Bilgisayar Virüsü Tespitten Korunma Yöntemleri

Eski 08-20-2012   #1
Prof. Dr. Sinsi
Varsayılan

Bilgisayar Virüsü Tespitten Korunma Yöntemleri




Tespitten korunma yöntemleri
Kullanıcılar tarafından tespit edilmeyi güçleştirmek adına virüsler bazı aldatmacalar kullanmaktadır Özellikle MS-DOS platformundaki bazı eski virüsler, konak dosyaya bulaşıp içeriği değiştirmelerine rağmen, son değiştirme tarihinin özellikle değişmeden kalmasını sağlarlar
Ancak bu yaklaşım ile antivirüs yazılımlarını aldatamazlar
Bazı virüsler, ulaştıkları dosyaların büyüklüklerini değiştirmeden ve dosyaya zarar vermeden bulaşırlar Bunu yürütülebilir dosyadaki kullanılmayan alanların üzerine yazarak gerçekleştirirler Bu türden virüsler boşluk virüsleri olarak adlandırılırlar Örneğin bir zamanlar büyük tahribata neden olmuş Chernobyl virüsü taşınabilir yürütülebilir dosyaları etkiler çünkü bu tür dosyalarda çok sayıda boşluk bulunmaktadır 1 KB boyutundaki virüs, dosyalara bulaştığında dosya büyüklükleri değişmeyecektir
Bir kısım virüsler antivirüs programları kendilerini tespit etmeden evvel bazı antivirüs program görevlerini sonlandırarak tespiti engellemeye çalışırlar
Bilgisayarlar ve işletim sistemleri gelişip karmaşıklaştıkca eski tip saklanma yöntemlerinin güncellenmeleri ya da yenileriyle değiştirilmeleri gerektiği açıktır
Olta dosyalarından ve diğer istenmeyen konaklardan sakınma
Bir virüs yayılıma devam edebilmek için mutlaka bir konağa tutunmalıdır Bazı durumlarda konak programına bulaşmak iyi bir fikir değildir Örneğin bazı antivirüs programları bütünlük kontrolu yaparak kendi kodlarını incelerler Dolayısıyla bu türden programlara tutunmak virüsün açığa çıkmasına neden olacaktır Bundan ötürü bazı virüsler, antivirüs programlarının parçaları oldukları bilinen bir kısım programlara tutunmayacak şekilde tasarlanırlar Virüslerin sakındıkları bir başka konak türü ise olta (bait) dosyalarıdır Olta dosyaları, antivirüs programaları ya da antivirüs uzmanları tarafından virüsün bulaşmasına yönelik özel olarak hazırlanan dosyalardır Bu dosyaların hepsi de virüsleri tespit etmeye yönelik olup çeşitli amaçlar için üretilmektedirler;

Antivirüs uzmanları olta dosyalarını virüs numunesi elde etmek için kullanırlar Bir virüsü küçük olta dosyalarında saklamak ve incelemek, sistemdeki büyük programların dosyalarına bulaşmış virüsü incelemeye göre daha pratik olduğundan uzmanlar olta dosyalarını kullanırlar


Antivirüs uzmanları olta dosyalarını virüs davranışlarını incelemekte ve olası tespit yöntemlerini değerlendirmekte kullanırlar Bu , özellikle virüsün çok şekilli olduğu durumlarda çok işe yaramaktadır Bu durumda virüsün hazırlanan çok sayıda olta dosyasına bulaşması amaçlanır Virüs bulaşmış tüm olta dosyaları, bir virüs tarayıcısının tüm virüs versiyonlarını tespit edip edemediğini değerlendirmede kullanılabilir


Bazı antivirüs yazılımları da düzenli erişilen olta dosyalarını kullanmaktadır Bu olta dosyalarında değişiklik olduğunda antivirüs yazılımı kullanıcıyı, sistemde etkin bir virüs bulunabileceği konusunda uyarır

Olta dosyaları, virüsleri tespit etmekte ya da tespit etmeyi kolaylaştırmakta kullanıldıklarından , bir virüs bu türden dosyalara bulaşmayarak kendine fayda sağlayabilir Virüs bunu anlamsız komutlar içeren küçük program dosyaları gibi, şüpheli görünen programlardan uzak durarak gerçekleştirir
Virüsler için oltalanmadan sakınmanın bir diğer yolu da seyrek bulaşmadır Bazen seyrek bulaştırıcılar , diğer şartlar altında tutunmaya uygun bir aday olabilecek konak dosyasına tutunmazlar Örneğin bir virüs herhangi bir konak dosyasına bulaşıp bulaşmamaya rastgele bir şekilde karar verebilir ya da konak dosyalarına haftanın belirli günlerinde bulaşmayı tercih edebilir
Kaçaklık
Bazı virüsler, antivirüslerin işletim sistemine aktardığı bazı istekleri durdurarak antivirüs yazılımını kandırmaya çalışırlar Bir virüs, antivirüs yazılımının işletim sistemine ilettiği dosyayı okuma isteğinin doğru hedefe ulaşmasını engelleyebilir ve hatta isteği kendine yönlendirmek suretiyle antivirüsten saklanmayı başarabilir Virüs, daha sonra aynı dosyanın temiz bir versiyonunu antivirüse sunarak dosyanın temiz gibiymiş görünmesini sağlar Modern antivirüs yazılımları virüslerin bu türden gizlenme tekniklerine karşı koymaya çalışmaktadır Kaçaklığı engellemenin tek yolu sistemi temiz olduğu bilinen bir ortamdan önyüklemektir
Şekil değiştirmeler
Birçok antivirüs yazılımı, sıradan programların dosyalarını virüs imzalarını kontrol ederek taramakta ve muhtemel virüsleri bulmaya çalışmaktadır Bir virüs imzası belirli tip virüsü ya da virüs ailesini belirten özel byte numunesidir Eğer virüs tarayıcısı incelenen dosyalar içinde böyle bir numune ile karşılaşır ise kulanıcıyı virüs hakkında bilgilendirir Kullanıcı bu durumda dosyayı silebilir ya da virüsten arındırabilir Bazı virüsler, virüs imzaları ile tespit edilmeyi güçleştirecek ya da imkansız hale getirecek teknikler kullanır Bu türden virüsler her bulaşım esnasında kodlarını değiştirmektedirDolayısıyla her konak virüsün farklı bir versiyonunu bünyesinde bulundurmaktadır
Basit şekil değiştirmeler
Geçmişte virüsler kendilerini basit şekillerde değiştirebiliyorlardı Örneğin virüsler, kaynak kodlarında yer alan ve görevleri benzer altprogram ünitelerini değiş tokuş etmekteydi 2+2 yapısındaki bir virüs takas sonunda 1+3 forumuna dönerken işlevinde herhangi bir değişiklik olmuyordu Günümüzde bu durum gelişmiş virüs tarayıcılar için bir problem oluşturmuyor
Değişken anahtarlar ile şifreleme
Daha gelişmiş bir yöntem ise virüsü basit şifreleme yöntemleri ile saklamaktı Bu durumda virüs, ufak bir şifre çözücü modül ile virüs kodunun şifrelenmiş bir kopyasından oluşmaktaydı Her dosya bulaşmasında virüs faklı bir anahtar ile şifreleniyor olsa da virüsün sürekli sabit kalacak tek bölümü, virüsün son bölümüne iliştirilen çözücü modül olacaktır Bu durumda virüs tarayıcı virüs imzalarını kullanarak virüsü tespit edemeyecektir, ama sabit olan çözücü bölüm tespit edilerek virüsü dolaylı yollar ile bulmanın imkanı vardır
Genel olarak virüslerin uyguladıkları çözücü teknikleri basitti ve büyük çoğunlukla her byte'ı ana virüs dosyasında saklanan rastgele hale getirilmiş anahtar ve Xor takısı ile birleştirmek suretiyle elde ediliyordu Şifreleme ve çözme düzenlerinin aynı olmasından ötürü Xor uygulmalarının kullanılması virüse ek avantaj sağlıyordu (a XOR b = c, c XOR b = a)
Çokşekilli Kod
Çokşekilli kodlar, tarayıcılara yönelik ciddi tehdit arz eden ilk teknikti Şifrelenmiş virüslere benzer şekilde çokşekilli virüsler de dosyalara şifrelenmiş kopyaları ile bulaşmakta idi Bununla birlikte şifre çözücü modül de her dosya bulaşmasında değişmekteydi Dolayısıyla iyi yazılmış çokşekilli bir virüs her bulaşmada sabit kalacak hiçbir parçaya sahip değildi ve bu da virüs imzalarını kullanarak virüsü tespit etmeyi imkansız hale getiriyordu Antivirüs yazılımları virüsü, öykünücü (emulator) vasıtasıyla çözerek ya da şifrelenmiş virüs gövdesinin istatistiki model analizini yaparak tespit edebiliyorlardı Çokşekilli koda sahip olabilmek için virüs, şifrelenmiş gövdesi içerisinde çokşekilli motora (değiştirme motoru ya da değişim motoru) sahip olmalıdır
Bazı virüsler çokşekilli kodları virüsün değişim hızını arttırmakta kullanmaktalar Örneğin bir virüs zaman içinde yavaş biçimde değişim gösterecek şekilde programlanabilir ya da başka virüs kopyaları bulaşmış dosyalara tutunmaktan kendini alıkoyabilir Bu türden yavaş çokşekilli viruslerin üstünlüğü, antivirüs uzmanlarının bu türden virüslere ait temsil numulerini elde etmekte zorlanmalarıdır Çünkü belirli bir zaman sürecinde olta dosyalarına sadece benzer ya da aynı tip virüs versiyonları bulaşacaktır Bu durum açıkça gösteriyor ki bu türden viruslerin virüs tarayıcıları ile tespiti güvenilir değildir ve sonuç olarak virüsün bazı örneklerinin tespit edilmekten kaçabildiği açıkça belli olmaktadır
Başkalaşım kodu
Öykünücüler (emulatorler) vasıtasıyla tespit edilmekten kurtulabilmek için her yeni yürütülebilir dosyaya bulaşmadan önce kendilerini tamamiyle yeniden yazan virüslerdir Başkalaşım geçirebilmeleri için bu viruslerin başkalaşım motoru kullanmaları gerekir Bir başkalaşım motoru genelde çok büyüktür ve karmaşıktır Örneğin W32/Simile 14000 satır çevirici dili içerir ve %90'ı başkalaşım motoruna aittir

Kaynak : Wikipedia

Alıntı Yaparak Cevapla
 
Üye olmanıza kesinlikle gerek yok !

Konuya yorum yazmak için sadece buraya tıklayınız.

Bu sitede 1 günde 10.000 kişiye sesinizi duyurma fırsatınız var.

IP adresleri kayıt altında tutulmaktadır. Aşağılama, hakaret, küfür vb. kötü içerikli mesaj yazan şahıslar IP adreslerinden tespit edilerek haklarında suç duyurusunda bulunulabilir.

« Önceki Konu   |   Sonraki Konu »
Konu Araçları Bu Konuda Ara
Bu Konuda Ara:

Gelişmiş Arama
Görünüm Modları


forumsinsi.com
Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
ForumSinsi.com hakkında yapılacak tüm şikayetlerde ilgili adresimizle iletişime geçilmesi halinde kanunlar ve yönetmelikler çerçevesinde en geç 1 (Bir) Hafta içerisinde gereken işlemler yapılacaktır. İletişime geçmek için buraya tıklayınız.