CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Process Hollowing Tersine Mühendislik Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Process Hollowing Tersine Mühendislik Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Process Hollowing Tersine Mühendislik Analizi

Process Hollowing, saldırganların meşru bir süreci başlatıp içerisindeki orijinal kodu kaldırarak kendi kodlarını yerleştirdiği gelişmiş bir process injection tekniğidir. Reverse engineering sırasında süreç oluşturma, bellek manipülasyonu ve yürütme akışı dikkatle incelenmelidir.

Giris ve Temel Akis

Process Hollowing, saldırganların meşru bir süreci başlatıp içerisindeki orijinal kodu kaldırarak kendi kodlarını yerleştirdiği gelişmiş bir process injection tekniğidir. Reverse engineering sırasında süreç oluşturma, bellek manipülasyonu ve yürütme akışı dikkatle incelenmelidir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • CreateProcess(Suspended)
  • NtUnmapViewOfSection
  • VirtualAllocEx
  • WriteProcessMemory
  • SetThreadContext
  • ResumeThread

Temel Kavram Eslesmeleri

Process Hollowing sırasında kullanılan API'ler farklı görevler üstlenir.

  • CreateProcess: Yeni süreç oluşturur
  • NtUnmapViewOfSection: Orijinal kod bölgesini kaldırır
  • WriteProcessMemory: Yeni kodu hedef sürece yazar
  • ResumeThread: Askıdaki thread'i çalıştırır

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Suspended olarak verilir. Process Hollowing saldırılarında hedef süreç genellikle askıya alınmış şekilde başlatılır.

Arac, Komut veya Inceleme Akisi

Reverse engineer, Process Hollowing analizinde süreç içerisindeki bellek değişimlerini takip eder.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Süreci Başlat
  • Orijinal Image Base Bul
  • Kod Bölgesini Kaldır
  • Yeni PE Yaz
  • Execution Akışını Değiştir

Kanit ve Bilesen Iliskileri

Process Hollowing analizinde bazı yapılar kritik öneme sahiptir.

  • PE Header: Yürütülebilir dosya yapısını tanımlar
  • Image Base: Programın bellek başlangıç adresi
  • Thread Context: CPU register durumunu içerir
  • EntryPoint: Programın başlangıç kodu

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram SetThreadContext olarak verilir. Process Hollowing sırasında yeni kod yazıldıktan sonra işlemci kayıtları güncellenerek yürütme akışı değiştirilir.

Operasyonel Dogrulama ve Raporlama

Bir malware Process Hollowing tekniğini kullanırken meşru bir süreç içerisine kendi PE dosyasını yerleştirir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Notepad.exe Başlat
  • Suspend Modunda Aç
  • Orijinal Kod Kaldır
  • Yeni Payload Yaz
  • Payload Çalıştır

Cikti ve Kullanım Amaci

Process Hollowing analizinde kullanılan araçlar farklı bilgiler sağlar.

  • x64dbg: Dinamik süreç analizi
  • Process Hacker: Süreç ve bellek inceleme
  • PE-bear: PE dosya yapısı inceleme
  • IDA Pro: Statik kod analizi

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Image Base olarak verilir. Process Hollowing analizlerinde kaldırılan bölüm genellikle hedef sürecin orijinal çalıştırılabilir imajıdır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Process Hollowing Tersine Mühendislik Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: CreateProcess, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread, PE Header, Image Base, Thread Context, EntryPoint, x64dbg, Process Hacker. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.