CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Process Injection Tekniklerinin Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Process Injection Tekniklerinin Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Process Injection Tekniklerinin Analizi

Process Injection, malware'in kendi kodunu başka bir süreç içerisinde çalıştırmasına olanak tanıyan tekniklerin genel adıdır. Bu yöntem güvenlik ürünlerinden kaçınmak ve meşru süreçler altında çalışmak amacıyla kullanılır. Reverse engineering sırasında injection zincirinin tespit edilmesi kritik öneme sahiptir.

Giris ve Temel Akis

Process Injection, malware'in kendi kodunu başka bir süreç içerisinde çalıştırmasına olanak tanıyan tekniklerin genel adıdır. Bu yöntem güvenlik ürünlerinden kaçınmak ve meşru süreçler altında çalışmak amacıyla kullanılır. Reverse engineering sırasında injection zincirinin tespit edilmesi kritik öneme sahiptir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • OpenProcess
  • VirtualAllocEx
  • WriteProcessMemory
  • CreateRemoteThread
  • Payload Çalıştır

Temel Kavram Eslesmeleri

Process Injection sırasında kullanılan API'ler farklı görevler üstlenir.

  • OpenProcess: Hedef sürece erişim sağlar
  • VirtualAllocEx: Uzak süreçte bellek ayırır
  • WriteProcessMemory: Uzak sürece veri yazar
  • CreateRemoteThread: Uzak süreçte thread başlatır

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram CreateRemoteThread olarak verilir. Process Injection sırasında hedef süreç içerisinde yeni bir thread oluşturularak payload çalıştırılabilir.

Arac, Komut veya Inceleme Akisi

Reverse engineer bir injection örneğini analiz ederken API çağrı zincirini takip eder.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Process Aç
  • Bellek Ayır
  • Payload Yaz
  • Thread Başlat
  • Davranışı İncele

Kanit ve Bilesen Iliskileri

Process Injection farklı tekniklerle gerçekleştirilebilir.

  • Remote Thread Injection: Uzak süreçte thread oluşturur
  • Process Hollowing: Meşru sürecin belleğini değiştirir
  • DLL Injection: Sürece DLL yükler
  • APC Injection: Asenkron prosedür çağrısı kullanır

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram Process Hollowing olarak verilir. Birçok malware ailesi meşru süreçlerin belleğini değiştirerek kendi kodunu çalıştırır.

Operasyonel Dogrulama ve Raporlama

Bir DLL Injection saldırısında malware önce DLL'i hedef sürece yükler ve ardından fonksiyonlarını çalıştırır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • DLL Yolunu Hazırla
  • VirtualAllocEx
  • WriteProcessMemory
  • LoadLibrary Çağır
  • DLL Çalıştır

Cikti ve Kullanım Amaci

Process Injection analizinde kullanılan araçlar farklı seviyelerde görünürlük sağlar.

  • x64dbg: Dinamik API analizi
  • Process Hacker: Süreç ve thread inceleme
  • Procmon: Sistem aktivitelerini izleme
  • PE-bear: PE dosya analizi

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram OpenProcess olarak verilir. Injection analizlerinde genellikle ilk dikkat edilen API, hedef sürece erişim sağlayan çağrıdır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Process Injection Tekniklerinin Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, Remote Thread Injection, Process Hollowing, DLL Injection, APC Injection, x64dbg, Process Hacker. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.