CyberFlow
Windows API Çağrılarının Reverse Engineering Analizi
Windows API çağrıları bir uygulamanın gerçek davranışını anlamanın en önemli yollarından biridir. Zararlı yazılımlar dosya oluşturma, süreç başlatma, ağ bağlantısı kurma ve bellek yönetimi gibi işlemler için Windows API'lerini kullanır. Reverse engineering sırasında API çağrı zincirleri takip edilerek uygulamanın amacı belirlenebilir. CreateProcessA( VirtualAlloc( WriteProcessMemory(
Giris ve Temel Akis
Windows API çağrıları bir uygulamanın gerçek davranışını anlamanın en önemli yollarından biridir. Zararlı yazılımlar dosya oluşturma, süreç başlatma, ağ bağlantısı kurma ve bellek yönetimi gibi işlemler için Windows API'lerini kullanır. Reverse engineering sırasında API çağrı zincirleri takip edilerek uygulamanın amacı belirlenebilir. CreateProcessA( VirtualAlloc( WriteProcessMemory(
Bu bölümün pratik akışı şu sırayla ilerler:
- CreateFileA
- WriteFile
- CloseHandle
Temel Kavram Eslesmeleri
Windows API'leri farklı sistem kaynaklarıyla etkileşim kurar. Malware analizinde bu API'lerin amacı bilinmelidir.
- CreateFileA: Dosya oluşturma veya açma
- WriteFile: Dosyaya veri yazma
- ReadFile: Dosyadan veri okuma
- CloseHandle: Açık kaynağı kapatma
Ilk Cekirdek Kavram
Bu bölümde öne çıkan çekirdek kavram CreateFileA olarak verilir. Bir malware'in sisteme dosya bırakıp bırakmadığını anlamak için dosya oluşturma API'leri incelenir.
Arac, Komut veya Inceleme Akisi
Bellek enjeksiyonu yapan zararlı yazılımlar genellikle belirli API çağrı zincirlerini kullanır. Bu zincirler reverse engineering sırasında dikkatle incelenmelidir.
Bu bölümün pratik akışı şu sırayla ilerler:
- OpenProcess
- VirtualAllocEx
- WriteProcessMemory
- CreateRemoteThread
- CloseHandle
Kanit ve Bilesen Iliskileri
Injection analizinde kullanılan API'ler farklı görevler üstlenir.
- OpenProcess: Hedef sürece erişim sağlar
- VirtualAllocEx: Hedef süreçte bellek ayırır
- WriteProcessMemory: Hedef sürece veri yazar
- CreateRemoteThread: Hedef süreçte thread başlatır
Ikincil Odak Noktasi
Bu bölümde öne çıkan çekirdek kavram CreateRemoteThread olarak verilir. Bir süreç içerisine zararlı kod yazıldıktan sonra çalıştırılması gerekir. Bunun için genellikle yeni bir thread oluşturulur.
Operasyonel Dogrulama ve Raporlama
Ağ tabanlı malware analizlerinde API çağrıları uygulamanın iletişim kurup kurmadığını anlamaya yardımcı olur.
Bu bölümün pratik akışı şu sırayla ilerler:
- WSAStartup
- socket
- connect
- send
- recv
- closesocket
Cikti ve Kullanım Amaci
Network API'leri malware'in C2 sunucularıyla haberleşmesini sağlayabilir.
- socket: Ağ soketi oluşturur
- connect: Uzak sisteme bağlantı kurar
- send: Veri gönderir
- recv: Veri alır
Son Kavram ve Cikis
Bu bölümde öne çıkan çekirdek kavram connect olarak verilir. C2 iletişimlerinin analizinde bağlantının hangi API ile kurulduğu önemlidir.
Bu Egitimden Ne Kazanirsiniz?
Bu icerik, Windows API Çağrılarının Reverse Engineering Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.
Ozet
Bu ders kapsaminda one cikan basliklar: CreateFileA, WriteFile, ReadFile, CloseHandle, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, socket, connect. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.