CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Export Table ve API Forwarding Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Export Table ve API Forwarding Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Export Table ve API Forwarding Analizi

Export Table, bir DLL'in dışarıya sunduğu fonksiyonları içerir. Reverse engineering sırasında export edilen fonksiyonlar incelenerek DLL'in amacı anlaşılabilir. Bazı DLL'ler API Forwarding kullanarak çağrıları başka DLL'lere yönlendirir.

Giris ve Temel Akis

Export Table, bir DLL'in dışarıya sunduğu fonksiyonları içerir. Reverse engineering sırasında export edilen fonksiyonlar incelenerek DLL'in amacı anlaşılabilir. Bazı DLL'ler API Forwarding kullanarak çağrıları başka DLL'lere yönlendirir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • LoadLibraryA
  • GetProcAddress
  • Export Table Oku
  • Fonksiyon Bul
  • Çağrıyı Analiz Et

Temel Kavram Eslesmeleri

Export Table analizinde bazı yapılar kritik rol oynar.

  • Export Directory: Export edilen fonksiyon listesini içerir
  • Function RVA: Fonksiyonun göreli adresi
  • Ordinal: Fonksiyon sıra numarası
  • Export Name: Fonksiyon adı

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Export Table olarak verilir. Bir DLL içerisindeki dışarıya açılan fonksiyonlar Export Table içerisinde tutulur.

Arac, Komut veya Inceleme Akisi

API Forwarding, bir DLL'in çağrıyı başka bir DLL içerisindeki fonksiyona yönlendirmesidir. ↓ ↓

Bu bölümün pratik akışı şu sırayla ilerler:

  • kernel32!HeapAlloc
  • API Forwarding
  • ntdll!RtlAllocateHeap
  • Bellek Tahsisi
  • Sonuç Döndür

Kanit ve Bilesen Iliskileri

Windows sisteminde birçok API aslında farklı DLL'lere yönlendirilir.

  • HeapAlloc: ntdll.dll
  • HeapFree: ntdll.dll
  • CreateFileW: kernelbase.dll
  • DeleteFileW: kernelbase.dll

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram API Forwarding olarak verilir. API Forwarding sırasında çağrı doğrudan hedef DLL'e yönlendirilir ve analiz sırasında bu ilişki ortaya çıkarılmalıdır.

Operasyonel Dogrulama ve Raporlama

PE dosyası analizinde export edilen fonksiyonlar belirli adımlarla incelenir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • DLL Aç
  • Export Directory Bul
  • Fonksiyon Sayısını Oku
  • Fonksiyon Adlarını Listele
  • Ordinal Bilgilerini Çözümle

Cikti ve Kullanım Amaci

Export analizinde kullanılan bilgiler farklı amaçlarla değerlendirilir.

  • Function Name: Fonksiyonun amacını belirleme
  • Ordinal: Fonksiyonu sıra numarasıyla çağırma
  • RVA: Fonksiyon adresini hesaplama
  • Forwarder: Başka DLL'e yönlendirme tespiti

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Ordinal olarak verilir. Export edilen fonksiyonlar bazen isim yerine sıra numarasıyla çağrılabilir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Export Table ve API Forwarding Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Export Directory, Function RVA, Ordinal, Export Name, HeapAlloc, HeapFree, CreateFileW, DeleteFileW, Function Name, RVA. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.