magnify
Home Adli Bilişim iPucu: Malware Forensics (Zararlı Yazılım ve Adli Bilişim)
formats

iPucu: Malware Forensics (Zararlı Yazılım ve Adli Bilişim)

Eğer debug information özelliği derleme esnasında kapatılmamışsa , çalıştırabilir dosya formatı içerisinde debug bilgilerine ulaşmak mümkün olmaktadır.
Bazen bu debug bilgileri sayesinde , programın hangi işletim sisteminde oluşturulduğu , hangi derleyici kullanıldığı , programın işletim sistemindeki hangi kullanıcı tarafından oluşturulduğu gibi bilgilere ulaşılabilir.

Yukarıdaki resimde benim kendi sistemimde derlediğim bir EXE nin debug bilgileri görülebilir. PE içerisinde debug bilgisi aramak için , hedef EXE ‘ yi herhangi bir hex editör ile açıp içerisinde ”RSDS” etiketini aratabilirsiniz.

Bu bilgiler malware analiz/forensic için bazen muazzam sonuçlar ortaya çıkarabiliyor :) Aşağıdaki resimde PlugX RAT zararlı yazılımının debug bilgileri görülüyor;

 

Bu debug bilgisiyle PlugX zararlısı yazarının nickname’ine ulaşan AlienVault Research ekibi , araştırmayı ilerleterek Çinli hackerın fotoğraf ve gps bilgisine kadar ulaşmayı başardılar.

plugxauthor

AlienVault’un Yazısı için: http://labs.alienvault.com/labs/index.php/2012/tracking-down-the-author-of-the-plugx-rat/

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
No Comments  comments 

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>