Virüsler ve Güvenlik Kamuran YILMAZ Çanakkale Onsekiz Mart Üniversitesi Mühendislik-Mimarl k Fakültesi Bilgisayar Mühendisli i 2. S n f Ö rencisi
AÇI KLAMA Bu seminerde bilgilendirme amac ile verilen tüm bilgilerin, aç klamalar n, ve örneklerin kötü amaçlar için kullan lmas ndan hiç bir ekilde sorumluluk kabul edilemez. Bu aç klamay okuyan ve semineri dinleyen herkes bu yükümlülü ü kabul etmi say l r. 2
Virüsler ve Güvenlik Virüs Nedir? Hangi Dillerde Yaz l r? Virüslerin Kulland Teknikler Virüslerin Zararlar Virüs Türleri Truva Atlar Solucanlar Anti-Virüs Çal ma Mant 3
Virüs nedir? Belle e yerle en ve çal t r labilen programlara kendini ekleyen, yerle ti i programlar n yap s n de i tiren ve kendi kendini ço altabilen kötü amaçl programlara virüs denir. Virüs genellikle assembler (makine dili) programlama dili ile haz rlanm kapasiteleri birkaç byte ile 3 KB (kilobyte) aras nda de i en programlard r. Bilgisayar virüsleri birçok aç dan insan vücuduna zarar veren biyolojik virüslere benzemektedir 4
Biyoloj ik Virüsler Biyolojik virüsler tam olarak ba ms z ya ayan bir varl k de ildir. Koruyucu bir k l f n içine saklanm DNA parças d r. 5
Bir Yaz l m n Virüs Olabilmesi çin Çal t r labilir olmal (aktifle ebilme) Kendi kendini kopyalayabilmeli(ço alma, yay lma) Di er program ve komutlar kendi iste i do rultusunda yönetebilmeli Kendini yenileyebilme 6Kendini gizleyebilme
Hangi Dillerde Yaz l r Assembly/Makine Dili : DOS ve Windows i letim sisteminde do rudan çal t r labilir virüsler için C/C++ : Bilgisayara tam anlam yla hükmetmek için Script Dilleri : * VBS(Visual Basic Script) : e-mail ile bula an virüslerde tercih edilir. * Java script/js Dili : nternet tabanl virüs yazanlar taraf ndan tercih edilir. * ActiveX : nternet tabanl virüs yazanlar taraf ndan tercih edilir. Makro Dilleri : Microsoft Word, Excel gibi Office uygulamalar na yönelik yaz lan virüsler o uygulaman n kendi makro dilinde veya VBA(Visual Basic for Application) türü dillerde yaz lmaktad r 7
Yerle me V RÜS Orijinal Kod Yerine Konur.... 8
Kulland Teknikler Overwrite(üzerine yazma): Virüs kendini kurban dosyas n n ba na yazar. Dosyan n virüsün uzunlu u kadarki ilk k sm n n silinmi olmas anlam na gelen bu i lemde geri dönülemez bir ekilde zarar verilmi olur. Stealth(sakl ): Bula madan sonra dosyan n boyutundaki de i ikli i gizlemeye yöneliktir. letim sistemi dosya bilgilerini okudu unda dosyan n boyu orijinal boyu olarak gösterilir. Ayn ekilde boot virüsleri de boot sektörü okunmak istendi inde as l boot sektörün kopyas na yönlendirme yaparlar.. Encrypt( ( ifreli): Tespit edilmeyi ve temizlemeyi zorla t rmak için virüsün kodu mant ksal veya ba ka bir yöntemle ifrelenir. Polymorphic( ( ekil de i tiren): Virüs her bula mada içeri ini de i tirerek imza(parmak izi) temelli virüs tespit yöntemlerini atlatmay hedefler. leri ve pratikte uygulanmas zor bir yöntemdir. Retro: Virüs do rudan anti-virüse program na sald r r. Ya çal amaz hale getirir ya da virüsü yakalamayacak hale getirebilirler. 9
Virüsün Ya am Döngüsü Faaliyete Geçme Ke if Ço alma Özümseme Olu ma Yok Etme 10
Virüslerin Zararlar Disketleri formatlayabilir, kopyalayabilir. Dosyalar n adlar n silip veya de i tirebilir. Ba ka bilgisayarlar n belle ine dosyalar yükler veya belleklerinden dosyalar silebilir. Program n i leyi inde aksakl klar getirece i gibi bilgisayar n çal mas n engelleyerek veya bozarak zarar verebilirler.örne in biosun çal mas n durdurup bilgisayar n aç lmas n engelleyebilirler. Bilgisayarda yava lama, kilitlenme ve dosyalar n bozulmas na neden olabilirler. Hard diskin formatlanmas na bioslar n silinmesine neden olurlar Zaman kayb ve ekonomik zarara sebep olurlar. 11
Virüs Türleri Boot Virüsleri Dosya/program Virüsleri Makro Virüsler Script Virüsleri 12
Boot Virüsleri Bula ma yeri ve çal ma ekli aç s ndan biraz daha farkl bir türdür.disketlerin boot sektörüne, sabit disklerin ana boot sektörüne ya da her disk bölümünün boot sektörüne bula abilirler. Boot virüslerinin en önemli avantajlar i letim sisteminden önce aktive olmalar d r. Bu avantajdan yararlanarak bilgisayar yönetiminde oldukça güçlü bir pozisyona geçebilirler. 13
Boot Virüsleri Virüsten etkilenmi aç l süreci BIOS, Power On Self Test (POST) yapar. BIOS, CMOS belle ine bilgi yerle tirir ve okur. BIOS, Ana Aç l Kayd (sabit disk) ya da Aç l Kayd (disket) için diskin ilk sektörünü inceler. BIOS, denetimi aç l sektörü virüsüne transfer eder. Virüs faaliyete geçer 14
Boot Virüsleri Sabit diske üç de i ik yoldan bula rlar 1) Virüs ana aç l kayd n n üzerine yazar. 2) Virüs aç l sektörünün kodunun üzerine yazar. 3) Virüs, normal aç l sektörü kodu yerine kendi kodunu göstermek için, Disk Bölümü Tablosu nda bulunan aç l sektörünün adresini de i tirir. TEM ZLEME Anti-virüsler aç l sektörünü ya da Ana Aç l Kayd kodunu tarayarak bu virüsleri tespit edebilirler. Aç l sektörünü ya da Ana Aç l Kayd nda olmayacak metin katarlar n n bulunmas virüs oldu unu gösterir. Normalden daha büyük boyutta Ana Aç l Kayd 15 varl virüsün kodunu kopyalad n gösterir.
Dosya Virüsleri Dosya virüsleri çal t r labilir programlara (.exe,.com) bula rlar ve bunlardan di er dosyalara kendilerine kopyalarlar. Böylelikle de bula t klar dosyan n uzunlu unu art r rlar; ancak dosya uzunlu unu art rmadan da bula an virüsler mevcut. Virüs eklentisi genellikle dosyan n sonunda ve nadiren de ortas nda olur. Virüs yakalanmamak için çe itli yöntemler kullan r. (stealth tekni i, polymorphic tekni i ) Virüs haf zada kalabilir (resident virüs) ya da do rudan çal t r ld nda (direct action virüs) etki gösterebilir. Ya da her iki özelli i de kullanabilir. 16
Dosya Virüsleri Nas l çal rlar? Kullan c uygulamay ba lat r. Virüs kodu sistem bele ine yüklenir. Virüs, kodu ba ka dosyalara enjekte eder. Virüs yükünü bo alt r(e er yük program ilk ba lat ld bo alt lmak üzere tasarlanm sa). nda Ev sahibi program kodu belle e yüklenir. Denetim ev sahibi programa geri döner. 17
Dosya Virüsleri Dosyaya bula an virüsleri tespit etmenin en kolay yolu dosyan n boyutuna bakmakt r. Dosya yede i ile kar la t r l pdosya boyutunda art -bir kaç bitgözleniyorsa virüs ihtimali yüksektir. Bir virüs taray c kullan larak da tespit edilir temizlenebilir. Fakat virüsün tasar m na ve kulland yöntemlere ba l olarak virüs tespit edilemeyebilir de. 18
Makro Virüsleri Makro virüsleri günümüzde en çok yay lan virüs çe ididir. Office programlar na bula rlar. Bunlar genelde MS Office in makro fonksiyonlar n kullan rlar ve Office dokümanlar n n al veri inde kurban n sistemine bula rlar. Doküman aç ld nda virüs çal r. Metni silebilir,yeniden adland rabilir, kendini ba ka belge ve ablonlara kopyalayabilir vb birçok i lem yapabilir. Makro dilini destekleyen Acrobat Reader ve Corel Drow gibi uygulamalara da bula abilirler. Genelde makro dili olan VBA(visual Basic for Application) ile yaz l rlar. 19
Makro Virüsleri Nas l Çal rlar? Belge aç l r(uygulama içinden) Belge makrolar yükler. Otomatik çal an makrolar ba lat l r. Virüs otomatik çal an bir makro gibi ba lar ve sistem belle ine yüklenir. Ev sahibi program kodu belle e yüklenir. Virüs yükünü bo alt r. 20
Script Virüsleri Daha çok internet tabanl uygulamalarda ortaya ç karlar. Visual Basic Script(VBS), Java Script(js), AktiveX vb script dilleri kullan l r.. VBS sistem kayd na (Registry) ve dosyalar eri ime olanak tan yor. En popüleri VBS virüsüdür. Script virüsleri,virüs bula m belgeler, web sayfalar, e- posta mesajlar, e-postalardaki ekler ve Internet Relay Chat oturumlar arac l yla yay l r. PC nin yava lamas, ekranda ola an d mesajlar, bilgimiz d nda gelen e-postalar virüs belirtileridir. Anti-virüs kullan l p virüs temizlenebilir. Virüs kodu dosyadan ç kar labilir ya da dosya sabit diskten silinebilir. 21
Truva Atlar Kendilerini kopyalayamayan bir tak m hilelerle bula maya çal an zararl programlard r. Çal t r labilir dosyalar arac l yla yay l rlar. Sistemde arka kap açabilirler. Tespit etmek için Anti- virüs ya da özel tasarlanm yard mc programlar kullan labilir. 22
Solucanlar(Worm s) Kendini bir makineden di erine kullan c dan ba ms z olarak kopyalayan bilgisayar programlar d r. E-posta mesajlar,internet sohbet kanallar vb.. yollarla yay l rlar. Sistem ya da a kaynaklar n t kad nda fark edilirler. 23
L NUX Virüsler Linux i letim sistemlerinde Sistemdeki virüsten etkilenebilecek a a daki dizinlerdeki çal t r labilir dosyalara noktalar gözetim alt nda tutmak. kendilerini eklemeye çal rlar A üzerindeki anla lamayan hareketleri iyi yorumlamak Virüslerin sisteme olas etkilerini Kagob de erlendirmek Virüsler Diesel ile ilgili literatürü iyi takip etmek Satyr Vit4096 Winter Winux Linux.Jac.8759 24
Anti- Virüs Çal m a Mant Yap s Kullan c arabirimi Tarama/temizleme motoru Virüs Tan mlar Veritaban Virüs Tespit Yöntemleri mza taramas yapmak(signature) Program n kodunun incelenmesi(heuristik arama) Çal an uygulamalar n aktivitesini gözlemek Dosya boyutunu kontrol etmek... 25
26
This document was created with Win2PDF available at http://www.daneprairie.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.