CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering Exploit Research

Windows PE Yapisi ve Loader Mantigi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering Exploit Research

Windows PE Yapisi ve Loader Mantigi konusunu SOC L3 - Tersine Mühendislik - Exploit Analizi ve Zafiyet Araştırması baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Windows PE Yapisi ve Loader Mantigi

Windows PE yapisi, calistirilabilir dosyanin disk uzerindeki organizasyonunu tanimlar. Loader ise bu yapidan gerekli bilgileri okuyarak dosyayi bellekte calisabilir hale getirir.

Giris ve Temel Akis

Windows PE yapisi, calistirilabilir dosyanin disk uzerindeki organizasyonunu tanimlar. Loader ise bu yapidan gerekli bilgileri okuyarak dosyayi bellekte calisabilir hale getirir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • DOS Basligini Incele
  • PE Headeri Oku
  • Section Bilgilerini Ayir
  • Importlari Belirle
  • Entry Pointi Tespit Et
  • Loader Akisini Ozetle

Temel Kavram Eslesmeleri

PE dosyasindaki alanlar farkli teknik roller ustlenir.

  • Entry Point: Calismanin basladigi adresi gosterir
  • .text: Yurutulebilir kodu barindirir
  • .rdata: Salt okunur veri icerebilir
  • Import Directory: Dis bagimliliklari listeler

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Entry Point olarak verilir. Programin bellege yuklendikten sonra ilk olarak yurutmeye baslayacagi adres, format bilgisinde acikca yer alir.

Arac, Komut veya Inceleme Akisi

Loader davranisini anlamak icin disk yapisi ile bellek yerlesimi arasindaki iliski degerlendirilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Section Hizalamalarini Kontrol Et
  • Bellek Haritasini Gozden Gecir
  • Import Cozumunu Incele
  • Relocation Ihtiyacini Not Et
  • Calisma Baslangicini Esle

Kanit ve Bilesen Iliskileri

Loader surecinde bazi kavramlar sikca birlikte incelenir.

  • Relocation: Beklenen adres farkliysa referanslari uyarlama
  • Import Resolution: Dis fonksiyon adreslerini baglama
  • Section Mapping: Diskteki bolumleri bellege yerlestirme
  • Image Base: Tercih edilen yukleme adresi

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram Image Base olarak verilir. Bir PE dosyasinin tercih ettigi ilk yukleme adresi, format icerisinde kayitlidir.

Operasyonel Dogrulama ve Raporlama

PE yapisi anlasildiktan sonra savunma bakisiyla dikkat ceken anomali alanlari ayiklanir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Supheli Section Isimlerini Ayir
  • Yurutulebilir Veri Alanlarini Isaretle
  • Tutarsiz Importlari Not Et
  • Alisilmadik Entry Pointi Degerlendir
  • Analiz Notunu Tamamla

Cikti ve Kullanım Amaci

PE bulgulari sonraki analiz adimlarina yon verir.

  • Yuksek Entropili Section: Packer kontrolunu derinlestir
  • Az Import: Dinamik API cozumunu izle
  • Alisilmadik Entry Point: Baslangic akis analizini onceliklendir
  • Yurutulebilir Veri Alani: Kod enjekte etme veya acilma mantigini ara

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Section Mapping olarak verilir. Diskteki bolumlerin bellege tasinip uygun adreslere yerlestirilmesi loader davranisinin temel parcalarindandir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Windows PE Yapisi ve Loader Mantigi konusunu SOC L3 - Tersine Mühendislik - Exploit Analizi ve Zafiyet Araştırması baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Entry Point, .text, .rdata, Import Directory, Relocation, Import Resolution, Section Mapping, Image Base, Yuksek Entropili Section, Az Import. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.