ile Memory Dump Analizi
python2.7 vol.py -f ../bilgisayarmemoryimaji.raw imageinfo
imageinfo bu memory dump’ının hangi işletim sisteminden alındığını tespit için kullanılır.
python2.7 vol.py -f ../bilgisayarmemoryimaji.raw –profile Win10x64 pslist
python2.7 vol.py -f ../bilgisayarmemoryimaji.raw –profile Win10x64 dlllist
python2.7 vol.py -f ../memdump.mem –profile Win10x64 malfind
python2.7 vol.py -f ../memdump.mem –profile Win10x64 malfind -p pidnumarası
python2.7 vol.py -f ../memdump.mem –profile Win10x64 procdump -p pidnumarası –dump-dir=/tmp/dmp
python2.7 vol.py -f ../memdump.mem –profile Win10x64 netscan
python2.7 vol.py -f ../memdump.mem –profile Win10x64 netscan | grep -E “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” -o > ipliste.txt | sort |uniq
Office Dosyaları Malware Analizi
Oledump ve Olevba araçaları ile inceleme yapılır.
python oledump.py makrolu.doc
python oledump.py makrolu.doc -s 8 v
olevba makrolu.doc