CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Packed Malware ve Runtime Unpacking Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Packed Malware ve Runtime Unpacking Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Packed Malware ve Runtime Unpacking Analizi

Malware geliştiricileri zararlı yazılımları analiz edilmesini zorlaştırmak için packer kullanır. Packed malware çalıştırıldığında önce unpacking stub çalışır, ardından gerçek kod belleğe açılır. Reverse engineering sırasında gerçek EntryPoint'e ulaşmak kritik öneme sahiptir.

Giris ve Temel Akis

Malware geliştiricileri zararlı yazılımları analiz edilmesini zorlaştırmak için packer kullanır. Packed malware çalıştırıldığında önce unpacking stub çalışır, ardından gerçek kod belleğe açılır. Reverse engineering sırasında gerçek EntryPoint'e ulaşmak kritik öneme sahiptir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Packed Binary Çalışır
  • Unpacking Stub Başlar
  • Belleğe Kod Açılır
  • Importlar Çözülür
  • OEP Bulunur
  • Gerçek Kod Çalışır

Temel Kavram Eslesmeleri

Packed malware analizinde kullanılan temel kavramlar vardır.

  • Packer: Dosyayı sıkıştıran veya gizleyen yapı
  • Stub: Unpacking işlemini gerçekleştiren kod
  • OEP: Original Entry Point
  • Runtime Unpacking: Çalışma anında açılma işlemi

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram OEP olarak verilir. Packed malware analizinde en önemli hedeflerden biri gerçek başlangıç noktasını bulmaktır.

Arac, Komut veya Inceleme Akisi

Reverse engineer unpacking işlemini analiz ederken belirli adımları izler.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Binary Başlat
  • Bellek Yazımlarını İzle
  • Import Çözümlemelerini Takip Et
  • OEP Noktasını Bul
  • Dump Al

Kanit ve Bilesen Iliskileri

Packed malware tespitinde çeşitli göstergeler kullanılabilir.

  • Yüksek Entropi: Sıkıştırılmış veya şifrelenmiş veri göstergesi
  • Az Sayıda Import: Packer kullanım göstergesi
  • UPX Section: UPX packer izi
  • Runtime Memory Write: Açılma işlemi göstergesi

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram Entropy olarak verilir. Packed dosyalar genellikle yüksek entropi değerlerine sahiptir çünkü içerikleri sıkıştırılmış veya şifrelenmiştir.

Operasyonel Dogrulama ve Raporlama

UPX en yaygın packer'lardan biridir. Analist önce UPX izlerini arar, ardından unpacking işlemini gerçekleştirir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • UPX İmzası Bul
  • UPX Kullanımını Doğrula
  • Dosyayı Aç
  • Importları Geri Yükle
  • Analize Devam Et

Cikti ve Kullanım Amaci

Packed malware analizinde çeşitli araçlar kullanılır.

  • PE-bear: PE yapısını inceleme
  • Detect It Easy: Packer tespiti
  • x64dbg: Dinamik unpacking analizi
  • Scylla: Import yeniden oluşturma

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram OEP olarak verilir. Runtime unpacking tamamlandıktan sonra gerçek program akışının başladığı nokta analiz edilir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Packed Malware ve Runtime Unpacking Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Packer, Stub, OEP, Runtime Unpacking, Yüksek Entropi, Az Sayıda Import, UPX Section, Runtime Memory Write, PE-bear, Detect It Easy. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.