Bilinmeyen Bir .exe Dosyasını Güvenle İncelemek: Sandbox Ortamında Temel Malware (Zararlı Yazılım) Analizi

İnternetin karanlık köşelerinden, güvenmediğiniz bir forumdan veya şüpheli bir e-posta ekinden gelen bir .exe dosyasıyla karşılaştığınızda içinizi bir şüphe kaplar. "Acaba bu dosya gerçekten söylendiği program mı, yoksa arka planda şifrelerimi çalacak bir Truva Atı (Trojan) mı?"

Siber güvenlik uzmanları ve tersine mühendisler, bu tür şüpheli dosyaları asla kendi ana bilgisayarlarında (host) çalıştırmazlar. Bunun yerine, zararlı yazılımı "Korumalı Alan" (Sandbox) adı verilen izole ortamlara hapseder ve orada incelerler. İşte siz de evdeki bilgisayarınızda kendi laboratuvarınızı kurarak temel bir malware analizi yapabilirsiniz.

1. Analiz Laboratuvarını Kurmak: Sandbox Nedir?

Sandbox, ana işletim sisteminizden tamamen yalıtılmış, sanal bir ortamdır. İçeride patlayan bir virüs, dışarıdaki (kendi bilgisayarınızdaki) dosyalarınıza veya ağınıza ulaşamaz.

Bunun için en pratik ve ücretsiz yöntem, Windows 10/11 Pro veya Enterprise sürümlerinde yerleşik olarak gelen Windows Sandbox özelliğini kullanmaktır. (Denetim Masası > Programlar > Windows Özelliklerini Aç veya Kapat > Windows Sandbox adımlarını izleyerek aktif edebilirsiniz.) Alternatif olarak VirtualBox veya VMware ile izole bir sanal makine de (VM) kurabilirsiniz.

2. Adım: Statik Analiz (Çalıştırmadan İnceleme)

Dosyayı çift tıklamadan önce yapmamız gereken ilk şey statik analizdir. Yani dosyanın kod yapısına ve kimliğine uzaktan bakmak.

• Hash Kontrolü (VirusTotal): Dosyanın parmak izi olan Hash (MD5 veya SHA-256) değerini alın ve VirusTotal'e yükleyin. Dosya daha önce başka güvenlik şirketleri tarafından taranmışsa, anında kırmızı bayrakları görebilirsiniz.
• Strings (Metin) Analizi: BinText veya Pestudio gibi araçlarla .exe dosyasının içine gömülü okunabilir metinleri (IP adresleri, URL'ler, şüpheli DLL çağrıları) arayın. Eğer dosyanın içinde garip kripto cüzdan adresleri veya şüpheli API hook terimleri görüyorsanız, tehlike çanları çalıyor demektir.

3. Adım: Dinamik Analiz (Kafesin İçinde Canavarı Uyandırmak)

Eğer statik analiz net bir sonuç vermediyse, sıra dosyayı Sandbox ortamında çalıştırıp davranışlarını izlemeye gelir. Bu işleme dinamik analiz denir.

Sandbox ortamınızı açın, şüpheli .exe dosyasını içine kopyalayın ve aşağıdaki izleme araçlarını hazırda bekletin:

• Process Explorer / Process Hacker: Dosyayı çalıştırdığınız anda bu araçlara bakın. Şüpheli dosya arka planda başka gizli süreçler (process) başlatıyor mu? Kendini svchost.exe gibi sistem dosyalarının arkasına gizlemeye çalışıyor mu? (Process Injection).
• Wireshark veya GlassWire: Ağ trafiğini dinleyin. Zararlı yazılımlar genellikle enfekte ettikleri sistemden çaldıkları verileri bir Komuta-Kontrol (C2) sunucusuna gönderirler. Uygulama çalıştıktan sonra Çin, Rusya veya bilmediğiniz garip IP adreslerine giden bir veri trafiği var mı kontrol edin.
• Autoruns: Zararlı yazılımlar bilgisayar yeniden başladığında da hayatta kalmak ister. Bu yüzden Kayıt Defterine (Registry) veya Başlangıç klasörüne kendilerini kopyalarlar. Sysinternals Autoruns aracıyla uygulamanın kalıcılık sağlamaya çalışıp çalışmadığını görebilirsiniz.

Altın Kural: Karantinayı Asla İhlal Etmeyin

Temel bir analiz yaparken dahi her zaman sanal ağ adaptörünüzün (Host-Only) kapalı olduğundan ve Host-Guest (Ana makine ile sanal makine arası) dosya paylaşımının (Shared Folders) devredışı bırakıldığından emin olun. Bazı gelişmiş modern zararlı yazılımlar (örneğin fidye yazılımları), sanal makinede olduklarını anlayıp (VM Evasion) kendilerini gizleyebilir veya paylaşılan klasörler üzerinden ana makineye atlayabilirler.