WEBVTT 00:00.890 --> 00:01.780 Tekrar hoş geldiniz. 00:01.880 --> 00:05.960 Bu derste, yeni keşfedilen paketten çıkarılmış dosyanın dökümünü yapacağız. 00:06.230 --> 00:09.650 Bunu yapmak için Scylla adlı bir eklenti kullanabiliriz. 00:10.040 --> 00:17.600 Eklentiler, Scylla'ya tıklayalım ve burada orijinal giriş noktasını zaten tanımladı 00:17.750 --> 00:25.550 ve sonra tek yapmamız gereken IAT Otomatik Arama'ya tıklamak ve burada Evet'i seçmek. 00:26.210 --> 00:28.760 Ve IAT tablosunu buldu. 00:29.420 --> 00:29.690 Tamam'a 00:29.690 --> 00:30.320 tıklayın. 00:30.470 --> 00:35.690 Yani tüm fonksiyonlar için tüm ithalatları içeren bir tablodur. 00:35.690 --> 00:38.780 Programın normal şekilde çalışabilmesi için buna ihtiyacımız var. 00:39.200 --> 00:46.010 Şimdi İthalatları Al'a tıklıyoruz ve ardından gidip kötü amaçlı yazılım tarafından kullanılan tüm ithalatları getirecek, paketten çıkarılmış 00:46.340 --> 00:47.990 kötü amaçlı yazılım tarafından. 00:48.080 --> 00:49.940 Şimdi onu atacağız. 00:49.940 --> 00:51.830 Dump'a tıklayın. 00:53.980 --> 00:55.570 Ve sonra ona bir isim verin. 00:56.020 --> 00:59.200 Varsayılan konum Simda_dump'tır. 00:59.350 --> 01:00.310 Kaydet'e tıklayın. 01:01.310 --> 01:08.480 Yapmamız gereken bir sonraki şey, dökümü düzeltmektir, böylece keşfettiklerine dayanarak dökümdeki IAT tablosunu 01:09.290 --> 01:13.700 düzeltecektir. Bu yüzden Dökümü Düzelt'e tıklayın. 01:14.470 --> 01:21.550 Ardından daha önceki döküm dosyasını seçin ve gidip yeniden açıp düzeltecek ve yeni SCY uzantısıyla 01:21.550 --> 01:24.090 yeni bir ad verecektir. 01:24.640 --> 01:30.700 Böylece, yeni keşfedilen paketten çıkarılmış dosyanın dökümünü tamamladık. 01:32.310 --> 01:36.900 Şimdi gidip dosyayı açabilir ve Ghidra'da analiz edebiliriz. 01:37.320 --> 01:40.290 Ghidra'ya geri dönelim. 01:41.520 --> 01:48.540 Ve sonra burada yeni dökülen dosyayı Ghidra'ya ekleyeceğiz. 01:49.790 --> 01:52.160 Bu SCY uzantılı. 01:52.520 --> 02:01.790 Bu yüzden onu Ghidra'ya sürüklüyoruz ve sonra onu bir PE çalıştırılabilir olarak doğru bir şekilde tanımlıyor ve Tamam'a tıklıyoruz. 02:08.590 --> 02:10.180 Şimdi onu ithal etti. 02:10.210 --> 02:11.440 Tamam'a tıklayın. 02:12.230 --> 02:14.540 Ve şimdi bunu analiz edebiliriz. 02:14.780 --> 02:22.220 Ya kod tarayıcısına sürükleyeceğiz ya da zaten açık olan kod tarayıcısını kullanacağız 02:22.220 --> 02:28.340 ve ardından Dosya, Aç'a tıklayıp yeni içe aktarılan dosyayı seçeceğiz. 02:28.370 --> 02:29.390 Tamam'a tıklayın. 02:31.950 --> 02:35.160 Ve analiz etmek için onaylamanızı ister. Evet'e tıklayın. 02:36.750 --> 02:41.910 Ve sonra burada, Derleyici Parametre Kimliğinin işaretli olduğundan emin olun. 02:43.700 --> 02:45.170 Aşağı kaydırın ve PDB'nin işaretini kaldırın. 02:46.480 --> 02:48.450 Buraya gelin ve Windows x86 PE Propagate 02:48.790 --> 02:49.540 External Parameters 02:49.570 --> 02:52.840 seçeneğini işaretleyin ve Analyze seçeneğine tıklayın. 02:54.780 --> 02:59.940 Ardından sağ alt köşedeki durumu ve ilerlemeyi takip edin. 03:00.600 --> 03:05.730 Bu birkaç dakika sürebilir, bu yüzden videoyu duraklatacağım ve bittiğinde geri geleceğim. 03:07.080 --> 03:07.560 TAMAM. 03:07.560 --> 03:10.620 Birkaç dakika sonra analizi tamamlamış olur. 03:10.650 --> 03:17.730 Fark edeceğiniz ilk şey, çok sayıda fonksiyon olduğudur, bu yüzden başarılı bir şekilde paketten çıkardığımıza dair iyi bir 03:17.730 --> 03:18.420 işarettir. 03:19.290 --> 03:24.330 Ayrıca bir dize analizi yaparsanız, çok sayıda dize olacağını fark edeceksiniz. 03:26.990 --> 03:27.920 Arama Dizeleri. 03:27.920 --> 03:29.720 Ayrıca, bol miktarda ip bulacaksınız 03:29.720 --> 03:36.530 ve sonra fark edeceğiniz diğer şeyler, herhangi bir ip olup olmadığını kontrol edebilirsiniz... 03:37.830 --> 03:38.070 TAMAM. 03:38.070 --> 03:39.210 Buradaki ithalatlara bakın. 03:39.210 --> 03:45.210 Burada çok sayıda içe aktarma bulacaksınız ve önemli olanlardan biri de kernel32'dir. 03:46.530 --> 03:53.250 Ve önemli API fonksiyonlarından biri olan CreateToolhelp32Snapshot'ı görebilirsiniz. 03:53.430 --> 04:00.420 Bu, kötü amaçlı yazılım tarafından işletim sisteminizdeki tüm çalışan işlemleri listelemek için kullanılır. 04:00.810 --> 04:09.870 Bunun amacı, bu kötü amaçlı yazılımı tersine mühendislik veya analiz etmek için herhangi bir analiz aracı kullanıp kullanmadığınızı 04:09.870 --> 04:10.680 görmektir. 04:10.890 --> 04:17.640 Analiz araçları kullandığınızı tespit ederse, farklı davranacak veya çalışmayı reddedecektir. 04:17.850 --> 04:23.070 Şimdi buna tıklayabilir ve ardından işleve gidebiliriz. 04:23.070 --> 04:27.060 Ve burada üç referans olduğunu göreceksiniz. 04:27.090 --> 04:29.310 Bunların her birine sırayla tıklayabilirsiniz 04:29.310 --> 04:33.240 ve ben üçüncüsünün gitmek istediğiniz yer olduğunu gördüm. 04:33.270 --> 04:38.650 Bu yüzden üçüncüye tıkladığınızda buradaki işlevi gösterecektir. 04:38.770 --> 04:43.570 Ve bunu CreateToolhelp32Snapshot'ın iş başında olduğunu görebilirsiniz. 04:44.230 --> 04:49.720 Ve sonra burada, Process32First, dize karşılaştırması, Process32Next. 04:49.720 --> 04:57.820 Yani bu, bir tür analiz aracına sahip olup olmadığını görmek için süreç listesindeki her 04:57.820 --> 05:01.720 öğeyi gözden geçiren döngü sürecidir. 05:01.750 --> 05:04.030 Araçlardan biri de SysInternals. 05:05.800 --> 05:12.880 Buna tıklayın ve göreceksiniz, buradaki isme tıklayın ve hafızada göreceksiniz, 05:12.910 --> 05:16.420 karşılaştırma yapan bu araç var. 05:16.570 --> 05:23.080 Ve sonra aşağı kaydırırsak, diğer araçları bulacaksınız, IDA ve 05:23.080 --> 05:31.300 daha aşağı kaydırırsanız, idaq, başka bir tane, Wireshark ve sonra dumpcap vb. 05:32.120 --> 05:39.740 Yani bu, anti-analiz yapmaya çalıştığının bir işaretidir. 05:39.770 --> 05:44.270 Bu yüzden onu analiz etmeye yönelik her türlü girişime direnmeye çalışıyor. 05:44.810 --> 05:45.410 TAMAM. 05:45.410 --> 05:49.670 Böylece devam edebilir ve kendi analizinizi yapabilirsiniz. 05:50.450 --> 05:57.770 Burada amacımıza zaten ulaştık, yani daha gelişmiş paketleme tekniklerinden bazılarını ve 05:57.800 --> 06:06.470 bunların üstesinden nasıl gelineceğini tanımlamanın yanı sıra paketten çıkarılan belleği analiz için ayrı dosyalara 06:06.470 --> 06:08.000 dökmek. 06:08.030 --> 06:10.790 Böylece bu oturumun sonuna gelmiş bulunuyoruz. 06:10.820 --> 06:12.230 İzlediğiniz için teşekkürler.