Merhaba. Bu konuda MBR Overwriter virüsünün ne olduğunu ve tehlikelerini açıklayacağım. Hemen başlayalım.
MBR (Master Boot Record) Nedir?
MBR, bilgisayarın diskinin ilk sektörüdür ve işletim sisteminin çalıştırılması için gereken bilgileri içerir. MBR, BIOS'un yüklü işletim sistemini görmesi için gereklidir ve 512 bayttan oluşmaktadır. MBR, genelde Assembly ve C dilleri ile kodlanır. Örnek olarak bir işletim sisteminin MBR'ı silinirse bilgisayar yeniden başladığında işletim sistemi çalışmaz ve bilgisayarlara göre değişebilen bir hata mesajı çıkar. Bazı bilgisayarlar Boot Menüsünü açabilir, bazıları BIOS'u açabilir yada bazılarıda Operating System Not Found, Boot Device Not Found gibi hatalar verebilir. Genelde işletim sistemleri yüklenirken otomatik olarak MBR yüklenir ve yapılandırılır. İşletim sisteminin çalışması için gerçekleşen işlemleri şu sırayla ifade edebiliriz:
BIOS:
Bilgisayar açıldığında ilk önce BIOS çalışır ve gerekli işlemleri yerine getirir.
MBR:
BIOS, Disk 0'ın başında bulunan MBR'ı okur ve önyükleme kodlarını çalıştırır.
Aktif Bölüm:
MBR, aktif bölümdeki önyükleme sektörünün kodunu çalıştırır.
Önyükleyici (Bootloader):
İşletim sisteminin çekirdeğini belleğe yükler ve işletim sisteminin çalışması için gereken son adımı gerçekleştirir.
MBR Virüsleri Nedir?
MBR Virüsleri, diskin ilk bölümü olan MBR'a bulaşır ve sistemde gözükmezler. MBR Virüsleri, bilgi çalmak için, daha fazla zararlı yazılım yüklemek gibi amaçlar için kullanılabilir ve algılanması diğer virüslere göre daha zordur. Örnek olarak Alureon bir MBR virüsüdür ve bulaştığı sistemdeki ağ trafiğini durdurarak kullanıcı adı, şifre, banka bilgileri, kişisel bilgiler tarzı verileri çalmayı hedefler. MBR Virüsleri genelde Bootkit olarak sınıflandırılır çünkü sistemin önyükleme kısmına bulaşırlar fakat bazı türleri Rootkit olarak da sınıflandırılabilir. Günümüzde MBR Virüsleri eskisi kadar fazla olmasa bile yinede görülebilir.
MBR Overwriter Nedir?
MBR Overwriter, diskin MBR'ını kötü amaçlar için silen veya değiştiren yazılımlara denir. Bunu yaparak işletim sisteminin önyüklenmesini engellerler. Genelde antivirüsler tarafından "Trojan.KillMBR" olarak adlandırılırlar. MBR Overwriter'lar çoğu kodlama dili ile kodlanabilir. Örneğin: C#, VB.NET, Python, C++. Eğer bir MBR Overwriter sadece MBR'ı silecek ise bu diller tek başına yeter. Fakat eğer özel bir MBR yükleyecekse, MBR'ı kodlamak için Assembly bilgisi gerekebilir. Şimdi size Assembly ile kodlanmış ekrana "Basit bir MBR." yazan örnek bir MBR kodu vereceğim.
MBR Overwriter Örnekleri:
Petya: Bir Ransomware (Fidye Programı)'dır fakat fidyeyi istemek için diskin MBR'ını değiştirir. MBR'ı eski haline döndürmek verilerinizi kurtarmanızı sağlamaz çünkü Petya diskin tamamını şifreler.
CIH (Chernobyl): CIH, aşırı derecede tehlikeli bir virüstür. Eski bilgisayarlarların BIOS'u daha savunmasız olduğu için BIOS'u silmeye yada bozmaya çalışır. Aynı zamanda bilgisayarın MBR'ını siler. Bunu yaparak işletim sisteminin çalışmasını engeller.
MBR Overwriter Virüsünün Tehlikeleri:
1. İşletim Sisteminin Açılmaması
MBR Overwriter, işletim sisteminin önyüklenmesini engellediği için bilgisayarı işlevsiz bırakır.
2. Olası Veri Kayıpları
Bazı durumlarda diskin bölümleme tablosuda etkilenebileceğinden olası veri kayıplarına yol açar.
3. Açık Kaynak Kodlu Projeler
MBR Overwriter virüslerinin sayısı fazladır. İnternette açık kaynaklı MBR Overwriter virüsleri bulunmaktadır.
4. Kurtarma Zorlukları
MBR'ı düzeltmek için bir Windows Yükleme, Onarma veya önyüklenebilir bir disk programı gibi yazılımlara ihtiyaç vardır. Bu yazılımlar USB gibi çıkarılabilir bir medyaya yüklenip MBR'ı bozulmuş bilgisayarda çalıştırılması gerekmektedir.
MBR Onarma Yöntemleri:
MBR'ı bozulmuş bir bilgisayarı onarmak için bazı yöntemleri kullanabiliriz.
1. Windows Yükleme yada Onarma Diski
Bir Windows Yükleme yada Onarma Diski ile MBR'ı onarabiliriz. Windows Yüklemede yada Onarma Diski açıldıktan sonra Komut İstemi açılıp sırasıyla şu komutlar girilmelidir:
Aynı zamanda komutları girdikten sonra Başlangıç Onarma çalıştırılmalıdır.
2. Önyüklenebilir Disk Yazılımları
Çoğu Önyüklenebilir Disk Yazılımları MBR onarmayı desteklediği için kullanılabilir.
Alınması Gereken Önlemler:
1. Antivirüs Yazılımı Kullanmak
Antivirüs yazılımları çoğu MBR Virüsü yada MBR Overwriter programlarını engeller.
2. Windows Yükleme Diski Oluşturmak
Windows Yükleme Diski oluşturmak, MBR'ın bozulması durumunda kolayca MBR'ı onarmanızı sağlar. Bir Windows Yükleme Diski oluşturmak için kullandığınız Windows sürümünün ISO dosyasını indirip bunu USB diske yazmak mantıklı olacaktır.
3. Windows Kurtarma Diski Oluşturmak
Windows Kurtarma Diski, Başlangıç Onarma, Sistem Geri Yükleme, Komut İstemi ve Sistem Görüntüsü Geri Yükleme gibi araçlar içerdiği için MBR'ı onarmak için kullanılabilir. Bir kurtarma diski oluşturmak için Windows 8 ve sonraki sürümlerde bulunan Kurtarma Sürücüsü programını kullanabilirsiniz. Programı açmak için arama kısmına Kurtarma Sürücüsü yazarak yada Windows + R tuşlarına basıp, açılan Çalıştır menüsüne recoverydrive yazarak açabilirsiniz. Açılan programda eğer "Sistem dosyalarını kurtarma sürücüsüne yedekle" işaret kutusu tikli olursa Windows dosyaları USB diske yedeklenir ve kurtarma diskinize bilgisayarı sıfırla özelliğinide ekleyebilirsiniz. Eğer sistem dosyalarını yedeklerseniz, USB bellek yada kullanacağınız sürücünün en az 16 GB depolama alanına sahip olması gerekir. Eğer sistem dosyalarını yedeklemeden bir kurtarma sürücüsü oluşturmak isterseniz en az 1 GB depolama alanına sahip bir USB bellek yada sürücüye ihtiyacınız olacak. Kurtarma için kullanacağınız USB belleğin yada sürücünün içindeki tüm veriler silinir. Bu sebeple USB belleğinizdeki yada kurtarma için kullanacağınız sürücüdeki dosyaları yedekleyin. Daha sonra bilgisayarınızı kurtarma sürücüsünden başlatmak için Boot Menüsü'nü kullanabilirsiniz.
4. Bilinmeyen Dosyaları Çalıştırmamak
Bilinmeyen dosyaları çalıştırmamak en iyisidir. Şüphelendiğiniz dosyaları VirusTotal gibi websitelerinde taratabilirsiniz. İsterseniz bir sanal makine kurarak şüpheli dosyayı sanal makine içerisinde çalıştırabilirsiniz.
Okuduğunuz için teşekkür ederim.
MBR (Master Boot Record) Nedir?
MBR, bilgisayarın diskinin ilk sektörüdür ve işletim sisteminin çalıştırılması için gereken bilgileri içerir. MBR, BIOS'un yüklü işletim sistemini görmesi için gereklidir ve 512 bayttan oluşmaktadır. MBR, genelde Assembly ve C dilleri ile kodlanır. Örnek olarak bir işletim sisteminin MBR'ı silinirse bilgisayar yeniden başladığında işletim sistemi çalışmaz ve bilgisayarlara göre değişebilen bir hata mesajı çıkar. Bazı bilgisayarlar Boot Menüsünü açabilir, bazıları BIOS'u açabilir yada bazılarıda Operating System Not Found, Boot Device Not Found gibi hatalar verebilir. Genelde işletim sistemleri yüklenirken otomatik olarak MBR yüklenir ve yapılandırılır. İşletim sisteminin çalışması için gerçekleşen işlemleri şu sırayla ifade edebiliriz:
BIOS:
Bilgisayar açıldığında ilk önce BIOS çalışır ve gerekli işlemleri yerine getirir.
MBR:
BIOS, Disk 0'ın başında bulunan MBR'ı okur ve önyükleme kodlarını çalıştırır.
Aktif Bölüm:
MBR, aktif bölümdeki önyükleme sektörünün kodunu çalıştırır.
Önyükleyici (Bootloader):
İşletim sisteminin çekirdeğini belleğe yükler ve işletim sisteminin çalışması için gereken son adımı gerçekleştirir.
MBR Virüsleri Nedir?
MBR Virüsleri, diskin ilk bölümü olan MBR'a bulaşır ve sistemde gözükmezler. MBR Virüsleri, bilgi çalmak için, daha fazla zararlı yazılım yüklemek gibi amaçlar için kullanılabilir ve algılanması diğer virüslere göre daha zordur. Örnek olarak Alureon bir MBR virüsüdür ve bulaştığı sistemdeki ağ trafiğini durdurarak kullanıcı adı, şifre, banka bilgileri, kişisel bilgiler tarzı verileri çalmayı hedefler. MBR Virüsleri genelde Bootkit olarak sınıflandırılır çünkü sistemin önyükleme kısmına bulaşırlar fakat bazı türleri Rootkit olarak da sınıflandırılabilir. Günümüzde MBR Virüsleri eskisi kadar fazla olmasa bile yinede görülebilir.
MBR Overwriter Nedir?
MBR Overwriter, diskin MBR'ını kötü amaçlar için silen veya değiştiren yazılımlara denir. Bunu yaparak işletim sisteminin önyüklenmesini engellerler. Genelde antivirüsler tarafından "Trojan.KillMBR" olarak adlandırılırlar. MBR Overwriter'lar çoğu kodlama dili ile kodlanabilir. Örneğin: C#, VB.NET, Python, C++. Eğer bir MBR Overwriter sadece MBR'ı silecek ise bu diller tek başına yeter. Fakat eğer özel bir MBR yükleyecekse, MBR'ı kodlamak için Assembly bilgisi gerekebilir. Şimdi size Assembly ile kodlanmış ekrana "Basit bir MBR." yazan örnek bir MBR kodu vereceğim.
Kod:
BITS 16
start:
mov ax, 0x07C0
mov ds, ax
mov es, ax
mov ss, ax
mov sp, 0x7C00
mov ah, 0x00
mov al, 0x03
int 0x10
mov si, msg
print_string:
lodsb
cmp al, 0
je done_printing
mov ah, 0x0E
int 0x10
jmp print_string
done_printing:
cli
hlt
msg db 'Basit bir MBR.', 0
times 510 - ($ - $$) db 0
dw 0xAA55MBR Overwriter Örnekleri:
Petya: Bir Ransomware (Fidye Programı)'dır fakat fidyeyi istemek için diskin MBR'ını değiştirir. MBR'ı eski haline döndürmek verilerinizi kurtarmanızı sağlamaz çünkü Petya diskin tamamını şifreler.
CIH (Chernobyl): CIH, aşırı derecede tehlikeli bir virüstür. Eski bilgisayarlarların BIOS'u daha savunmasız olduğu için BIOS'u silmeye yada bozmaya çalışır. Aynı zamanda bilgisayarın MBR'ını siler. Bunu yaparak işletim sisteminin çalışmasını engeller.
MBR Overwriter Virüsünün Tehlikeleri:
1. İşletim Sisteminin Açılmaması
MBR Overwriter, işletim sisteminin önyüklenmesini engellediği için bilgisayarı işlevsiz bırakır.
2. Olası Veri Kayıpları
Bazı durumlarda diskin bölümleme tablosuda etkilenebileceğinden olası veri kayıplarına yol açar.
3. Açık Kaynak Kodlu Projeler
MBR Overwriter virüslerinin sayısı fazladır. İnternette açık kaynaklı MBR Overwriter virüsleri bulunmaktadır.
4. Kurtarma Zorlukları
MBR'ı düzeltmek için bir Windows Yükleme, Onarma veya önyüklenebilir bir disk programı gibi yazılımlara ihtiyaç vardır. Bu yazılımlar USB gibi çıkarılabilir bir medyaya yüklenip MBR'ı bozulmuş bilgisayarda çalıştırılması gerekmektedir.
MBR Onarma Yöntemleri:
MBR'ı bozulmuş bir bilgisayarı onarmak için bazı yöntemleri kullanabiliriz.
1. Windows Yükleme yada Onarma Diski
Bir Windows Yükleme yada Onarma Diski ile MBR'ı onarabiliriz. Windows Yüklemede yada Onarma Diski açıldıktan sonra Komut İstemi açılıp sırasıyla şu komutlar girilmelidir:
Kod:
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcdAynı zamanda komutları girdikten sonra Başlangıç Onarma çalıştırılmalıdır.
2. Önyüklenebilir Disk Yazılımları
Çoğu Önyüklenebilir Disk Yazılımları MBR onarmayı desteklediği için kullanılabilir.
Alınması Gereken Önlemler:
1. Antivirüs Yazılımı Kullanmak
Antivirüs yazılımları çoğu MBR Virüsü yada MBR Overwriter programlarını engeller.
2. Windows Yükleme Diski Oluşturmak
Windows Yükleme Diski oluşturmak, MBR'ın bozulması durumunda kolayca MBR'ı onarmanızı sağlar. Bir Windows Yükleme Diski oluşturmak için kullandığınız Windows sürümünün ISO dosyasını indirip bunu USB diske yazmak mantıklı olacaktır.
3. Windows Kurtarma Diski Oluşturmak
Windows Kurtarma Diski, Başlangıç Onarma, Sistem Geri Yükleme, Komut İstemi ve Sistem Görüntüsü Geri Yükleme gibi araçlar içerdiği için MBR'ı onarmak için kullanılabilir. Bir kurtarma diski oluşturmak için Windows 8 ve sonraki sürümlerde bulunan Kurtarma Sürücüsü programını kullanabilirsiniz. Programı açmak için arama kısmına Kurtarma Sürücüsü yazarak yada Windows + R tuşlarına basıp, açılan Çalıştır menüsüne recoverydrive yazarak açabilirsiniz. Açılan programda eğer "Sistem dosyalarını kurtarma sürücüsüne yedekle" işaret kutusu tikli olursa Windows dosyaları USB diske yedeklenir ve kurtarma diskinize bilgisayarı sıfırla özelliğinide ekleyebilirsiniz. Eğer sistem dosyalarını yedeklerseniz, USB bellek yada kullanacağınız sürücünün en az 16 GB depolama alanına sahip olması gerekir. Eğer sistem dosyalarını yedeklemeden bir kurtarma sürücüsü oluşturmak isterseniz en az 1 GB depolama alanına sahip bir USB bellek yada sürücüye ihtiyacınız olacak. Kurtarma için kullanacağınız USB belleğin yada sürücünün içindeki tüm veriler silinir. Bu sebeple USB belleğinizdeki yada kurtarma için kullanacağınız sürücüdeki dosyaları yedekleyin. Daha sonra bilgisayarınızı kurtarma sürücüsünden başlatmak için Boot Menüsü'nü kullanabilirsiniz.
4. Bilinmeyen Dosyaları Çalıştırmamak
Bilinmeyen dosyaları çalıştırmamak en iyisidir. Şüphelendiğiniz dosyaları VirusTotal gibi websitelerinde taratabilirsiniz. İsterseniz bir sanal makine kurarak şüpheli dosyayı sanal makine içerisinde çalıştırabilirsiniz.
Okuduğunuz için teşekkür ederim.
Son düzenleme:
I understand tr well. We need more bootkits/*kits threads, you can look for Boopkit some type like 
