Statik Malware Analizi

Statik Malware Analizi

Statik Analiz , dosyanın yapısının incelendiği zararlı yazılımı çalıştırmadan yapılan analiz yöntemidir. Temel statik analiz dosyanın zararlı olup olmadığına dair ve dosyanın işlevi hakkında bilgi verebilir. Statik analiz biraz daha hızlı bir yöntem olsa da çok daha karmaşık yapıdaki zararlı yazılımlarda önemli davranışları kaçırabilir ve antivirüsleri atlatabilir. Bundan dolayı tam olarak zararlının neler yaptığını tespit edebilmek için dinamik analiz de yapılmalıdır.

Statik Analiz Teknikleri

Zararlı dosyanın Virustotal ‘e yüklenerek Antivirüslerin sonuçlarına bakılması.


String İfadeleri Bulma zararlı dosyanın işleyişi hakkında bilgi toplamamıza olanak sağlayabilir.

Kullanım şekli : strings DosyaAdı

  • “GetLastActivePopup” en son hangi pop-up penceresinin aktif olduğunu belirler.
  • “SetWindowContextHelpId” belirtilen pencere ile içerik tanımlayıcısını ilişkilendirir.
  • “GetProcessWindowStation” ile geçerli pencere geri çağırılır.
  • “urlmon.dll” ile URLDownloadA , URLDownloadW , URLDownloadToCacheFileA , URLDownloadToCacheFileW , URLDownloadToFileA , URLDownloadToFileW , URLOpenStream gibi fonksiyonlar kullanılmış olabilir.
  • “MprAdminInterfaceCreate” fonksiyonu ile belirtilen sunucuda arayüz oluşturur. 
  • “GetCurrentHwProfileA” bilgisayarın donanım bilgileri hakkında bilgi alır.
  • “DeviceIoControl” cihaza bir kontrol kodu göndererek ilgili işlemi gerçekleştirmesini sağlar ve “dwIoControlCode” parametresi ile gerçekleştirilecek özel işlemi ve bunun gerçekleştirileceği cihazın türünü tanımlar.
  • “VirtualProtectEx” belirli bir işlem için sayfaların sanal adres alanının bulunduğu bölgedeki korumayı değiştirir.
  • “CreateMutexExA” bir mutex nesnesi oluşturur ve kullandığı parametreler ile cihazda erişim hakları ister.

Burada zararlının bulaştığı bilgisayardan bilgi topladığını cihazda erişim hakkı elde edip bir sunucuyla iletişime geçtiğini açıkça söyleyebiliriz.

PEİD ve Detect it Easy programlarıyla zararlı dosyanın gizlenip gizlenmediği kontrol edilebilir.

Dependency Walker programı ile içeriğine bakabiliriz. Zararlı yazılım dosya ya da URL yönlendirme işlemleri ile bilgisayarın bilgilerine ulaşıp bilgisayarda birçok yetki hakkına sahip oluyor bu sayede tarayıcıdan cookie bilgileri çalınabilir , internetten farklı bir zararlı dosyayı bilgisayara indirebilir. Birçok ip ile iletişim kurabilir. Bilgilerinizi karşı tarafla paylaşımda bulunabilir. Statik analizde edinilecek bilgi azdır fakat yazılımın neler yaptığına dair bilgi sahibi olmamızı sağlar.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir