Bu yazıda zararlı yazılım analizlerinde kullanılan statik ve dinamik analiz yöntemlerine değineceğiz.

Zararlı Yazılım Nedir?

Genel olarak zararlı yazılım (İngilizcesiyle Malware) herhangi bir elektronik cihazın (bilgisayar, telefon, buzdolabı vb.) bazen işlevlerini kullanılamaz hale getiren, bazen içerisindeki önemli dosyaları şifreleyen (ransomware) bazen de istenmeyen reklamlara sebep olan veya gizli gizli bitcoin mining yapan bir yazılım türüdür.

Malware ismi 1990 yılında Yisrael Radai tarafından koyulmadan önce bu tarz yazılımlara bilgisayar virüsü denilmekteydi.

Zararlı yazılımlara örnek vermemiz gerekirse, CryptoLocker, WannaCry ve Trojan Horse’u örnek verebilriz.

Zararlı Yazılım Analizi Nedir?

Zararlı yazılım analizi tersine mühendislik gibi çeşitli alanlardan faydalanarak zararlı yazılımın farklı metotlarla incelenerek çalışma prensiplerinin ortaya koyulduğu ve önlem alınması konusunda yol gösteren çalışmalardır.

Zararlı yazılım analizi temelde ikiye ayrılır.

  1. Statik Analiz
  2. Dinamik Analiz

Statik Analiz Nedir?

Statik analiz, zararlı yazılımın çalıştırılmadan incelenmesidir. Çeşitli online araçlarla veya disassemble edip içerisinde bulunan instructionların gözlemlenmesi, içerdiği kütüphane, fonksiyon ve stringlerin incelenmesi gibi aşamaları içermektedir.

Statik analiz yapılırken executable başlık bilgileri, import ve export tabloları gibi bilgiler de incelenmektedir.

Dinamik Analiz Nedir?

Dinamik analiz, zararlı yazılımın güvenli bir ortamda çalıştırılarak davranışlarının incelenmesi yoluyla analiz yapılmasıdır. Bir debugger aracılığıyla malware çalışırken hangi davranışları sergilediği incelenirken, çalışmadan öncesi ve çalıştıktan sonrası bulunduğu ortamda nelere nasıl etki ettiği ve protocol requestleri incelenmektedir.

Debugger ile inceleme yapılırken Breakpoint bırakılarak komutlar adım adım çalışması esnasında incelenmektedir. Bu tarz analizlerin yapılabilmesi için REMNUX adında bir zararlı analiz Linux dağıtımı da bulunmaktadır.

Statik Analiz vs Dinamik Analiz

Daha net anlaşılması açısından statik analiz ile dinamik analizin tablo üzerinde farklarına bakalım.

Şekil - 1
Kaynaklar:
  • https://tr.wikipedia.org/wiki/Malware
  • https://www.sibertalimhane.com/sub/zararli-yazilim-analizi/
  • https://okankurtulus.com.tr/2018/10/23/zararli-yazilim-analizine-giris/
  • http://www.differencebetween.net