CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Reflective DLL Injection Tersine Mühendisliği

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Reflective DLL Injection Tersine Mühendisliği konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Reflective DLL Injection Tersine Mühendisliği

Reflective DLL Injection, DLL dosyasının LoadLibrary kullanılmadan doğrudan bellek içerisine yüklenmesini sağlayan gelişmiş bir injection tekniğidir. Bu yöntem güvenlik ürünlerinden kaçınmak için yaygın olarak kullanılır. DLL kendi loader mekanizmasını çalıştırır ve PE yapılarını manuel olarak işler.

Giris ve Temel Akis

Reflective DLL Injection, DLL dosyasının LoadLibrary kullanılmadan doğrudan bellek içerisine yüklenmesini sağlayan gelişmiş bir injection tekniğidir. Bu yöntem güvenlik ürünlerinden kaçınmak için yaygın olarak kullanılır. DLL kendi loader mekanizmasını çalıştırır ve PE yapılarını manuel olarak işler.

Bu bölümün pratik akışı şu sırayla ilerler:

  • DLL Belleğe Yazılır
  • Reflective Loader Bulunur
  • PE Header Analiz Edilir
  • Importlar Çözülür
  • Relocation Yapılır
  • DLL EntryPoint Çalıştırılır

Temel Kavram Eslesmeleri

Reflective DLL Injection sırasında bazı PE bileşenleri manuel olarak işlenir.

  • PE Header: DLL yapısal bilgilerini içerir
  • Import Table: Kullanılan API bilgilerini içerir
  • Relocation Table: Adres düzeltmelerini sağlar
  • EntryPoint: DLL başlangıç kodu

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Reflective Loader olarak verilir. Reflective DLL Injection'da işletim sistemi loader'ı yerine DLL kendi yükleme işlemlerini gerçekleştirir.

Arac, Komut veya Inceleme Akisi

Reverse engineer reflective DLL örneklerini analiz ederken yükleme sürecini takip eder.

Bu bölümün pratik akışı şu sırayla ilerler:

  • DLL Bellekte Bulunur
  • Loader Fonksiyonu Tespit Edilir
  • Import Çözümleme İzlenir
  • Relocation Analiz Edilir
  • EntryPoint İncelenir

Kanit ve Bilesen Iliskileri

Reflective DLL Injection farklı avantajlar sağlar.

  • Disk Yazmama: Dosya izi bırakmama
  • Manual Loading: Standart loader kullanımını atlatma
  • Bellek İçi Çalışma: Tespit yüzeyini azaltma
  • Custom Loader: Yükleme sürecini kontrol etme

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram LoadLibrary olarak verilir. Reflective DLL Injection sırasında işletim sisteminin standart DLL yükleme fonksiyonu genellikle kullanılmaz.

Operasyonel Dogrulama ve Raporlama

Reflective DLL yüklenirken PE yapısının belirli bölümleri manuel olarak işlenir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • PE Header Oku
  • Sectionları Kopyala
  • Importları Çöz
  • Relocation Yap
  • EntryPoint Çalıştır

Cikti ve Kullanım Amaci

Reflective DLL analizinde kullanılan araçlar farklı görünürlük seviyeleri sunar.

  • x64dbg: Dinamik analiz ve bellek inceleme
  • IDA Pro: Statik kod analizi
  • PE-bear: PE yapı inceleme
  • Process Hacker: Bellekteki modülleri görüntüleme

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Bellek İçi Çalışma olarak verilir. Reflective DLL Injection analizinde dikkat edilen en önemli noktalardan biri DLL'in bellekte çalıştırılmasıdır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Reflective DLL Injection Tersine Mühendisliği konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: PE Header, Import Table, Relocation Table, EntryPoint, Disk Yazmama, Manual Loading, Bellek İçi Çalışma, Custom Loader, x64dbg, IDA Pro. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.