Posted on June 1st, 2015
windbg

Özellikle zararlı yazılım analiz ederken analistin işini zorlaştıran mekanizmaları aşmamız gerekiyor. Bu mekanizmalardan bir tanesi packer ismini verdiğimiz yazılımlardır, ne oldukları ve nasıl çalıştıkları hakkında detaylı bilgiyi internetten bulabilirsiniz. Bu yazı da basit olarak unpack işleminin WinDbg ile gerçekleştirilmesini açıklamaktadır.

caps-1

 

Unpack işlemine geçmeden önce yukarıdaki resim bu yazılımın pack edilmiş bir yazılım olduğunu teyit etmemiz gerekiyor. Burada temel dikkat edilmesi gereken bir kaç nokta var, bunlardan başlıca önem arz edenleri import edilen fonksiyonların sayısı ve bunların LoadLibrary, GetmoduleHandle gibi fonksiyonlar olması gibi hususlardır.

 

caps-3

 

Unpack işlemini gerçekleştireceğiniz yazılımı debugger ile yükledikten sonra entrypoint/base adresi kontrol etmemiz gerekiyor.

caps-4

Bu aşamayı geçtiğimize göre giriş noktasına breakpoint koyarak -ki buradaki iment entrypoint adresine işaret eder- programın çalıştırılmasına devam ediyoruz.

caps-5

Programın çalıştırılması işleminden sonra F10 ve p komutu verilerek kaydedici üzerindeki değişikliği gözlemleyebiliyoruz.

caps-6

Buradan sonra esp gösterdiği adrese breakpoint access koyarak programın çalışmasını , bu adres read edildiğinde ise durmasını sağlıyoruz.

caps-7

Bir sonraki adımın ne olacağını artık daha iyi biliyoruz ve orjinal entry point adresine daha yakınız.

caps-8

Yukarıda görüldüğü gibi ikinci işaretli alan yazılımımızın orjinal entry point adresidir. Tüm aşamalar OllyDbg ile aynı olmakla birlikte bu yazıda sadece debugger olarak windbg kullanılmıştır.

Yasin SÜRER