Çevrimdışı

VİRÜSLER
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Özellikleri - Çe?itleri - Anti-Virüs
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Bilgisayar Virüsü Nedir?
Virüsler, bilgisayarımızı çalı?tırdı?ımızda herhangi bir ?ekilde zarar veren küçük progr*****lardır ve bu progr*****lar sanılanın aksine bilgisayarda cok yer kaplamazlar. Bilgisayar virüslerinden bazıları sadece bula?tı?ı programı bozaca?ı gibi bilgisayarın ana kartı bozabilir. Örne?in; her 26 Nisan'da aktif hale gelen "CIH" di?er adıyla Çernobil virüsü bilgisayarın bios'unu silen bir virüstür. Bu virüs sadece harddiskteki dosyaları kullanılmaz hale getirebildi?i gibi bilgisayara da tekrar kullanılmayacak kadar zarar verebilir.
2000'li yıllarda yaygın hale gelen internet'ten e-posta yoluyla bilgisayarlara bula?an ve kullanıcı bilgisayarın outlook express denilen e-posta programı üzerinde yer alan adreslerine kendini yollayan virüslerde yaygınla?mı?tır.


Bilgisayar Virüslerinin Özellikleri;
".exe", ".com" gibi dosyalara bula?ırlar.
Virüsler kendini otomatik olarak kopyalar.
Bu programlar kullanıcı müdahalesine gerek kalmadan kendi kendine çalı?acak ?ekilde sabit diske kaydeder.
Virüsün bula?tı?ı program kendi kendine yeni virüsler üretir.
Virüsler programların özelliklerini de?i?tirirler.
Ço?u kez görüldü?ü kadarıyla virüsler bir programa sadece 1 kez bula?ırlar.
Virüsün bula?tı?ı program uzun süre normal çalı?ır.
Virüslerin bula?tıkları programlar önceden yaptı?ı ?eylerin yanında virüsün istedi?i ?eyleri de yapar.
Kullanıcı bilgisayarına ve sabit diskine zarar verirler.
Programlara bazı virüslere kar?ı ba?ı?ıklılık kazandırılabilinir.
Virüsler devamlarını sa?lamak için bazı önlemler alırlar. Bu önlemlerin ba?ında da Anti-Virüs Programları tarafından fark edilmemek için bilgisayar sisteminde gözükmemeye çalı?ırlar. Ço?u virüsün tekni?i iyi gizlenmektir. Bu yüzden virüs kodları çok kısa olur.Ayrıca virüs programları, kendilerini de?i?tirerek virüs arayan programlardan korunabilirler.

2000'li Yıllarda Yayılan Virüslerin Ortak Özellikleri;
Virüsler girdikleri sistemde göze çarpmamaya çalı?ırlar ve bu yüzden virüs yazarları kodları oldu?unca kısa tutmak isterler.
Virüsler bula?tıkları programlarda kendilerini belirlenen ?artlardan sonra gösterirler.
Virüsler kendilerini kendi kopyalrından korumak için bir i?aret ta?ır ve kendi türünden virüs olmayan dosyalara kopyalanırlar.

Bilgisayar Virüslerinin Çe?itleri;
*Açılı? "boot" sektörü virüsleri
*Çok amaçlı virüsler
*Genel amaçlı virüsler
*Komut i?leyici virüsler
*Makro virüsleri
*Kütük virüsleri

Açılı? "boot" sektörü virüsleri; Bu virüsler sabit disklerin açılı? sektörüne yerle?ir ve ancak bilgisayar açılınca etkinle?ir.

Çok amaçlı virüsler; Bir çok virüsün en güçlü özelliklerine sahip olan bir virüstür. Bir dosyadan ba?ka bir dosyaya bula?mak için çok çe?itli yol ve teknik bilirler.

Genel amaçlı virüsler; Kolayca farklı dosya türlerine bula?abilirler. Alt dosyalar yerine genel amaçlı sistem dosyalarına ve "boot" sektörüne yerle?irler.

Komut i?leyici virüsler; İ?letim sistemi dosyalarına bula?ırlar ve bu i?letim sitemi dosyalarına girdikten sonra kolayca yayılırlar. Bu virüsler Command.com dosyasını hedef alırlar.

Makro virüsleri; Bu virüsler aslında Word veya Excelde bazı i?leri otomatikle?tirmek için yapılmı?tır. Yapısı daha çok Visual Basic'e benzer ve i?te bu özelli?i farkeden hackerlar bu tür virüsleri olu?turmaya ba?lamı?lardır.

Kütük tipi virüsler; .com, .exe, .bat gibi i?letilebilir dosyalara bula?arak yayılırlar. Bu virüslerden bazıları bellekte yerle?ik olarak kaldı?ı gibi kalmayan tipleri de vardır. Bellekte yerle?en virüsler bula?tıkları dosyaların çalı?tırılması ile belle?e yerle?erek di?er program dosyalarına bula?ırlar.

MUZIR YAZILIMLARIN ÇE?İTLERİ

Bukalemun

Truva atlarının yakın akrabaları olan bukalemunlar, di?er alı?ılagelmi?, güvenilir programlar gibi davranmakla beraber, gerçek birtakım hile ve aldatmalar içerirler. Uygun bir ?ekilde programlandı?ında bukalemunlar, yasalarla belirlenmi? yazılımların simulasyonu olan demonstrasyon programları gibi...

Bir bukalemun, her defasında, çok kullanıcılı bir sistemde kullanıcı adları ve ?ifreleri için giri? iletilerini taklit edecek ?ekilde dahiyane bir biçimde programlanır. Bukalemun, sisteme giren bütün kullanıcıların adlarını ve ?ifrelerini gizli dosyaya kaydeder ve daha sonra sistemin bakım için geçici bir süre kapatılaca?ına ili?kin bir mesaj verir.Daha sonra bukalemunun yaratıcısı, kendi özel ?ifresi ile sisteme girer ve kaydedilen kullanıcı isimlerin ve ?ifrelerini alır. Ve daha sonra da sisteme kendi yasadı?ı amaçları için istedi?i gibi girer, çıkar. İlginç bir öykü de?il mi?

Bir bankacılık programını, her mü?teri-banka ili?kisinde ortadaki parayı yuvarlayarak bir kaç sent'lik bölümlerini gizli bir hesaba atacak ?ekilde taklit eden program, bukalemunların en klasik örne?idir. Sonuç yüzler, binler belki de milyonlarca dolardır.

Yazılım Bombaları ( Software Bombs )


?imdiye de?in üretilmesi en kolay ve popüler olarak görülen muzır yazılım, yazılım bombası ( software bomb ) olmu?tur. Yazılım bombaları yere çarpar çarpmaz patlar. Bu durumda ne bir uyarı ne de önceden bir belirti söz konusudur. Bu minimuma indirgenmi? reklamdır. Herhangi bir saklanma veya gizlenme ve do?al olarak kolonile?me yoktur. Yazılım bombaları adlarına yakı?ır bir ?ekilde çarpma anında patlar ve bütün verileri yok ederler.

Mantık Bombaları ( Logic Bombs )

Mantık bombaları, belirli çevresel de?i?kenlerin durumuna ba?lı olarak yıkıcı bilgisayar komutlarını yerine getiren programlardır. Örne?in bir mantık bombası, yaratıcısının maa? kayıtlarını izleyebilir ve yaratıcısının maa?ı belirli bir limitin altına dü?tü?ünde; maa? kaydını silmek veya yanlı? hesaplamak, sabit diski yeniden formatlamak gibi muzır i?ler yapacak biçimde programlanabilir.

Saatli Bombalar ( Time Bombs )

Saatli bombalar, nümerik veya zamana ba?lı çevresel de?i?kenlerin aldıkları duruma göre ko?ulsal olarak, zararlı bilgisayar komutlarını yerine getiren programlardır. Genelde mantık bombaları ile aynı yapıya sahiptirler. Belirli bir sayıda çalı?tırıldıktan sonra, belirli bir tarihte ( 1 Nisan’da veya ayın 13’ünün Cuma oldu?u günlerde ) veya günün belirli bir saatinde (örne?in tam gece yarısı ) patlayacak ?ekilde programlanabilirler.

Tav?anlar ( Rabbits )

Bilgisayar virüsleri`nin kuzeni olan tav?anlar, adlarına yakı?ır bir ?ekilde çok hızlı ürerler. Bellekte veya diskte yeteri kadar alan tükeninceye kadar kolonile?irler. Bir koloni yaratıldıktan sonra, bu bir yavru koloni üretir ve yavru koloni yeterince geli?ince yeni bir koloni daha do?urur ve bu döngü süregider. Burada amaç, özellikle çok kullanıcılı sistemlerin, ileti?im a? ortamlarında ana sistem bilgi i?leme gücünü yitirinceye kadar sistemin kaynaklarını kurutmaktır. Tav?anlar ve virüsler arasındaki en belirgin fark, tav?anların kullanıcı veri kütüklerinin sonuna eklenmemeleri, asalak özelliklere sahip olmamaları ve kendi kendilerine yetebilmeleridir.

Solucanlar ( Worms )

Çok yaygın olarak virüsler`le karı?tırılan solucanlar bir ileti?im a?ındaki bilgisayar sistemlerinde herhangi bir donanıma veya yazılıma zarar verme zorunlulu?u olmaksızın bilgisayardan bilgisayara dola?an programlardır. Yalnızca gerekti?inde bu gezilerini sürdürebilmek için ürerler.

Solucanlar, girdikleri ileti?im a?ı içinde çok gizli bir ?eklide gezinirler ve bu arada bilgi toplayarak (muhtemelen ?ifreler veya dokümanlar) gizemli mesajlar bırakırlar. Ço?u zaman ileti?im a?ındaki çalı?an sistem operatörlerine gözükmemek için geride bıraktıkları her artı?ı silerler.

Virüsler

Bilgisayar virüsler`i, muzır yazılım galerisinin en gözde parçalarıdır. Bütün güvenlik uzmanlarından ve antivirüs yazılım ?irketlerinden bu alanda en yüksek notu almı?lardır.

Bilgisayar virüsleri di?er programları, kendilerinin birer çalı?tırılabilir kopyalarını programa eklemek yoluyla de?i?tiren programlardır. Yaratılmaları kolay, belirlenmesi güç olan virüsler, kendi kopyalarını programlara ekleyerek, koloniler olu?turur ve sistemi kirletirler. Profesyonelce tasarlanmı? ve yaratılmı? olan virüsler dosyaların tarihini, zamanını, özelli?ini ve büyüklü?ünü de?i?tirmezler.

Eylemlerini sürdürebilmek ve bula?tıkları bir dosyaya bir daha bula?mamak için, ilk enfeksiyon sırasında virüsler dosyanın içine kodlu i?aretler (virus markers ) bırakırlar. İ?aretlenmemi? dosya bulamadıklarında sistemin bütünüyle dolduruldu?unu kabul ederler. Sistem i?levleri ve kullanıcılara ait verilerle oynamak i?te tam bu anda ba?lar.

Belirli bir süreden sonra virüsler açıktan açı?a zararlı eylemlerde bulunmaya ba?layabilirler. Ekranda ?a?ırtıcı ve esrarlı mesajları görüntüleyerek kullanıcı ile dalga geçerler veya normal olmayan sistem davranı?larına neden olurlar. Bazı virüsler sistem hatalarını maskeleyerek, kullanıcıya varolmayan donanım veya yazılım hataları iletirler. Di?er bazı virüsler ise, daha do?rudan bir yol izleyerek, ekranda zıplayan toplar veya gülümseyen suratlar görüntülenmesine neden olurlar.

Özellikle yaratıcı ve dahi virüsler, kirli i?lerini yerine getirdikten sonra bütün izleri silerek geride hiçbir kanıt bırakmazlar. Bir çok virüs ?ekli ise patlayarak sabit disk üzerindeki bütün verileri yok ederler.

Virüslerin Bula?ma Yöntemleri:

Geçmi?ten bu güne en yaygın ?ekilde virüs bula?ma yöntemleri sırası ile:


Disket, CD

E-posta

A? payla?ımı

Internet?ten indirilen programlar

olarak görünmektedir. Bunlar içinde günümüzde en yaygın olan, e-posta ve Internet?ten indirilen dosyalar üzerinden bula?ma yöntemleri üstünde biraz daha durmakta yarar var:

E-posta ile Virüs Bula?ması

E-posta ile virüs bula?ması, e-postaların çalı?tırılabilir eklentileri sayesinde olur. Virüsün aktif hale gelmesi için eklentileri açmamak her zaman bir koruma sa?lamamaktadır. Bazı e-posta okuyucu programlar belli formattaki eklentileri otomatik olarak çalı?tırmaktadır. Bu sayede virüs kullanıcıdan habersiz bilgisayara girip programın gere?i olan i?lemleri yapabilmektedir (örnek: Outlook / Outlook Express ? Bubbleboy). Gerekli i?letim sistemi güncellemeleri (Windows i?letim sistemi için [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] adresinden yararlanabilirsiniz) yapıldıktan sonra virüs bu tür açıklardan yararlanıp kullanıcıdan habersiz bula?ma ?ansını yitirmektedir. Bu habersiz bula?ma yapısı aslında e-posta ile virüs bula?ma konusunun sadece ufak bir bölümüdür. Esas kısmı kullanıcının sistem tarafından çalı?tırılabilir dosyaları (.bat, .exe, .scr, .pif, vb) e-posta ile alması ve onu bilgisayarına çekmeden ya da çekerek çalı?tırması ile sisteme virüs bula?tırmasıdır. Bu ?ekilde, kullanıcının bireysel hatasından kaynaklanarak sisteme virüs bula?ması daha sıklıkla kar?ıla?ılan bir durumdur.

2.
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
Virüs Bula?ması


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
virüs bula?ması Internetten indirilen dosyalarla olmaktadır. Bu konuyu da yine kullanıcının bilinçli olarak indirdi?i dosyalar ve kullandı?ı web-tarayıcısının (Internet Explorer, Netscape) otomatik olarak indirdi?i dosyalar ile virüs bula?ması diye ikiye ayırabiliriz.


Birinci durumda kullanıcı bilinçli olarak Internetten bir dosyayı bilgisayarına çeker ve o dosya içeri?inde virüs varsa çalı?tırdı?ında sisteme virüs bula?ır. Bunu engellemenin yolu kullanıcıların bilinçlenmesidir.


İkinci durum ise biraz daha karma?ık. Bu kısmı da ikiye ayırmak gerekmektedir:

1. Java-Script
2. ActiveX

kullanarak görüntülenen
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
sayfalarından virüsün bula?ması.

 

Çevrimdışı

a. Java Script:


Java apletler sayesinde
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
sayfaları etkile?imli hale gelmi?tir (ufak animasyonlar, vb). Günümüzde tüm web tarayıcıları Java?yı desteklemektedir. Burada ya?anan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadır. Bunun için ?sandbox? adında bir teknoloji ile güvenlik önlemi alınmı?tır. Sandbox tarafından çalı?tırılan aplet bilgisayardaki dosyaları ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatılanlar bu sistemin güvenli oldu?u izlenimini veriyor. Ama sorun sandbox teknolojisinin karma?ık yapısından dolayı meydana gelmektedir. Bazen gözden kaçırılmı? bir açık sayesinde virüsler bilgisayarda kod çalı?tırabiliyor. Örnek olarak bir çok gizli pencere açıp sistemin kaynaklarını tüketebiliyor.

b. ActiveX:


Windows apletleridir. ?web? sayfalarındaki animasyonları vb. göstermek için kullanılan bir yapıdır. Bilgisayara ?.dll? (Dynamic Link Library) uzantısında dosyalar indirirler. Bu dosyaların sistemde her türlü yetkiye sahip olması, virüse en kolay ve en güçlü ?ekilde sisteme hakim olma ?ansı tanımaktadır. MS Internet Explorer?ın çok sayıda güvenlik güncellemesi bu nedenle yazılmı?tır. Yapıdaki güvenlik sistemi ?Authenticode system and Code Signing?olarak adlandırılmaktadır. Web sayfalarından DLL indirirken güvenli olarak tanımlanmı? olması esasına dayanıyor. Ancak kullanılan
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
tarayıcısının ayarları en güvensiz seviyedeyse otomatik olarak sitedeki ?.dll? uzantılı dosyayı bilgisayara indirir. Bu dosya ?command.com? dahil bir çok komutu çalı?tırma yetkisine sahiptir. Tedbir olarak ?MS Internet Explorer? ayarlarındaki güvenlik seviyesinin en azından ?Medium? olarak ayarlanması gerekmektedir.


Virüsler bula?tı?ında;
Harddisk veya diskette bozuk sektör sayısında artma olabilir.
Bula?tı?ı programların boyutlarında artı? olabilir.
Ram eksikli?i olabilir ve bazı programlar Ram'i çok fazla kullanmaya çalı?abilir.
Bazı programlar çökebilir, programlarda bazen yava?lamalar bazen de kitlenmeler olabilir.

İlk 100.000'lere ula?an virüs Pakistan'ın Lahor kentinde Faruk karde?ler tarafından programlanmı? ve kısa sürede Amerika'ya ve Avrupa'ya sıçramı?tır.

Bilgisayar Virüslerinden Nasıl Korunabilirim?
Mutlaka bir anti-virüs programı yüklemelisiniz.
Kurdu?unuz anti-virüs programını sıksık güncelle?tiriniz.
Önemli bilgi ve belgelerinizin kopyalarını mutlaka bulundurmalısınız çünkü anti-virüs programları kimi zaman virüsü temizleyememektedir.

2000'li yıllarda yaygın olan virüslerden bazıları ?unlardır:

Chernobyl (CIH) (1998),
Melissa (1999),
Navidad (2000),
Nimda/Sircam/CodeRed (2001)
*W32.sobig.A@mm *W32.Nimda.E@mm
*W32.Nimda.A@mm *W2k.Stream
*W32.Sircam.Worm@mm *DOS Funlove.4099
*W32.Bugbear@mm *Happy99.Worm
*VBS.Haptime@mm *W32.Klez
*W32.Kriz *W32.Sircam.Worm@mm
*W32.Yaha *W32.Welchia.Worm
*W32.Navidad *W32.Blaster.Worm
*W97M.Riosys *Hacktool.Keysteal
*W32.Repad.Worm *Backdoor.Evilbot.B
*W95.CIH
*Kill_ez
*Trojan.KillAV.B
*W32.Brid.A@mm/W32.Funlove.4099
*W32.HLLW.Winwvar/W32.Funlovw.4099

BİLGİSAYAR VİRÜSLERİ TARAFINDAN KULLANILAN

POPÜLER BULA?TIRMA YÖNTEMLERİ


Bilgisayar virüsleri bilgisayarınıza bula?ır demek yeterli de?ildir. Her bir bilgisayar virüsünün denetimi ele geçirmede kendisine özgü bir yöntemi vardır. Virüsler, türlerine göre, kendilerini programın sonuna ekleyebilir, içine nüfuz edebilir veya çalı?tırılabilir program dosyalarının çevresini çepeçevre sarabilirler. Bazı virüsler ise daha yüksek düzeyde adaptasyon için söz konusu yöntemleri birle?tirirler. Virüsler belle?e yerle?erek DOS sistem ça?rılarını ve kullanıcı komutlarını kesintiye u?ratabilirler. Sistem giri?/çıkı? (I/O, Input/Output)’larını kendilerine do?ru yeniden yönlendirebilir veya korunmasız bölgelere giderek temiz dosyaları virüslü taklitleriyle de?i?tirebilirler.

Kullanıcılar bilgisayar virüsleri ve hedef sistem (kendi sistemleri) arasındaki teknik diyalo?un ayrıntıları ile ilgilenme gere?i duymazlar; temeldeki amaçları güvenli bilgi i?lem çalı?maları yapma ve onları anlamadır. Ancak, bilgisayarınız içinde neler oldu?u konusunda bir dü?ünce sahibi olmanız yararlıdır. Amaç olarak yazılımı, verileri ve dosyaları dü?ünmek bilgisayarınızın de?il, sizin sorumlulu?unuzdadır. Bu amaçlara ula?ma yollarının denetimini, ancak sisteminizin korunması konusunda bilgi edinmeye istekli oldu?unuz ve bu u?urda enerji ve zaman harcadı?ınız zaman elinizde tutabilirsiniz. Bu nedenle, bu bölümde virüsler tarafından kullanılan yöntemlerin kısa bir özeti sunulmu?tur.

Bilgisayar virüslerinin ço?unlu?unun çalı?tırılabilir dosyalardan denetimi ele geçirmek için kullandıkları be? popüler yöntem vardır:

Ekleme (Appending)
Araya sokma (Insertion)
Yeniden yönlendirme (Redirection)
Yer de?i?tirme (Replacement)
Virüs kabu?u (The viral shell)


EKLEME (Appending)

Çalı?tırılabilir program dosyalarının sonlarına virüse ili?kin kod ekleyen virüsler ekleyerek bula?tırma yöntemini kullanırlar. Hedef çalı?tırılabilir (.EXE) programlar de?i?tirilebilirler, böylece bu programlar çalı?tırıldı?ı zaman, ?ekil 3-1’de gösterildi?i gibi programın denetimi program sonuna eklenen virüs kodlarına geçer. ?ekildeki numaralar, normal bir programın yürütülmesi ve daha sonra virüslü bir program sırasında olu?acak olayların sırasını belirtmektedir.

?EKİL 3-1

Ekleme Virüsü Tarafından Bula?tırılmı? Bir Program


Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunlu?u= 10240 bayt


Enfeksiyondan sonra program

PROGRAM.EXE

VİRÜS KODU

Dosya Uzunlu?u=10240 bayt + virüs kodunun uzunlu?u



Bula?tırmanın sıralamayı nasıl de?i?tirdi?ine dikkat etmelisiniz: Eklenen virüs kodu kendini harekete geçirir ve fesat görevini ba?arıyla tamamladıktan sonra, komut, hiçbir ?ey olmamı?çasına çalı?maya devam ederek ana dosyalara geri döndürülür.

Bula?acakları dosyaların tipine ba?lı olarak ekleme yöntemini kullanan bilgisayar virüsleri, i?letim süresince denetimini hedefledikleri programlardan saptırmak için bir çok farklı teknikler kullanırlar. Örne?in, .COM ve .EXE kütükleri program giri? noktalarını (program kodlarının bellekteki ba?lama yerleri) bilgisayara tavsiye etmek için farklı algoritmalar (komut sıralaması) kullanırlar. Muzır yazılımcılar bula?tırma mekanizmalarını tasarlarken bu ince program farklılıklarına dikkat ederler, aksi takdirde ekleme yöntemini kullanan virüsleri yalnızca bir çalı?tırılabilir dosya tipine yönelik olu?tururlar. Bu nedenledir ki, bazı virüsler sadece .EXE dosyalarına bula?abilirler. Bunların yazılımcıları, hedef kütü?ün çok yönlü özelliklerin ele almada gereli uygun mantı?ı kullanmada yetersiz veya isteksizdirler.

ARAYA SOKMA ( Insertion )

Kendi yazılım kodlarını, do?rudan do?ruya kullanılmamı? olan kodların ve çalı?tırılabilir programların veri bölümlerinin arasına yerle?tiren bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya sokma yöntemini kullanırlar. Bir önceki yöntemde oldu?u gibi, araya sokma yöntemini kullanan virüsler de hedef dosyalarda bazı de?i?ikliklere neden olurlar. Yöntemlerdeki farklılık, ?ekil 3-2’de gösterildi?i gibi, virüs kodunun sona eklenmesi yerine, hedeflenen çalı?tırılabilir dosyanın içerisine yerle?tirilmesidir.


__________________________________________________ ___________________________

Araya Sokma Yöntemini Kullanan Bir Virüs

Tarafından Bula?tırılan Bir Program

Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunlu?u=10240 bayt

Enfeksiyondan sonra program

PROG(VİRÜS KODU)RAM.EXE

Dosya Uzunlu?u=10240 bayt

Araya sokma yöntemini kullanan virüslerin geli?imi, ekleme yöntemini kullanan virüslere göre daha zordur; çünkü temelde virüs kodunun uzunlu?u minimumda tutulmalıdır. Ço?u zaman yeter büyüklükte kullanılmamı? program alanı bulmak zor, hatta bazı durumlarda olanaksız olabilir. Bu uzunluk sınırlaması virüs kodunun uyarlanabilirli?ini azaltarak, muzır yazılımcıların virüse ekleyecekleri fonksiyonların sayısını oldukça azaltır. Öte yandan, ekleme yöntemini kullanan virüslerde bu sınırlama yoktur. Özellikle .EXE dosyaları için tasarlanmaları daha kolaydır, çünkü .COM dosyaları için geçerli olan 64K dosya uzunlu?u sınırlaması .EXE dosyaları için geçerli de?ildir.



YENİDEN YÖNLENDİRME ( Reduction )


Yeniden yönlendirerek bula?tırma yöntemi ileri düzeyde virüs yazılımcıları tarafından kullanılan ilginç ve üst düzeyde bir yakla?ımdır. Bu ?ema altında bilgisayar

virüsü denetim merkezleri, disk bölünüm alanları, bozuk olarak i?aretlenmi? sektörler veya gizli dosyalarda gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan “usta” virüsler, çalı?tırılabilir. ( .EXE ) dosyalar arasına küçük virüs i?çilileri yerle?tirirler. Bu virüs i?çileri hedeflenen program çalı?tırıldı?ında ustalarına ça?rılar (çalı?tırma istekleri) yayınlayarak program akı?ını yeniden yönlendirirler. Usta (belki daha çok virüs i?çisi yayarak) i?çilerini yönetir ve daha sonra denetimi gerçek programa bırakırlar.

Virüs i?çileri teoride birkaç düzine bayt küçüklü?ünde veya bu uzunluktan daha kısa olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok kolaydır. İ?in daha ilginç yönü; bellekte kalıcı virüslerle ( boot sektörü veya komut i?lemcisi bulu?anları gibi) birle?tirildiklerinde, virüs i?çilerinin boyu iki ba?ta kadar sıkı?tırılabilirler ve bu iki bayt denetimi bellekteki virüslere devreden DOS kesintilerini ( interrup) ça?ırmak için gereklidir.

Yeniden yönlendirme yönteminde virüs kodlarının büyüklü?ü ihmal edilebilir oranda az oldu?u için, diskteki bo? alanlarda herhangi bir de?i?iklik farkedilmez. Uygun küçüklükte olan bula?tırıcı kod parçaları program dosyalarını birkaç bayt büyütürler veya hiç büyütmezler. Sonuçta yeniden yönlendirme yöntemi muzır yazılımcılara, hedeflenen dosyalara veri kilobaytları eklemenin sonuçlarına aldırmaksızın geni? ve çok yönlü bilgisayar virüsleri yaratmalarına olanak tanır.

Yeniden yönlendirme yönteminin muzır programcılara sundu?u temel dezavantaj ?udur: Bula?ıcılar belirlendiklerinde kolaylıkla sökülüp atılabilmektedirler. Gizlendikleri yerlerden ana virüs damarlarını silmek, bilgisayarı temizlemek için yeterlidir. Bu durum bütün virüs i?çilerini güçsüz kılacaktır, çünkü onlar hiçbir zaman kendi ba?larına ana kontrol programlarını bulamaz ve ileti?ime geçemezler.



YER DE?İ?TİRME ( Replacement )

?imdiye kadar virüs yazılımcıları tarafından kullanılan en a?ır ve en hantal bula?tırma yöntemi, hedeflenen çalı?tırılabilir ( .EXE ) dosyaların virüssel i?letimcilerle yer de?i?tirilmesidir. Yer de?i?tirme yöntemini kullanan virüsler gerçekte çalı?tırılabilir dosyaları enfekte etmezler, daha ziyade yerle?tikleri sistemi enfekte ederler. ?ekil 3-3’de gösterildi?i gibi virüs kodları ile tamamen yer de?i?tirirler; bu anlamda hedef, dosyaların üzerine yazılır. Bula?tırılmı? programın i?letilmesi sırasında olayların sırasının de?i?medi?ine ve program kodunun virüs kodu tarafından nasıl silinip yer de?i?tirdi?ine dikkat edelim.


Yer De?i?tirme Yöntemini Kullanan Virüs Tarafından

Bula?tırılmı? Bir Program

Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunlu?u=10240 bayt


Enfeksiyondan sonra program

VİRÜS.EXE

Dosya Uzunlu?u=10240 bayt

Muzır yazılımcılar açısından bu kaba güç kullanan yöntemin bazı yaraları vardır: Geçerli program dosyaları her yer de?i?tirmede tamamen yok edilirler ve hedeflenen sistem çok kısa bir süre içinde de?ersiz bir donanım yı?ını haline dönü?ür. Bu yöntemin zayıf yönü ise, enfeksiyonların ilk ortaya çıkı?ından hemen sonra kolaylıkla belirlenebilmeleridir. Ancak yer de?i?tirme yöntemini kullanan virüsler, ilk i?letimleriyle birlikte verileri yok ettiklerinden, hızlı ve etkili bir ?ekilde yok edilebilmelerine ra?men etkileri zarar vericidir.

 

Çevrimdışı

VİRÜS KABU?U ( The Viral Shell )

Virüslerin dünyasında bu yöntem gerçekte bir bula?tırma tekni?i olarak dü?ünülmez; daha çok ileri düzeyde virüs yapıları tarafından kullanılan enfeksiyon sonrası ya?ama yöntemidir. Komut i?lemcisi ve bellekte sonrası ya?ama yöntemidir. Komut i?lemcisi ve bellekte kalıcı virüslerin onun özelliklerini desteklemelerine kar?ın, ço?unlukla boot sektörü bula?anları tarafından oyuna dahil edilirler. Bu virüs, sisteminize yüklenebilecek en sinsi ölümdür.

Virüs kabu?u uygulamada sınırlayıcıdır. Bütün normal bilgisayar i?levlerin etkinli?i altına alır ve belle?e yerle?en virüslerin varlı?ını tehdit eden, varlı?ını ve yerini ortaya çıkarıcı olası eylemleri durdurur veya maskeler. Dizin listeleri analiz edilir ve sonuçtaki ekran görüntüleri de?i?tirilir. Böylelikle birkaç ekstra kilobayt virüs kodu ta?ımalarına ra?men enfekte edilmi? dosyalar, normal dosya uzunlu?una sahiplermi? gibi görünürler. Boot sektörü, komut i?lemcisi ve genel dosyaları görme, toplamı kontrol etme veya di?er türlü inceleme giri?imleri hep sonuçsuz bırakılırlar.

Muzır yazılımcılar, her gün daha yenisi ve etkilisi geli?tirilen virüs programlarının yayılması, desteklenmesi, i?letilmesi ve yüklenmesinde kullanıcıları tuza?a dü?üren ?eytanca zeki yollar yaratmak için saatlerini, günlerini harcarlar. Bu bölümde tartı?ılan virüs tipleri ve bula?tırma yöntemlerinin, virüslerin nasıl çalı?tı?ı ve bilgisayar sistemlerine nasıl girdikleri konusunda size önemli temel bilgiler verdi?i dü?ünülmelidir.

BİLGİSAYAR VİRÜSLERİNİN YAYILMASINI ÖNLEMEK


ALINMASI GEREKEN ÖNLEMLER KAÇINILMASI GEREKEN ÖNLEMLER

Bilgisayar virüslerinin varlı?ını yok saymak felakete giden bir yoldur. “ Böyle bir ?ey benim ba?ıma gelmez” yakla?ımını kabullenmek, muzır yazılıcıların ekme?ine ya? sürmekten ba?ka bir ?ey de?ildir. Büyük bir olasılıkla bilgi i?lemin uçsuz bucaksız dünyasında bir yerde, üzerinde kendi adınız veya dosyanızı payla?tı?ınız ki?inin adı yazılı olan bir virüs vardır.

Felaketi önleminin yolu, en iyi bilgi i?lem güvenlik uygulamalarına sıkı sıkıya ba?lanmaktır. En etkili antivirüs yazılımlarına sıkı sıkıya ba?lanmaktır. En etkili antivirüs yazılımlarını ve en iyi disk/dosya kullanım programlarını kullanmak, artık sık sık rastlanan virüs krizlerinden etkilenmemenizi sa?layacaktır. Yeni ke?fedilen virüsleri tanımlayabilmek ve yok edebilmek, bu konuda uzmanlar bulunmasına kar?ın, oldukça gerekli bir zorunluluktur.

Sistem güvenli?ini bugün piyasada olan antivirüs yazılımlarına emanet etmek, bir tav?ana havuç tarlasını emanet etmek gibi bir ?eydir. Virüs yazılımcıları, her zaman yazılım tabanlı güvenlik sistemlerinin üstesinden gelmeyi ba?armı?lardır. Antivirüs yazılımları, kullanıcıların kendilerini iyi hissetmelerine yardımcı olmakla beraber, hemen hiçbiri tam bir koruma sa?layamamaktadır.

Bugüne kadar kullanıcıların kendilerini bilgisayar virüs saldırılarına kar?ı silahlandırmak istediklerinde, en sık yaptıkları ?ey, antivirüs yazılım programları satın almak olmu?tur. Antivirüs yazılımları tıpkı bilgisayar virüsleri gibi de?i?ik tatta ve farklılıkta ortaya çıkarlar. Ancak bunların tümü iki geni? kategoriye ayrılırlar: Önleme sistemleri ve belirleme sistemleri.

Önleme Sistemleri

Önleme sistemleri, muzır yazılım saldırılarına anında kar?ı koyup durdurmaya yönelir. Bazıları yetkisiz programların ve kullanıcıların sistem donanımına eri?imini engellemeye çalı?ır. Meydana geldikçe illegal disk eri?imlerini belirleme ve bloke etme yoluyla, muzır yazılımların belle?e yüklenmesini durduracak ve ?ifre kullanımı ile yetkisiz kullanıcıların donanıma veya yazılıma eri?imlerini önleyecek sistemin güvenlik düzeyini geni?letirler.

Bütün önleme sistemleri, zorunlu olarak, bellekte kalıcı programlardır. Sürekli olarak devrededirler ve program yükleme, diske yazma ve diskten okuma gibi yazılım yönlü komut isteklerini durdurmak ve belirlemek için DOS kesintilerini izleme ilkesine dayanırlar. Ku?kulu eylemlerle (örne?in, bir programı yüklenip, boot sektörlerinin üzerine yazmak için DOS’tan izin isteminde bulunulması) kar?ıla?ıldı?ında, önleme sistemi derhal harekete geçer. DOS ça?rılarını kesintiye u?ratır ve kullanıcıyı uyarırlar. Bu durumda kullanıcı, durdurulan eylemlerin devamına izin verilip verilmemesine karar verebilir. Do?al olarak, boot sektörü yazım i?lemleri sırasında bütün faaliyetler her ne pahasına olursa olsun önlenmelidir.

Bu tür gerçek-zaman ( real-time ) denetim mekanizması teoride yaralı gibi görünse de, pratikte son kullanıcıya etkili ve yeterli bir koruma sa?layamaz. Her?eyden önce bellekte kalıcı koruma sistemleri de?erli RAM alanlarını yutar. DOS ileti?im sisteminde çalı?an uygulama programları, program kod alanları için 64 K ile sınırlandırılmı?lardır ve kullanıcılar olabildi?i kadar çok kod alanını bo? tutmaya çalı?ırlar. Öte yandan, di?er programlarla uyumluluk problemleri yaratmaya yönelik olmaları nedeniyle kötü bir üne sahip olan TSR programları, antivirüs sistemler olarak uygulandıkları zaman daha can sıkıcı olabilirler. Olası program yükleme, diskleri okuma ve diske yazma gibi her gün sık sık kullanılan bilgisayar aktivitelerini kesintiye u?ratırlar; çünkü hangi aktivitelerin kullanıcı tarafından hangilerinin muzır yazılımlar tarafından ba?latıldı?ını ayırdedemezler.

Dahası; PopDrop, Headroom, TurpolPower TSR gibi TSR yönetim sistemlerinin belle?e yerle?mi? olan programları belirleyebilmesi ve etkisiz kılabilmesi gibi, bilgisayar virüsleri ve darbe indirmeden önce hedeflerinin kalkanlarını yıkabilir. Virüsler, antivirüs sistemlerinin yerlerini belirlediklerinde onları susturabilir, muzır eylemlerini gerçekle?tirdikten sonra hiçbir ?ey olmamı? gibi eski aktif durumlarına döndürebilirler.

Bu tip saldırılara kar?ı koymak için bazı önleme sistemleri antivirüs kodlarına “nabız ölçme” baytları ekleyecek kadar ileri gitmi?lerdir. Böylelikle önleme sistemi, bilgisayarın iç saatini sürekli olarak izleyerek onların ne zaman ve ne kadar süreyle illegal olarak kapatıldıklarını sorgulayabilirler. Ne var ki, bilgisayarın içindeki saati durdurmak ve antivirüs sisteminin i?levlerini çalı?maz hale getirdikten sonra yeniden ba?latmak, bilgisayar virüsleri için pek zor bir i? de?ildir.

En kötüsü, antivirüs TSR programları disk eri?im kontrollerinin do?rudan yönetimini belirleyemezler ve bu son derece zayıf bir yöndür. İyi tasarlanmı? virüsler, bir kez yüklendiklerinde, DOS i?letim sistemini (dolayısıyla önleme sistemlerini de) atlama yetene?ine sahiptirler ve disk eri?imlerini do?rudan do?ruya yönetirler. Bu tip ölümcül virüsler ürerlerken, kendilerini belle?e yükletip verileri tahrip ederlerken önleme sistemleri, arka bahçelerinde olup bitenlerden habersiz bir ?ekilde bo? bo? otururlar. Bu durum, bellekte kalıcı antivirüs sistemlerine, bilgisayar virüslerine kar?ı savunmada ana silah olarak güvenilmemesi gerekti?inin temel nedenidir. Bu tür önleme sistemleri, kötü tasarlanmı? bombalara ve virüslere kar?ı sıradan bir kalkan olu?tururlar.

Belirleme Sistemleri

Önleme sistemleri programlar çalı?ırken neler olup bitti?ini sürekli olarak izlerlerken, belirleme sistemleri program çalı?tırılmadan önce program kodunu kontrol ederler. Belirleme sistemleri, önleme sistemlerini tamamlarlar; davetsiz misafirlerin bozgunculuklarına izin vermekle birlikte, daha sonra onları izole etmek için oldukça karma?ık ve geli?mi? belirleme algoritmalarına sahiptiler ve bunlara güvenirler. Bula?tırılmı? bir program kodu belirlediklerinde, kullanıcıyı uyarmakla birlikte, denetlenen programın kullanılmasına, ileri düzeyde de?erlendirilmesine veya tamamen elenmesine karar verirler.

Önleme ve belirleme sistemleri kar?ıla?tırıldı?ında, ikincisi daha dostça , daha uyumlu ve daha fazla güvenli olarak görünür. Belirleme sistemleri, di?er normal uygulama yazılımları gibi yüklenip çalı?tırılır ve sonra bellekten çıkarlar. Önleme sistemlerinin aksine, ne sürekli olarak büyük bellek alanlarını ellerinde tutarlar, ne de normal programların i?lemesini kesintiye u?ratırlar.

Belirleme sistemlerinin iki türü kar?ımıza çıkmaktadır: Antibomba dedektörleri ve Antivirüs dedektörleri.

 

Çevrimdışı

Antibomba Dedektörleri

Anitbomba dedektörleri, bir veya daha faza dosyayı tarama veay hedef dosyanın çalı?tırılabilir ( .EXE ) koduna yerle?tirilmi? yokedici yolları (örne?in, disketi yeniden formatlama ça?rıları veya kütük silme komutları) ara?tırma yeteneklerine sahiptirler. Bazı antibomba dedektörleri, virüs aktivitelerinin açık belirtilerini (ekran mesajları gibi) ara?tırıp, program koduna depolanmı? metin mesajlarını çıkartırlar. Ancak bunların da bazı eksik yönleri vardır: Bazı yasal yazılımları bomba olarak tanımlarlar, ?ifrelenmi? metin mesajlarının yerini belirleyemez veya görüntüleyemezler ve sık sık gerçekten öldürücü program komutlarını yakalayamazlar.

Antivirüs Dedektörleri

Virüssel aktivitenin do?ası gere?i (virüsler statik .EXE program dosyalarında belirlenebilir de?i?ikliklere neden olurlar), önleme sistemleri ve antibomba dedektörlerine oranla antivirüs dedektörleri virüs aktivitesini belirlemede çok daha etkilidirler. Bu etkinlik, uygulamaya koyulan belirleme algoritmasının kalitesiyle daha da artırılabilir.

Antivirüs belirleme programları iki temel sınıfa ayrılırlar: Programa özgü dedektörler (genellikle virüs tarayıcılar olarak adlandırılırlar) ve genel dedektörler.

Programa Özgü Dedektörler: Belirli sayıda (500’e yakın) bilinen virüsün taramasını yaparlar. Belirlemek üzere programlandıkları virüslerin i?aretlerini (imzalarını) tanımlamaya çalı?arak dosyaları incelerler. Bilinen virüs i?aretlerini içeren program dosyaları, virüs tarayıcılarının belirledikleri virüse ili?kin olarak kullanıcıları uyarmalarına neden olurlar. Programa özgü belirleme sistemleri, kuramsal eksiklikleri ortaya çıkana dek iyi ve mantıklı bir görünümdedirler:

Programa özgü dedektörler, sadece bilinen virüslerin sabit ve sınırlı bir bölümünü tanıyabilirler. Bu da yeni veya de?i?ikli?e u?ratılmı? virüslerin, güncel olmayan bu dedektörlerin yanından kayarak sabit disklere do?ru kolaylıkla yayılabilmeleri demektir.
Programa özgü dedektörlerin, yeni virüsler ke?fedildikçe veya eskileri de?i?tirildikçe sık sık bazen de pahalı olarak güncelle?tirilmeleri gerekmektedir. Dahası, yeni virüs tanımlamaları sürekli olarak programa özgü dedektörlerin ara?tırma kodlarına eklenmelidir. Programa özgü dedektörlerin en son versiyonunu kullanmayan kullanıcılar tehlikeli bir ?ekilde günün gerisinde kalmı? olurlar.
Programa özgü dedektörler, ileri teknoloji ürünü olan ?ifrelenmi? virüsler tarafından saf dı?ı bırakılabilirler. ?ifrelenmi? virüsler ya onları ?ifreleyerek ya da her enfeksiyonda bula?tırma kodlarını de?i?tirerek kendilerini maskederler.
Genel dedektörler: İyi tasarlanmı? genel dedektörler (oldukça seyrektirler) antivirüs yazılımlarının en güvenilir olanlarıdır. Genel dedektörler ,bilinen her bir virüsü tanımlamaya ve onların gerisinde kalmamaya çalı?mak veya her bir DOS kesintisini ve olası olan bütün yazılım deliklerini tıkamak yerine, bütün bilgisayar virüslerinin payla?tı?ı tek zayıflı?ı hedeflerler: Bilgisayar virüsleri ya?amak için normal çalı?tırılabilir (.EXE) dosyalarını de?i?tirmelidirler.

Yeni versiyonları üretilmedikçe çalı?tırılabilir program dosyaları, ne uzunluk ne de içerik olarak de?i?mezler. Genel virüs dedektörleri, statik program dosyalarındaki yetkisiz de?i?ikliklerin bir virüs belirtisi oldu?u varsayımına dayanır. Pratikte de bu varsayımın do?ru oldu?u sonucu kaçınılmazdır.

İyi tasarlanmı? genel dedektörler, statik çalı?tırılabilir dosyalarda ne kadar küçük ve önemsiz olurlarsa olsunlar, meydana gelen bütün de?i?iklikleri yakalarlar. Di?er bütün entivirüs yazılımları gibi genel dedektörler de ne yazık ki, kusursuz de?ildirler. Kullanımı karma?ık, i?letimi zaman alıcı olabilir, yarattıkları veri çıktı dosyaları diskte çok de?erli alanları kullanabilir, bazen yanlı? alarm verebilirler veya hedef sisteme kopyalanmı?larsa virüs enfeksiyonlarına kendileri maruz kalabilirler.

İdeal antivirüs güvenlik a?ı yazılımı, akıllı, iyi denenmi?, güvenli bilgi i?lem yöntemlerinin dengeli bir birle?imi ve hem önleme hem de belirleme yazılımlarından olu?ur. Kullanıcılar bilgisayar savunmasında bu çok yönlü yakla?ımı benimseyerek ve düzenli veri yedekleri

(backups) sa?layarak, sistemlerinin muzır yazılımların tahriplerinden yeterince korundu?una emin olabilirler.



ANTİVİRÜS YAZILIMLARA İLİ?KİN SORUNLAR

Bugün piyasada olan bütün antivirüs yazılımları, korku faktörünü e?itimsiz kullanıcıları istismar edercesine öne sürerek de?erlerini artırırlar. Bilinçsiz kullanıcı, de?i?ik yollarla mutlak sistem güvenli?ini sa?ladı?ını iddia eden i?portacı sözleriyle kandırılırlar. Ancak, daha önce de belirtildi?i gibi, mükemmele ula?amamı? antivirüs programları kullanıcılara tehlikeli bir güvenlik duygusundan ba?ka bir ?ey kazandırmazlar.

A?ılar ( Vaccines)

Sözde yazılım a?ıları, bilgisayar virüslerinin ortaya çıktı?ı ilk anlarda geli?tirilen antivirüs ürünler arasındaydılar. Son kullanıcının bu ürünlere ilk tepkisi olumluydu. Ancak, kullanıcılar bu ürünlerin temelini olu?turan teknolojiyi (ve bu teknolojideki hataları) ö?rendikçe satı?lar dü?tü. Bugün piyasada kullanıcıları açıkta, üreticileri ise sektör dı?ında kalmı? olan böyle birkaç ürün vardır.

Yazılım a?ılarını geli?tirenler programlarının, çalı?tırılabilir dosyaya enjekte edildiklerinde onu virüs bula?malarından koruyan, yazılım antigenleri sa?ladıklarını söylemektedirler. Antivirüs programları ve gerçek biyolojik a?ılar arasındaki bu kesin kar?ıla?tırmalar yanlı? yönlendiricilerdir. Yazılım a?ılarının gerçekte yapabilece?i ?ey, küçük programları ve toplam kontrol verilerini belirli çalı?tırılabilir dosyalıra eklemektir. Böylece bu program dosyaları çalı?tırıldıklarında, kontrol ilk önce ekli antivirüs programlarına geçirilir. Antivirüs programaları, çalı?tırılabilir dosyaların halihazırdaki toplam kontrolleri ( checksum ) ile ekli toplam kontrol verilerini kar?ıla?tırırlar. Kar?ıla?tırmalar uyarsa, kontrol yeniden çalı?an programa devredilir. Kar?ıla?tırmalar uyu?madı?ında, kullanıcılar uyarılır ve gerekli önlemler alınır.

Kullanmadan önce yazılım a?ılarına ili?kin sorunların farkında olmak yararlıdır:

A?ılı programları yüklemek uzun sürer, çünkü eklenen antivirüs kodu ve verileri dosya büyüklü?ünü artırır ve çalı?tırma öncesi toplam kontrol-kar?ıla?tırma i?lemi zaman alır.
Eklenen antivirüs kodu ve verileri program dosyalarını büyüttüklerinden pek çok sayıda disket tüketilir.
.EXE dosyalarının ba?lıklarını de?i?tirmeye çalı?an bazı a?ılar, .COM dosyalarına kar?ı, bir koruma sa?layamazlar, çünkü .COM dosyaları, .EXE dosyaları ile aynı dosya ba?lı?ına sahip de?illerdir.
Bir çok a?ılar sistem dosyalarından fazlasını (IO.SYS, MSDOS.SYS VE COMMAND.COM) koruyamazlar.
Birçok a?ılar “pack” edilmi? (sıkı?tırılmı?) .EXE dosyalarını koruyamazlar.
Kendisini güncelle?tiren programlar (installation) i?leminin bir parçasının de?i?tirilmesinde yanlı? alarmlar üretilir. Bunu önlemek üzere, yerle?tirme i?leminden ve kendisini güncelle?tiren programlar kullanılmadan önce veya sonra, kullanıcılar, a?ıların devreden çıkarılmalarına ve yeniden yerle?tirilmelerine zorlanırlar.
Antivirüs kod ve verisi ekleyerek .EXE dosyaları üzerinde yapılan de?i?ikliklerin, bu program dosyalarının çalı?masını olumsuz yönde etkileyemeyece?ini kimse garanti altına alamaz.
Virüsler, hedef dosyalardaki a?ı program kodunun varlı?ını kolaylıkla belirleyebilir ve dosyalara kasten zarar vermedikleri halde, kendilerini çalı?tırılabilir dosyalara eklerler.

Panzehirler ( Antidotes )

Virüs panzehirleri (aynı zamanda dezenfektan veya sökücü olarak da bilinirler), yazılım a?ılardan kısa bir süre önce piyasaya girmi?lerdir. Bugün yeni bir virüs ortaya çıkarıldı?ında ona kar?ıt bir panzehir tasarlanmaktadır.

Ço?u antivirüs yazılım sistemleri, kendi ayrı türleri içerisinde alt sınıflandırmalar sunarlar. Antivirüs panzehir programlarını sınıflandırmanın en kolay yolu, felaket panzehirleri (disaster antidotes) ve bula?tırma panzehirleri (infection antidotes) ?eklinde ikiye ayırmaktır.

Felaket panzehirleri, zarar verici olaylar meydana geldikten sonra sistemleri çal?ıma düzenlerine geri döndürmek üzere tasarlanmı?lardır. Bu sistemin satıcıları, virüs nedeniyle yeniden formatlanarak kendilerine getirilen sabit disklerin üzerindeki verileri kurtarmalarıyla ün salmı?lardır. Ancak bu basit bir aldatmacadır. Ço?u kullanıcı, sabit diski yeniden formatlamanın bütün kullanıcı verilerini silmedi?ini, sadece “allocated” disk alanlarını “kullanılmamı?” olarak i?aretledi?inin farkında de?ildir. Gerçekte felaket panzehirleri; boot sektörleri, komut i?lemcisi, FAT (dosya yerle?im tablosu), dizinler ve bölümleme verileri gibi kritik disk bilgilerinin yedekleme kopyalarını geri yüklerler (restöre). Diskin yol haritaları (rood maps) geçerli yedeklerle de?i?tirildi?inde, kullanıcı verileri mucizevi olarak yeniden dirilmi? gibi gözükürler ve bir bakıma öyledir de.

Di?er yandan, bula?tırma panzehirleri bilinen virüsleri dosya dosya tararlar ve ortadan kaldırırlar. Bu programlar sınırlı kullanım alanları içerisnde oldukça iyi çalı?ırlar. Bula?tırma panzehirleri, bilinen program türlerinin dar bir grubundan bilinen virüslerin sadece sınırlı bir setini ortadan kaldırırlar. Gerçekte, ço?u bula?tırma panzehirleri tek bir bilgisayar virüs ailesini ortadan kaldırmak için tasarlanmı?lardır. Çünkü, sürekli olarak yeni virüslerin ortaya çıkmasıyla modalarının geçmesi ve etkisiz kalma olasılı?ı söz konusudur.

Yazılım a?ıları gibi panzehirler de bir noktaya kadar etkilidirler; ancak kusursuz de?ildirler:

Format kurtarma programları (felaket panzehirleri) sisteme yerle?tirilmelerinden önce zarar gören verileri kurtaramazlar. Panzehir programıyla yaratılmı?, en az bir tane güncel yedekleme diski gereklildir.l
E?er panzehirlerin yedeklenmi? verileri do?ru de?ilse, yerini de?i?tirdi?i bilgi güncel olmayacak ve yanlı?lık daha fazla veri kaybına neden olacaktır.
Format kurtarma programları, dü?ük-düzey formatlama yoluyla silinmi? verileri kurtarmada ba?arısız kalırlar. Dü?ük-düzey formatlama, bir çok sabit disk kontrol kartı üreticileri tarafından kullanılır ve bilgisayar virüsleri tarafından da harekete geçirilebilir. Yüksek-seviye formatlama ise, AT&T, Compaq veya Unisys’ın DOS versiyonlarında FORMAT komutu ile disk verilerine ölümcül zararlar vermezler. Aksine, disk sektörleri içerdikleri veriler bozulmadan “kullanılmamı? olarak i?aretlenirler.)
Diskler yeniden formatlandıktan sonra üzerlerine yeni veriler yazılırsa, silinen verilerin güvenilir bir biçimde kurtarılması mümkün olmayabilir.
Bir çok kullanıcı, çok kötü bir biçimde zarar görmü? diskleri bile kullanabilir duruma getirebilen, Mace Utilities, The Norton Utilities, PC-Tools gibi, veri kurtarma programını ba?arıyla kullanmaktadır.
Bula?tırma panzehirleri bilinen virüslerin ancak küçük bir miktarını ara?tırabilir, bulabilir ve ortadan kaldırabilirler. Sınıflandırılmamı? virüsler aktif, belirlenmemi? ve dokunulmamı? olarak kalırlar.
Bula?tırma panzehirlerini kullananlar, geçerliliklerini koruyabilmek için bu programları sürekli güncelle?tirmelidirler. Ancak yine de panzehir programları virüsleri bir adım geriden izlerler.
Normal program dosyalarının virüsler tarafından enfekte edilmesi dosya üzedinde oldukça önemli zararlara yol açar (önemli program verilerinin üzerine virüs kodları yazılır.) Hemen hemen aynı mantıkla çalı?an bula?tırma panzehirlerinin de virüs dolarını yok etmeye çalı?ırken dosyalara zarar verebilece?i dü?ünülebilir. Daha da kötüsü, temizleme programları, temiz dosyaları enfekte edilmi? gibi görerek, geçerli program verilerinin üzerine yazarlar ve dosyayı onarmak isterken bozabilirler.

 

Çevrimdışı

Dosya Kar?ıla?tırma Kullanım Programları
( File Comparison Utilities )

Gerçekte her DOS kopyası, beraberinde COMP, DISKCOMP veya FC gibi dosya kar?ıla?tırma programları ile gelir. Dosya kar?ıla?tırma programları, hedef dosya özelliklerinin iki farklı kopyasını harf harf, bayt bayt kar?ıla?tırırlar. Bu yaptıkları tek ?eydir; ancak bu i?i de çok iyi yaparlar. DOS’tan ba?ımsız olarak da satılırlar.

Antivirüs yazılım satıcıları, dosya kar?ıla?tırma programlarına sıkı sıkıya sarılmı?lardır, çünkü virüsler dosyalara bula?mak için onları de?i?tirmek zorundadırlar ve iyi tasarlanmı? dosya kar?ıla?tırma programları dosyalardaki en küçük de?i?iklikleri bile belirlerler.

Ne yazık ki, bu sade ve basit tekni?e ili?kin bazı problemler vardır:

Aynı düzeyde bir koruma, hiçbir ekstra ücret gerektirmeyen DOS dosya kar?ıla?tırma programları ile de sa?lanabilir.
Kar?ıla?tırılacak her bir dosyanın kopyası, ayrı bir disk veya dizinde depolanmalıdır ki, bu da disk alanlarının doldurulması anlamına gelir.
Dosya kar?ıla?tırma programları, virüs belirleme amacına özgü olarak tasarlandıklarında bile; virüs belirleme yönetiminin temel yönlerini içermezler. Alarm, veri ?ifrelenmesi, sistem kilitleri gibi özellikler eksiktir.
Virüsler, dosyaların ikinci kopyalarını arayarak disk dizinlerini kontrol edebilir ve buldukları her iki kopyaya da bula?abilirler. Bu durumda, gelecekteki dosya kar?ıla?tırmaları, enfekte olan her iki dosya arasında herhangi bir fark bulamazlar. Ancak dosyaların kopyaları farlı disklere kopyalanırsa, bu durum, problem olmaktan çıkar.


Virüs Tarayıcıları ( Virüs Scanners )

Diskleri tarayarak, bilinen virüslere ili?kin i?aretleri arayan antivirüs yazılımların ortaya çıkı?ı yenidir. Bu konudaki en tutucu görü?e sahip olan IBM firması bile “The IBM Virüs Scanning Program” adı altında kullanımı kolay ve etkili bir yazılım ile piyasaya girmi?tir. Virüs tarayıcıları, daha önce de söz edildi?i gibi, yalnızca, belirlemek üzere programlandıkları sınırlı sayıdaki virüse ili?kin i?aretleri ararlar. Bu gerçe?in herkes tarafından bilinmesinde yarar vardır. Buna ra?men kullanıcılar virüs tarayıcıları konusunda azimli görünmektedirler. Bunun nedeni belki de, bilinen virüslerin sistemde olup olmadı?ını aramak kullanıcıya güven verecek ölçüde mantıklı gelmektedir.

Virüs tarayıcıları, bilinen virüslerin sınırlı sayıdaki bir grubunu belirleyebilirler. Bu yeni veya güncelle?tirilmi? virüslerin aktif olabilecekleri, yayılabilecekleri ve modası geçmi? tarayıcılar tarafından yakalanamayacakları anlamına gelir.
Yeni virüsler bulundukça veya eskileri güncelle?tirildikçe, virüs tarayıcılarının da güncelle?tirilmesi gereklidir. Ancak bu durum sık sık gerçekle?ir ve ço?u zaman da oldukça masraflıdır.
Virüs tarayıcıları, i?aretlerin maskelemek için veri ?ifreleme tekni?ini kullanan geli?mi? bilgisayar virüsleri tarafından kolaylıkla saf dı?ı bırakılabilirler. Bu virüsler her enfeksiyonda virüssel i?aretlerini de?i?tirdikleri için, virüs tarayıcılarına arayacak veya belirleyecek fazla bir ?ey kalmaz.


Bellekte Kalıcı Antivirüs Programları
( Memory-Resident Antivirüs Programs)

Ba?ka bir antivirüs stratejisi, DOS komutlarını kesintiye u?ratarak çalı?tırılacak programı son anda kontrol eden bellekte kalıcı modüllere dayanmaktadır. Bu da beraberinde bazı sorunlar getirir.

TSR (Terminate and Stay Resident) teknolojisini kullanan antivirüs programları, ya belirli dosyalara yazımları izlerler ya da çalı?tırılacak program üzerinde son dakika kontrolleri yaparlar. Bazıları yeni yazılımların ve veri dosyalarının yerle?tirilmesi ve kullanımını izlerken, bazıları da ?ifre koruması sa?larlar. Antivirüs TSR’ların kullanımından do?an komplikasyonlar çok çe?itli ciddi ve üzüntü vericidir.l

Birçok bilgisayar konfigürasyonunun bazı TSR programları ile uyumu zayıftır. Uyumsuz olanlar kırılır, sistemi kilitler; kısacası anormal davranırlar. TSR tenolojisi MS-DOS için tasarlanmamı? olan bir i?i gerçekle?tirmeye yeltenirler: Çokgörevlilik (multitasking-birden fazla programı aynı anda çalı?tırmak). TSR geli?tiricilerinin MS-DOS’un bu eksikli?ine yönelik çalı?maları, ço?u zaman standart dı?ı ve sorunlu olarak kalmı?tır.
Antivirüs TSR’lar eldeki sınırlı RAM alanlarını tüketirler. Bunun anlamı, varolan bellek alanlarının azalması ve normal programlar ile veriler için yer kalmamasıdır.
Normal bir disk i?levinin virüs aktivitesi olarak yanlı? yorumlanması sonucu, sık sık gereksiz alarmlar verilebilir.
Birçok antivirüs TSR yazılımı, yalnızca sınırlı sayıdaki dosyaların izlenmesine izin verirler ve bu arada di?er dosyalar (kullanıcı veri dosyalı dahil) bütünüyle korunmasız kalırlar.
BIOS veya DOS tarafından yönlendirilen i?lemlerin, antivirüs TSR tarafından kesintiye u?ratılmaları sistemin performansını dü?ürür. Bellekte aktif olan antivirüs TSR’ların tipine ve sayısına ba?lı olarak, bilgi i?lem hızı dramatik düzeylere dü?ebilir.
Virüsler, do?rudan disk kontrol donanımlarıyla oynayarak antivirüs TSR’ların yol kesmelerinden kurtulabilirler.
Virüsler antivirüs TSR’ları kolaylıkla belirleyebilirler. Buna fazla ?a?ırmamak gerekir, çünkü antivirüs TSR’ların bellekteki varlıkları çok açıktır. Virüsler bunları saf dı?ı bırakabilir veya yok edebilirler. Bu durumsa, kullanıcılara hak etmedikleri, gereksiz bir güvenlik duygusu verilmesi açısından tehlikelidir.
Özet olarak, kullanaca?ımız kelime i?lemci, elektronik tablolama, muhasebe uygulaması yazılımlarını seçmek için, nasıl belirli bazı kriterler (uyumluluk, kolay kullanım gibi) arıyorsak, kullanaca?ımız antivirüs yazılımları için de bazı temel özellikleri gözetmemiz gerekmektedir.

Enfeksiyon sırasında virüslerin, PC sistem kaynaklarının kontrollünü tümüyle ele geçirdikleri gerçe?inin bilinmesi ve akıldan çıkarılmaması çok önemlidir. Bütün antivirüs yazılımları sistemi gözetlerken, izlerken bilgisayar virüsleri`nin dikkatli bakı?ları üzerlerindedir. Antivirüs yazılımlarına da virüs bula?abilir.

Yaygın olarak kullanılan Anti-Virüs Programları:
Norton Anti-virüs
McAfee Antivirüs
AVP
Panda Anti-virüs Titanium
F-prot