C# runPE winAPI nereden öğrenilebilir?

Muratgider44 · 17 Nisan 2022

Hepinize merhabalar, ben malware analizi yapan bir insanım ve runpe winAPI mantıklarını tamamen nasıl öğrenebilirim, biliyorum temel şeyleri hatta yaza da biliyorum biraz fakat bir open Source olmadan bir hiç oluyorum. Microsoft docs diyorlar fakat Türkçe kaynak var mıdır acaba yüksek ihtimal yok ama bilen birileri varsa az yardımcı olabilirlerse mükemmel olur.

reinsy · 20 Nisan 2022

Maalesef Türkçe kaynak yok, bilen çok kişinin de olduğunu sanmıyorum ama winapiyi cpp wapı kutuphaneleri öğrenebilirsiniz. C++ zaten winapileri ile bağlı olduğu için daha rahat öğrenirsiniz ve 3. parti wapı kutuphanelerine bakabilirsiniz. Eğer .net geliştirici iseniz aşağıdaki site hem kullanımlarını hem ne işe yaradığını falan her şeyi gösterecektir.
https://www.pinvoke.net/

Dynamics · 20 Nisan 2022

Bu işlerle uğraşacaksan en azından C kullanmalısın. PE file format nedir, hangi bölümlerden oluşur adın gibi bilmen gerek. Bir exe dosyasını doğrudan bellekte eşleyip çalıştırmak fikri scantime analizleri atlatmak için güzel yöntemdi, tabii 10-15 yıl önce, artık bu teknikler pek kullanılmıyor. Zaten antivirüsler bu iş için kullanılan API'leri hooklar, manual DLL map ile API yükleme, IAT üzerinden bazı API'leri örtük çağırma ve doğrudan sistem çağrıları gibi yöntemlerle bir şeyler yapılabilir tabii. Bu konuda bulabileceğin Türkçe kaynaklar yüzeysel olur ancak fikir edinebilirsin.

Muratgider44 · 20 Nisan 2022

Dynamics dedi:
Bu işlerle uğraşacaksan en azından C kullanmalısın. PE file format nedir, hangi bölümlerden oluşur adın gibi bilmen gerek. Bir exe dosyasını doğrudan bellekte eşleyip çalıştırmak fikri scantime analizleri atlatmak için güzel yöntemdi, tabii 10-15 yıl önce, artık bu teknikler pek kullanılmıyor. Zaten antivirüsler bu iş için kullanılan API'leri hooklar, manual DLL map ile API yükleme, IAT üzerinden bazı API'leri örtük çağırma ve doğrudan sistem çağrıları gibi yöntemlerle bir şeyler yapılabilir tabii. Bu konuda bulabileceğin Türkçe kaynaklar yüzeysel olur ancak fikir edinebilirsin.

Runpe dllini obfuscate edip ana programla aesle şifreleyip çağırınca birkaç virüs programı algılamıyor. Amacım zaten virüs programlarını atlatmak değil sadece winapi kütüphanesine hakim olmak ve bellekte açmak gibi konuları öğrenmek istiyorum kaynak önerisi var mıdır acaba

reinsy dedi:
Maalesef Türkçe kaynak yok, bilen çok kişinin de olduğunu sanmıyorum ama winapiyi cpp wapı kutuphaneleri öğrenebilirsiniz. C++ zaten winapileri ile bağlı olduğu için daha rahat öğrenirsiniz ve 3. parti wapı kutuphanelerine bakabilirsiniz. Eğer .net geliştirici iseniz aşağıdaki site hem kullanımlarını hem ne işe yaradığını falan her şeyi gösterecektir.
https://www.pinvoke.net/

Çok teşekkürler

reinsy · 20 Nisan 2022

Muratgider44 dedi:
Winapi kütüphanesine hakim olmak ve bellekte açmak.

Dediğin winapileri ile dinamik olarak programı reverselemek ise ozellikle Crypto kütüphanelerine bakmanı öneririm. Reverse hakkımda çok bilgim yok yanlış olmasın ama filesystem apileri, Crypto apileri, Memory apileri obfuscateden sonra da iş gördüğü için bu apiler ile reverse de yapabilirsiniz sanırım. Crypto.h kütüphanesine bakmanızı öneririm. Dediğiniz şifreleme aes ise Memory'den silmek için genellikle zeromemory kullaniliyor, belki işinize yarayabilir. İyi Sosyal'ler.

C# runPE winAPI nereden öğrenilebilir?

Muratgider44

Picopat

reinsy

Kilopat

Dynamics

Kilopat

Muratgider44

Picopat

reinsy

Kilopat