TLS Callback Anti-Analysis Teknikleri

TLS Callback, PE dosyalarında programın EntryPoint adresinden önce çalışabilen özel callback fonksiyonlarıdır. Malware'ler bu alanı anti-debug, anti-VM veya erken payload hazırlığı için kullanabilir. Reverse engineering sırasında TLS Directory mutlaka incelenmelidir.

Giris ve Temel Akis

Bu bölümün pratik akışı şu sırayla ilerler:

PE Yüklenir
TLS Directory Okunur
TLS Callback Çalışır
Anti-Debug Kontrolü Yapılır
EntryPoint'e Geçilir

Temel Kavram Eslesmeleri

TLS Callback analizinde PE yapısındaki bazı alanlar kritik rol oynar.

TLS Directory: TLS bilgilerini ve callback adreslerini içerir
AddressOfCallbacks: Callback fonksiyon adreslerini gösterir
EntryPoint: Normal program başlangıç adresidir
Loader: Callback fonksiyonlarını EntryPoint'ten önce çalıştırır

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram TLS Callback olarak verilir. TLS Callback fonksiyonları, normal EntryPoint çalışmadan önce devreye girebildiği için malware analizinde kritik öneme sahiptir.

Arac, Komut veya Inceleme Akisi

Reverse engineer TLS Callback kontrolü yaparken PE içerisindeki TLS Directory alanını inceler ve callback adreslerini takip eder.

Bu bölümün pratik akışı şu sırayla ilerler:

PE Aç
Data Directory İncele
TLS Directory Bul
AddressOfCallbacks Oku
Callback Fonksiyonuna Git
Akışı Analiz Et

Kanit ve Bilesen Iliskileri

TLS Callback içerisinde farklı anti-analysis kontrolleri çalıştırılabilir.

Anti-Debug: Debugger varlığını tespit eder
Anti-VM: Sanal makine ortamını tespit eder
Payload Decryption: Asıl kodu çalışma öncesi çözer
Environment Check: Analiz ortamı göstergelerini inceler

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram AddressOfCallbacks olarak verilir. TLS Callback adresleri, PE içerisindeki TLS Directory alanında AddressOfCallbacks üzerinden bulunur.

Operasyonel Dogrulama ve Raporlama

Malware'ler TLS Callback kullanarak analisti yanıltabilir. Analist EntryPoint'ten başlarsa, daha önce çalışmış olan anti-analysis kodunu kaçırabilir.

Bu bölümün pratik akışı şu sırayla ilerler:

Analist EntryPoint'i İnceler
TLS Callback Daha Önce Çalışmıştır
Anti-Debug Kontrolü Yapılmıştır
Payload Hazırlanmıştır
Yanlış Akış Yorumu Oluşur

Cikti ve Kullanım Amaci

TLS Callback analizinde kullanılan araçlar farklı seviyelerde bilgi sağlayabilir.

PE-bear: TLS Directory ve PE yapısını görsel inceleme
CFF Explorer: PE header ve directory alanlarını düzenleme
IDA Pro: Callback fonksiyonlarını disassemble etme
x64dbg: TLS callback üzerinde dinamik analiz yapma

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram EntryPoint olarak verilir. TLS Callback analizi yapılmadan yalnızca EntryPoint'e bakmak eksik ve hatalı malware yorumuna neden olabilir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, TLS Callback Anti-Analysis Teknikleri konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: TLS Directory, AddressOfCallbacks, EntryPoint, Loader, Anti-Debug, Anti-VM, Payload Decryption, Environment Check, PE-bear, CFF Explorer. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.