Zararlı Yazılım Analizi Quiz

Windows sistemlerde dinamik analiz yaparken, bir zararlı yazılımın sistem her yeniden başladığında otomatik olarak çalışabilmek için Kayıt Defteri (Registry) üzerinde en sık hedeflediği “Run” anahtarlarının tam dizini aşağıdakilerden hangisidir?

Bir zararlı yazılımın, çalıştırıldığı ortamın gerçek bir kullanıcı bilgisayarı mı yoksa analiz amaçlı kurulmuş bir sanal makine (VMware, VirtualBox) mi olduğunu anlamak için x86 Assembly seviyesinde işlemci özelliklerini sorguladığı komut hangisidir?

Bir zararlı yazılımın başka bir sürecin (target process) bellek alanına sızarak kendi DLL dosyasını yükletebilmesi (DLL Injection) için sırasıyla hangi Windows API fonksiyon zincirini kullanması gerekir?

Siber saldırganların, zararlı yazılımın hangi Windows API fonksiyonlarını kullandığını statik analiz araçlarından (Strings, PEStudio vb.) gizlemek amacıyla, fonksiyon isimlerinin string hallerini saklamak yerine onların benzersiz matematiksel özetlerini saklaması tekniğine ne denir?

Gelişmiş bir zararlı yazılımın, meşru bir Windows sürecini (örneğin svchost.exe) askıda (SUSPENDED) başlatıp, onun bellek alanındaki orijinal kodları boşaltarak yerine kendi zararlı kodlarını enjekte etmesi ve süreci devam ettirmesi tekniğine ne ad verilir?

Windows ortamında geliştirilen bir zararlı yazılımın, bir analist tarafından hata ayıklayıcı (debugger) altında çalıştırılıp çalıştırılmadığını anlamak için Process Environment Block (PEB) içindeki BeingDebugged flag’ini kontrol eden en temel Windows API fonksiyonu hangisidir?

x64dbg veya IDA Pro ile dinamik analiz yaparken, bellekteki (RAM) belirli bir adrese veri yazıldığında veya o adresten veri okunduğunda uygulamanın durmasını (pause) sağlamak için hangi donanımsal kesme/durma noktası türü kullanılmalıdır?

x86 Assembly dilinde, bir fonksiyon çağrısından (function call) sonra dönen sonucun (return value) genellikle tutulduğu ve zararlı yazılımın mantıksal akışını (örneğin lisans veya şifre kontrolü) anlamak için hata ayıklayıcıda (debugger) sıkça takip edilen ana kayıtçı (register) hangisidir?

Temel statik analiz aşamasında bir PE dosyasının bölümlerinin (sections) entropi değerleri inceleniyor. .text bölümünün entropi değerinin 7.8 gibi çok yüksek bir değerde çıkması ne anlama gelir?

Bir zararlı yazılımın statik analizi sırasında, dosyanın İçe Aktarma Adres Tablosu (Import Address Table – IAT) incelendiğinde sadece LoadLibrary ve GetProcAddress fonksiyonlarının olduğu görülüyor. Bu durum analiz edilen dosya hakkında öncelikli olarak neyi gösterir?

Windows sistemlerde dinamik analiz yaparken, bir zararlı yazılımın sistem her yeniden başladığında otomatik olarak çalışabilmek için Kayıt Defteri (Registry) üzerinde en sık hedeflediği “Run” anahtarlarının tam dizini aşağıdakilerden hangisidir?

Bir zararlı yazılımın, çalıştırıldığı ortamın gerçek bir kullanıcı bilgisayarı mı yoksa analiz amaçlı kurulmuş bir sanal makine (VMware, VirtualBox) mi olduğunu anlamak için x86 Assembly seviyesinde işlemci özelliklerini sorguladığı komut hangisidir?

Bir zararlı yazılımın başka bir sürecin (target process) bellek alanına sızarak kendi DLL dosyasını yükletebilmesi (DLL Injection) için sırasıyla hangi Windows API fonksiyon zincirini kullanması gerekir?

Siber saldırganların, zararlı yazılımın hangi Windows API fonksiyonlarını kullandığını statik analiz araçlarından (Strings, PEStudio vb.) gizlemek amacıyla, fonksiyon isimlerinin string hallerini saklamak yerine onların benzersiz matematiksel özetlerini saklaması tekniğine ne denir?

Gelişmiş bir zararlı yazılımın, meşru bir Windows sürecini (örneğin svchost.exe) askıda (SUSPENDED) başlatıp, onun bellek alanındaki orijinal kodları boşaltarak yerine kendi zararlı kodlarını enjekte etmesi ve süreci devam ettirmesi tekniğine ne ad verilir?

Windows ortamında geliştirilen bir zararlı yazılımın, bir analist tarafından hata ayıklayıcı (debugger) altında çalıştırılıp çalıştırılmadığını anlamak için Process Environment Block (PEB) içindeki BeingDebugged flag’ini kontrol eden en temel Windows API fonksiyonu hangisidir?

x64dbg veya IDA Pro ile dinamik analiz yaparken, bellekteki (RAM) belirli bir adrese veri yazıldığında veya o adresten veri okunduğunda uygulamanın durmasını (pause) sağlamak için hangi donanımsal kesme/durma noktası türü kullanılmalıdır?

x86 Assembly dilinde, bir fonksiyon çağrısından (function call) sonra dönen sonucun (return value) genellikle tutulduğu ve zararlı yazılımın mantıksal akışını (örneğin lisans veya şifre kontrolü) anlamak için hata ayıklayıcıda (debugger) sıkça takip edilen ana kayıtçı (register) hangisidir?

Temel statik analiz aşamasında bir PE dosyasının bölümlerinin (sections) entropi değerleri inceleniyor. .text bölümünün entropi değerinin 7.8 gibi çok yüksek bir değerde çıkması ne anlama gelir?

Bir zararlı yazılımın statik analizi sırasında, dosyanın İçe Aktarma Adres Tablosu (Import Address Table – IAT) incelendiğinde sadece LoadLibrary ve GetProcAddress fonksiyonlarının olduğu görülüyor. Bu durum analiz edilen dosya hakkında öncelikli olarak neyi gösterir?