virüs nedir? nasıl çalışır? virüs hakkında herşey.

black rose
17-07-2008, 19:30   |  #1  
black rose avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 0
880 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

Alkış   Alkış   Alkış   Soru    Soru   Alkış   Alkış    Alkış

VİRÜS NEDİR?
Bilgisayar virüsü, kullanıcının izni yada bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer programların dosyaları içerisinde gizlemeye çalışan aslında bir tür bilgisayar programıdır.
Terim genelde kötücül yazılım (malware) dediğimiz geniş bir alanı ifade etmek için kullanılsa da , gerçek bir virüs aşağıda belirtilen iki görevi gerçekleştirmek durumundadır.
kendini çoğaltmalı
kendini çalıştırmalı (yürütmeli)
Biyolojik virüsler ile karşılaştırma


Virüsler nasıl çalışır?

Bir bilgisayar virüsü , biyolojik virüslerin insandan insana bulaşması gibi bir bilgisayardan diğerine bulaşabilirler. Örneğin, uzmanların tahminine göre , Mydoom adlı solucan Haziran 2004 tarihinde bir gün içerisinde çeyrek milyon bilgisayara bulaştı. 2000 yılındaki bir diğer vakada ise ILOVEYOU virüsü , benzer etkileri yarattı. An itibariyle bilişim dünyasında onbinlerce virüs bulunmakta ve hergün yenileri tespit edilmekte. Bulaşma yada yayılım şekillerindeki çeşitlilikten ötürü virüslerin nasıl çalıştıklarını tümü için geçerli olacak şekilde özetlemek zordur. Ancak, genelde çeşitli virüs tiplerini belirtmek için kullanılan geniş kategoriler bulunmaktadır.


Sınıflandırma


Virüs tipleri birçok alt bölümde incelenebilir. Ana sınıflama bölümleri şunlardır:
Dosya virüsleri
Önyükleme sektörü virüsleri
Çokparçalı virüsler
Makro virüsler
Ağ virüsleri
Email virüsleri
Eşlik virüsleri
Yazılım bombaları ve Saatli bombalar
Cross-site scripting virüsleri
Sentineller
WB Microworm
Görünmez Halo virüsleri
Dosya virüsleri

Dosya virüsleri, asalak yada yürütülebilir virüsler olarak da bilinen ve kendilerini yürütülebilir dosyalara (sürücü yada sıkıştırılmış dosyalara) tutturan ve konak program çalıştırıldığında etkinleşen kod parçaçıklarıdır. Etkinleştikten sonra , virüs kendini diğer program dosyalarına tutturarak yayılabilir ve programlandığı şekilde kötü niyetli faaliyet gösterebilir. Birçok dosya virüsü kendilerini sistem hafızasına yükleyip sürücüdeki diğer programları araştırarak yayılır. Bulduğu programların kodlarını virüsü içerecek ve gelecek sefer program çalıştığında virüsü de etkinleştirecek şekilde değiştirir. Virüs tüm sisteme yada bulaştığı programı ortak kullanan sistemlerin tüm alanlarına yayılana dek defalarca bunu yapar. Yayılmalarının yanı sıra bu virüsler hemen yada bir tetikleyici vasıtasıyla etkinleşen tahrip edici bir tür bileşeni bünyelerinde barındırırlar. Tetikleyici özel bir tarih , virüsün belirli bir kopyalama sayısına ulaşması yada önemsiz herhangi bir şey olabilir. Randex, Meve and MrKlunky dosya virüslerine verilebilecek birkaç örnektir.


Önyükleme sektörü virüsleri

Bir önyükleme sektörü virüsü (boot sector) etkiler. Önyükleme sektörü sabit diske ait tüm bilgilerin saklandığı ve bir program vasıtası ile işletim sisteminin başlatılmasını sağlayan yerdir. Virüs , her açılışta hafızaya yüklenmeyi garantilemek amacıyla kodlarını önyükleme sektörüne yerleştirir. Bu , belki de , günümüzde sayıca azalmalarının da nedeni olmuştur. Programların , sabit diskin çok önemli bir bölümü olan önyükleme sektörünüdisketler ile bir bilgisayardan diğerine taşındığı dönemlerde önyükleme virüsleri büyük bir hızla yayılıyordu .Ancak CD-ROM devrinin başlamasıyla , CD-ROM içerisindeki bilgilerin değiştilemez ve kod eklenemez olmasından ötürü, bu tür virüslerin yayılımı durdu. Önyükleme virüsleri hala var olsa da yeni çağ zararlı yazılımlarına nispeten çok nadirler. Yaygın olmamalarının diğer bir sebebi ise işletim sistemlerinin artık önyükleme sektörlerini koruma altına almasıdır. Polyboot.B ve AntiEXE önyükleme virüslerine örnektirler.


Çok parçalı virüsler

Çok parçalı virüsler önyükleme sektörü ve dosya virüslerinin birleşimidir. Bu virüsler CD/DVD yada disket gibi virüsle enfekte olmuş ortamlar ile gelir ve hafızaya yerleşirler. Akabinde sabit diskin önyükleme sektörüne taşınırlar. Sektörden de sabit diskteki yürütülebilir dosyalara (.exe) bulaşır ve tüm sistem boyunca yayılırlar. Günümüzde çokparçalı virüsler pek bulunmamakta, fakat en parlak çağlarında , farklı bulaşma tekniklerini birleştirmelerinin sağladığı kabiliyetler büyük problemlere neden olmaktaydı. En bilinen çok parçalı virüs Ywinz'dir.


Makro virüsler

Makro virüsler veritabanları , uygulamalarınca yaratılmış dosyalar vs. etkilenen dosya tipleri arasındadır. Makro virüsler işletim sisteminin değil ait olduğu uygulamanın dilinde yazıldığından platform bağımsızdırlar ve uygulamayı çalıştırabilen tüm işletim sistemleri (, makrolar içeren çeşitli program yada uygulamalarca yaratılmış dosyalara bulaşan virüslerdir. Microsoft Office programınca yaratılan Word belgeleri, Excel elektronik çizelgeleri , PowerPoint sunumları, AccessCorel Draw, AmiProWindows, Mac vb.) arasında da yayılabilirler. Uygulamalardaki makro dillerinin süreki artan kabiliyetleri ve ağlar üzerinde yayılma olasılıkları bu türden virüsleri büyük tehdit haline getirmektedir. İlk makro virüsü Microsoft Word için yazılmış ve 1995 Ağustos'unda tespit edilmişti.Bugun binlerce makro virüsü bulunmakta. Relax, Melissa.A ve Bablas makro virüs örnekleridir.


Ağ virüsleri

Ağ virüsleri, yerel ağlarda ve hatta İnternet üzerinde hızla yayılmak konusunda çok beceriklidir. Genelde paylaşılan kaynaklar, paylaşılan sürücüler yada klasörler üzerinden yayılırlar . Bir kez yeni bir sisteme bulaştıklarında, ağ üzerindeki potansiyel hedefleri araştırarak saldırıya açık sistemleri belirlemeye çalışırlar. Savunmasız sistemi bulduklarında ağ virüsü sisteme bulaşır ve benzer şekilde tüm ağa yayılmaya çalışırlar. Nimda ve SQLSlammer kötü nam salmış ağ virüslerindendir.


Eposta virüsleri

Bir eposta virüsü, kendini konağın eposta adres defterindeki bağlantılara gönderen bir makro virüs şeklinde olabilir. Eğer herhangi bir eposta alıcısı virüs bulaşmış emaildeki ekleri açar ise , virüs kurbanın eposta adres defterine bulaşır ve kendini listedeki kişilere göndermeye devam eder. Gününüzde eposta virüsleri, mail istemci (Outlook, Thunderbird) programları üzerinden eposta önizlemesi yapıldığında dahi sisteme bulaşabilecek durumdadırlar.


Eşlik virüsleri

Eşlik virüsleri 1 , konak dosyalarına tutunmuş değillerdir ancak MS-DOS'u suistimal edebilirler. Bir eşlik virüsü geçerli .EXE (uygulama ) dosyalarına ait isimleri kullanan genelde .COM nadiren .EXD uzantılı yeni dosyalar yaratmaktadır. Eğer kullanıcı belirli bir programı çalıştırmak için komut konsoluna sadece programın ismini yazıp .EXE uzantısını yazmayı unutursa DOS, ismi ve uzantıları aynı olan dosyalardan uzantısı sözlükte önde görünen dosyanın çalıştırılmak istendiğini varsayıp virüsü yürütecektir. Örneğin kullanıcı filename.COM (virüs dosyası) ve filename.EXE (yürütme dosyası) adlı iki dosyaya sahip olsun ve komut satırına sadece filename yazmış bulunsun. Uzantılar incelendiğinde sonuç olarak filename.com yani virüs dosyası yürütülecektir. Virüs yayılacak ve atanmış diğer görevleri yaptıktan sonra kendisiyle aynı isime sahip .exe dosyasını çalıştıracaktır. Böylece kullanıcı büyük ihtimalle virüsün ayırdına varamayacaktır. Bazı eşlik virüslerinin Windows 95 altında ve Windows NT'deki DOS öykünücüleri üzerinde çalışabildiği bilinmektedir. Yol eşlik virüsleri geçerli sistem dosyaları ile aynı ada sahip dosyalar oluşturur ve dizin yolu içinde bulunan eski virüsleri yenileri ile değiştirir. Bu virüsler MS-DOS komut istemini kullanmayan Windows XP'nin kullanıma sunulması ile giderek seyrekleşmişlerdir.


Yazılım Bombaları

Yazılım bombaları, gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu işleyen yazılımlardır. Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir. Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs yada solucanların parçaları da olabilirler. Belirli sayıdaki konağı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir. Saatli bombalar , yazılım bombalarının alt kümeleri olup belirli tarih yada zamanda etkinleşecek şekilde programlanmışlardır. Saatli bombalara ünlü Friday the 13th virüsü örnek verilebilir.


Cross-site scripting virüsleri

Bir cross-site scripting virüsü (XSSV) çoğalabilmek için cross-site betik açıklarını kullanan virüslerdir. Bir XSSV yayılabilmek için web uygulamaları ve web tarayıcılarına ihtiyaç duyduğundan simbiyoz tip virüstür.


Sentineller

Sentineller oldukça gelişkin virüs tipi olup yaracısına bulaştığı bilgisayarları uzaktan kullanma yetkisi verir. Sentineller bot , zombi yada köle adı verilen bilgisayarların oluşturduğu ve Hizmeti engelleme saldırısı gibi kötü niyetli amaçlarda kullanılacak geniş ağlar yaratmada kullanılırlar.

Virüslerin, makinenize bulaşma ya da makinenizde etkin halde olmadan saklanma yolları pek çoktur. Ancak etkin olsun yada olmasın virüslerin başıboş bırakılması çok tehlikelidir ve ivedi şekilde sorun halledilmelidir.

Bilgisayar virüslerinin etkileri

Bazı virüsler uygulamalara zarar vermek, dosyaları silmek ve sabit diski yeniden formatlamak gibi çeşitli şekillerde bilgisayara zarar vermek amacıyla programlanmışlardır. Bazıları zarar vermektense , sadece sistem içinde çoğalmayı ve metin, resim ya da video mesajları göstererek fark edilmeyi tercih ederler. Bu zararsızmış gibi gözüken virusler kulanıcı için problem yaratabilir. Bilgisayar hafızasını işgal ederek makineyi yavaşlatabilir, sistemin kararsız davranmasına hatta çökmesine neden olabilirler. Ek olarak birçok virüs, hata (bug) kaynağıdır ve bu hatalar sistem çökmelerine ve veri kaybına neden olabilir.


Virüs teriminin kullanımı

Bilgisayar virüsü terimi, biyolojik muadilinden türetilmiş olup onunla aynı mantıkta kulanılmaktadır. Tam olarak doğru olmasa da virüs terimi genelde Truva atı ve solucan da dahil olmak üzere tüm zararlı çeşitlerini ifade edecek şekilde kullanılmaktadır. Günümüzde en tanınmış antivirüs yazılım paketleri tüm saldırı çeşitlerini savunabilecek yapıdadır. Bazı teknoloji topluluklarında virüs terimi , küçümsemek maksadıyla, zararlı yazıcılarını da belirtecek şekilde kullanılır.
Virus terimi ilk olarak 1984'te Fred Cohen tarafından hazırlanan Experiments with Computer Viruses adlı tez çalışmasında kullanılmış ve terimin Len Adleman ile birlikte türetildiği belirtilmiştir. Ancak daha 1972'lerde David Gerrold'e ait When H.A.R.L.I.E Was One adlı bir bilim-kurgu romanında, biyolojik virüsler gibi çalışan VIRUS adlı hayali bir bilgisayar programdan bahsedilmiş . Gene bilgisayar virüsü terimi, Chris Claremont'in yazdığı ve 1982 yılında basılmış Uncanny X-Men adlı çizgi romanda geçmiş . Dolayısıyla Cohen'in virüs tanımlaması akademik olarak ilk kez kullanılsa da terim çok önceden türetilmişti.


Doctus Wiki

black rose
17-07-2008, 19:33   |  #2  
black rose avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 0
880 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

Çoğalım stratejileri

Bir virüsün kendini çoğaltabilmesi için virüsün yürütülmeye ve hafızaya yazılmaya izinli olması gerekir. Bundan ötürü birçok virüs kendilerini geçerli programların yürütülebilir dosyalarına tuttururlar. Eğer bir kullanıcı virüs bulaşmış programı başlatmaya kalkarsa , ilk olarak virüsün kodu çalıştırılır. Virüsler yürütüldüklerinde gösterdikleri davranışlara göre iki çeşide ayrılırlar. Yerleşik olmayan virüsler hemen tutunacakları başka konaklar ararlar, bu hedeflere bulaşır ve nihayetinde bulaştıkları programa kontrolü bırakırlar. Yerleşik virüsler yürütülmeye başladıklarında konak aramazlar . Bunun yerine yürütümle birlikte kendilerini hafızaya yükler ve kontrolü konak programa bırakırlar. Bu virüsler arka planda etkin kalarak, virüs bulaşmış program dosyalarına erişen her programın dosyalarına ya da işletim sisteminin kendisine bulaşırlar.


Yerleşik olmayan virüsler

Yerleşik olmayan virüslerin keşfedici modül ile çoğaltıcı modülden oluştukları düşünülebilir. Keşfedici modül virüsün bulaşması için kullanılacak yeni dosyalar aramakla yükümlüdür. Keşfedici modülün karşılaştığı her yürütülebilir dosyaya çoğaltıcı modül çağrılmak suretiyle virüs bulaştırılır.
Basit virüsler için çoğaltıcının görevleri şunlardır:
1. Yeni bir dosya aç
2.Dosyaya önceden virüs bulaştırılıp bulaştırılmadığını kontrol et (eğer bulaştırlımış ise keşfedici modüle geri dön)
3.Virüs kodunu yürütülebilir dosyaya tuttur.
4.Yürütülebilir dosyanın başlangıç noktasını kaydet.
5.Yürütülebilir dosyanın başlangıç noktasını yeni eklenen virus kodunun başlatma alanına yönlendir.
6. Eski başlatma alanını virüs yürütülür yürütülmez o alana yayılacak şekilde virüse kaydet.
7. Yürütülebilir dosyadaki değişiklikleri kaydet.
8. Virüs bulaşmış dosyayı kaydet.
9. Çoğaltıcı modülün virüs bulaştıracaği dosyalar bulabilmesi için keşfedici modüle geri dön .
Yerleşik virüsler

Yerleşik virüsler yerleşik olmayan virüslerdeki muadiline benzer bir çoğaltıcı modül içerirler. Ancak yerleşik virüslerde çoğaltıcı modülü çağıran keşfedici modül bulunmamaktadır. Onun yerine, virüs yürütüldüğü vakit çoğaltıcı modül hafızaya yüklenir ve böylece işletim sistemi belirli tip bir görevi her seferinde uygularken çoğaltıcı modülün de yürütülmesi sağlanır. Örneğin işletim sistemi bir dosyayı her seferinde yürütürken çoğaltıcı modül çağrılabilir. Bu durumda virüs bilgisayarda yürütülmekte olan tüm uygun programlara bulaşabilir.
Yerleşik virüsler, bazen hızlı bulaşıcılar ve yavaş bulaşıcılar olmak üzere alt kategorileri ayrılabilirler. Hızlı bulaşıcılar olabildiğince çok dosyayı infekte etmeye çalışırlar. Örneğin, hızlı bulaşıcı ulaşılan her potansiyel konak dosyasına virüs bulaştırabilir. Bu durum antivirüs programları için özel bir problem oluşturmaktadır, çünkü virüs tarayıcısı sistem genelinde tarama yaptığında sistemdeki tüm potansiyel konak dosyalarına erişecektir. Eğer virüs tarayıcısı sistem hafızasında virüsün bulunduğunu tespit edemez ise virüs, virüs tarayıcısını arkadan takip ederek tarama için erişilen tüm dosyalara bulaşacaktır . Hızlı bulaşıcılar, sisteme yüksek hızda yayılmalarına bel bağlarlar. Bu metodun sakıncası virüsün birçok dosyaya bulaşması ve kendisinin tespitini bir anlamda kolaylaştırmasıdır. Çünkü sistem hafızasını işgal eden virüsler giderek makineyi yavaşlatacak ve şüphe uyandıran eylemler gerçekleştirerek antiviruüs yazılımları tarafından fark edileleceklerdir. Yavaş bulaşıcılar ise konak dosyalarını nadiren infekte edecek şekilde tasarlanmışlardır. Örneğin, bazı yavaş bulaşıcılar sadece kendilerini kopyaladıklarında dosyalara tutunurlar. Yavaş bulaşıcılar aktivitelerini sınırlayarak tespit edilmekten sakınmaya çalışırlar. Bilgisayarı fark edilebilir şekilde yavaşlatmaları olası değildir ve şüphe uyandıran davranışları tespit eden antivirüs yazılımlarını tetiklememek için ellerinden geleni ardlarına koymazlar. Yavaş bulaşma ile tüm sisteme yayılma yaklaşımı bu tür viruslerin amaçlarına ulaşmalarına imkan vermemiştir.
Virüs Nedir?

--------------------------------------------------------------------------------

Konak tipleri

Virüsler çeşitli tipte konakları hedef alırlar. Bu kapsamlı olmayan bir listedir;
Binary yürütülebilir dosyalar (COM dosyaları ve MSDOS'ta EXE dosyları, Microsoft Windowstaki taşınabilir yürütülebilir dosyalar ve Linux'taki ELF dosyaları.)
Disketlerin ve sabit disklerin hacim önyükleme kayıtları
Sabit diskin Ana Önyükleme Kaydı
Genel amaçlı betik dilleri ( MS-DOS ve Microsoft Windowstaki toplu iş dosyaları , VBScript dosyaları, Unix tabanlı işletim sistemlerindeki kabuk betik dosyaları)
Uygulamaya yönelik betik dilleri (örneğin Tulix betik dilleri )
Makro içeren belgeler (Microsoft Word belgeleri, Microsoft Excel elektronik çizelgeleri, AmiPro belgeleri, ve Microsoft Access veritabanı dosyaları)
Tespitten korunma yöntemleri

Kullanıcılar tarafından tespit edilmeyi güçleştirmek adına virüsler bazı aldatmacalar kullanmaktadır. Özellikle MS-DOS platformundaki bazı eski virüsler, konak dosyaya bulaşıp içeriği değiştirmelerine rağmen, son değiştirme tarihinin özellikle değişmeden kalmasını sağlarlar. Ancak bu yaklaşım ile antivirüs yazılımlarını aldatamazlar.
Bazı virüsler, ulaştıkları dosyaların büyüklüklerini değiştirmeden ve dosyaya zarar vermeden bulaşırlar. Bunu yürütülebilir dosyadaki kullanılmayan alanların üzerine yazarak gerçekleştirirler. Bu türden virüsler boşluk virüsleri olarak adlandırılırlar . Örneğin bir zamanlar büyük tahribata neden olmuş Chernobyl virüsü taşınabilir yürütülebilir dosyaları etkiler çünkü bu tür dosyalarda çok sayıda boşluk bulunmaktadır. 1 KB boyutundaki virüs dosyalara bulaştığında dosya büyüklükleri değişmeyecektir.
Bir kısım virüsler antivirüs programları kendilerini tespit etmeden evvel bazı antivirüs program görevlerini sonlandırarak tespiti engellemeye çalışırlar.
Bilgisayarlar ve işletim sistemleri gelişip karmaşıklaştıkca eski tip saklanma yöntemlerinin güncellenmeleri yada yenileriyle değiştirilmeleri gerektiği açıktır.


Olta dosyalarından ve diğer istenmeyen konaklardan sakınma

konak programına bulaşmak iyi bir fikir değildir. Örneğin bazı antivirüs programları bütünlük kontrolu yaparak kendi kodlarını incelerler. Dolayısıyla bu türden programlara tutunmak virüsün açığa çıkmasına neden olacaktır. Bundan ötürü bazı virüsler, antivirüs programlarının parçaları oldukları bilinen bir kısım programlara tutunmayacak şekilde tasarlanırlar . Virüslerin sakındıkları bir başka konak türü ise olta (bait) dosyalarıdır. Bir virüs yayılıma devam edebilmek için mutlaka bir konağa tutunmalıdır. Bazı durumlarda Olta dosyaları, antivirüs programaları yada antivirüs uzmanları tarafından virüsün bulaşmasına yönelik özel olarak hazırlanan dosyalardır. Bu dosyaların hepsi de virüsleri tespit etmeye yönelik olup çeşitli amaçlar için üretilmektedirler;
Antivirüs uzmanları olta dosyalarını virüs numunesi elde etmek için kullanırlar . Bir virüsü küçük olta dosyalarında saklamak ve incelemek, sistemdeki büyük programların dosyalarına bulaşmış virüsü incelemeye göre daha pratik olduğundan uzmanlar olta dosyalarını kullanırlar.
Antivirüs uzmanları olta dosyalarını virüs davranışlarını incelemekte ve olası tespit yöntemlerini değerlendirmekte kullanırlar. Bu , özellikle virüsün çokşekilli olduğu durumlarda çok işe yaramaktadır. Bu durumda virüsün hazırlanan çok sayıda olta dosyasına bulaşması amaçlanır. Virüs bulaşmış tüm olta dosyaları, bir virüs tarayıcısının tüm virüs versiyonlarını tespit edip edemediğini değerlendirmede kullanılabilir.
Bazı antivirüs yazılımları da düzenli erişilen olta dosyalarını kullanmaktadır. Bu olta dosyalarında değişiklik olduğunda antivirüs yazılımı kullanıcıyı , sistemde etkin bir virüs bulunabileceği konusunda uyarır.
Olta dosyaları, virüsleri tespit etmekte ya da tespit etmeyi kolaylaştırmakta kullanıldıklarından , bir virüs bu türden dosyalara bulaşmayarak kendine fayda sağlayabilir. Virüs bunu anlamsız komutlar içeren küçük program dosyaları gibi, şüpheli görünen programlardan uzak durarak gerçekleştirir.
Virüsler için oltalanmadan sakınmanın bir diğer yolu da seyrek bulaşmadır. Bazen seyrek bulaştırıcılar , diğer şartlar altında tutunmaya uygun bir aday olabilecek konak dosyasına tutunmazlar. Örneğin bir virüs herhangi bir konak dosyasına bulaşıp bulaşmamaya rastgele bir şekilde karar verebilir yada konak dosyalarına haftanın belirli günlerinde bulaşmayı tercih edebilir.


Kaçaklık

Bazı virüsler , antivirüslerin işletim sistemine aktardığı bazı istekleri durdurarak antivirüs yazılımını kandırmaya çalışırlar. Bir virüs, antivirüs yazılımının işletim sistemine ilettiği dosyayı okuma isteğinin doğru hedefe ulaşmasını engelleyebilir ve hatta isteği kendine yönlendirmek suretiyle antivirüsten saklanmayı başarabilir. Virüs, daha sonra aynı dosyanın temiz bir versiyonunu antivirüse sunarak dosyanın temiz gibiymiş görünmesini sağlar. Modern antivirüs yazılımları virüslerin bu türden gizlenme tekniklerine karşı koymaya çalışmaktadır. Kaçaklığı engellemenin tek yolu sistemi temiz olduğu bilinen bir ortamdan önyüklemektir.


Şekil değiştirmeler

Birçok antivirüs yazılımı, sıradan programların dosyalarını virüs imzalarını kontrol ederek taramakta ve muhtemel virüsleri bulmaya çalışmaktadır. Bir virüs imzası belirli tip virüsü yada virüs ailesini belirten özel byte numunesidir. Eğer virüs tarayıcısı incelenen dosyalar içinde böyle bir numune ile karşılaşır ise kulanıcıyı virüs hakkında bilgilendirir. Kullanıcı bu durumda dosyayı silebilir yada virüsten arındırabilir. Bazı virüsler, virüs imzaları ile tespit edilmeyi güçleştirecek yada imkansız hale getirecek teknikler kullanır. Bu türden virüsler her bulaşım esnasında kodlarını değiştirmektedir.Dolayısıyla her konak virüsün farklı bir versiyonunu bünyesinde bulundurmaktadır.


Basit şekil değiştirmeler

Geçmişte virüsler kendilerini basit şekillerde değiştirebiliyorlardı. Örneğin virüsler, kaynak kodlarında yer alan ve görevleri benzer altprogram ünitelerini değiş tokuş etmekteydi. 2+2 yapısındaki bir virüs takas sonunda 1+3 forumuna dönerken işlevinde herhangi bir değişiklik olmuyordu. Günümüzde bu durum gelişkin virüs tarayıcılar için bir problem oluşturmuyor.


Değişken anahtarlar ile şifreleme

Daha gelişkin bir yöntem ise virüsü basit şifreleme yöntemleri ile saklamaktı. Bu durumda virüs, ufak bir şifre çözücü modül ile virüs kodunun şifrelenmiş bir kopyasından oluşmaktaydı. Her dosya bulaşmasında virüs faklı bir anahtar ile şifreleniyor olsa da virüsün sürekli sabit kalacak tek bölümü, virüsün son bölümüne iliştirilen çözücü modül olacaktır. Bu durumda virüs tarayıcı virüs imzalarını kullanarak virüsü tespit edemeyecektir, ama sabit olan çözücü bölüm tespit edilerek virüsü dolaylı yollar ile bulmanın imkanı vardır.
Genel olarak virüslerin uyguladıkları çözücü teknikleri basitti ve büyük çoğunlukla her byte'ı ana virüs dosyasında saklanan rastgele hale getirilmiş anahtar ve Xor takısı ile birleştirmek suretiyle elde ediliyordu. Şifreleme ve çözme düzenlerinin aynı olmasından ötürü Xor uygulmalarının kullanılması virüse ek avantaj sağlıyordu. (a XOR b = c, c XOR b = a.)


Çokşekilli Kod

Çokşekilli kodlar, virüs tarayıcılara yönelik ciddi tehdit arz eden ilk teknikti. Şifrelenmiş virüslere benzer şekilde çokşekilli virüsler de dosyalara şifrelenmiş kopyaları ile bulaşmakta idi. Bununla birlikte şifre çözücü modül de her dosya bulaşmasında değişmekteydi. Dolayısıyla iyi yazılmış çokşekilli bir virüs her bulaşmada sabit kalacak hiçbir parçaya sahip değildi ve bu da virüs imzalarını kullanarak virüsü tespit etmeyi imkansız hale getiriyordu. Antivirüs yazılımları virüsü , öykünücü (emulator) vasıtasıyla çözerek yada şifrelenmiş virüs gövdesinin istatistiki model analizini yaparak tespit edebiliyorlardı. Çokşekilli koda sahip olabilmek için virüs, şifrelenmiş gövdesi içerisinde çokşekilli motora (değiştirme motoru yada değişim motoru) sahip olmalıdır.
Bazı virüsler çokşekilli kodları virüsün değişim hızını arttırmakta kullanmaktalar. Örneğin bir virüs zaman içinde yavaş biçimde değişim gösterecek şekilde programlanabilir yada başka virüs kopyaları bulaşmış dosyalara tutunmaktan kendini alıkoyabilir. Bu türden yavaş çokşekilli viruslerin üstünlüğü, antivirüs uzmanlarının bu türden virüslere ait temsil numulerini elde etmekte zorlanmalarıdır. Çünkü belirli bir zaman sürecinde olta dosyalarına sadece benzer yada aynı tip virüs versiyonları bulaşacaktır. Bu durum açıkça gösteriyor ki bu türden viruslerin virüs tarayıcıları ile tespiti güvenilir değildir ve sonuç olarak virüsün bazı örneklerinin tespit edilmekten kaçabildiği açıkça belli olmaktadır.


Başkalaşım Kodu

Öykünücüler (emulatorler) vasıtasıyla tespit edilmekten kurtulabilmek için her yeni yürütülebilir dosyaya bulaşmadan önce kendilerini tamamiyle yeniden yazan virüslerdir. Başkalaşım geçirebilmeleri için bu viruslerin başkalaşım motoru kullanmaları gerekir. Bir başkalaşım motoru genelde çok büyüktür ve karmaşıktır . Örneğin W32/Simile 14000 satır çevirici dili içerir ve %90'ı başkalaşım motoruna aittir...

black rose
17-07-2008, 19:33   |  #3  
black rose avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 0
880 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

Antivirüs yazılımları ve diğer önleyici tedbirler

Antivirüs yazılımlarının virüsleri tespit etmekte kullandığı iki metod bulunmaktadır. İlki ve en yaygın kullanılanı, virüs imza tanımlarını kullanmaktır. Bu yöntemin mahzuru , kullanıcının virüs imza listelerinin sadece tespit edilmiş virüslere ait imzaları içermesinden ötürü yeni türeyen tehditlere karşı savunmasız kalmasıdır. İkinci method ise virüslerin genel davranışlarına odaklanarak tespiti gerçekleştiren buluşsal algoritmaları kullanmaktır. Bu method sayesinde antivirüs şirketlerinin henüz tespit edemedikleri virüslerin sisteminizde var olduklarını bulabilirsiniz.
Birçok kullanıcı virüslere ait yürütülebilir dosyalar bilgisayara indirilmesi durumunda tespiti gerçekleştirecek ve dosyaları sistemden temizleyebilecek antivirüs programları kullanmaktadır. Antivirüs yazılımları bilgisayar hafızasını (RAM ve önyükleme sektörleri) , sabit ya da çıkarılabilir sürücülerin (sabit diskler ve disketler) dosyalarını inceleyerek ve virüs imzaları veritabanı ile karşılaştırarak çalışırlar. Bazı antivirüs yazılımları aynı usul ile dosyalar açılırken hatta email alıp gönderirken tarama yapabilmektedir. Bu uygulamaya on access tarama denilmektedir. Antivirüs yazılımı, konak programların virüsleri yayma zaafiyetlerini (açıklarını) düzeltmezler. Bunu gerçekleştirecek birkaç adım atıldı ancak bu türden antivirüs çözümlerini benimsemek konak yazılımların garantilerini geçersiz kılabilmektedir. Dolayısıyla kullanıcılar sık sık güncelleme yaparak yazılımlara ait güvenlik açıklarını yamamalıdır.
, kurulumu gerçekleştirir ise , Linux yedeği virüslerinden korunmuş olacaktır. Benzer şekilde, MS Windows Kişi, ek olarak önemli verilerin ve hatta işletim sisteminin düzenli yedeklerini alarak virüslerin neden olacakları muhtemel zararları engelleyebilir. Yedeklerin sisteme sabit bağlanmamış, sadece okunabilir yada erişim engelli (faklı dosya sistemleri ile formatlanmış) ortamlarda saklanması ise çok önemlidir. Bu yol ile , eğer virüs nedeniyle veri kaybı yaşanırsa en son alınmış yedek kullanılarak zarar telafi edilir. Aynı şekilde bir çalışan disk (livecd) işletim sistemi, asıl işletim sistemi kullanılamaz hale geldiğinde bilgisayarı açmak için kullanılabilir. Bir başka yöntem ise farklı işletim sistemlerine ait yedekleri farklı dosya sistemleri üzerinde saklamak. Bir virüsün tüm dosya sistemlerini etkilemesi pek mümkün değildir. Bu nedenle alınan veri yedeklerinin farklı tipte dosya sistemlerine aktarılması uygundur. Örneğin LinuxNTFS bölümlerine yazabilmek için özel yazılım kullanmak durumundadır, dolayısyla kişi bu türde yazılımı kurmaz ve yedeğin aktarılacağı NTFS bölümünü yaratmak amacıyla MS WindowsExt3 dosya sistemini okuyamaz ve dolayısıyla Linux kurulumu ile elde edilecek bir Ext3 bölümüne yedeklerin aktarılması yedeği tehditlerden uzak kılacaktır


SaGoPa KaJMeR.
17-07-2008, 19:39   |  #4  
SaGoPa KaJMeR. avatarı
Yıllanmış Üye
Teşekkür Sayısı: 0
2,547 mesaj
Kayıt Tarihi:Kayıt: May 2008

Paylaşımın İcin teşekkürler.. Bu arada Hoşgeldin... :)   

bektash
17-07-2008, 20:00   |  #5  
Yıllanmış Üye
Teşekkür Sayısı: 1
1,997 mesaj
Kayıt Tarihi:Kayıt: May 2008

Bakın Arkadaşlar;

Paylaşmak gerçekten çok güzel birşey, ancak Lütfen Siteyi biraz araştıralım LUTFEN !!! Var olan bir mesaj neden 2. defa yazılsınki ? Siteye birşey yazarken yeni bir konu açarken nelere dikkat edilmesi gerektiği forum kurallarında açıkça belirtilmiş. Biraz daha dikkat arkadaşlar Her bulduğumuzu Copy Paste yapmak kolay, önemli olan Araştırmak, Okumak,

Sayfayı Ziyaret Ediniz.

waybe
17-07-2008, 20:03   |  #6  
Yıllanmış Üye
Teşekkür Sayısı: 0
2,376 mesaj
Kayıt Tarihi:Kayıt: Nis 2008

paylaşım için tşkrler

black rose
17-07-2008, 21:00   |  #7  
black rose avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 0
880 mesaj
Kayıt Tarihi:Kayıt: Tem 2008
byburak2008
Paylaşımın İcin teşekkürler.. Bu arada Hoşgeldin... :)   
h.b.

SaGoPa KaJMeR.
17-07-2008, 21:01   |  #8  
SaGoPa KaJMeR. avatarı
Yıllanmış Üye
Teşekkür Sayısı: 0
2,547 mesaj
Kayıt Tarihi:Kayıt: May 2008
bektash
Bakın Arkadaşlar;

Paylaşmak gerçekten çok güzel birşey, ancak Lütfen Siteyi biraz araştıralım LUTFEN !!! Var olan bir mesaj neden 2. defa yazılsınki ? Siteye birşey yazarken yeni bir konu açarken nelere dikkat edilmesi gerektiği forum kurallarında açıkça belirtilmiş. Biraz daha dikkat arkadaşlar Her bulduğumuzu Copy Paste yapmak kolay, önemli olan Araştırmak, Okumak,

Sayfayı Ziyaret Ediniz.

Kimeseye Böyle Davranmaya Hakkın yok. Bu Yeni Üye Dogal olarak Bu Konudanda Haberi Yok. Bildigi Begendigi Bilgiyi Bizimle Paylaşmak İstemiş Zamanla Düzelicek. Lütfen biraz Sakin ve Saygılı Olalım...   

black rose
17-07-2008, 21:10   |  #9  
black rose avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 0
880 mesaj
Kayıt Tarihi:Kayıt: Tem 2008
bektash
Bakın Arkadaşlar;

Paylaşmak gerçekten çok güzel birşey, ancak Lütfen Siteyi biraz araştıralım LUTFEN !!! Var olan bir mesaj neden 2. defa yazılsınki ? Siteye birşey yazarken yeni bir konu açarken nelere dikkat edilmesi gerektiği forum kurallarında açıkça belirtilmiş. Biraz daha dikkat arkadaşlar Her bulduğumuzu Copy Paste yapmak kolay, önemli olan Araştırmak, Okumak,

Sayfayı Ziyaret Ediniz.

yeniyim ya acemiliğime sayarsınız umarım AğlıyorAğlıyor

black rose
17-07-2008, 21:11   |  #10  
black rose avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 0
880 mesaj
Kayıt Tarihi:Kayıt: Tem 2008
byburak2008
Kimeseye Böyle Davranmaya Hakkın yok. Bu Yeni Üye Dogal olarak Bu Konudanda Haberi Yok. Bildigi Begendigi Bilgiyi Bizimle Paylaşmak İstemiş Zamanla Düzelicek. Lütfen biraz Sakin ve Saygılı Olalım...   
Alkış        Beğendim        site hakkında fazla bilgim olmadıgından kaynaklanıyo
daha dün 1 bugüb 2

MatematikCanavarı
18-07-2008, 00:20   |  #11  
Yıllanmış Üye
Teşekkür Sayısı: 0
320 mesaj
Kayıt Tarihi:Kayıt: May 2008
black rose
yeniyim ya acemiliğime sayarsınız umarım AğlıyorAğlıyor
Sana kızan yok.Bilgiyi bizimle paylaştın,Sağol.
Ama eğer yazı sana ait değilse alıntı olduğunu belirtmen ve alıntı yaptığın kaynağı göstermen etik bir davranış olur

Son Düzenleme: MatematikCanavarı ~ 18 Temmuz 2008 00:22
omer_6134
18-07-2008, 00:43   |  #12  
Yıllanmış Üye
Teşekkür Sayısı: 6
2,788 mesaj
Kayıt Tarihi:Kayıt: Nis 2007
black rose
........................
........................
........................

Sınıflandırma


Virüs tipleri birçok alt bölümde incelenebilir. Ana sınıflama bölümleri şunlardır:
Dosya virüsleri
Önyükleme sektörü virüsleri
Çokparçalı virüsler
Makro virüsler
Ağ virüsleri
Email virüsleri
Eşlik virüsleri
Yazılım bombaları ve Saatli bombalar
Cross-site scripting virüsleri
Sentineller
WB Microworm
Görünmez Halo virüsleri
Dosya virüsleri

........................
........................
........................

Anlaşıldı sanırım :)

KIZILSUNGUR
18-07-2008, 07:32   |  #13  
Yıllanmış Üye
Teşekkür Sayısı: 0
179 mesaj
Kayıt Tarihi:Kayıt: Ara 2007

Kaynak olarak doctus belirtilmiş zaten. Yine de daha kısa bir virüs araştırması yapmak isterseniz http://kizilsungurdefender.jimdo.com/koetuecuel_yazlm_nedir.php sitesini ziyaret edebilirsiniz.

MatematikCanavarı
18-07-2008, 12:02   |  #14  
Yıllanmış Üye
Teşekkür Sayısı: 0
320 mesaj
Kayıt Tarihi:Kayıt: May 2008
KIZILSUNGUR
Kaynak olarak doctus belirtilmiş zaten. Yine de daha kısa bir virüs araştırması yapmak isterseniz http://kizilsungurdefender.jimdo.com/koetuecuel_yazlm_nedir.php sitesini ziyaret edebilirsiniz.
Pardon fark etmemişim

integral
18-07-2008, 14:49   |  #15  
Üye
Teşekkür Sayısı: 0
94 mesaj
Kayıt Tarihi:Kayıt: Tem 2008
KIZILSUNGUR
Kaynak olarak doctus belirtilmiş zaten. Yine de daha kısa bir virüs araştırması yapmak isterseniz http://kizilsungurdefender.jimdo.com/koetuecuel_yazlm_nedir.php sitesini ziyaret edebilirsiniz.
bu siteyi daha önce farketmemiştim.Beğendim

SAİNT
18-07-2008, 18:23   |  #16  
SAİNT avatarı
Yıllanmış Üye
Teşekkür Sayısı: 3
3,595 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

güzel sağolasın yarısından fazlasını okudum ama daha fazla devam edemedim gözlerim heryerde virüs görmeye başladı sanırım buda halisilasyon virüsü :))

07BENER07
18-07-2008, 20:24   |  #17  
Yıllanmış Üye
Teşekkür Sayısı: 0
1,699 mesaj
Kayıt Tarihi:Kayıt: May 2008

paylaşım için teşekkürler AlkışAlkış

cyalcin
24-07-2008, 14:12   |  #18  
Taze Üye
Teşekkür Sayısı: 0
3 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

Hakim olmadığım bir konu olduğu için sorum komik bulunabilir. Bir virüs pc ye bulaştığında ve değişiklikler yaptı. Durumu farkedip virüs programı yükledik ve virüsü temizledik diyelim. Peki virüsün değiştirdiği dll ya da diğer dosyaları nasıl bulup temizleyeceğiz, bunu sağlayan bir program var mı varsa o dosyaları sildiğimizde programlarımız çalışmaz hale gelmez mi? cy

black rose
24-07-2008, 22:18   |  #19  
black rose avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 0
880 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

anti virüs programı ile tarama yaptığında virüsün yerini virüsün türünü vs. şeyleri yazıyor zaten
ordan bakabilirsin mesela kıs ile yada esetle tarayabilirsin.