Tablo 8.2. Statik kötü amaçlı yazılım analiz araçları
Araç ismi Açıklama PEiD Paketlenmiş dosyaları saptayan programdır.
PEview Portable executable (PE) formattaki dosyaların yapı ve
içeriklerini görüntüleyen programdır.
PE Explorer PE’nin yapısını, içeriğini gösteren ve paketlenmiş dosyaları
belirleyen programdır.
BinText İkili dosyalarda gömülü bulunan karakter dizelerini
çıkaran bir metin tarayıcısıdır.
UPX Kötü amaçlı yazılım örneğini sıkıştırmak için kullanılan
yürütülebilir bir paketleyicidir.
Md5deep Dosyalar üzerinde “MD5” (Message digest 5),
“SHA-1” (Secure hash algorithm), “SHA-256” hash değeri
hesaplayan programdır.
Dependency Walker Kötü amaçlı yazılım tarafından içe aktarılan DLL’leri ve
metotları bulmak amacıyla kullanılan programdır.
Resource Hacker PE’lere gömülü halde bulunan kaynakları görüntüleme,
değiştirme, ekleme ve çıkarma amacıyla kullanılan
programdır.
IDA Pro Kötü amaçlı yazılım analistleri tarafından tersine
mühendislik işlemleri için yaygın olarak kullanılan
etkileşimli paket ayırıcıdır.
Hex Editors İkili veri içeren dosyaları görüntülemek ve düzenlemek
için kullanılan programdır.
Hex-Rays Decompiler “Assembly” kodunu okunabilir “C” benzeri kodlara
dönüştüren “IDA Pro” eklentisidir.
Örneğin, bir uygulama programının kötü amaçlı yazılım tarafından
etkilenip etkilenmediğini anlamak için aynı uygulamanın temiz bir
kopyasıyla kod enjekte edilmiş hali karşılaştırılarak zararlı kod ih-
tiva edip etmediği belirlenmektedir [Cohen, 1987; Levitt vd. 1995].
Bu amaçla “Md5deep” başta olmak üzere “PEiD”, “PEview”, “PE
Explorer”, “BinText” ve “Dependency Walker” statik analiz araçları
kullanılabilir (Tablo 8.2). Diğer bir yöntem de paket ayırıcı “IDA
Pro”, “Hex Editors” ve “Hex-Rays Decompiler” kullanılarak kötü
amaçlı yazılımdaki desenler belirlenir. Statik analiz, kötü amaçlı ya-
zılım imzaları belirlenirken sıkça kullanılan bir analiz metodudur.
R E F I K S A M E T - Ö M E R A S L A N
238
Temel ve ileri düzey statik analizler olmak üzere ikiye ayrılmakta-
dır.