THT DUYURU

Bilgisayar Güvenliği Bilgisayar Güvenlik Sistemleri makaleleri, virüs korumasından, güvenlik duvarlarına kadar her şeyin nasıl çalıştığı hakkında bilgilere buradan ulaşabilirsiniz.

chat
Seçenekler

Antiler Trojan keylogger vs. Nasıl Yakalar

'BozKurt - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Nereden:
İstanbul
Mesajlar:
11.192
Konular:
3339
Teşekkür (Etti):
2231
Teşekkür (Aldı):
3024
Ticaret:
(0) %
23-09-2014 00:26
#1
Post
Antiler Trojan keylogger vs. Nasıl Yakalar


ANTiVıRÜS PROGRAMLARI sizin yeni yazmış olduğunuz bir virüsü, trojanı vs... yakalayamaz (tespit edemez). Çünkü ANTıVıRÜS PROGRAMLARI' bir programın ne yaptığına, yapısına bakarak onun virüs olduğuna karar vermez (ascii formatında kodlanan bazı zararlı scriptler dışında)! Peki nasıl tanırlar? Öncelikle bir ANTıVıRÜS PROGRAMLARI firması şüpheli dosya hakkında en az iki rapor almalıdır. Daha sonra ise bu dosyanın analizi yapılır ve bir virüs & trojan vs... olduğuna karar verilince, dosyadan hex imza alınır ve virüs veritabanlarına işlenir. ANTıVıRÜS PROGRAMLARI progra****z da tarama sırasında makinanızdaki programlarda bu veritabanına işlenen hex imzayı arar ve eşitlik sağlandığında dosyanın infecte bir dosya olduğuna karar verilir.

Yani program ister bilgisayara zarar veren bir virüs olsun, ister bilgisayarınızda arka kapılar (backdoor) açarak dışarıya veri sızdıran bir trojan & worm olsun, bunlar bir Antivirüs Programları firmasına rapor edilip, firma tarafından analiz edilip veritabanlarına dahil edilene kadar asla bir ANTıVıRÜS PROGRAMLARI tarafından tanınamaz. Fakat yukarıda da bahsettiğim gibi bazı zararlı scriptler ascii formatında (düz yazı - derlenmemiş) olduğundan ANTıVıRÜS PROGRAMLARI bu dosyaya bakarak bazı belli rutinlere göre dosyanın şüpheli bir dosya olduğuna karar verebilir.

Bunun doğruluğuna inanmak için bilgisayara format atan bir program yazın ya da trojan serverı tarzı makinada port açan (sayısı önemli değil; ister 1 olsun ister100 olsun) ve dinlenen komutlara göre dışarıya bilgi sızdıran & makinada zararlı komutlar işleten bir program yazın. Bu programı herhangi bir ANTıVıRÜS PROGRAMLARI'ye tarattığınızda göreceksiniz ki ANTıVıRÜS PROGRAMLARI bu programı bir virüs vs... olarak tanıyamayacaktır.

Hadi şimdi biz de bir virüsden hex imza alalım

Ben örnek olarak Lorez virüsünden bir hex imza aldım:

58 FF E0 8B 85 57 17 40 00
50 B9 78 56 34 12 FF 95 E6
16 40 00 89 85 53 17 40 00
83 F8 FF 75 01 C3 6A 20 8B

şimdi örneğin C'de bir program yazdığımızı varsayalım ve Lorez virüsünden aldığımız bu hex imzayı da programda kullandığımızı düşünelim. Yine örnek vermek gerekirse BYTE tipinde bir diziye kodumuzu yerleştirelim:

BYTE lorez_virusu_imzasi[] = {0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00,
0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6,
0x16,0x40,0x00,0x89,0x85,0x53,0x17,0x40,0x00,
0x83,0xF8,0xFF,0x75,0x01,0xC3,0x6A,0x20,0x8B};

Bu kodu yazdığınız bir programa dahil edip windows altında derleyip only.exe diye bir dosya oluşturduğunuzu varsayalım. Büyük ihtimalle ANTıVıRÜS PROGRAMLARI progra****z only.exe dosyasına Win95.Lorez (ya da kendi veritabanlarına nasıl bir isimle kaydetmişlerse) virüsü bulaşmış diye bir uyarı verecektir. Ama siz bunun zararsız bir kod olduğunu anlamışsınızdır sanırım

İşte ANTıVıRÜS PROGRAMLARI yazılımları da aynı bu şekilde kendilerine rapor edilen dosyaları incelerler ve hex imza veritabanlar oluştururlar. Daha sonra da tarama işlemlerinde dosyalarda bu veritabanındaki imzaları ararlar ve dosyanın infecte olup olmadığına karar vererek disinfecte, silme, karantina vs işlemleri gerçekleştirirler.

şimdi genel olarak bir ANTıVıRÜS PROGRAMLARI'nın nasıl çalıştığını öğrenmiş olduk. Peki hangi ANTıVıRÜS PROGRAMLARI'nin daha iyi olduğuna nasıl karar vereceğiz? Aslında her ANTıVıRÜS PROGRAMLARI bu kısımda aynı işlemleri yaptığından fark burda yok aslında. Genel olarak ANTıVıRÜS PROGRAMLARI'lerde sistemi aşırı yAntivirüs Programlarıaşlatmaması (Norton yüklü makinanın sürünmesi gibi) ve e-posta denetleme vs gibi ek özellikler ve en az sistem harcayarak en çok fonksiyonu en iyi şekilde başaran bir ANTıVıRÜS PROGRAMLARI'yi iyi olarak nitelemek mümkün.

Ek olarak kendimce iyi bir ANTıVıRÜS PROGRAMLARI'ye örnek vermem gerekirse Kaspersky ANTıVıRÜS PROGRAMLARI'yi rahatlıkla söyleyebilirim. Bu yazılımın diğer ANTıVıRÜS PROGRAMLARI'lere göre bir artısı daha var ki; o da bu virüslerden vs... alınıp veritabanına işlenen hex imzalara ek olarak, dosyayı birçok exe packer ile ayrı ayrı packlenmiş hallerinden de hex imza alarak veritabanına işlemeleri. Böylece örneğin tanınan bir trojanı (eğer packlenmişse unpack ederek başka bir packerla) packleyerek diğer ANTİVİRÜS PROGRAMLARI'lere karşı tanınmaz hale getirseniz bile KANTıVıRÜS PROGRAMLARI bunu daha önceden kendisi de deneyip vertabanına eklemiş olabileceğinden, diğer ANTıVıRÜS PROGRAMLARI'ler tanımazken KANTıVıRÜS PROGRAMLARI bu infecte dosyayı yine tanıyabilir...
--------------------- "En çok inandığımız şeyler, en az bildiklerimizdir."
- M.D. Montaigne.
'AnKeBuT, s.icli Teşekkür etti.
'AnKeBuT - ait Kullanıcı Resmi (Avatar)
Yardımsever
Üyelik tarihi:
01/2013
Nereden:
Misyon!!!
Mesajlar:
4.409
Konular:
300
Teşekkür (Etti):
1269
Teşekkür (Aldı):
2495
Ticaret:
(0) %
23-09-2014 01:18
#2
Yararlı bi makale olmuş komutanım emeğinize sağlık...
---------------------
Gâfil ne bilir neş've-i pür-şevk-i vegâyı
Meydân-ı celâdetteki envar-ı sefâyı
Merdân-ı gazâ aşk ile tekbirler alınca
Titretti yine, rû-yı zemin arş-ı semâyı.
Allah yolunda cenk edelim şân alalım şan
Kur'an'da zafer vaadediyor Hazret'i Yezdan.
'BozKurt Teşekkür etti.
BeoWulf007 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2013
Nereden:
Dünyadan
Yaş:
20
Mesajlar:
2.179
Konular:
119
Teşekkür (Etti):
224
Teşekkür (Aldı):
250
Ticaret:
(0) %
24-09-2014 09:05
#3
Supersın Ya Bende Cidden Antıvırus ler nasıl analiz yapıyor diyordum hep merak etmistim. Peki Modum Bir Sorum Olacak Inşallah Cevaplarsın Şimdi Bu veritabanından hek kodlarına göre vs.. Buluyor ise internet olmayan bir pc de antıvırus nasıl çalışıyor ?
---------------------
class v0id Beowulf007() {ctor(bool isProgrammer) prop(Life _alive)}
Beowulf007 beo = new Beowulf007(true);
while(beo._alive != false) { Code! }
qwekys - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Mesajlar:
1
Konular:
0
Teşekkür (Etti):
0
Teşekkür (Aldı):
0
Ticaret:
(0) %
28-01-2016 01:06
#4
kardeşim torojan virüsünü nasıl yapabilirim yardımcı olurmusunuz ögrenmek istiyorum
--------------------- who Am ı ?

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler