Fatih Erdogan

LordPE ile Dosya Analizi

Introduction

Security

LordPE ile Dosya Analizi

Posted by Fatih Erdogan on .
Featured

Security

LordPE ile Dosya Analizi

Posted by Fatih Erdogan on .

Merhaba, Bu yazıda LordPE ve strings araçlarını kullanarak, basit bir şekilde çalışan bir uygulamayı analiz ederek bilgi edinmeye çalışacağız.

LordPE ile Dosya Analizi

Bir önceki yazıda UPX ile Manual Unpack etmeyi incelemiştik.Dolayısıyla Packing-Packed gibi kavramlara da değinmiştik.

Zararlı yazılımlar geliştirilirken genellikle packlenerek veya kaynak kodu obfuscated edilerek statik analiz zorlaştırılır.Bunu çözümlemek için, zararlı yazılımı çalıştırmak ve yarattığı RAM görüntüsünü analiz etmek gerekir.(Ram görüntüsünden kastettiğimiz şey sisteme verdiği zarar ve yüklediği yük anlamında.) Analiz edeceğimiz program message.exe. Açılışta bizden parola istiyor.Yanlış parola girdiğimizde Fail! çıktısı veriyor.

L1

DIE ile inceleyelim.

L2

Program MPRESS ile packlenmiş.Bu yazıdaki amacımız unpack etmek olmadığı için bu konuya değinmiyorum. Programın içindeki kelimelere bakalım.Bunun için SysInternal aracı olan strings.exe’den yararlanacağız.

L3

Programda bizden istenen parolaya dair anlamlı bir string’e rastlamadık.Hatta “Enter the password:” yazısına bile rastlamadık. Bu durum bize programın RAM içinde çalışan message.exe olmasa bile okunabilir stringlerin olduğunu düşündürmeli.

LordPE ile programın RAM’deki imajını dump edelim.

L4

dump full’e tıklayarak dump alalım.Programın olduğu dizede dumped.exe oluşmuş olması lazım. Ardından aynı şekilde dumped.exe nin içindeki stringlere strings.exe aracı ile bakalım.

L5

Hemen gözünüze çarpmıştır, parola açık bir şekilde önümüzde :)

L6

Gördüğünüz gibi “Password correct!” mesajına başarılı bir şekilde ulaştık.

Başka bir yazıda görüşmek üzere.

user

Fatih Erdogan

http://ferdogan.net

PRODAFT/INVICTUS Europe