PEiD, Windows yürütülebilir dosyaları (EXE ve DLL) hakkında ayrıntılar sağlayan bir araçtır. Özellikle, dosyaların paketlenip paketlenmediğini ve hangi paketleme veya karartma yöntemlerinin kullanıldığını belirlemede faydalıdır. Bu, kötü amaçlı yazılımların analizinde önemli bir adımdır çünkü paketleme ve karartma, kötü amaçlı yazılımın tespitini zorlaştırabilir. İşte PEiD kullanarak paketleme ve karartma yöntemlerini nasıl belirleyebileceğinizi anlatan adımlar:
1. PEiD İndirme ve Kurulum
Öncelikle, PEiD'yi indirip bilgisayarınıza kurmanız gerekir. PEiD, ücretsiz bir araç olup genellikle güvenlik araştırmacıları ve tersine mühendislik uzmanları tarafından kullanılır.
PEiD İndir: https://www.aldeid.com/wiki/PEiD
2. PEiD ile Dosya Analizi
PEiD'yi Açın: Programı başlatın ve kullanıcı arayüzünü görüntüleyin.
Dosyayı Yükleyin: Analiz etmek istediğiniz yürütülebilir dosyayı PEiD'ye yükleyin. Bunu yapmak için File menüsünden Open seçeneğini kullanarak dosyanızı seçin.
Sonuçları İnceleyin: PEiD, yüklediğiniz dosyanın çeşitli bilgilerini gösterecektir. Öne çıkan bilgiler şunlardır:
Paketleyici (Packers): Dosyanın hangi paketleyici veya koruma aracı ile paketlendiğini belirtir. Örneğin, UPX, ASPack, Veil gibi paketleyiciler.
Karartma (Obfuscators): Eğer dosya karartılmışsa, kullanılan karartma yöntemini gösterebilir.
3. Paketleyici ve Karartma Türlerini Tanıma
Paketleyici Tanıma: PEiD, dosyanın paketlenip paketlenmediğini ve hangi paketleyicinin kullanıldığını belirlemenize yardımcı olur. Paketleyiciler, dosyanın boyutunu küçültmek ve/veya içeriğini korumak için kullanılır.
Karartma Türleri: Karartma, kötü amaçlı yazılımın analiz edilmesini zorlaştırmak için kullanılır. PEiD, karartma yöntemleri hakkında bilgi sağlayabilir, ancak bazı yöntemler daha karmaşık olabilir ve ek analiz araçları gerekebilir.
4. Paketleme ve Karartma Yöntemlerini Kullanarak Derinlemesine Analiz
Paketleme Araçlarını Belirleme: Eğer PEiD bir paketleyici tespit ederse, bu bilgiyi kullanarak daha fazla analiz yapabilirsiniz. Örneğin, belirli bir paketleyici için çözümleme araçları ve teknikleri kullanabilirsiniz.
Karartma Yöntemlerini Çözme: Karartma yöntemlerini çözmek için ek araçlar veya teknikler kullanabilirsiniz. PEiD’nin sağladığı bilgiler, karartmanın türünü belirlemenize yardımcı olur, ancak karartmayı çözmek için genellikle tersine mühendislik ve ek analiz araçları gereklidir.
Örnek Kullanım:
Dosyanın Analizi: Örneğin, malware_sample.exe dosyasını PEiD ile açtınız ve dosyanın UPX ile paketlendiğini belirlediniz. Bu durumda, UPX paketleyicisini açmak için UPX'un çözme araçlarını kullanabilirsiniz.
Karartma Tespiti: Eğer PEiD dosyada bir karartma yöntemi tespit ederse, örneğin Themida gibi bir koruma yöntemi, Themida ile ilgili çözme ve analiz araçlarını kullanabilirsiniz.
Sonuç:
PEiD, kötü amaçlı yazılım analizinde önemli bir araçtır ve dosyanın paketlenip paketlenmediğini, hangi paketleyici veya karartma yöntemlerinin kullanıldığını belirlemenize yardımcı olabilir. Bu bilgileri kullanarak, dosyanın içeriğini daha iyi anlayabilir ve uygun analiz yöntemlerini uygulayabilirsiniz.