CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Process Doppelgänging Tersine Mühendislik Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Process Doppelgänging Tersine Mühendislik Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Process Doppelgänging Tersine Mühendislik Analizi

Process Doppelgänging, NTFS Transaction (TxF) mekanizmasını kullanarak disk üzerinde görünmeyen zararlı süreçler oluşturabilen gelişmiş bir saldırı tekniğidir. Bu yöntem geleneksel güvenlik çözümlerini atlatmak amacıyla geliştirilmiştir. Reverse engineering sırasında işlem akışının dikkatle takip edilmesi gerekir.

Giris ve Temel Akis

Process Doppelgänging, NTFS Transaction (TxF) mekanizmasını kullanarak disk üzerinde görünmeyen zararlı süreçler oluşturabilen gelişmiş bir saldırı tekniğidir. Bu yöntem geleneksel güvenlik çözümlerini atlatmak amacıyla geliştirilmiştir. Reverse engineering sırasında işlem akışının dikkatle takip edilmesi gerekir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • CreateTransaction
  • Dosyayı Transaction İçinde Yaz
  • Rollback Yap
  • Section Oluştur
  • Process Oluştur
  • Payload Çalıştır

Temel Kavram Eslesmeleri

Process Doppelgänging tekniğinde kullanılan bileşenler farklı görevler üstlenir.

  • Transaction: Geçici dosya değişikliklerini yönetir
  • Rollback: Dosya değişikliklerini geri alır
  • Section: Bellekte çalıştırılabilir görüntü oluşturur
  • Process: Payload yürütme ortamı sağlar

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Transaction olarak verilir. Process Doppelgänging tekniğinin temelinde Windows'un işlem tabanlı dosya sistemi özelliği bulunur.

Arac, Komut veya Inceleme Akisi

Bir reverse engineer Process Doppelgänging örneğini analiz ederken dosya sistemi ve süreç oluşturma adımlarını takip eder.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Transaction Oluştur
  • Payload Yaz
  • Rollback Yap
  • Bellek Bölümü Oluştur
  • Process Başlat

Kanit ve Bilesen Iliskileri

Process Doppelgänging analizinde dikkat edilen bazı göstergeler vardır.

  • TxF Kullanımı: Transaction tabanlı dosya işlemi göstergesi
  • Rollback İşlemi: Disk üzerindeki izi kaldırma girişimi
  • Section Oluşturma: Bellekte yürütülebilir görüntü hazırlığı
  • Anormal Process Oluşumu: Injection benzeri davranış göstergesi

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram Rollback olarak verilir. Payload belleğe alındıktan sonra disk üzerindeki değişikliklerin geri alınması Process Doppelgänging'in önemli bir parçasıdır.

Operasyonel Dogrulama ve Raporlama

Process Doppelgänging sırasında payload diskte görünmeden çalıştırılabilir hale gelir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Payload Yaz
  • Section Oluştur
  • Rollback Yap
  • Process Yarat
  • Thread Başlat

Cikti ve Kullanım Amaci

Process Doppelgänging analizinde kullanılan araçlar farklı görünürlük seviyeleri sunar.

  • Process Hacker: Süreç ve thread inceleme
  • Procmon: Dosya sistemi aktivitelerini izleme
  • x64dbg: Dinamik analiz
  • IDA Pro: Statik kod inceleme

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Section olarak verilir. Process Doppelgänging analizinde payload'ın bellekte çalıştırılmasını sağlayan yapı önemlidir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Process Doppelgänging Tersine Mühendislik Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Transaction, Rollback, Section, Process, TxF Kullanımı, Rollback İşlemi, Section Oluşturma, Anormal Process Oluşumu, Process Hacker, Procmon. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.