Anti-Virüsler Hakkında Bilmediklerimiz

KsKliJoJuK · 30-03-2008, 19:33

Merhaba;

Bu yazımda antivirüs programlarının virüs & trojan vs...' ları nasıl yakaladığından bahsetmek istiyorum. Buna neden de bazı site ve forumlarda insanların başkalarına yanlış bilgiler vermeleridir. Genellikle bu konu hakkındaki yanlış bilgiler de en çok "Hangi AV (Anti Virüs Programı) en iyisi?" tarzındaki forum başlıklarında dolaşıyor.

Bazı kimseler diyor ki şu AV daha iyi. Bak bu şu şu virüsü-trojanı hemen yakaladı diğer AV yakalayamıyor. Aslında burada pek de yanlış bir durum yok gibi görünse de, en iyisi AV'lerin virüsleri nasıl yakaladığını öğrendikten sonra yorum yapmak. Yoksa ağzı olan konuşuyor gibi bir durum çıkıyor ortaya.

Peki AV'ler Virüsleri Nasıl Yakalıyor?

Şimdi öncelikle hiçbir AV sizin yeni yazmış olduğunuz bir virüsü, trojanı vs... yakalayamaz (tespit edemez). Çünkü AV'ler bir programın ne yaptığına, yapısına bakarak onun virüs olduğuna karar vermez (ascii formatında kodlanan bazı zararlı scriptler dışında)! Peki nasıl tanırlar? Öncelikle bir AV firması şüpheli dosya hakkında en az iki rapor almalıdır. Daha sonra ise bu dosyanın analizi yapılır ve bir virüs & trojan vs... olduğuna karar verilince, dosyadan hex imza alınır ve virüs veritabanlarına işlenir. AV progra****z da tarama sırasında makinanızdaki programlarda bu veritabanına işlenen hex imzayı arar ve eşitlik sağlandığında dosyanın infecte bir dosya olduğuna karar verilir.

Yani program ister bilgisayara zarar veren bir virüs olsun, ister bilgisayarınızda arka kapılar (backdoor) açarak dışarıya veri sızdıran bir trojan & worm olsun, bunlar bir Av firmasına rapor edilip, firma tarafından analiz edilip veritabanlarına dahil edilene kadar asla bir AV tarafından tanınamaz. Fakat yukarıda da bahsettiğim gibi bazı zararlı scriptler ascii formatında (düz yazı - derlenmemiş) olduğundan AV bu dosyaya bakarak bazı belli rutinlere göre dosyanın şüpheli bir dosya olduğuna karar verebilir.

Bunun doğruluğuna inanmak için bilgisayara format atan bir program yazın ya da trojan serverı tarzı makinada port açan (sayısı önemli değil; ister 1 olsun ister100 olsun) ve dinlenen komutlara göre dışarıya bilgi sızdıran & makinada zararlı komutlar işleten bir program yazın. Bu programı herhangi bir AV'ye tarattığınızda göreceksiniz ki AV bu programı bir virüs vs... olarak tanıyamayacaktır.

Hadi şimdi biz de bir virüsden hex imza alalım :-))

Ben örnek olarak Lorez virüsünden bir hex imza aldım:

58 FF E0 8B 85 57 17 40 00
50 B9 78 56 34 12 FF 95 E6
16 40 00 89 85 53 17 40 00
83 F8 FF 75 01 C3 6A 20 8B

Şimdi örneğin C'de bir program yazdığımızı varsayalım ve Lorez virüsünden aldığımız bu hex imzayı da programda kullandığımızı düşünelim. Yine örnek vermek gerekirse BYTE tipinde bir diziye kodumuzu yerleştirelim:

BYTE lorez_virusu_imzasi[] = {0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00,
0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6,
0x16,0x40,0x00,0x89,0x85,0x53,0x17,0x40,0x00,
0x83,0xF8,0xFF,0x75,0x01,0xC3,0x6A,0x20,0x8B};

Bu kodu yazdığınız bir programa dahil edip windows altında derleyip only.exe diye bir dosya oluşturduğunuzu varsayalım. Büyük ihtimalle AV progra****z only.exe dosyasına Win95.Lorez (ya da kendi veritabanlarına nasıl bir isimle kaydetmişlerse) virüsü bulaşmış diye bir uyarı verecektir. Ama siz bunun zararsız bir kod olduğunu anlamışsınızdır sanırım :-))

İşte AV yazılımları da aynı bu şekilde kendilerine rapor edilen dosyaları incelerler ve hex imza veritabanlar oluştururlar. Daha sonra da tarama işlemlerinde dosyalarda bu veritabanındaki imzaları ararlar ve dosyanın infecte olup olmadığına karar vererek disinfecte, silme, karantina vs işlemleri gerçekleştirirler.

Şimdi genel olarak bir AV'nin nasıl çalıştığını öğrenmiş olduk. Peki hangi AV'nin daha iyi olduğuna nasıl karar vereceğiz? Aslında her AV bu kısımda aynı işlemleri yaptığından fark burda yok aslında. Genel olarak AV'lerde sistemi aşırı yavaşlatmaması (Norton yüklü makinanın sürünmesi gibi) ve e-posta denetleme vs gibi ek özellikler ve en az sistem harcayarak en çok fonksiyonu en iyi şekilde başaran bir AV'yi iyi olarak nitelemek mümkün.

Ek olarak kendimce iyi bir AV'ye örnek vermem gerekirse Kaspersky AV'yi rahatlıkla söyleyebilirim. Bu yazılımın diğer AV'lere göre bir artısı daha var ki; o da bu virüslerden vs... alınıp veritabanına işlenen hex imzalara ek olarak, dosyayı birçok exe packer ile ayrı ayrı packlenmiş hallerinden de hex imza alarak veritabanına işlemeleri. Böylece örneğin tanınan bir trojanı (eğer packlenmişse unpack ederek başka bir packerla) packleyerek diğer AV'lere karşı tanınmaz hale getirseniz bile KAV bunu daha önceden kendisi de deneyip vertabanına eklemiş olabileceğinden, diğer AV'ler tanımazken KAV bu infecte dosyayı yine tanıyabilir...

ALINTIDIR...

KsK&&AksoY · 30-03-2008, 19:35

tesekkurler cok guzel anlatım^^

CaRz · 18-04-2008, 20:47

tesekkurler gercekten guzel bır anlatım...

**brightlord** · 18-04-2008, 22:27

anladıgım kadarıyla soyle

anti virus bir virusu tanıyamaz sadece onun bıraktıgı ızı tanır yani imzayı bu ımzayıde firmalar virus programına ekleyince ancak bulabılır yani virus burda su duruma gelıyor bır kacagı ararsınız ya hani tutar kopege bir elbisesini koklatırsınız oda bulur aynı bunun gibi geldi bana...

r@nger · 18-06-2008, 23:00

Merhaba,
İşte AVlerin yaptığı en büyük hata budur. Siz en iyisi programın yapısına bakıpta yaptıklarına bakıpta karar veren birşeyi tercih edin. Bu heuristic scandir en iyi heuristic scan kabiliyetine NOD32 sahiptir.
// r@nger

30-03-2008, 19:33	#1 (permalink)
KsKliJoJuK EN Akıllı Üyelik Tarihi: 20-08-2007 Yer: KARŞIYAKA Mesajlar: 3,779 Rep Gücü: 85 Rep Puanı: 3264	Anti-Virüsler Hakkında Bilmediklerimiz Merhaba; Bu yazımda antivirüs programlarının virüs & trojan vs...' ları nasıl yakaladığından bahsetmek istiyorum. Buna neden de bazı site ve forumlarda insanların başkalarına yanlış bilgiler vermeleridir. Genellikle bu konu hakkındaki yanlış bilgiler de en çok "Hangi AV (Anti Virüs Programı) en iyisi?" tarzındaki forum başlıklarında dolaşıyor. Bazı kimseler diyor ki şu AV daha iyi. Bak bu şu şu virüsü-trojanı hemen yakaladı diğer AV yakalayamıyor. Aslında burada pek de yanlış bir durum yok gibi görünse de, en iyisi AV'lerin virüsleri nasıl yakaladığını öğrendikten sonra yorum yapmak. Yoksa ağzı olan konuşuyor gibi bir durum çıkıyor ortaya. Peki AV'ler Virüsleri Nasıl Yakalıyor? Şimdi öncelikle hiçbir AV sizin yeni yazmış olduğunuz bir virüsü, trojanı vs... yakalayamaz (tespit edemez). Çünkü AV'ler bir programın ne yaptığına, yapısına bakarak onun virüs olduğuna karar vermez (ascii formatında kodlanan bazı zararlı scriptler dışında)! Peki nasıl tanırlar? Öncelikle bir AV firması şüpheli dosya hakkında en az iki rapor almalıdır. Daha sonra ise bu dosyanın analizi yapılır ve bir virüs & trojan vs... olduğuna karar verilince, dosyadan hex imza alınır ve virüs veritabanlarına işlenir. AV progra**z da tarama sırasında makinanızdaki programlarda bu veritabanına işlenen hex imzayı arar ve eşitlik sağlandığında dosyanın infecte bir dosya olduğuna karar verilir. Yani program ister bilgisayara zarar veren bir virüs olsun, ister bilgisayarınızda arka kapılar (backdoor) açarak dışarıya veri sızdıran bir trojan & worm olsun, bunlar bir Av firmasına rapor edilip, firma tarafından analiz edilip veritabanlarına dahil edilene kadar asla bir AV tarafından tanınamaz. Fakat yukarıda da bahsettiğim gibi bazı zararlı scriptler ascii formatında (düz yazı - derlenmemiş) olduğundan AV bu dosyaya bakarak bazı belli rutinlere göre dosyanın şüpheli bir dosya olduğuna karar verebilir. Bunun doğruluğuna inanmak için bilgisayara format atan bir program yazın ya da trojan serverı tarzı makinada port açan (sayısı önemli değil; ister 1 olsun ister100 olsun) ve dinlenen komutlara göre dışarıya bilgi sızdıran & makinada zararlı komutlar işleten bir program yazın. Bu programı herhangi bir AV'ye tarattığınızda göreceksiniz ki AV bu programı bir virüs vs... olarak tanıyamayacaktır. Hadi şimdi biz de bir virüsden hex imza alalım :-)) Ben örnek olarak Lorez virüsünden bir hex imza aldım: 58 FF E0 8B 85 57 17 40 00 50 B9 78 56 34 12 FF 95 E6 16 40 00 89 85 53 17 40 00 83 F8 FF 75 01 C3 6A 20 8B Şimdi örneğin C'de bir program yazdığımızı varsayalım ve Lorez virüsünden aldığımız bu hex imzayı da programda kullandığımızı düşünelim. Yine örnek vermek gerekirse BYTE tipinde bir diziye kodumuzu yerleştirelim: BYTE lorez_virusu_imzasi[] = {0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00, 0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6, 0x16,0x40,0x00,0x89,0x85,0x53,0x17,0x40,0x00, 0x83,0xF8,0xFF,0x75,0x01,0xC3,0x6A,0x20,0x8B}; Bu kodu yazdığınız bir programa dahil edip windows altında derleyip only.exe diye bir dosya oluşturduğunuzu varsayalım. Büyük ihtimalle AV progra**z only.exe dosyasına Win95.Lorez (ya da kendi veritabanlarına nasıl bir isimle kaydetmişlerse) virüsü bulaşmış diye bir uyarı verecektir. Ama siz bunun zararsız bir kod olduğunu anlamışsınızdır sanırım :-)) İşte AV yazılımları da aynı bu şekilde kendilerine rapor edilen dosyaları incelerler ve hex imza veritabanlar oluştururlar. Daha sonra da tarama işlemlerinde dosyalarda bu veritabanındaki imzaları ararlar ve dosyanın infecte olup olmadığına karar vererek disinfecte, silme, karantina vs işlemleri gerçekleştirirler. Şimdi genel olarak bir AV'nin nasıl çalıştığını öğrenmiş olduk. Peki hangi AV'nin daha iyi olduğuna nasıl karar vereceğiz? Aslında her AV bu kısımda aynı işlemleri yaptığından fark burda yok aslında. Genel olarak AV'lerde sistemi aşırı yavaşlatmaması (Norton yüklü makinanın sürünmesi gibi) ve e-posta denetleme vs gibi ek özellikler ve en az sistem harcayarak en çok fonksiyonu en iyi şekilde başaran bir AV'yi iyi olarak nitelemek mümkün. Ek olarak kendimce iyi bir AV'ye örnek vermem gerekirse Kaspersky AV'yi rahatlıkla söyleyebilirim. Bu yazılımın diğer AV'lere göre bir artısı daha var ki; o da bu virüslerden vs... alınıp veritabanına işlenen hex imzalara ek olarak, dosyayı birçok exe packer ile ayrı ayrı packlenmiş hallerinden de hex imza alarak veritabanına işlemeleri. Böylece örneğin tanınan bir trojanı (eğer packlenmişse unpack ederek başka bir packerla) packleyerek diğer AV'lere karşı tanınmaz hale getirseniz bile KAV bunu daha önceden kendisi de deneyip vertabanına eklemiş olabileceğinden, diğer AV'ler tanımazken KAV bu infecte dosyayı yine tanıyabilir... ALINTIDIR... __________________

30-03-2008, 19:35	#2 (permalink)
KsK&&AksoY EN Ağır Üyelik Tarihi: 30-03-2008 Mesajlar: 51 Rep Gücü: 12 Rep Puanı: 400	Cevap: Anti-Virüsler Hakkında Bilmediklerimiz tesekkurler cok guzel anlatım^^

18-04-2008, 20:47	#3 (permalink)
CaRz EN Afacan Üyelik Tarihi: 03-02-2007 Yer: istanbul Mesajlar: 191 Rep Gücü: 27 Rep Puanı: 462	Cevap: Anti-Virüsler Hakkında Bilmediklerimiz tesekkurler gercekten guzel bır anlatım... __________________ Hatalıysam Aramizda Kalsin Hataliysam Hatami Yaz 2222 Ye Gonder !AKILLI OL EVLAT!

18-04-2008, 22:27	#4 (permalink)
brightlord Asistan Üyelik Tarihi: 18-10-2007 Yer: yeriniz önemli değil ne yaptığınız önemli Yaş: 17 Mesajlar: 3,642 Rep Gücü: 80 Rep Puanı: 3058	Cevap: Anti-Virüsler Hakkında Bilmediklerimiz anladıgım kadarıyla soyle anti virus bir virusu tanıyamaz sadece onun bıraktıgı ızı tanır yani imzayı bu ımzayıde firmalar virus programına ekleyince ancak bulabılır yani virus burda su duruma gelıyor bır kacagı ararsınız ya hani tutar kopege bir elbisesini koklatırsınız oda bulur aynı bunun gibi geldi bana... __________________ http://img81.imageshack.us/my.php?image=beneklipo1.jpg

18-06-2008, 23:00	#5 (permalink)
r@nger EN Afilli Üyelik Tarihi: 26-10-2006 Yer: r@nger was here... Mesajlar: 1,459 Rep Gücü: 62 Rep Puanı: 2207	Cevap: Anti-Virüsler Hakkında Bilmediklerimiz Merhaba, İşte AVlerin yaptığı en büyük hata budur. Siz en iyisi programın yapısına bakıpta yaptıklarına bakıpta karar veren birşeyi tercih edin. Bu heuristic scandir en iyi heuristic scan kabiliyetine NOD32 sahiptir. // r@nger __________________ Geri döndüm

Konu Yönetim Seçenekleri
Yazdırılacak şekilde göster Sayfayı e-posta ile gönder
Konu Gösterim Seçenekleri
Normal şekilde göster Ağaç şeklinde göster Otomatik konu şeklinde göster

Hafta içi her gün 19:30 - 21:30 arası forumENA CANLI radyo yayını "Keyf-i Müzik" programını dinlemek için TIKLAYINIZ

Anti-Virüsler Hakkında Bilmediklerimiz

Anti-Virüsler Hakkında Bilmediklerimiz