Categories

English

[EN] WDK Tips - Some errors and solutions

In this article, I will give some solutions when writing code for Windows Kernel driver or C++. Especially these are solutions when try to set up VS Studio on VM and start to write co...

In English, Jul 18, 2020

[EN] Dump Analysis Using Radare and Windbg

In this article, I will give you information about taking executable file which is inside of dump file. If I talk about our scenario, there is a dump file from _svchost.exe_ that look...

In English, Dec 06, 2019

[EN] Intel PIN: Dynamic Binary Analysis tool

PIN is dynamic binary analysis tool for x86/64 and MIC instruction -set architectures. I started to use it for tracing and deobfuscating malware.

In English, Jul 08, 2019

[EN] Emotet malware technical analysis

We are going to open malicious file with x64Dbg and start unpacking process. When throw the malware into Debugger, we are going to create Breakpoint on Create Process Internal. Becaus...

In English, Jun 24, 2019

[EN] Hermes Ransomware Technical Analysis

When we first run malware, the ransomware copies itself into under the AppData–>Local–>Temp. We also notice that an exe file called Svchost has been created.

In English, Feb 19, 2019

[EN] My lab environment and the tools I use

When I began to make analysis, I was using Ollydbg as a debugger. But at this time, I mostly using ImmunityDbg as a debugger. Especially Ollydbg and ImmunityDbg are based on x86.

In English, Jan 01, 2019

[EN] How to enable PowerShell in Win7?

I created new virtual lab environment with win7x86. Then I tried to run a script that ended with .ps1 on PowerShell but there was a some errors.

In English, Aug 02, 2018

[EN] Windows Kernel Exploitation – Setting up the Environment

I usually use Vmware Fusion for malware analysis. So I also preferred it in this lab. Frankly speaking, it was not hard set up necessary ISO files. When I install necessary virtual dr...

In English, Jun 12, 2018

[EN] Android System Architecture And Pen-testing of Android applications

Android System Architecture And Pen-testing of Android applications

In English, Jan 31, 2014

Mobil

IOS Uygulama Güvenliği Part 1 - Mobil Pentesting Ortamı Kurma

Bu kısımda IOS cihazımıza nasıl jailbreak yapacağımıza bakacağız. Jailbreak yapılmış cihazlar birçok avantaja sahiptir

In Mobil, Nov 07, 2014

Android Master Key Güvenlik Açığı – POC

u güvenlik açığı dijital imzaları geçersiz kılmadan Android uygulamaları içerisine kötü niyetli kodları enjekte etmeyi sağlıyor.Bu açıktan yararlanmak bilgisayar korsanları ve saldırg...

In Mobil, Nov 05, 2014

Android'de Sistem Mimarisi ve Penetrasyon

eknolojinin hızla yayılmasıyla beraber kullandığımız cihazlarda hızla değişmektedir.Ve bu süre zarfında hackerlarında hedefleri bilgisayar odaklanmasından mobil odaklanmaya doğru kaym...

In Mobil, Mar 11, 2014

Programlama

Mac OS'ta Django Kurulumu

MAC OS yüklü sistemlere Django framework'unun nasıl yüklenileceğini çok basit bir şekilde izah edeceğim.Django'nun ne olduğuna gelirtsek eğer, Python programlama dili ile yazılmış yük...

In Programlama, Oct 20, 2016

Ruby on Rails : Twitter Bootstrap Kurulumu (Kurs Notları 3)

Daha önceki yazımda Ruby on Rails’in kurulumuyla ilgili ögrendiklerimi aktarmaya çalıştım. Kurulumdan sonra çok küçük çapta projeler üzerinde çalıştık. Daha sonra ise Twitter Bootstrap

In Programlama, Mar 26, 2015

Ruby on Rails'e Giriş (Kurs Notları 1)

Ruby on Rails’I Mac OS üzerinde kullanıyorum. Ayrıca Linux ve Microsoft platformlarınıda destekliyor. Linux ve Mac OS ‘ta yükleme ve sıkıntıda

In Programlama, Mar 14, 2015

Windows'ta Ruby on Rails Yüklerken Alınan SSL Hatasının Çözümü (Kurs Notları 2)

Yaklasık 2 hafta önce okudugum üniversitede Ruby on Rails kursuna başladım. Aslında Github Pages üzerinde uğraşmamdan sonraki ilk deneyimimdi diyebilirim. Geçen hafta itibariyle ikinc...

In Programlama, Mar 06, 2015

Malware Analizi

.Net Anatomisine Genel bakış ve TrickMouse zararlı analizi

.Net 2000'li yılların başında programlamayı kolaylaştırmak amacıyla Microsoft tatafından sunulan bir yazılım çerçevisidir. Daha anlaşılır bir dille söylemek gerekirse C#, VB.Net vs gi...

In Malware Analizi, Jul 15, 2020

Radare ve Windbg Kullanarak Dump Analizi

Bugünkü yazımızda içerisinde zararlı yazılım barındıran dump dosyamızın analizi olacak. Bizim senaryomuzda ise şüpheli gözüken svchost.exe’nin alınan dump’ı bulunuyor.

In Malware Analizi, Nov 28, 2019

APT28 - MS Ofis Macro Kod Analizi

Bu yazımda MS ofislerin makro desteği sayesinde içerisine gömülen zararlı yazılımları nasıl analiz edeceğimizle ilgili olacak.

In Malware Analizi, Aug 15, 2019

Emotet Zararlı yazılımının teknik Analizi

Zararlı dosyamızı x64Dbg ile açıp, unpacking işlevine başlıyoruz. Zararlı dosyayı Debugger'a attığımız zaman öncelikli olarak `Create Process Internal` üzerinde Breakpoint koymaya gid...

In Malware Analizi, Jun 21, 2019

Hermes Ransomware Teknik Analizi

Zararlı yazılımı ilk çalıştırdığımızda, zararlıya ait dosyaların AppData-->Local-->Temp altında kopyalandığını görüyoruz. Burada ayrıca Svchosta adında bir exe dosyasının da oluşturul...

In Malware Analizi, Feb 13, 2019

Lab ortamım ve Kullandığım araçlar

Neden iki yazılım kullanıyorum sorusuna gelirsek eğer yeterli disk yerimin olmadığından dolayı diyebilirim. VMWare'i direkt olarak Mac Os üzerinden, VirtualBox'uda harici hard disk üz...

In Malware Analizi, Dec 26, 2018

Bad Rabbit zararlı yazılımına bir bakış!!

Geçtiğimiz sene Haziran aylarında özellikle Ukrayna'ya yönelik olarak Petya.A/NotPetya adında bir zararlı yazılım kullanılarak büyük çapta siber saldırılar yapılmıştı.

In Malware Analizi, Oct 03, 2018

Alpha Ransomware Kaynak Kod Analizi ve Unpacking - 2

osyayı açtığımızda hemen yandaki panelden Dll dosyası olduğunu fark ediyoruz. Göründüğü kadarıyla debug işlemini direkt olarak gerçekleştiremeyecğiz gibi gözüküyor. Çünkü dll

In Malware Analizi, Nov 21, 2017

Alpha Ransomware Kaynak Kod Analizi ve Unpacking - 1

2016 yılının ortalarına doğru çıkan bu zararlının, Cerber adlı zararlıyı yazan kişi yada grup tarafından yazıldığı tahmin ediliyor. Bazı yerlerde Alpha olarak öne çıkıyor

In Malware Analizi, Oct 16, 2017

Ransom32 Ransomware Saldırı Analizi

ansom32 indirildikten sonra otomatik olarak kendiliğinden açılan Winrar arşivi olduğu gözüküyor. Yukarıdaki resimde görüleceği üzere arşivde “Chrome.exe” dosyası yer alıyor. Winrar

In Malware Analizi, May 11, 2017

GoldenEye(Petya) Ransomware Saldırı Analizi

Zararlının ilk çıktığı tahminen 2016 yılının ilk çeyreği içerisinde. Aynı zararlının ikinci versiyonu olan “Green Petya” ise bir yada iki ay sonra Mischa adlı başka bir zararlı ile bi...

In Malware Analizi, May 10, 2017

Ücretsiz olarak Zararlı Yazılım Dosyaları İndirmek

Genel olarak aşağıdaki servislerde exe ve dll dosya analizleri yapılıyor. Ücretsiz olarak zararlı yazılım indirip inceleyebileceğiniz sitelerden en fazla kullandığım iki tanesi

In Malware Analizi, Dec 30, 2016

Windows

WDK Tips-VS Studio Kurulumu ve sonrasında karşılaşılan problemler ve çözümleri

Windows 7 üzerinde KMDF programlama ve C++ projeleri yazmak için Windows’a WDK ve SDK’yi kurup, Visual Studio’ya entegre olduğunu görmem gerekiyordu. Fakat hem kurma aşamasında...

In Windows, Jul 07, 2020

Windows Kernel Exploitation 5 - Arbitrary Memory Overwrite Açıgı

Bugünkü yazımızın konusu Arbitrary Memory Overwrite (Write-What-Where) açığı olacaktır. Buradaki amacımız temel olarak Çekirdek dağıtım tablosundaki(where) shellcode (What) adresiyle ...

In Windows, Jun 30, 2020

Windows Kernel Exploitation 4 - Stack tabanlı Bufferoverflow açığı

Seriyle ilgli yazılan ilk iki yazıda gerekli ortamın ve gerekli araçların hazırlanması, son yazı ise Token erişimi ve Shell code yazımı hakkında olmuştu.

In Windows, Jun 23, 2020

Windows Kernel Exploitation 3 -Token Erişimi ve Shellcode yazımı

WKE ile ilgili ilk yazımda lab ortamının nasıl kurulcağından, ikinci yazımda ise yine lab ortamımla ilgili olarak HEVD sürücülerinin nasıl yüklenebileceğinden bahsetmiştim.

In Windows, Nov 10, 2019

Windows Internals - Çekirdek Modül Adresini bulma

Sürücü geliştirmeye ve Kernel istismarlarıyla uğraşmaya başlamamla birlikte, Windows internals ile ilgili detaylara daha fazla girdiğimi söyleyebilirim. Bu yüzden elimden geldiğince W...

In Windows, Nov 09, 2019

Windows Kernel Exploitation 2 - HEVD Kurulumu

Aradan biraz fazla zaman geçti fakat son haftalar bu konularla ilgiliyim. Bu yazımda sürücü istismarından bir önceki adımı elimden geldiğince basit bir şekilde anlatmaya çalışacağım d...

In Windows, Sep 30, 2019

Process Injection Teknikleri 3 – Hook Injection ve IAT/Inline Hooking

ooking, intercept function çağrılarını engellemeye yarayan bir tekniktir. Zararlı yazılım belirli bir iş parçacığında (thread) tetiklenen bir olay üzerine zararlı DLL'leri yüklemek iç...

In Windows, Sep 11, 2019

Process Injection Teknikleri 2 - Process Hollowing ve Atombombing

Zararlı yazılımı herhangi bir unpack işlemine almadan önce IDA Pro üzerinde incelediğimizde; Öncelikli olarak zararlı yazılım elindeki zararlı kodu suspended mod içerisinde çalıştırab...

In Windows, Sep 07, 2019

Process Injection Teknikleri

Özellikle son yıllarda malware yazarları tarafından bu yöntemler yaygın olarak kullanılmaya başlandı. Kısaca tanımlamak gerekirse başka bir işlem adresi içerisinde özel bir kodun çalı...

In Windows, Sep 02, 2019

DLL dosya formatına kısaca bir bakış

DLL, Microsoft işletim sisteminde birden fazla kullanılan programların verilerini içeren bir yazılım kütüphanesidir. Bir yürütülebilir yani exe dosyası çalıştırıldığında buraya aktarı...

In Windows, Dec 02, 2018

Win7'de PowerShell'i Enable duruma getirme

Kurduğum lab ortamında (win7x86) bir tane .ps1 ile biten bir scripti PowerShell üzerinden çalıştırmayı denedim fakat karşıma bir hata çıktı.

In Windows, Jul 30, 2018

Portable Executable Dosya Formatı – PE Header (Seri 3)

Bunun haricinde bir başka yol ile de bunu doğrulayabiliriz. Buna örnek olarak yukarıdaki resimde yer alan PeBrowse aracını örnek olarak verebiliriz. Bunların haricinde ise LordPE veya

In Windows, Apr 27, 2018

Portable Executable Dosya Formatı - DOS Header (Seri 2)

Tüm Portable Executable dosyalarında, her bir dosyanın ilk 64 baytını kapsayan bir DOS Header (üst bilgi) ile başlıyor. Programların DOS'tan çalıştırılması durumunda DOS,

In Windows, Apr 02, 2018

Portable Executable Dosya Formatı (Seri 1)

Portable Executable .acm, .ax, .cpl gibi pek çok uzantının yanı sıra herkes tarafından çokca bilinen .DLL ve exe uzantılarını kapsamaktadır. Bir PE dosyasının en azından

In Windows, Mar 25, 2018

Windows Kernel Exploitation - Lab ortamını kurma ve ilk erişim

alware analizleri için genellikle tercih ettiğim yazılım Vmware Fusion oluyordu ki bu lab içinde bunu kullandım. Açıkcası gerekli ISO dosyalarını kurmak pek zahmetli değildi. Gerekli ...

In Windows, Jun 12, 2017

Tools

Intel PIN: Dynamic Binary Analiz aracı

Kısaca belirtmek gerekirse PIN, x86/64 ve MIC komut seti mimarileri için geliştirilmiş bir dynamic binary analiz aracıdır. Bana bakan tarafıyla ilgili olarakta zararlı yazılımları izl...

In Tools, Jul 08, 2019

Forensic

Volatility ile Memory Forensics İşlemleri

Bu yazım memory forensics ile ilgili olacak ve bunun için Volatility Framework'un dan yararlanacağız.Şuan için Memory forensics framework'lar arasında en fazla tercih edilenlerden bir...

In Forensic, Aug 07, 2019