Practical Malware Analiz serisine kaldığımız yerden devam ediyoruz.
İlk olarak bize verilen sorulara bakalım.
1 – Dosyayı VirusTotal’e yüklememiz ve incelememiz isteniyor.
71 adet AntiVirus’ten 54 tanesi zararlı yazılımı tespit ediyor.
Details kısmına baktığımızda programın hashlerini, oluşturulma tarihini ve packer bilgisi gibi bazı bilgileri görebiliyoruz.
2 – Programın paketlenip paketlenmediğini incelememiz isteniyor.
VirusTotal üzerinden görmüştük fakat programı DİE aracı ile açtığımızda FSG(1.0) ile paketlendiğini görebiliyoruz. Programı unpack edecek hazır bir tool yok. Programı unpack etmek için dinamik olarak analiz etmeden yani manuel olarak analiz etmeden unpack edemeyiz. Bu yüzden dinamik analiz kısmını ilerleyen lablarda göreceğimiz için bunu burada bu şekilde bırakacağız. Şuan biz statik analiz yapıyoruz.
3 – Zararlı yazılımın neler yaptığını tespit etmemiz isteniyor.
Yazılımı unpack etmediğimiz için sadece LoadLibraryA ve GetProcAdress işlevlerini görüyoruz. Bu işlevler ile programın paketlendiğini anlayabiliriz. Dinamik olarak analiz etmeden elde edebileceğimiz bilgiler bu şekilde kısıtlı olacak.
4 – Zararlı yazılımın ağ tabanlı herhangi bir göstergesinin olup olmadığını incelememiz isteniyor.
Yazılımı unpack etmediğimiz için herhangi bir veri elde edemiyoruz. İlerleyen lab çözümlerinde dinamik analiz konusuna gireceğimiz için bu çözüme tekrar geleceğiz. Şimdilik elde edeceğimiz bilgiler bu kadar.
Yazızının Medium Linki >> Pratical Malware Analysis Lab 1–3
Başka çözümlerde görüşmek üzere.
