Statik Zararlı Yazılım Analiz Araçları
Windows sistemler, veri gönderilmesini ve verilerin alınmasını üstü kapalı bir şekilde yapmaktadır. İnternet trafiğinin incelenebilmesi için bazı özel araçlara ihtiyaç duyulmaktadır. Bu yazımızda, statik zararlı yazılım analizleri hakkında bilgi edinebilirsiniz.
24.03.2014 tarihli yazı 15678 kez okunmuştur.
Zararlı yazılım geliştircileri, sistemlerin istismar edilmesi ve atlatılabilmesi için geliştirdikleri zararlıları, hiyerarşik bir yapıda geliştirmektedirler. Zararlı yazılımların davranışsal analizinin yapılması, kurduğu network bağlantılarının belirlenmesi, tersine mühendislik yöntemleri kullanılarak incelenmesi önemlidir. Bu noktada statik zararlı yazılım analizleri için geliştirilmiş olan araçlar bizlere hedef sistem hakkında analiz için gereken bilgiyi sunmaktadırlar.
Windows 95, 98, Me, Nt, 2000, Xp, 2003, Vista, 7 ve 8 sürümlerinde çalışan Dependency Walker adlı uygulama, zararlı yazılımların statik analizleri için önemli bir araçtır. Windows 32 bit ve 64 bit sistemlerde çalışan bu uygulama, modülleri tarayarak (exe, dll, ocx, sys, etc.) tüm bağımlı modüller hakkında hiyerarşik bir ağaç şeması oluşturur. Ayrıca ücretsiz bir uygulamadır. Dosyanın tam yolu dahil her dosya hakkında detaylı bilgilerle birlikte, gerekli dosyaları asgari kümesi görüntüler. Taban adresi, sürüm numaraları, makine tipi, hata ayıklama bilgileri ve daha fazlasını göstermektedir.
Eksik modüller, geçersiz modülleri, import / export uyumsuzlukları, dairesel bağımlılık hataları, modül eşleşmeyen makine tipleri, modül ve başlatma hataları gibi pek çok yaygın uygulama sorunları algılar. Yüklenmesiyle ilgili sistem hataları giderme ve modülleri yürütülmesi için çok yararlıdır. Windows CE için tasarlanmış olanlar da dahil olmak üzere, Windows modülü. Bu grafik uygulama olarak veya bir konsol uygulaması olarak çalıştırılabilir. Dependency Walker örtülü, açık (dinamik / çalışma dahil) modülü bağımlılıkları, her türlü, iletilen, gecikme yüklü ve enjekte işler. Ayrıntılı bir yardım dahildir. Uygulamanın ücretsiz sürümüne buradan ulaşabilirsiniz.
PEview 32-bit Portable Executable (PE) ve Bileşen Nesne Dosyası Biçimi (COFF) dosyaları yapısı ve içeriği görüntülemek için hızlı ve kolay bir yol sağlar. Bu PE / COFF dosya görüntüleyici görüntüler başlık, bölüm, dizin, import tablosu, table ve EXE içinde kaynak bilgileri, DLL, OBJ, TK, DBG, ve diğer dosya türlerini görüntülüyebilirsiniz. Uygulanın ücretsiz sürümüne buradan ulaşabilirsiniz.
► İlginizi Çekebilir: Zararlı Yazılımların Bulaşma Yolları
PEiD PE dosyalar için en yaygın Packers, Crypters ve derleyicileri algılar. Şu anda PE dosyalarını 470 farklı imza ile algılayabilir. Peid sezgisel arayüzüne ek olarak, onun fonksiyonları da komut satırı üzerinden erişilebilir ve ayrıntılı belgeler kullanıcıların uygun komutlar ve parametreler ile yardımcı olabilir. PEiD de kullanıcıların aynı anda çalışan süreçleri keşfetmek ve tek bir fare tıklaması ile bunları sona erdirmek için izin verir. Ayrıca bir HEX görüntüleyici ve bir görev yöneticisine sahip iken bunu özetlemek için, PEiD PE dosyaları tarama ve paketleme ve derleyicilerini belirleyebilen birçok özellik dolu bir uygulamadır. PEiD üç farklı tarama yöntemlemi , farklı bir amaç için uygun gelmektedir. Normal bir bütün dahil imzaların için giriş noktasında kullanıcı tarafından belirtilen PE dosyalarını tarar. Uygulamanın ücretsiz sürümüne buradan ulaşabilirsiniz.
TCPView sizlere yerel ve uzak adresler ve TCP bağlantı durumu da dahil olmak üzere sisteminizdeki tüm TCP ve UDP uç noktaları ayrıntılı listeleri, gösterecek bir Windows programıdır. Zararlı yazılım analizleri yaparken zararlının yaptığı, network davranışları hakkında bilgi toplayabilirsiniz. Uygulamanız ücretsiz sürümüne buradan ulaşabilirsiniz.
Statik zararlı yazılım analizlerinin yapılabilmesi için geliştirilmiş; açık kaynak daha bir çok uygulama bulunmaktadır. Zararlı yazılımlar analiz edilirken, statik analiz için kullanılan uygulamalar; hafıza analizi ve dinamik analiz için kullanılan araçlar ile birlikte tersine mühendislik yöntemleri; zararlının analizini kolaylaştırmaktadır.
Eksik modüller, geçersiz modülleri, import / export uyumsuzlukları, dairesel bağımlılık hataları, modül eşleşmeyen makine tipleri, modül ve başlatma hataları gibi pek çok yaygın uygulama sorunları algılar. Yüklenmesiyle ilgili sistem hataları giderme ve modülleri yürütülmesi için çok yararlıdır. Windows CE için tasarlanmış olanlar da dahil olmak üzere, Windows modülü. Bu grafik uygulama olarak veya bir konsol uygulaması olarak çalıştırılabilir. Dependency Walker örtülü, açık (dinamik / çalışma dahil) modülü bağımlılıkları, her türlü, iletilen, gecikme yüklü ve enjekte işler. Ayrıntılı bir yardım dahildir. Uygulamanın ücretsiz sürümüne buradan ulaşabilirsiniz.
PEview 32-bit Portable Executable (PE) ve Bileşen Nesne Dosyası Biçimi (COFF) dosyaları yapısı ve içeriği görüntülemek için hızlı ve kolay bir yol sağlar. Bu PE / COFF dosya görüntüleyici görüntüler başlık, bölüm, dizin, import tablosu, table ve EXE içinde kaynak bilgileri, DLL, OBJ, TK, DBG, ve diğer dosya türlerini görüntülüyebilirsiniz. Uygulanın ücretsiz sürümüne buradan ulaşabilirsiniz.
► İlginizi Çekebilir: Zararlı Yazılımların Bulaşma Yolları
PEiD PE dosyalar için en yaygın Packers, Crypters ve derleyicileri algılar. Şu anda PE dosyalarını 470 farklı imza ile algılayabilir. Peid sezgisel arayüzüne ek olarak, onun fonksiyonları da komut satırı üzerinden erişilebilir ve ayrıntılı belgeler kullanıcıların uygun komutlar ve parametreler ile yardımcı olabilir. PEiD de kullanıcıların aynı anda çalışan süreçleri keşfetmek ve tek bir fare tıklaması ile bunları sona erdirmek için izin verir. Ayrıca bir HEX görüntüleyici ve bir görev yöneticisine sahip iken bunu özetlemek için, PEiD PE dosyaları tarama ve paketleme ve derleyicilerini belirleyebilen birçok özellik dolu bir uygulamadır. PEiD üç farklı tarama yöntemlemi , farklı bir amaç için uygun gelmektedir. Normal bir bütün dahil imzaların için giriş noktasında kullanıcı tarafından belirtilen PE dosyalarını tarar. Uygulamanın ücretsiz sürümüne buradan ulaşabilirsiniz.
TCPView sizlere yerel ve uzak adresler ve TCP bağlantı durumu da dahil olmak üzere sisteminizdeki tüm TCP ve UDP uç noktaları ayrıntılı listeleri, gösterecek bir Windows programıdır. Zararlı yazılım analizleri yaparken zararlının yaptığı, network davranışları hakkında bilgi toplayabilirsiniz. Uygulamanız ücretsiz sürümüne buradan ulaşabilirsiniz.
Process Explorer DLL süreçleri ve işleyen süreçler hakkında bilgi edinmemizi sağlayan bir araçtır. Process Explorer da hızlı süreçleri , özellikle kolları açılmış veya DLL yüklü olması gösterecek güçlü bir arama yeteneğine sahiptir . Uygulamanın ücretsiz sürümüne buradan ulaşabilirsiniz.
► İlginizi Çekebilir: Linux & GNU İşletim Sistemine Hızlı Bir Giriş
Statik zararlı yazılım analizlerinin yapılabilmesi için geliştirilmiş; açık kaynak daha bir çok uygulama bulunmaktadır. Zararlı yazılımlar analiz edilirken, statik analiz için kullanılan uygulamalar; hafıza analizi ve dinamik analiz için kullanılan araçlar ile birlikte tersine mühendislik yöntemleri; zararlının analizini kolaylaştırmaktadır.
Kaynak :
►dependencywalker
► technetmicrosoft
► aldeid
YORUMLAR
Aktif etkinlik bulunmamaktadır.
- Dünyanın En Görkemli 10 Güneş Tarlası
- Dünyanın En Büyük 10 Makinesi
- 2020’nin En İyi 10 Kişisel Robotu
- Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
- Üretimin Geleceğinde Etkili Olacak 10 Beceri
- Olağan Üstü Tasarıma Sahip 5 Köprü
- Dünyanın En İyi Bilim ve Teknoloji Müzeleri
- En İyi 5 Tıbbi Robot
- Dünyanın En Zengin 10 Mühendisi
- Üretim için 6 Fabrikasyon İşlemi
- Enerji Yönetiminde Ölçümün Rolü: Verimliliğe Giden Yol
- HVAC Sistemlerinde Kullanılan EC Fan, Sürücü ve EC+ Fan Teknolojisi
- Su İşleme, Dağıtım ve Atık Su Yönetim Tesislerinde Sürücü Kullanımı
- Röle ve Trafo Merkezi Testlerinin Temelleri | Webinar
- Chint Elektrik Temel DIN Ray Ürünleri Tanıtımı
- Sigma Termik Manyetik Şalterler ile Elektrik Devrelerinde Koruma
- Elektrik Panoları ve Üretim Teknikleri
- Teknik Servis | Megger Türkiye
- Güneş Enerji Santrallerinde Yıldırımdan Korunma ve Topraklama
- Megger Türkiye Ofisi
ANKET