Akla gelebilecek ilk sorulardan bir tanesi özel hazırlanmış bir zararlının anti-virüs’ler tarafından tespit edilip edilemeyeceğidir. Aşağıda bu analizin sonuçlarını inceleyebilirsiniz.
Birinci Anti-Virüs
Anti-virüs aktif durumda.
Anti-virüs imzaları güncel.
Zararlı yazılımı sorunsuz kopyalayabildik.
Uygulamayı çalıştırabildik ve meterpreter oturumunu aldık.
İkinci Anti-Virüs
Anti-virüs aktif ve imzaları güncel.
Zararlı dosyayı kopyalama aşamasında tespit etti, Packed.Win32.Katusha.o olarak tanımladı.
Kopyalamadan önce dosyayı bekletti, anti-virüs dinamik bir analiz yapmış olabilir. Network isteğini dinamik analizde görerek import edilmiş kütüphaneler içinde rastlamamasını dosyanın packed olduğuna yormuş olabilir. Ancak bizim dosyamız pack edilmiş değildi.
Üçüncü Anti-Virüs
Anti-virüs aktif ve imzaları güncel.
Dosyayı sorunsuz kopyalayabildik.
Uygulamanın şüpheli davranışlarını tespit ederek gerçekleştirilmiş olan işlemleri geri aldı. Ancak bazı adımlarının işletilmesine izin verdiğini görebiliyoruz.
Yukarıdaki 3 alternatif arasında deneme tarihimiz itibarıyla 2.si en etkin sonuç verdi.
<< Önceki Bölüm