Şüpheli Dosya Analizi !!!!

Discussion in 'Bilgisayar Güvenliği' started by KamburŞalı, May 3, 2019.

  1. KamburŞalı

    KamburŞalı

    Mesajlar:
    3
    Likes Received:
    4
    Arkadaşlar bugün sizlere maillerimize gelen şüpheli dosyaları nasıl analiz ederiz onu göstereceğim.

    [​IMG]
    Burada size örnek bir mail ile gönderilmiş şüpheli dosya göstereyim. Öncelikle başlık kurumsal bir dille anlatılmamış. Yani bozuk türkçe formatı bulunmakta. Ayrıca dosya ismi de sakıncalı. Bu tür mailler genellikle şüphe uyandırır arkadaşlar.

    Gelelim bu dosyaları analiz etmede gidilecek yöntemlere;

    1- www.virustotal.com
    2- www.hybrid-analysis.com
    verdiğim bu sitelerden herhangi birini kullanabilirsiniz.

    Virustotal genellikle exe formatında ki bir dosyayı kaba taslak virüs taraması yapar.

    Diğer sitemiz ise
    sandbox teknolojisi ile çalışır. Sandbox, bilgisayarımızdan farklı bir yalıtılmış sanal ortam üzerinde güvenli ya da güvensiz dosyaların çalıştırılabildiği ortam diyebiliriz.

    Ben hybrid sitesinde işlemlerimi yapacağım. Öncelikle dosyamızı bilgisayarımıza indirip açmadan masa üstüne kaydediyoruz. Ardından;

    [​IMG]
    Drag & Drop For Instant Analysis yazan kısma tıklayıp dosyamızı seçiyoruz.

    [​IMG]
    Yazılı olan yerleri resimdeki gibi doldurun.

    [​IMG]
    Bu kısımda bilgisayarınızın işlemci modeli yada işletim sistemine göre bir seçim yapacaksınız. VMs kısmı o andaki bekleme sayısını bize verir. Şu anda birinci sıradayız arkadaşlar.

    Ardından
    Generate Public Report butonuna tıklayarak bir sonraki aşamaya geçeriz. Bu seçenek seçildiğinde ayrıca, çıkan sonuçlar virüs programı firmalarının da veri tabanına gitmekte, bir sonraki virüs programı güncelleştirmesinde virüs programları size gönderilen zararlı yazılımı keşfetmiş ve engelliyor olacaktır.

    [​IMG]
    MALICIOUS yani zararlı bir dosya olduğunu bize söylüyor arkadaşlar. Dosyamız 4 virüs firması algoritması tarafından zararlı görülmüştür.

    [​IMG]
    Excel 2010 resim kısmına tıklayarak dosyamız sandbox ortamında açılarak yazılımın zarar vermeye çalışan bir dosya olduğu komutların çalıştırılmaya çalışıldığı, linklere gitmek istediği gibi birçok detayı buradan görüntüleyebiliriz.

    [​IMG]
    Evet arkadaşlar gördüğünüz üzere şüpheli dosyaları yada siteleri bu şekilde inceleyebiliriz. Ayrıca belgemizi silmeyi unutmayalım açmadan.
     
Loading...

Bu sayfayı Paylaş