binary man

PEframe ile Zararlı Yazılımlar üzerinde Statik Analiz Gerçekleştirmek

Merhaba

Analiz edilecek olan Portable Executable hakkında temel bilgileri elde etmek, zararlı yazılım analizi sürecinin OSINT aşaması sayılabilir. Bu nedenle “hedef” olarak nitelendirdiğimiz zararlı yazılım hakkında mümkün mertebe tüm bilgileri etmek önemlidir.

Bu işlem için PEframe isimli açık kaynak kodlu araç kullanılabilir. 

PEframe özellikleri ve Kurulum

PEframe aracı, test edilen zararlı yazılım üzerinde aşağıdaki durumları analiz edebilmektedir.

  • Import table
  • Export table
  • String ifadelerin tespiti
  • Section bilgileri
  • Xor, Sign, Packer, Anti Debug, Anti VM tespiti
  • Dosya boyutu, compile time, Digital Signature vb bilgiler
  • API tespiti

PEframe aracının kurulumu bir git komutu kadar kolaydır.

Bu komut sonrası peframe kullanıma hazır durumdadır.

Örnek kullanım

Örnek olarak internetten rastgele indirdiğim bir zararlı yazılımı ele aldım.

 Bu testleri her ihtimale karşı Kali üzerinde gerçekleştirmenizi öneriyorum. Herhangi yanlış bir çift tıklama Windows kullanıcılarını mağdur edebilir.

Şimdiyse bu zararlı yazılımı peframe aracına verelim.

Çıktıyı analiz ettiğimizde, test edilen uygulamayı dış hatları ile tanımış oluyoruz. Örneğin 2007 Microsoft Office system meta data bilgisi bulunan bu uygulama internet üzerinde Word Converter olarak lanse edilmekte ve orjinal adı WordConv.exe.  Ayrıca  VMCheck.dll ile Anti-VM özelliği bulunmakta.