Kitap: Linux İşletim Sisteminde Malware Analizi
15 Mar 2021 - 157 sayfa
Kitabın içeriğinde Linux işletim sisteminin çalıştırılabilir dosya sistemi ile malware analizi konuları beraber işlenmiştir. Kitap içeriğinde hazır araçlardan ziyade işin mantık ile uygulama kısmı yoğun olarak işlenmiştir. Bu uygulamaları okuyucunun da rahatça gerçekleştirebilmesi için sanal makine hazırlanmıştır. Okuyucu da sanal makineyi indirip herhangi ek bir araca ya da kuruluma ihtiyaç duymadan, sadece sanallaştırma programı olan VirtualBox programını kullanarak doğrudan uygulama yapabilir. Kitabın temel bölüm ve içerikleri şunlardır:
(Bölüm 1) Giriş; kitabın içeriği, sanal makine kurulumu ve diğer bilgilendirme notlarını içeren bölümdür. Kitaptan en iyi nasıl yararlanılacağını anlatan bölümdür.
(Bölüm 2) Temel Kavramlar; bu bölümde okuyucu ile aynı dili konuşabilmek için hacker, malware, malware analizi vb. gibi bazı kavramlar açıklanmıştır. Her okuyucu bilişim kökenli olmayabiliyor ya da bazı konularda eksik bilgi sahibi olabiliyor. Bu sebeple bazı kavramları açıklama ihtiyacı duyulmuştur.
(Bölüm 3) Temel Düzey Programlama; programcılık kökeninden gelmeyen okuyuculara bazı kavramlar açıklanıyor. Örneğin bir programın nasıl derlendiği, bellekte nasıl çalıştığı bu bölümde anlatılmıştır.
(Bölüm 4) Extensible Linking Format (ELF); Linux işletim sistemine ait olan çalıştırılabilir dosya yapısı bu bölümde anlatılmaktadır. Program başlık tablosu, bölüm başlık tablosu gibi temel bileşenlerinden bahsediliyor.
(Bölüm 5) Malware Analizi Uygulama; Temel düzeyde malware analizine yönelik statik yöntemlerin anlatıldığı bölümdür. Bazı zararlı dosya örnekleri anlatılmıştır.
(Bölüm 6) Semboller; ELF yapısına ait sembollerin açıklandığı bölümdür. Bu bölümde semboller hakkında detaylı bilgi ve uygulamalar içermektedir.
(Bölüm 7) Hata Ayıklama Bilgileri; Programlama ile uğraşanların en çok kullandığı yöntemlerden biri olan hata ayıklama yöntemleri hakkında bilgi verilen bölümdür. ELF yapısında bu hata ayıklama bilgileri hangi alanlarda tutulur, bu bilgilere nasıl erişilir anlatılmaktadır.
(Bölüm 8) Dinamik Bölümler; Dinamik bölüm nedir, neden ihtiyaç duyulur gibi soruların cevabını bulabileceğiniz bir bölümdür. Ayrıca ELF yapısındaki dinamik bölümler incelenmiştir.
(Bölüm 9) Sistem Çağrıları; Sistem çağrısı nedir, neden kullanılır gibi konuların işlendiği bölümdür. Bu bölümde sistem çağrısı ile ilgili örnekler yapılmıştır.
(Bölüm 10) Bayrağı Yakala (CTF); Bu bölüme kadar anlatılan konularla ilgili bayrağı yakalama yarışmalarında en çok karşılaşılan bazı uygulama örnekleri yapılmıştır. Bu sayede okuyucunun anlatılan konuları daha iyi kavraması sağlanmıştır.
(Bölüm 11) Procfs (Proc Filesystem); Linux işletim sistemlerinde bilerek ya da bilmeyerek en çok kullanılan yapılarından bir tanesi “Profcs” yapılarıdır. Bu yapı detaylı açıklanmaya çalışılmıştır. Malware analizinde bu yapıyı kullanabilmek için gerekli bilgiler verilmiştir.
(Bölüm 12) CORE File; En az bilinen ancak oldukça kullanışlı olan “CORE” dosyaları açıklanmaya çalışılmıştır. Uygulamalarla bu bölüm okuyucuya anlatılmıştır.
(Bölüm 13) UPX; Malware analizinde en çok korkulan yapılardan biri olan UPX anlatılmıştır. Konu sadece UPX olarak değil, sıkıştırılmış dosya yapıları olarak ele alınmıştır. Olaya mümkün olduğunca malware analizi açısından bakılmıştır.
(Bölüm 14) Kod Enjeksiyon Koruması; Gerçek hayatta birçok firmanın üretmiş olduğu farklı kod enjeksiyon koruma yöntemleri vardır. Ancak bu bölümde sadece 3 tanesi temel düzeyde anlatılmıştır. Bunlar; Data Stack Smashing Protector (or Canaries), Data Execution Prevention (DEP), Data Address Space Layout Randomization (DASLR/ASLR).
(Bölüm 15) Bazı Hazır Araçlar; Bu bölümde sanal makine içerisindeki bazı hazır araçlar gösterilmiştir. Detaylı bir anlatım söz konusu değildir sadece yüzeysel bir tanıtım vardır. Buradaki amaç okuyucunun kendisini, bu hazır araçları keşfetmeye yöneltmektir. Unhide, Cyberchef, Edb debugger, Radare2, Cutter, Ghidra, wxHexEditor, Wireshark, Inetsim programlarıdır.
Abdulkadir Güngör - Kişisel WebSite
