CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering Exploit Research

Malware Reverse Engineering Ilk Yaklasim

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering Exploit Research

Malware Reverse Engineering Ilk Yaklasim konusunu SOC L3 - Tersine Mühendislik - Exploit Analizi ve Zafiyet Araştırması baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Malware Reverse Engineering Ilk Yaklasim

Malware reverse engineering baslangicinda amac, ornegin zararli davranisini guvenli sekilde anlamaktir. Analist ilk olarak ornegi kimliklendirir, gozlem ortamini hazirlar ve en az riskle bilgi toplamaya baslar.

Giris ve Temel Akis

Malware reverse engineering baslangicinda amac, ornegin zararli davranisini guvenli sekilde anlamaktir. Analist ilk olarak ornegi kimliklendirir, gozlem ortamini hazirlar ve en az riskle bilgi toplamaya baslar.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Ornegi Kimliklendir
  • Hash ve Metadata Topla
  • Izole Ortami Hazirla
  • Statik Bulgulari Cikar
  • Dinamik Gozlem Planla
  • Ilk Tehdit Degerlendirmesini Yaz

Temel Kavram Eslesmeleri

Malware incelemede farkli artefactlar farkli davranis siniflarina isaret eder.

  • Mutex: Tek kopya calisma veya koordinasyon mantigi
  • Registry Run Key: Kalicilik girisimi
  • Command and Control URL: Uzaktan iletisim olasiligi
  • Drop Path: Dosya birakma davranisi

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Mutex olarak verilir. Ayni anda birden fazla kopyanin calismasini kontrol etmek icin kullanilan senkronizasyon nesnesi, malware analizinde sik gorulur.

Arac, Komut veya Inceleme Akisi

Davranis analizi sirasinda malware orneginin sistemde neyi degistirdigi sistematik bicimde toplanir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Surec Agacini Cikar
  • Dosya Yazimlarini Not Et
  • Registry Degisikliklerini Listele
  • Ag Baglantilarini Kaydet
  • IOC Taslagini Hazirla

Kanit ve Bilesen Iliskileri

Malware analizinde kullanilan araclar farkli gozlem alanlari sunar.

  • Procmon: Dosya ve registry olaylari
  • Autoruns: Kalicilik noktalarini gosterir
  • Wireshark: Ag iletisimini yakalar
  • PE Studio: Statik ozellikleri ozetler

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram Persistence olarak verilir. Sistemde kalici olma amaciyla baslangic veya oturum acilisinda tetiklenen noktalara yonelik davranislar ozel olarak takip edilir.

Operasyonel Dogrulama ve Raporlama

Inceleme sonunda teknik bulgular operasyonel kullanima uygun hale getirilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Artefactlari Temizle ve Sirala
  • IOCleri Ayir
  • Davranis Ozetini Yaz
  • Tespit Fikirlerini Not Et
  • Triage Ekibine Uygun Cikti Hazirla

Cikti ve Kullanım Amaci

Analiz sonucundaki bulgular farkli savunma aksiyonlarini destekler.

  • Hash: Bloklama ve eslestirme
  • Alan Adi: DNS veya proxy izleme
  • Dosya Yolu: EDR triage ve artefact avciligi
  • Mutex Adi: Bellek ve davranis tabanli izleme

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram IOC olarak verilir. Tehdit avciliginda veya SIEM tarafinda kullanilabilecek gozlenebilir gostergeler, analiz sonunda ayrica cikarilir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Malware Reverse Engineering Ilk Yaklasim konusunu SOC L3 - Tersine Mühendislik - Exploit Analizi ve Zafiyet Araştırması baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Mutex, Registry Run Key, Command and Control URL, Drop Path, Procmon, Autoruns, Wireshark, PE Studio, Hash, Alan Adi. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.