OllyDbg, kaynak kodu mevcut olmayan ikili dosyaların dinamik olarak analiz edilmesini sağlayan bir hata ayıklayıcıdır. İşte OllyDbg kullanarak kötü amaçlı yazılımın analizine dair adımlar:
OllyDbg'yi İndirin ve Kurun
OllyDbg’nin resmi web sitesinden indirin ve bilgisayarınıza kurun.
Dosyayı Açın
OllyDbg’yi başlatın ve File menüsünden Open seçeneğini kullanarak analiz etmek istediğiniz kötü amaçlı yazılım yürütülebilir dosyasını seçin.
Yürütme ve İzleme
Programı çalıştırın ve yürütülen kodun dinamik analizini yapın. OllyDbg, kodu gerçek zamanlı olarak izler ve adım adım ilerlemenizi sağlar.
Breakpoint’ler (durdurma noktaları) koyarak, belirli kod parçalarının çalışmasını durdurabilir ve detaylı inceleme yapabilirsiniz.
Kayıt ve Bellek İzleme
Kayıtları (registers) ve bellekteki verileri izleyin. Bu, programın çalışırken nasıl veri işlediği hakkında bilgi sağlar.
Bellekte şüpheli veriler veya kod parçaları arayın.
API Çağrıları ve İşlevler
API çağrılarını ve işlev çağrılarını izleyin. Bu, kötü amaçlı yazılımın hangi sistem işlevlerine eriştiğini ve nasıl çalıştığını anlamanıza yardımcı olur.
Prosedürleri ve Tabloları İnceleyin
Programın içindeki prosedürleri, API çağrı anahtarlarını, sabitleri ve dizeleri tanıyın. Bu bilgiler kötü amaçlı yazılımın hedeflerine ve işlevlerine dair ipuçları verebilir.
Örnek Senaryo:
Kötü amaçlı yazılımın belirli bir URL’ye veri gönderdiğini tespit ettiniz. OllyDbg kullanarak bu işlevin nasıl çalıştığını, hangi API çağrılarıyla gerçekleştirildiğini ve hangi verilerin gönderildiğini detaylı bir şekilde inceleyebilirsiniz.