Yavuz Han

Bloğumu AWS Lightsail'e taşıdım

Uzunca bir süre birkaç farklı CRM (Wordpress, Github-pages vs.) ve CRM ile birlikte de birkaç farklı hosting şirketini de (A1Hosting, BlueHosting, Digitalpress vs.) kullanmıştım. Açıkcası bu şekilde daldan dala gitmekten sıkılmıştım. Daha sonrasında araştırma yaparken AWS'nin Lightsail ürününü buldum. Bir önceki hosting platformunda CRM olarak ghost kullanıyordum ve gayet kullanışlıydı.

VMware Fusion'da Serial Port Ayarlama

Windows Kernel Exploitation konusuna girerken lab ortamı kurulumundan bahsetmiştim. O zamanlar lab ortamımı VirtualBox ile birlikte oluşturmuştum. Hard disk yenilenmesinden sonra tüm lab ortamımı VMware üzerine taşıdım ve lab ortamlarımı tekrardan kurmam gerekti. İlk yazımın üzerine ek bir bilgi gibi olacak ve VMware Fusion üzerinde Serial Ports ayarlamalarının nasıl yapıldığı

2020 Yılını Bitirirken...

Açıkcası bu yılı elimden geldiğince verimli geçirmeye çalıştım. Fakat araya askerliğimin girmesi sebebiyle yılın ilk 6 ayında birşey yapamadım. Fakat geriye kalan sürede en verimli şekilde geçirmeye çalıştım diyebilirim.

hardware

Bir SSD Alma Hikayesi...

Uzun bir süredir SSD değişimi yapmayı planlıyordum gerçekten çok uzun bir süredir planlıyordum. Ve sonunda tüm şartlar olgunlaşınca işe koyuldum. Kullandığım cihaz Macbook Pro Retina late 2012 olduğu için açıkcası araştırmalarımdan sonra çok fazla seçeneğimim olmadığını fark ettim ve OWC markasından almaya karar verdim. Araştırdığım kadarıyla da SSD konusunda da

go

Golang ile XML Parse Etme

Go ile XML parsing’i anlatacağım. Açıkcası burada iki kısımdan oluşacak; ilk olarak local’de bir XML dosyası oluşturup, onu çekeceğim. ikinci kısımda ise kendi web sitem için oluşturduğum sitemap.xml‘i çekeceğim.

go

Golang'ın Güncelleştirilmiş Sürümünü Yükleme

Go programlama dili ile ilgili ortamımı hazırlayıp, çalışmalara başladıktan sonra Golang ile ilgili yeni bir güncelleme gelmişti. Açıkcası okuduğum kaynaklarda birkaç farklı yol olsa da, golang güncellemesi ile ilgili yazılmış ve Github üzerinde yayınlanmış güzel bir script buldum.

proje

Tersine Mühendislik 101 Eğitim Dökümansyonu

Dökümanları hazırlarken tabi ki daha iyi açıklamalar yapabilme adına bir araştırma süreci oldu diyebilirim. Çünkü konuşurken dile getirme şekli ile yazı dilinde dile getirme şekli arasında bariz farklılıklar bulunuyor. Bu yüzden elimden geldiğince daha dikkatli olmaya gayret ettim.

go

Go Programlama Dili Kurulumu ve PATH Ayarları

Go (diğer adıyla golang), Google mühendisleri tarafından 2007’den itibaren geliştirilmeye başlanan açık kaynak bir programlama dilidir. Daha çok sistem programlama için tasarlanmış olmakla birlikte web, GUI, IoT gibi çok geniş bir yelpazede kullanım imkânı (yeteneği) bulunmaktadır.

English

[EN] WDK Tips - Some errors and solutions

If I talk about this error, I would like to state that I did not meet for the first time. For several reasons, I had to delete my virtual machines on the computer. But before this action, it was working well. So I did the same steps to create my lab again.

Analysis

.Net Anatomisine Genel bakış ve TrickMouse zararlı analizi

Zararlı yazılım CVE-2019-0541 açığını kullanan bir APT’dir. Ukrayna’daki kullanıcıları hedefleyen zararlı, Dünya Sağlık Örgütü ve Ukrayna Sağlık Bakanlığı’ndan gönderilmiş gibi gösterilen oltalama saldırılarında kullanılmış.

WindowsKernel

Windows Kernel Exploitation 5 - Arbitrary Memory Overwrite Açıgı

Ctypes daha çok low-level düzeyde çalışan yada çalışmaya karar veren kişiler için uygundur diyebiliriz. Buna örnek vermek adına; mesela kernel düzeyde çalışmalar yapılıyorsa - kernelde debug çalışmaları gibi- veya işletim sisteminde yer alan API’leri Python’da oluşturacağımız...

WindowsKernel

Windows Kernel Exploitation 4 - Stack tabanlı Bufferoverflow açığı

Kernel Mode ile ilgili olarakta; kullanıcı modunun aksine burada herşey ile ilgili olarak tam olarak erişim mevcuttur (CPU, Hafıza, sürücüler..). Yine kullanıcı modunun tersi olarak herhangi bir özel sanal alan mevcut değildir. Tüm kodlar, kernel modda yer alan...

English

[EN] Dump Analysis Using Radare and Windbg

Main idea is to get executable file from the dump. When I try with WinDbg, there was a problem related with the SDK (even with last version) and some missing Dll files. It was also some plugins need to be install. I had some problems with

Analysis

Radare ve Windbg Kullanarak Dump Analizi

Dump dosyasını Windbg üzerinde çalıştırıp, gerekli exe dosyasını alabilmek için SDK ile ilgili bazı değişimler yapma ve bazı eklentileri kurmanız gerekiyordu. SOS.dll, mscorwks.dll, clr.dll ve psscor4.dll dörtlüsüyle alakalı bazı problemler yaşadım. Özellikle istediğim şeyi yapabilmek için...

WindowsKernel

Windows Kernel Exploitation 3 -Token Erişimi ve Shellcode yazımı

Çünkü işletim sistemi mimarisinde hemen hemen her bir işlem EPROCESS yapısı içerisinde tanımlanıyor. Bu yapı içerisinde inceleyeciğimiz işlemlere ait hafıza alanları vs gibi tüm bilgilere ulaşabiliyoruz. Sistem içerisindeki çalışan işlemleri inceleyebilmemiz için bu işlemlerin tutulduğu herhangi bir

Windows

Windows Internals - Çekirdek Modül Adresini bulma

Çekirdek modüllerinden biri olan ntoskrnl modülü her zaman temel adresi (base address) pMods->Module\[0\].ImageBase olan ilk giriştir. Diğer modüller için listeyi dolaşıp her bir girişin FullPathName‘i, hedef modülün taban adresini alması ile karşılaştırabiliriz.

WindowsKernel

Windows Kernel Exploitation 2 - HEVD Kurulumu

Öncelikli olarak bu Ashfaq Ansari adlı bir güvenlik araştırmacısı tarafından oluşturulmuştur. Özellikle Kernel seviyesinde çalışacak araştırmacıların öğrenmelerini ve kendilerini geliştirmeleri amaçlanmış. Kaynak kodlara göz gezdirdiğinizde Buffer Overflow’dan Use After Free

Windows

Process Injection Teknikleri 2 - Process Hollowing ve Atombombing

Zararlı yazılımları yazan kişiler veya grupların tespitlerden kaçabilmek için geliştirdiği diğer tekniklerden biride Atombombing tekniğidir. Yanlış araştırmadıysam eğer ilk olarak Ensilo araştırma ekibi tarafından fark edilmiş. Daha sonra ise 2017 yılında banking trojan kategorisindeki

Windows

Process Injection Teknikleri 3 – Hook Injection ve IAT/Inline Hooking

IAT hooking ve inline hooking genel olarak user space rootkits methodları olarak bilinirler. Zararlı yazımlar IAT hooking tekniğini import address tablolarında değişiklikler yapmak için kullanırlar. Yasal veya normal bir uygulama bir DLL içerisinde bulunan bir API’yi çağırdığında, değiştirilen

Windows

Process Injection Teknikleri

DLL injection yöntemi malware yazanlar tarafından günümüzde en çok tercih edilen yöntemlerin başında geliyor. Zararlı yazılımlar bu yöntem ile zararsız bir işlemin (process) hafızasına yerleşir ve uzaktaki bir işlemin çağrılmasında bir köprü vazifesi görür.

Analysis

APT28 - MS Ofis Macro Kod Analizi

Açıkcası yazılarımda kullandığım araçların doğru yüklenmesi ve uyum sorunlarıyla ile ilgili diğer ayrıntılarıda eklemeye gayret ediyorum. Buradaki amaç ayıntılarda boğuşup, ana konudan sapmamaya katkıda bulunmak diyebilirim.

Tools

Volatility ile Memory Forensics İşlemleri

Connscan eklentisi TCP bağlantılarını tarayan bir tarayıcıdır ve bize açık socketlerin listesini hazırlar. Bunun haricinde netscan eklentisini kullandığımız zamanlarda ise bize bağlantılar ve socketler için bir görüntü tarar. Fakat kullandığımız profil açısından bu eklentiyi kullanamıyoruz.

English

[EN] Intel PIN: Dynamic Binary Analysis tool

PIN is dynamic binary analysis tool for x86/64 and MIC instruction -set architectures. I started to use it for tracing and deobfuscating malware.

Tools

Intel PIN: Dynamic Binary Analiz aracı

Malware analizleri gerçekleştirirken pek çok araçtan yararlanıyorum. Bunlardan biri de Intel tarafından geliştirilen PIN adlı aracı belirtmek istiyorum. Açıkcası daha yeni keşfettiğim ve bundan sonra da analizlerimde kullanacağım bir araç olacak. Bu yüzden yeni keşfetmişken bir

English

[EN] Emotet malware technical analysis

When we look at the import section of the PE Bear output, based on IAT information, we can see that there are several different Window DLL is loading; ; kernel32.dll, user32.dll, gdi32.dll, advapi32.dll, shell32.dll and shlwapi.dll. We can also take a look at our malicious file on IDA Pro before