Eğer siber savunma tarafında çalışıyorsanız, kötü amaçlı yazılımları analiz etmek işinizin bir parçası haline gelmektedir.
Bu yazımızda, kötü amaçlı yazılımları hangi yaklaşımlarla analiz edebileceğinizi ve bu yaklaşımların birbirlerine avantajlarını ve dezavantajlarından bahsedeceğiz.
Kötü amaçlı yazılımları analiz etmek için iki farklı yaklaşım bulunmaktadır.
- Statik Analiz
- Dinamik Analiz
Statik Analiz Nedir?
Kötü amaçlı yazılımları çalıştırmadan tersine mühendislik yöntemleriyle analiz etme yaklaşımıdır.
Genel olarak, kötü amaçlı yazılımı decompile / disassemble yöntemleri kullanılarak kötü amaçlı yazılımın gerçekleştireceği her adım analiz edilir. Böylelikle, kötü amaçlı yazılımın davranışı ve kapasitesi analiz edilebilmektedir.
Statik analiz sırasında kötü amaçlı yazılım çalıştırmadığımız için cihaza virüs bulaşmayacaktır. (Ancak ana makine üzerinde statik analiz yapılmasını önermiyoruz, analizi sanal bir sistem üzerinde yapmanız daha doğru olacaktır.)
Statik analiz sırasında incelenen bilgiler aşağıdaki gibidir.
- P.E. Headers (Portable Executables – Taşınabilir Yürütülebilir)
- Imported DLL’s (İçe Aktarılan DLL dosyaları)
- Exported DLL’s (Dışa Aktarılan DLL dosyaları)
- Strings in binary (İkili dizi)
- CPU Instructions (CPU Talimatları)
Bu yazı dizi Dinamik Analiz ile ilgili olacaktır.
Kaynak:
https://www.hex-rays.com/products/ida/news/6_0/
https://www.crowdstrike.com/cybersecurity-101/malware/malware-analysis/
https://letsdefend.io/blog/which-approach-should-you-choose-when-analyzing-malware/
