İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Polmorfik Virüsler Hakkında Herşey

06-02-2013 23:14
#1
Victory* - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2012
Nereden:
Konya
Mesajlar:
2.735
Teşekkür (Etti):
16
Teşekkür (Aldı):
303
Konular:
317
Ticaret:
(0) %
Polimorfik virüs, antivirüs yazılımları tarafından tespit edilmemek için kodlarını değiştirebilen, bununla birlikte işlevselliğini koruyan virüslere verilen isimdir. Farklı polimorfik virüsler için farklı antivirüs yazılımlarının başarısız olduğu raporlar incelendiğinde görülmektedir. Polimorfik virüslerin tespiti konusunda antivirüs yazılımları gelişmekle beraber halen diğer virüs tipleri için sağlanan güvence seviyesine ulaşılamamıştır.

Polimorfik Virüs Tanımı:
Polimorfik virüslerin kodlarının değiştirilmesiyle kastedilen:
Değişken bir şifreleme anahtarı ve/veya şifreleme rutini ile şifreleme,
Virüs koduna şaşırtma amaçlı kodlar eklenmesi (kullanılmayan bir kütük değerinin değiştirilmesi vb.),
Kodu oluşturan fakat sıralamanın önemli olmadığı komutların sırasının işlevselliği değiştirmeyecek şekilde değiştirilmesi yöntemleridir.
Polimorfik Virüslerin Yapısı:

Polimorfik virüsler 3 kısımdan oluşmaktadır:
Şifre Çözme kısmı: Bu kısım şifreleme rutinini ve gerekli ise anahtar bilgisini içermektedir. Virüslü bir dosya çalıştırıldığında şifre çözücü rutin devreye girerek virüsün şifreli kısımlarını çözer ve kontrolü şifresi çözülen zararlı koda devreder.

Virüs gövdesi: Zararlı kodu içermekte, virüslü dosyalarda şifreli olarak bulundurmaktadır. Virüslü dosya çalıştırıldığında belleğe aktarılıp şifresi çözülmekte, kodda belirtilen işlemlere göre virüsün kendini diğer dosyalara kopyalaması ve diğer zararlı işlemleri yapmasını sağlamaktadır.
Mutasyon Motoru: Zararlı kod ile birlikte şifreli olarak tutulmaktadır. Mutasyon motoru, virüslü dosya çalıştırıldığında şifre çözme rutini ile şifresi çözülüp, belleğe aktarılmakta ve bulaşacağı diğer dosyalara kopyalanacak mutasyona uğramış virüs versiyonlarını oluşturmaktadır. Bunun için virüs gövdesini işlevselliğini bozmayacak şekilde değiştirmekte, farklı bir şifreleme rutini ve anahtarı oluşturmaktadır. Bu sayede şifreleme rutinine göre tespit işlemi yapan antivirüs yazılımlarının aldatılması amaçlanmaktadır. Mutasyon motoru işlemini tamamladıktan sonra mutasyona uğramış virüs ve mutasyon motoru yeni oluşturulmuş şifreleme rutini ile şifrelenip virüs bulaştırılan dosyaya kopyalanmaktadır.

Polimorfik Virüslerin Tespiti:

Bütünlük Kontrolü (CRC Checking): Bu yöntemde dosyalar hakkında bir durum tablosu tutulur. Antivirüs yazılımı taranan dosyaların CRC’sini hesaplar ve durum tablosuna kaydeder. Sonraki taramalarda, ya da dosyaya erişildiğinde CRC değeri tekrar hesaplanır ve dosyanın virüslü olup olmadığına CRC değerinin değişip değişmediğine bakılarak karar verilir. Bu yöntem günümüz antivirüs yazılımlarında nadiren kullanılan oldukça eski bir yöntemdir. Dezavantajları:
Bu yöntemle virüsün türü tespit edilememektedir.
Günümüzde işletim sistemi dosyaları ve virüslerin sıklıkla bulaştığı dosya türleri normal işleyiş içerisinde sıklıkla değişmektedirler. Bütünlük kontrolü yapan antivirüs yazılımı değişimin kaynağını virüs olarak algılayıp yanlış alarmlar üretebilmektedir. Bu sebeple bu yöntem sadece normal şartlar altında değişmeyen dosyaların taranması için kullanılabilmektedir.
İmza Tabanlı Tarama: Antivirüs tarama motoru sistem belleğini, sistem başlangıç bölgesini (boot sector) ve dosyaların tutulduğu birimleri (hard disk, flash disk, floppy, cdrom) tarar ve antivirüs yazılımda yüklü olan, virüslerin karakteristik içeriklerine karşılık gelen bit dizini/imzalarla (signature) karşılaştırma yapar. Polimorfik virüslerin değiştirilmiş olması ihtimaline karşılık imzalarla birebir uyum aranmamakta, kısmi uyum yeterli görülebilmektedir. Dezavantajları:
İmzası oluşturulmamış virüs türlerini tespit edememektedir.
Polimorfik virüslerin tespiti amaçlı kullanılan kısmi imza eşleşmesi yöntemi yanlış alarm riskini artırmaktadır. Kesin imza eşleşmesi ya da yakın imza eşleşmesi durumlarında ise polimorfik virüslerin tespiti zorlaşmaktadır.
İmza tabanlı tarama yapan bazı gelişmiş antivirüs yazılımlarında polimorfik virüsler tespit edildiğinde mutasyon algoritması çalıştırılarak mutasyona uğramış hallerine ait virüs imzaları oluşturulup antivirüs imzalarına eklenmektedir. Böylece mutasyona uğrayarak yayılmış polimorfik virüsler tespit edilebilmektedir.

Mantıksal Virüs Tarama: Gelişmiş antivirüs yazılımlarında kullanılan bir yöntemdir. Tarama motoru sistem belleği üzerinde izole bir sanal sistem (virtual machine) oluşturmakta, taranan dosyalar bu izole sanal sistemde çalıştırılmakta ve böylece aktif hale geçen virüslerin davranışları sonucu değişen sanal sistem durumu incelenmektedir. Bu tür bir tarama ile polimorfik virüslerin yakalanmamak için sistem durumunu değiştirmeyen kod parçaları ekleme / zararlı kodu karıştırma yöntemleri etkisiz bırakılabilmektedir. Sanal sistem kullanımı polimorfik virüslerin şifre çözme kısmının çalışıp virüs gövdesi ve mutasyon motorunun sanal sistem belleğine yüklenmesini sağlamaktadır. Açık olarak sistem belleğinde bulunan sistem durumunu değiştirecek işlemler yaptığında tespit edilebilmektedirler. Dezavantajları:
Tarama işlemi daha uzun sürmektedir.
Virüsün işlevini gerçekleştirmesi birden çok programın/dosyanın çalıştırılmasına, şifre çözme anahtarı için uzun zaman alan aramalar yapmasına bağlı olabilir. Antivirüs yazılımı tüm ihtimalleri araştıramayacaktır.
Mantıksal virüs tarama normal program ve virüs aktivitelerini ayıramayabilir.
Proses Davranışlarının İzlenmesi: Bu yöntem kritik dosyaların virüslere karşı güvenliğini sağlamayı amaçlamaktadır, tüm sistem için bir antivirüs koruması değildir. Kritik dosyalara erişimine izin verilen prosesler antivirüs yazılımında yüklüdür ve erişim listesine uygun olmayan erişimler engellenir.

Heuristic İzleme Yöntemi: Polimorfik virüslerin tespitinde imza karşılaştırmasının yetersizliğinden dolayı sistem aktivitelerinin izlenmesi için farklı teknikler geliştirilmiştir. Heuristic İzleme virüs olan ve olmayan kodları/programları birbirinden ayırmak için tanımlanmış, virüslerin sebep olabileceği beklenmeyen, tutarsız işlemleri gerçek programların işlemlerinden ayıran kurallara göre sistem aktivitelerini izleme yöntemidir. Olasılık hesaplamaları yapar. Bir dosya ya da programın virüslü olduğuna karar vermek için belirlenen olasılık eşik değeri ne kadar düşük tutulursa, yanlış alarmlar alma riski de o kadar artacaktır. Heuristic sistemin başarılı olabilmesi için heuristic kuralları çok fazla sayıda programın davranışları detaylı olarak incelendikten sonra oluşturulmalıdır. Aksi takdirde kuralları yetersiz olan bir heuristic sistem çok sayıda yanlış alarmlar üretecektir ve kullanımı fayda getirmeyecektir.

Proses Davranışlarının İzlenmesi: Bu yöntem kritik dosyaların virüslere karşı güvenliğini sağlamayı amaçlamaktadır, tüm sistem için bir antivirüs koruması değildir. Kritik dosyalara erişimine izin verilen prosesler antivirüs yazılımında yüklüdür ve erişim listesine uygun olmayan erişimler engellenir.

Heuristic İzleme Yöntemi: Polimorfik virüslerin tespitinde imza karşılaştırmasının yetersizliğinden dolayı sistem aktivitelerinin izlenmesi için farklı teknikler geliştirilmiştir. Heuristic İzleme virüs olan ve olmayan kodları/programları birbirinden ayırmak için tanımlanmış, virüslerin sebep olabileceği beklenmeyen, tutarsız işlemleri gerçek programların işlemlerinden ayıran kurallara göre sistem aktivitelerini izleme yöntemidir. Olasılık hesaplamaları yapar. Bir dosya ya da programın virüslü olduğuna karar vermek için belirlenen olasılık eşik değeri ne kadar düşük tutulursa, yanlış alarmlar alma riski de o kadar artacaktır. Heuristic sistemin başarılı olabilmesi için heuristic kuralları çok fazla sayıda programın davranışları detaylı olarak incelendikten sonra oluşturulmalıdır. Aksi takdirde kuralları yetersiz olan bir heuristic sistem çok sayıda yanlış alarmlar üretecektir ve kullanımı fayda getirmeyecektir.

Kaynak:Battal Özdemir / BILGEM
Kullanıcı İmzası
İnsanı en çok üzen şey; Ummadıkları kişiler adam olurken, adam sandıklarının insan bile olamamş olmasıdır...

11-02-2013 21:56
#2
METEOUR - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2012
Nereden:
Elazığ
Mesajlar:
71
Teşekkür (Etti):
0
Teşekkür (Aldı):
2
Konular:
4
Ticaret:
(0) %
Eline sağlık da nasıl hazırlanır biliyormusun
Kullanıcı İmzası
''Bu hayatta yaptırmak istediklerinin adını iyilik koymuşlar''




---------------H4CK3D By M3T30UR-------------

Facebook Profilhttp://www.facebook.com/Legend785

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı