🔍
Ana Sayfa / Malware Analizi
🦠

10 — Malware Analizi

Zararlı yazılım türleri, analiz yöntemleri ve tersine mühendislik araçları. Trojan, Virus, Worm, Ransomware ve Spyware.

🦠 Zararlı Yazılım Türleri

🐴

Trojan (Truva Atı)

Meşru yazılım gibi görünen zararlı program. Kullanıcıyı kandırarak sisteme girer. Backdoor açarak uzaktan erişim sağlar. RAT (Remote Access Trojan) en yaygın türüdür.

🦠

Virus

Kendini diğer dosyalara bulaştırarak yayılan zararlı kod. Çalışması için bir host programa ihtiyaç duyar. Boot sector, macro ve polymorphic virüsler gibi türleri vardır.

🐛

Worm (Solucan)

Ağ üzerinde kendini kopyalayarak yayılan zararlı yazılım. Host programa ihtiyaç duymaz. WannaCry, Conficker bilinen solucan örnekleridir. Ağ trafiğini aşırı yoğunlaştırabilir.

🔐

Ransomware (Fidye Yazılımı)

Dosyaları şifreleyerek fidye talep eden zararlı yazılım. WannaCry, NotPetya, REvil ünlü örneklerdir. Yedekleme en etkili korunma yöntemidir. Fidye ödenmemelidir.

👁️

Spyware (Casus Yazılım)

Kullanıcı aktivitesini gizlice izleyen ve veri toplayan yazılım. Keylogger, ekran kaydedici, tarayıcı tracking gibi türleri vardır. Bilgi sızdırma (data exfiltration) yapar.

🌿

Rootkit

İşletim sistemi seviyesinde gizlenen zararlı yazılım. Kendini ve diğer malware'leri gizler. Kernel-level rootkit'ler tespit edilmesi en zor zararlı yazılım türüdür.

🔬 Analiz Yöntemleri

📊

Statik Analiz

Zararlı yazılımı çalıştırmadan inceleme. Hash analizi, string analizi, PE header incelemesi, import/export tabloları, packing kontrolü yapılır. Güvenli ancak kodun gerçek davranışını tam göstermeyebilir.

Statik Analiz Komutları
# Hash hesaplama
sha256sum malware.exe
# String analizi
strings malware.exe | grep -i "http"
# PE header inceleme
file malware.exe
readpe malware.exe
▶️

Dinamik Analiz

Zararlı yazılımı kontrollü ortamda (sandbox) çalıştırarak davranışını gözlemleme. Dosya sistemi değişiklikleri, registry değişiklikleri, ağ bağlantıları ve süreç oluşturma izlenir.

SandboxProcess MonitorWireshark

🛠️ Analiz Araçları

🐉 Ghidra

NSA tarafından geliştirilen açık kaynak tersine mühendislik aracı. Disassembler ve decompiler özelliklerine sahiptir. Çoklu mimari ve dosya formatı desteği vardır. Java tabanlı, ücretsizdir.

NSAAçık KaynakDecompiler

🔬 IDA Pro

Endüstri standardı interactive disassembler. Ticari lisanslıdır. Hex-Rays decompiler ile C pseudocode üretir. En güçlü tersine mühendislik aracıdır. IDA Free sürümü ücretsiz kullanılabilir.

TicariDisassemblerHex-Rays

⚠️ Güvenlik Uyarısı

Malware analizi mutlaka izole bir ortamda (sanal makine veya sandbox) yapılmalıdır. Ağ bağlantısı kesilebilir veya simüle edilebilir. Ana sistemde asla zararlı yazılım çalıştırmayın.

📝 Notlar 0