İşlem İzleme ile Kötü Amaçlı Yazılım Tespiti: Process Monitor Kullanımı
Process Monitor (Procmon), Windows sistemlerinde gerçek zamanlı olarak dosya sistemi, kayıt defteri ve işlem/iş parçacığı etkinliklerini izlemek için kullanılan güçlü bir araçtır. Kötü amaçlı yazılım analizinde, kötü amaçlı yazılımın başlattığı ve yürüttüğü işlemleri detaylı bir şekilde gözlemleyebilirsiniz. İşte Process Monitor kullanarak işlem izlemeyi gerçekleştirme adımları:
1. Process Monitor'ü İndirme ve Kurma
İndirme:
Process Monitor’ü Sysinternals web sitesinden indirin.
ZIP dosyasını çıkartın.
Kurulum:
Process Monitor, kurulum gerektirmeyen bir uygulamadır. Procmon.exe dosyasını çalıştırarak açabilirsiniz.
2. Process Monitor'ü Başlatma ve Yapılandırma
Başlatma:
Procmon.exe dosyasını çift tıklayarak açın. Uygulama, Windows Güvenlik İzni penceresi çıkarsa onay verin.
Başlangıçta Görüntüleme:
Başlangıçta tüm sistem etkinlikleri görüntülenir. Ancak, analiz sürecini kolaylaştırmak için filtreleme uygulamanız gerekebilir.
Filtreleme:
Filtreler menüsüne gidin (Ctrl+L).
Add butonuna tıklayarak yeni bir filtre ekleyin. Örneğin, yalnızca belirli bir işlem adı, dosya yolu veya kayıt defteri anahtarı için filtreleme yapabilirsiniz.
Şüpheli işlem adlarını veya dosya yollarını belirlemek için filtreleri kullanın.
3. Kötü Amaçlı Yazılımı Çalıştırma ve İzleme
Sistem Temellendirmesi:
Kötü amaçlı yazılımı çalıştırmadan önce sistemin mevcut durumunu kaydedin. Bu, işlem ve etkinlik bilgilerini karşılaştırmanıza yardımcı olacaktır.
Kötü Amaçlı Yazılımı Çalıştırma:
Kötü amaçlı yazılım dosyasını çalıştırın.
Etkinlik İzleme:
Process Monitor penceresinde, kötü amaçlı yazılımın başlattığı işlemleri ve diğer etkinlikleri gerçek zamanlı olarak izleyin.
Herhangi bir dosya okuma/yazma, kayıt defteri değişiklikleri veya işlem oluşturma gibi olayları gözlemleyin.
4. İşlem ve Etkinlik Analizi
İşlem Ayrıntıları:
Kötü amaçlı yazılımın başlattığı işlemleri ve alt işlemleri kontrol edin.
İşlem adını, PID’yi, bağlı dosyaları ve yüklenen kitaplıkları not alın.
Dosya ve Kayıt Defteri Etkinlikleri:
Dosya sisteminde ve kayıt defterinde yapılan değişiklikleri inceleyin.
Kötü amaçlı yazılımın oluşturduğu veya değiştirdiği dosyaları ve kayıt defteri anahtarlarını tespit edin.
Zaman Damgaları:
İşlem ve etkinliklerin zaman damgalarını inceleyin. Kötü amaçlı yazılımın ne zaman ve hangi işlemleri gerçekleştirdiğini belirlemek için zaman damgalarını karşılaştırın.
Olay Günlüğü İncelemesi:
Olay günlüklerinde, belirli bir işlemin gerçekleştirdiği tüm eylemleri ayrıntılı bir şekilde analiz edin.
5. Raporlama ve İzleme Sonuçları
Veri Kaydetme:
Process Monitor'ün topladığı verileri kaydedin. Bu veriler genellikle bir PML dosyası olarak saklanır ve daha sonra analiz için kullanılabilir.
Analiz ve Raporlama:
Elde edilen verileri analiz ederek kötü amaçlı yazılımın davranışlarını özetleyin. Kötü amaçlı yazılımın sistemdeki etkilerini ve başlattığı işlemleri raporlayın.
Kötü Amaçlı Etkinliklerin Belirlenmesi:
Kötü amaçlı yazılımın sistemde gerçekleştirdiği değişiklikleri, başlattığı işlemleri ve diğer kötü amaçlı etkinlikleri belirleyin.
Özet
Process Monitor, kötü amaçlı yazılım analizinde önemli bir araçtır çünkü gerçek zamanlı olarak sistemdeki etkinlikleri izleyebilir ve ayrıntılı bilgi sağlayabilir. İşlem izleme, kötü amaçlı yazılımın sistemdeki etkilerini anlamanıza ve daha fazla araştırma yapmanıza yardımcı olur. Filtreleme ve analiz yaparak, kötü amaçlı yazılımın eylemlerini anlamak ve sistem üzerinde oluşturduğu değişiklikleri tespit etmek mümkündür.