"Vatanını en çok seven, görevini en iyi yapandır."


Hoş Geldin, Ziyaretçi!

Forum içeriğine ve tüm hizmetlerimize erişim sağlamak için foruma kayıt olmalı yada giriş yapmalısınız. Forum üye olmak tamamen ücretsizdir.

  • Yeni üyeler Neler Yapmalı, Nasıl Başlamalı? Detaylar için tıklayın
    Rütbeler ve genel görevlendirme konuları hakkında bilgi almak için tıklayın
    Uzmanlık alanları hakkında bildirge için tıklayın
    Güncel forum kuralları için tıklayın

Basit Trojanı Analiz Etmek

1njecti0n

Albay
Katılım
7 Haz 2018
Mesajlar
1,198
Selamun Aleyküm Kardeşlerim;

- Bugün sizlerle birlikte basit bir zararlı yazılımı nasıl analiz edebiliriz ufak bir bilgi vericem
- Hadi başlayalım.

- Öncelikle kardeşlerim terminalimizi açıp msfvenom‘dan crack.exe isminde basit bir trojan oluşturuyoruz.



- Trojanımızı oluşturduktan sonra Metasploit‘i çalıştırarak ,trojanımızi dinlemeye alıyoruz



- Ve crack.exe dosyamızı üzerinde test yapacağımız windows 7 mize gönderip , Çalıştırıyoruz.



- Görmüş olduğunuz gibi kardeşlerim Windows 7 üzerinden meterpreter oturumu açmış olduk.Ve Asıl meselemize gelelim.



- Örnek veriyorum; "crack.exe nin Trojan olduğunu bilerek veya bilmeyerek çalıştırdık" çalıştırdığımız bu trojanımızi windows üzerinden kontrol edelim herhangi bir olmaması gereken bağlantı varmıdır yokmudur gibisinden...

- Komut istemimizi açıp "netstat -a" yazmamız etkin bağlantıları gösterecektir.



- Etkin bağlantıları görütüledik ve Gözümüze çarpan bir kısım var 192.168.88.225 yabancı Ip‘miz bizim ile 6666 portundan iletişime geçmektedir.Peki nasıl iletişime geçti yanlış bişeymi yaptık hemen komut istemimize "netstat -anob" yazarak biraz daha detaylı inceliyoruz.



- Kontrol ettiğimiz kadarıyla 192.168.88.225 yabancı Ip‘mizin 6666 portundan iletişime geçmesinin sebebi "crack.exe" yazılımıymış.Bilgisayarımızın kontrolü başkasının elinde ...

"crack.exe" programın kaç farklı işlemde çalıştığını görüntülemek için yeni bir komut istemi açıp
"tasklist /fi "PID EQ 844"" yazmamız yeterli olucaktır.



- Ve "crack.exe" mizi Kapatalım Nasıl kapatıcaz? Önceki görselde işaretlemiş olduğum gibi Herçalışan sistemin PID numarası mevcuttur.İsterseniz görev yöneticisinden veya cmd‘den kapatabiliriz.Yazacağımız komut "taskkill /pid 844"



- Şuan çalışan bir program olduğu için kapatamadık.Almış olduğumuz hatayı kontrol edelim " Bu işlem Sadece Zorlamayla Sonlandırılabilir" parantez içerisinde Zorlama ile kapatma komutunuda almış olduk.Tekrar deniyelim



- Evet kardeşlerim işlemi sonlandırdık ve KaliLinux‘umuzu kontrol edelim En sonra meterpreter oturumu açmıştık bir değişiklik varmı .



- Görmüş olduğunuz gibi kardeşlerim Açılmış olan meterpreter oturumunu Sonlandırdık.

Anlatacaklarım bu kadardı,Bir kusurum bir hatam olduysa affola .
"Hayırlı Günler Diliyorum ...."
 
Üst