Toplam 2 sonuçtan 1 ile 2 arasındakiler gösteriliyor.
  1. #1
    Üyelik Tarihi
    14 Ekim 2001
    Bulunduğu Yer
    İSTNBL :)
    Mesaj
    19.716

    BİLGİSAYAR VİRÜSLERİ NEDİR,NASIL BULAŞIR ?


    Bilgisayar virüsleri, tıpkı kelime işlemciler,elektronik tablolama,veri tabanı yönetmenleri gibi birer bilgisayar yazılım programlarıdır. Bir deyişle bunlar,bilgisayara neleri hangi şekilde yapmalarını söyleyen komutlar dizisidir. Böylelikle bilgisayar virüsleri , işletim sisteminin desteklediği bütün işleri yapabilir.



    Birçok bilgisayar yazılımı, programın zarara uğraması ve veri kaybını önlemek için,kullanıcının bütün eylemlerini dikkatlice izler ve denetler. “Uyarı!Mevcut bir dosyanın üzerine yazmak üzeresiniz.Devam edelim mi(E/H)?” gibi mesajlara kuşkusuz alışıksınızdır.Bu uyarılar, bilinçsizce yapılan hatalı hamlelere karşı koruyucu bir mekanizma oluşturur. Disk işletim sistemleri bile, kendi komut zincirleri içinde buna benzer uyarı mesajları içerir.

    Diğer yandan, bilgisayar virüsleri ve benzeri yazılımları ise bütün yasalara uygun yazılımlara karşı tasarlanmışlardır. Virüsler, evsahibi programların (host programs) içine gizlenerek, kullanıcının isteği dışında belleğe yüklenir ve çalışırlar. Aktif hale geldiklerinde yapacakları için kullanıcıdan ne izin alırlar ne de uyarırlar. Virüsler herhangi bir hata ile karşılaştıklarında, hata mesajını görüntülemeden ve kullanıcıya hataya ilişkin koşulları düzeltmesine olanak sağlamadan, hatayı düzeltir veya düzeltmeye çalışırlar.

    “Yapabildiğin her şeyin daha iyisini yaparım.” esprisi, bir anlamda, bilgisayar virüsleri`nin dünyasında geçerlidir. Yasalara uygun yazılımların yapabildiği herşeyi, virüsler de yapar; hem de gizli olarak. Virüsler, diskleri formatlayabilir, kopyalayabilir, dosyaların adını değiştirebilir veya silebilir; dosya tarihlerini ve özelliklerini değiştirebilir ve başka bilgisayarların belleğine dosyaları yükletebilir veya bellekten sildirtebilirler.

    Böyle yazılımların virüs olarak adlandınlmalarına neden olan teknik bir tanımlama vardır. Virüs, diğer programları, kendisinin çalıştırılabilir (executable) bir kopyasını da içerecek şekilde güncelleştiren bir programdır. İşletim sistemi altında başka bir yazılımın yardımı olmadan çalışabilen dosya veya dosyalar grubu için “çalıştırılabilir” jargonu kullanılmaktadır. Bilgisayarınızın sabit diskinde yarattığınız herhangi bir alt dizini listelerseniz, çok sayıda değişik dosya dipleri ve dosya adları görebilirsiniz. Bazı dosya adlarının, .EXE veya .COM uzantısı olacağı gibi, bazılarının uzantıları ise .DAT, .DOC veya .WKS olacaktır. Bazı dosya adlarınınsa hiç uzantısı olmayabilir.

    Uzantıları .EXE veya .COM olan dosyalar çalıştırılabilir dosyalardır. Bunların dosya adlarını uzantıları olmaksızın yazarsanız, önemli bir şey olur: Bir program çalışır. Verileriniz ise, kullandığınız programın adlandırma biçimine göre uzantısı .DAT veya .DOC veya başka bir şey olan bir dosyada saklanır. Çalıştırılabilen dosyalar, program dosyalarıdır ve virüsler yalnızca bu dosyalara girebilirler. Herhangi bir yazılımın virüs olabilmesi için en az şu kriterleri sağlaması gereklidir:

    * Çalıştırılabilir olmalı.

    * Kendi kendisine kolonileşebilmeli.

    * Diğer çalıştırılabilir objeleri kendi kolonisine çevirebilmeli.





    MUZIR YAZILIMLARIN ÇEŞİTLERİ

    Bukalemun

    Truva atlarının yakın akrabaları olan bukalemunlar, diğer alışılagelmiş, güvenilir programlar gibi davranmakla beraber, gerçek birtakım hile ve aldatmalar içerirler. Uygun bir şekilde programlandığında bukalemunlar, yasalarla belirlenmiş yazılımların simulasyonu olan demonstrasyon programları gibi...

    Bir bukalemun, her defasında, çok kullanıcılı bir sistemde kullanıcı adları ve şifreleri için giriş iletilerini taklit edecek şekilde dahiyane bir biçimde programlanır. Bukalemun, sisteme giren bütün kullanıcıların adlarını ve şifrelerini gizli dosyaya kaydeder ve daha sonra sistemin bakım için geçici bir süre kapatılacağına ilişkin bir mesaj verir.Daha sonra bukalemunun yaratıcısı, kendi özel şifresi ile sisteme girer ve kaydedilen kullanıcı isimlerin ve şifrelerini alır. Ve daha sonra da sisteme kendi yasadışı amaçları için istediği gibi girer, çıkar. İlginç bir öykü değil mi?

    Bir bankacılık programını, her müşteri-banka ilişkisinde ortadaki parayı yuvarlayarak bir kaç sent'lik bölümlerini gizli bir hesaba atacak şekilde taklit eden program, bukalemunların en klasik örneğidir. Sonuç yüzler, binler belki de milyonlarca dolardır.

    Yazılım Bombaları ( Software Bombs )


    Şimdiye değin üretilmesi en kolay ve popüler olarak görülen muzır yazılım, yazılım bombası ( software bomb ) olmuştur. Yazılım bombaları yere çarpar çarpmaz patlar. Bu durumda ne bir uyarı ne de önceden bir belirti söz konusudur. Bu minimuma indirgenmiş reklamdır. Herhangi bir saklanma veya gizlenme ve doğal olarak kolonileşme yoktur. Yazılım bombaları adlarına yakışır bir şekilde çarpma anında patlar ve bütün verileri yok ederler.

    Mantık Bombaları ( Logic Bombs )

    Mantık bombaları, belirli çevresel değişkenlerin durumuna bağlı olarak yıkıcı bilgisayar komutlarını yerine getiren programlardır. Örneğin bir mantık bombası, yaratıcısının maaş kayıtlarını izleyebilir ve yaratıcısının maaşı belirli bir limitin altına düştüğünde; maaş kaydını silmek veya yanlış hesaplamak, sabit diski yeniden formatlamak gibi muzır işler yapacak biçimde programlanabilir.

    Saatli Bombalar ( Time Bombs )

    Saatli bombalar, nümerik veya zamana bağlı çevresel değişkenlerin aldıkları duruma göre koşulsal olarak, zararlı bilgisayar komutlarını yerine getiren programlardır. Genelde mantık bombaları ile aynı yapıya sahiptirler. Belirli bir sayıda çalıştırıldıktan sonra, belirli bir tarihte ( 1 Nisan’da veya ayın 13’ünün Cuma olduğu günlerde ) veya günün belirli bir saatinde (örneğin tam gece yarısı ) patlayacak şekilde programlanabilirler.

    Tavşanlar ( Rabbits )

    Bilgisayar virüsleri`nin kuzeni olan tavşanlar, adlarına yakışır bir şekilde çok hızlı ürerler. Bellekte veya diskte yeteri kadar alan tükeninceye kadar kolonileşirler. Bir koloni yaratıldıktan sonra, bu bir yavru koloni üretir ve yavru koloni yeterince gelişince yeni bir koloni daha doğurur ve bu döngü süregider. Burada amaç, özellikle çok kullanıcılı sistemlerin, iletişim ağ ortamlarında ana sistem bilgi işleme gücünü yitirinceye kadar sistemin kaynaklarını kurutmaktır. Tavşanlar ve virüsler arasındaki en belirgin fark, tavşanların kullanıcı veri kütüklerinin sonuna eklenmemeleri, asalak özelliklere sahip olmamaları ve kendi kendilerine yetebilmeleridir.

    Solucanlar ( Worms )

    Çok yaygın olarak virüsler`le karıştırılan solucanlar bir iletişim ağındaki bilgisayar sistemlerinde herhangi bir donanıma veya yazılıma zarar verme zorunluluğu olmaksızın bilgisayardan bilgisayara dolaşan programlardır. Yalnızca gerektiğinde bu gezilerini sürdürebilmek için ürerler.

    Solucanlar, girdikleri iletişim ağı içinde çok gizli bir şeklide gezinirler ve bu arada bilgi toplayarak (muhtemelen şifreler veya dokümanlar) gizemli mesajlar bırakırlar. Çoğu zaman iletişim ağındaki çalışan sistem operatörlerine gözükmemek için geride bıraktıkları her artığı silerler.

    Virüsler

    Bilgisayar virüsler`i, muzır yazılım galerisinin en gözde parçalarıdır. Bütün güvenlik uzmanlarından ve antivirüs yazılım şirketlerinden bu alanda en yüksek notu almışlardır.

    Bilgisayar virüsleri diğer programları, kendilerinin birer çalıştırılabilir kopyalarını programa eklemek yoluyla değiştiren programlardır. Yaratılmaları kolay, belirlenmesi güç olan virüsler, kendi kopyalarını programlara ekleyerek, koloniler oluşturur ve sistemi kirletirler. Profesyonelce tasarlanmış ve yaratılmış olan virüsler dosyaların tarihini, zamanını, özelliğini ve büyüklüğünü değiştirmezler.

    Eylemlerini sürdürebilmek ve bulaştıkları bir dosyaya bir daha bulaşmamak için, ilk enfeksiyon sırasında virüsler dosyanın içine kodlu işaretler (virus markers ) bırakırlar. İşaretlenmemiş dosya bulamadıklarında sistemin bütünüyle doldurulduğunu kabul ederler. Sistem işlevleri ve kullanıcılara ait verilerle oynamak işte tam bu anda başlar.

    Belirli bir süreden sonra virüsler açıktan açığa zararlı eylemlerde bulunmaya başlayabilirler. Ekranda şaşırtıcı ve esrarlı mesajları görüntüleyerek kullanıcı ile dalga geçerler veya normal olmayan sistem davranışlarına neden olurlar. Bazı virüsler sistem hatalarını maskeleyerek, kullanıcıya varolmayan donanım veya yazılım hataları iletirler. Diğer bazı virüsler ise, daha doğrudan bir yol izleyerek, ekranda zıplayan toplar veya gülümseyen suratlar görüntülenmesine neden olurlar.

    Özellikle yaratıcı ve dahi virüsler, kirli işlerini yerine getirdikten sonra bütün izleri silerek geride hiçbir kanıt bırakmazlar. Bir çok virüs şekli ise patlayarak sabit disk üzerindeki bütün verileri yok ederler.



    IBM ve IBM UYUMLU PC’LERİN ENFEKSİYONU

    IBM ve IBM uyumlu PC’ler, bütün kişisel bilgisayarlar arasında en yaygın olarak kullanılanlar olduklarından, bu bölümde verilen örnek ve açıklamalarda bu makineleri temel alma uygun görülmüştür. Ancak, bilgisayar virüslerine ilişkin temel ilke ve kuralların, tüm popüler bilgisayar modellerine ve işletim sistemlerine eşit ölçüde uygulanabileceği unutulmamalıdır. Hangi bilgisayar platformunda (hangi donanım ve yazılımla ) çalışırsanız çalışın, sisteminize bilgisayar virüsü bulaşma olasılığı mutlaka vardır.

    Tüm bilgisayar virüsler`i, yalnızca bir işletim sisteminde çalışabilecek şekilde tasarlanmış ve yaratılmışlardır. Tıpkı Apple Macintosh için yazılan bir programın IBM PC’lerde çalışmaması gibi (veya tam tersi )... Bir Macintosh’a bulaşabilen bir bilgisayar virüs`ü, bir IBM PC’de etkili olamaz. Evet, bazı Atari bilgisayarları Macintosh yazılımladına uyum sağlayabilir, bazı Macintosh’lar IBM PC yazılımlarını, OS/2 tabanlı bilgisayarlar ise “Compatibility box” içinde DOS uygulamalarını çalıştırabilir ancak; Macintosh sınıfı virüsleri değişik bir ortamda ele almak; Macintosh sınıfı virüsleri değişik bir ortamda ele almak ve bunların Macintosh olmayan sistemleri etkilemeyeceklerini düşünmek yerinde olur. Bilgisayar virüsler`i, bulaştıkları sistemlerin işletim sistemine bağlı programlardır. IBM PC sınıfı virüsler, IBM uyumlu yazılımları çalıştırabilen bir Macintosh’a iletilseler bile bunlar, Macintosh’un IBM uyumluluk için ayrılmış olan bölümlerinde hapsolurlar.



    BİLGİSAYAR VİRÜSLERİ`NİN ÇEŞİTLERİ

    Kelime işlemciler, elektronik tablolar, .DOS Shell ve benzeri yazılımlar gibi bilgisayar virüsler`i, lezzetin insanı ürküten düzeni içerisinde ortaya çıkarlar. Boot sektörü, komut işlemcisi, .COM ve .EXE dosyaları bulaştırıcıları, cihaz sürücü ( device driver ) şeytanları, çok amaçlı çoğaltıcılar ve belleğe yerleşen izleyiciler; donanıma takılı kalanlar ve CMOS yılanları... Bu liste sonsuzdur.

    Her bir bulaştırma tekniği muzır yazılımcılara dikkate değer avantajlar ve dezavantajlar sağlar. Bazı bulaştırma yöntemleri, antivirüs yazılımlarından iyi bir korunma sağladıkları için tercih edilirler, ancak, bunların tasarımı güçtür ve yazılımları da daha çok çaba gerektirir. Diğer yöntemler kodlama ve geliştirme için kolaylıklar sunarlar, fakat, bütün sisteme girme ve etkili olma açısından yetenekleri sınırlıdır.

    Kullanıcıların bilgisayar virüs yazılımlarına girmek için gerekli olan düzinelerce giriş noktasını özellikle bilmeleri önemli değildir, ancak, gene de virüslere ilişkin genel bir bilgi edinmek zararlı değildir.

    BOOT SEKTÖRÜ BULAŞANLARI

    ( Boot Sector Infectors )

    Bugün satılan her bir masaüstü kişisel bilgisayar sistemi, sistemin yüklenebilmesi için ya bir disket veya sabit disk ya da bir ROM ( Read Only Memory ) yongasına gereksinim duyar. Ana sistem disketleri, genellikle boot edilebilir disketler olarak düşünülür ve bir bilgisayarı açma işlemi boot etme ( booting up ) olarak tanımlanır. ( ROM içerisinden DOS sağlayan sistemler az ve seyrektir. Bunlar bile DOS uyarlamalarını güncelleştirme, kopya-korunmalı yazılımların bazı formlarını yüklemede veya DOS olmayan işletim sistemlerini kullanmada boot edilebilir disket kullanmayı gerektirmektedir.)

    Sistemin açılışı sırasında, boot edilebilir diskler yüklenmeden, bilgisayarlarda herhangi bir programın çalıştırılmasının mümkün olmadığını anlamak önemlidir. Uygulanabilir, ancak kullanıcıya yönelik olarak sınıflandırılamayan fonksiyonlar vardır. Bunlar BIOS ( Basic Input/ Output System ) fonksiyonlarıdır ve yalnızca bilgisayar programcıları ve bilgisayarkolikler tarafından anlaşılabilirler.

    Bilgisayarlar açıldıktan hemen sonra iletişim sistemi, ana boot disketinden program dosyalarını arar ve yükler. Bu dosyalar bilgisayara; temel I/O ( Input/Output-örneğin her bir klavye vuruşunun temel işlevi) fonksiyonlarını kontrol etme gibi düşük-düzey işletim görevlerinden, uygulamalarda kullanıcının silme veya kopyalama isteklerini yönlendirmek gibi yüksek-düzey işlere kadar olan bütün günlük işletimleri nasıl uygulayacağını anlatırlar. Bu tür işletimler, uygulama programları tarafından işletim sistemi aracılığı ile istenirler. İşletim sistemi, işletimi uygular ve sonucu ( başarı veya başarısızlık ) istekte bulunan uygulamaya bildirir.

    Sistem disketinde, start-up komut programlarının saklandığı alana genel olarak disk boot sektörü ( disk boot sector ) veya ana boot kaydı ( master boot record ) adı verilir. Disk boot sektöründe saklanan ve özellikle bulaştığı dosyalar üzerinde değişiklik yapma konusunda uzmanlaşan bilgisayar virüslerine Boot Sektörü Bulaşanları ( Boot Sector Infectors ) kısaca BSI denmektedir.

    Disk boot sektörüne (ana boot kaydına) virüs bulaşması muzır yazılımcıya bazı avantajlar sağlar. Herşeyden önemlisi, kullanıldığında bu dosyalar dizin listesinde görüntülenmezler. Daha da ötesi, bu gizli DOS işletim sistemi dosyaları kullanıcı tarafından doğrudan doğruya çalıştırılamazlar, herhangi bir güçlü yazılım programı yardımı olmaksızın kolaylıkla silinemez, kopyalanamaz, adları değiştirilemez. Bu alçak-seviye sistem dosyaları yanlış kullanıldığında, sistem yeterli düzeyde çalışamaz. Normal olarak DOS işletim sistem dosyalarının çalıştırılması ve bunlarla ilgili işlemler yalnızca BIOS tarafından gerçekleştirilebilir.

    Temel kullanıcı programları veya komut işlemcisi programlar, COMMAND.COM adı verilen dosyada bulunurlar. IBM uyumlu bilgisayarlarda sistemin start-up işlemi bittiktensonra COMMAND.COM yüklenir. Bir diğer deyişle, MSDOS.SYS ve IO.SYS dosyaları yüklenmiş, çalıştırılmış ve bilgisayar, kullanıcı komutlarını uygulamaya hazırdır. A> veya C> iletisi görüntülendiğinde COMMAND.COM yüklenmiştir ve bilgisayar kullanıcı girişlerine hazır durumdadır. Klavyeden herhangi bir komut girildiğinde COMMAND.COM onu yorumlar ve kullanıcının bilgisayardan ne istekte bulunduğunu belirlemeye çalışır. COMMAND.COM kullanıcının ne istediğini tam olarak anlayamamış ise, “Bad command or file name” mesajı görüntülenir. Aksi durumda COMMAND.COM istenilen fonksiyonu yerine getirir ve komut iletisini ( A> veya C>) yeniden görüntüleyerek yeni bir komut beklemeye başlar.

    COMMAND.COM gibi komut işlemcilerine bulaşmak için tasarlanmış olan bilgisayar virüslerine Komut İşlemcisi Bulaşanları ( Command Processor Infector-CPI ) adı verilir. Bunlar muzır yazılıcılara önemli avantaj sağlarlar. IBM uyumlu bilgisayarlarda komutların büyük çoğunluğu klavyeden girildiği için, komut işlemcisi bulaşanları kullanıcı ve bilgisayar arasında etkileşimin önemli bir bölümünü sınamak avantajına sahiptir. Komut İşlemcisi Bulaşanları, DIR veya COPY gibi boot sektörü bulaşanları, sistem yüklenir yüklenmez kendileri de belleğe yerleşebileceklerinden sistemin denetimi üzerinde etkin bir güce sahip olurlar. İşletim sistemi yüklenmeden, komut işlemcisi yüklenmeden, yığın kütükleri ( batch files ) ve mönü sistemleri yüklenmeden önce ve doğal olarak hiçbir antivirüs programı yüklenmeden önce boot sektörü bulaşanları bütün denetimi ele alırlar.

    Boot sektörü bulaşanları bellekte kalıcıdır ve her zaman aktiftirler. Diğer bellekte kalıcı programlar gibi CTRL-ALT-DEL tuş kombinasyonu ile sistemin yeniden yüklenmesi durumunda ( warm boot ) bellekten yok edilemezler. Antivirüs yazılımların aldığı önlemleri de kollayarak, kullanıcının her hareketini izlerler. ( Örneğin, virüs yazılımının eklenmesi ile dosya uzunluklarının artmasına rağmen, dizin listesinde değişikler yaparak kullanıcıya doğru dizin listesini verirler. ) Ve zamanı geldiğinde normal işlemleri keser ve verileri kolaylıkla bozarlar.



    KOMUT İŞLEMCİSİ BULAŞANLARI

    ( Command Processor Infectors )

    Hemen hemen bütün IBM uyumlu PC’ler ya MS-DOS (The Microsoft Disk Operating System ) ya da PC-DOS’un (bu sistemin IBM uyarlaması) bir uyarlaması kullanırlar. Bu standart PC işletim sistemi genelde DOS olarak adlandırılır. DOS dosyaları temel olarak iki geniş kategoriye ayrılırlar: Alçak-düzey sistem destek dosyaları ve yüksek-düzey kullanıcı program dosyaları.

    "Gizli" (hidden) işletim sistemi dosyaları IO.SYS ve MSDOS.SYS olarak adlandırılmıştır. (IBM’in PC.DOS’unda bunlar IBMBIO.COM ve IBMDOS.COM adlarını alırlar.) DOS DIR komutu COMMAND.COM komutları geri planda çalışırken, normal disk ulaşımlarının ardına gizlenme fırsatını çoğu zaman kötüye kullanırlar.

    Örneğin, kullanıcının disket içeriğini görmek için tek yolu DIR komutunu kullanmaktır. DIR sözcüğünün yazılması ile, disket sürücü okuma ( read ) işlevini yerine getirmek üzere harekete geçer. Kullanıcı bu sırada disket erişimlerinin gerçekleşmesini bekler. DIR komutu tam olarak yerine getirilmeden önce komut işlemcisi bulaşanları kayıp içeri girerler, araştırırlar ve buldukları zaman diğer komut işlemcilerine bulaşırlar. Bu arada da DIR komutu hiçbir şey olmamış gibi yerine getirilir. Virüs bulaştırılmış komutların işletilmesi temiz olanlara oranla daha uzundur, ancak kullanıcıların çoğu bu farka dikkat etmezler. Ama muzır yazılımcı bunun farkındadır.



    GENEL AMAÇLI BULAŞANLAR

    ( General Purpose Infectors )

    Bilgisayar virüsleri krallığının “her eve lazım” tipindeki en popüler elemanları Genel Amaçlı Bulaşanlardır ( General Purpose Infectors-GPI ). Genel Amaçlı Bulaşanlar herhangi bir hedefe yönelik olarak tasarlanmamışlardır ve genellikle düşük düzeydeki sistem işletim dosyalarına bulaşmazlar. Ancak gene de merkezi komut işlemcilerine bulaşmaları kaçınılmazdır.

    Genel Amaçlı Bulaşanlar (GPI) bilgisayar sistemlerine, Boot Sektörü Bulaşanları (BSI) ve Komut İşlemlicisi Bulaşanları’nın (CPI) kullandığı aynı gizli yolları kullanarak girerler. Düşük düzeyde sistem dosyalarını araştırmak ve komut işletimlerini hedeflemek yerine, daha çok çalıştırılabilir dosyalara bulaşma eğilimindedirler. (Bazıları yalnızca bir çalıştırılabilir dosya türüne yöneliktirler, *.EXE veya *.COM ) Hedef program dosyalarının DISKCOPY gibi kullanım programı veya kelime işlemciler gibi uygulama yazılımları olmalarına bakmaksızın GPI’lar onlara bulaşabilir ve onları Truva atı gibi kullanabilirler.

    Genel Amaçlı Bulaşanlar tüm sisteme sızmakta ustadırlar ve böylelikle bilgisayar virüslerinin en hızlı yayılan tiplerini oluştururlar. İyi tasarlanmış olanları çalıştırılabilir dosyalar arasında çok hızlı hareket ederler ve çok kısa bir sürede bütün dosyalara bulaşarak sistemi ele geçirirler. Bir kez ortaya çıkarıldıklarında boot sektörü ve komut işlemcisi buluşunları kolaylıkla yok edilebilmelerine (sistem ve komut işlemcisi dosyalarını yeniden yükleyerek) karşın, genel amaçlı bulaşanlarca ele geçirilen sistemlerde onarımı olası olmayan sorunlarla karşılaşılabilinir.



    ÇOK AMAÇLI BULAŞANLAR

    ( Multipurpose Infectors )

    Boot sektörü, komut işlemcisi ve genel amaçlı bulaşanların bazı ya da bütün bulaşıcı özelliklerini birleştiren bilgisayar virüslerinin ortaya çıktığını düşünün. Düşüncesi dahi korkunç olan Çok Amaçlı Bulaşanlar (Multipurpose Infectors-MPI) pratikte gerçektirler ve şimdiye kadar tartışılmış olan üç virüs tipinin de en güçlü özelliklerini birleştirmek için tasarlanmışlardır.

    Çok Amaçlı Bulaşanlar temel olarak boot sektörünü, komut işlemcisini veya her ikisini de enfekte ederler. Oradan, gerçekte genel amaçlı bulaşanlar olan virüs parazitlerin yayarlar. İki veya daha fazla bulaşıcı tekniğe sahip olan Çok Amaçlı Bulaşanlar, daha uzun yaşamayı başarırlar ve kendilerini yeniden üretme konusunda, tek boyutlu bulaşıcı özelliğe sahip virüslerden daha ustadırlar.

    Çok Amaçlı Bulaşanlar işletim sırasında denetimi el geçirdikleri zaman, boot sektörü ve komut işlemcisinde bulaştırılmış dosyaları tanımlayan virüse özgü işaretler (V- markers ) ararlar. V-markers bulunamadığı durumlarda, Çok Amaçlı Bulaşanlar işaretlenmemiş olan dosyaları enfekte ederler. Ancak bazen V-markers bulunmasına karşın, bir tuzak olabilir sanısıyla Çok Amaçlı Bulaşanları bu dosyalara da bulaştırırlar. Çok Amaçlı Bulaşanlar, etkili, bağışıklık kazanabilen, boot sektörüne, sistem dosyalarına, komut işlemcisine ve genel programlara zarar verebilen virüs tipleridir.



    BELLEKTE KALICI BULAŞANLAR

    ( Memory Resident Infectors )

    Boot sektörü ve komut işlemcisi bulaşanları Bellekte Kalıcı Bulaşanlar (Memory Resident Infectors-MRI) olarak tanımlanabilirler, çünkü her iki virüs tipi de bellekte yüklü kalır ve uygun koşullarda bilgisayarın belleğinde aktif hale gelirler. Birçok programcının kullandığı kullanım programları (utilities) gibi, bazı bilgisayar virüsleri de bellekte yerleşik işlem yeteneğine sahiptirler. Yasal olan TSR (Terminate-and-Stay Resident, Yok et ve yerleş) kullanım programlarının aksine, Bellekte Kalıcı virüsler kullanıcı tarafından tek bir tuş darbesiyle çağrılamazlar; onlar yükleme sırasında belleğe yerleşir ve bütün oturum boyunca aktif kalırlar.

    Bellekte Kalıcı Bulaşanların bir çok üstün yanları vardır. Sürekli bellekte yüklü ve aktif oldukları için, bir çok bilgisayar aktivitesine karışabilme yeteneğine sahiptirler. Klavyeden verilen komutları kesintiye uğratabilir, ekran çıktılarını tahrip edebilir, veriler kontrol edebilir ve hatta daha kötüsü değiştirebilirler. Dahası Bellekte Kalıcı Bulaşanlar, sürekli olarak hedef sistem içerisinde bulaştırılmamış dosyaları tararlar ve onlara da bulaşırlar.



    BİLGİSAYAR VİRÜSLERİ TARAFINDAN KULLANILAN

    POPÜLER BULAŞTIRMA YÖNTEMLERİ


    Bilgisayar virüsleri bilgisayarınıza bulaşır demek yeterli değildir. Her bir bilgisayar virüsünün denetimi ele geçirmede kendisine özgü bir yöntemi vardır. Virüsler, türlerine göre, kendilerini programın sonuna ekleyebilir, içine nüfuz edebilir veya çalıştırılabilir program dosyalarının çevresini çepeçevre sarabilirler. Bazı virüsler ise daha yüksek düzeyde adaptasyon için söz konusu yöntemleri birleştirirler. Virüsler belleğe yerleşerek DOS sistem çağrılarını ve kullanıcı komutlarını kesintiye uğratabilirler. Sistem giriş/çıkış (I/O, Input/Output)’larını kendilerine doğru yeniden yönlendirebilir veya korunmasız bölgelere giderek temiz dosyaları virüslü taklitleriyle değiştirebilirler.

    Kullanıcılar bilgisayar virüsleri ve hedef sistem (kendi sistemleri) arasındaki teknik diyaloğun ayrıntıları ile ilgilenme gereği duymazlar; temeldeki amaçları güvenli bilgi işlem çalışmaları yapma ve onları anlamadır. Ancak, bilgisayarınız içinde neler olduğu konusunda bir düşünce sahibi olmanız yararlıdır. Amaç olarak yazılımı, verileri ve dosyaları düşünmek bilgisayarınızın değil, sizin sorumluluğunuzdadır. Bu amaçlara ulaşma yollarının denetimini, ancak sisteminizin korunması konusunda bilgi edinmeye istekli olduğunuz ve bu uğurda enerji ve zaman harcadığınız zaman elinizde tutabilirsiniz. Bu nedenle, bu bölümde virüsler tarafından kullanılan yöntemlerin kısa bir özeti sunulmuştur.

    Bilgisayar virüslerinin çoğunluğunun çalıştırılabilir dosyalardan denetimi ele geçirmek için kullandıkları beş popüler yöntem vardır:

    Ekleme (Appending)
    Araya sokma (Insertion)
    Yeniden yönlendirme (Redirection)
    Yer değiştirme (Replacement)
    Virüs kabuğu (The viral shell)


    EKLEME (Appending)

    Çalıştırılabilir program dosyalarının sonlarına virüse ilişkin kod ekleyen virüsler ekleyerek bulaştırma yöntemini kullanırlar. Hedef çalıştırılabilir (.EXE) programlar değiştirilebilirler, böylece bu programlar çalıştırıldığı zaman, Şekil 3-1’de gösterildiği gibi programın denetimi program sonuna eklenen virüs kodlarına geçer. Şekildeki numaralar, normal bir programın yürütülmesi ve daha sonra virüslü bir program sırasında oluşacak olayların sırasını belirtmektedir.

    ŞEKİL 3-1

    Ekleme Virüsü Tarafından Bulaştırılmış Bir Program


    Enfeksiyondan önce program

    PROGRAM.EXE

    Dosya Uzunluğu= 10240 bayt


    Enfeksiyondan sonra program

    PROGRAM.EXE

    VİRÜS KODU

    Dosya Uzunluğu=10240 bayt + virüs kodunun uzunluğu



    Bulaştırmanın sıralamayı nasıl değiştirdiğine dikkat etmelisiniz: Eklenen virüs kodu kendini harekete geçirir ve fesat görevini başarıyla tamamladıktan sonra, komut, hiçbir şey olmamışçasına çalışmaya devam ederek ana dosyalara geri döndürülür.

    Bulaşacakları dosyaların tipine bağlı olarak ekleme yöntemini kullanan bilgisayar virüsleri, işletim süresince denetimini hedefledikleri programlardan saptırmak için bir çok farklı teknikler kullanırlar. Örneğin, .COM ve .EXE kütükleri program giriş noktalarını (program kodlarının bellekteki başlama yerleri) bilgisayara tavsiye etmek için farklı algoritmalar (komut sıralaması) kullanırlar. Muzır yazılımcılar bulaştırma mekanizmalarını tasarlarken bu ince program farklılıklarına dikkat ederler, aksi takdirde ekleme yöntemini kullanan virüsleri yalnızca bir çalıştırılabilir dosya tipine yönelik oluştururlar. Bu nedenledir ki, bazı virüsler sadece .EXE dosyalarına bulaşabilirler. Bunların yazılımcıları, hedef kütüğün çok yönlü özelliklerin ele almada gereli uygun mantığı kullanmada yetersiz veya isteksizdirler.

    ARAYA SOKMA ( Insertion )

    Kendi yazılım kodlarını, doğrudan doğruya kullanılmamış olan kodların ve çalıştırılabilir programların veri bölümlerinin arasına yerleştiren bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya sokma yöntemini kullanırlar. Bir önceki yöntemde olduğu gibi, araya sokma yöntemini kullanan virüsler de hedef dosyalarda bazı değişikliklere neden olurlar. Yöntemlerdeki farklılık, Şekil 3-2’de gösterildiği gibi, virüs kodunun sona eklenmesi yerine, hedeflenen çalıştırılabilir dosyanın içerisine yerleştirilmesidir.


    ŞEKİL 3.2

    __________________________________________________ ___________________________

    Araya Sokma Yöntemini Kullanan Bir Virüs

    Tarafından Bulaştırılan Bir Program

    Enfeksiyondan önce program

    PROGRAM.EXE

    Dosya Uzunluğu=10240 bayt

    Enfeksiyondan sonra program

    PROG(VİRÜS KODU)RAM.EXE

    Dosya Uzunluğu=10240 bayt

    Araya sokma yöntemini kullanan virüslerin gelişimi, ekleme yöntemini kullanan virüslere göre daha zordur; çünkü temelde virüs kodunun uzunluğu minimumda tutulmalıdır. Çoğu zaman yeter büyüklükte kullanılmamış program alanı bulmak zor, hatta bazı durumlarda olanaksız olabilir. Bu uzunluk sınırlaması virüs kodunun uyarlanabilirliğini azaltarak, muzır yazılımcıların virüse ekleyecekleri fonksiyonların sayısını oldukça azaltır. Öte yandan, ekleme yöntemini kullanan virüslerde bu sınırlama yoktur. Özellikle .EXE dosyaları için tasarlanmaları daha kolaydır, çünkü .COM dosyaları için geçerli olan 64K dosya uzunluğu sınırlaması .EXE dosyaları için geçerli değildir.



    YENİDEN YÖNLENDİRME ( Reduction )


    Yeniden yönlendirerek bulaştırma yöntemi ileri düzeyde virüs yazılımcıları tarafından kullanılan ilginç ve üst düzeyde bir yaklaşımdır. Bu şema altında bilgisayar

    virüsü denetim merkezleri, disk bölünüm alanları, bozuk olarak işaretlenmiş sektörler veya gizli dosyalarda gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan “usta” virüsler, çalıştırılabilir. ( .EXE ) dosyalar arasına küçük virüs işçilileri yerleştirirler. Bu virüs işçileri hedeflenen program çalıştırıldığında ustalarına çağrılar (çalıştırma istekleri) yayınlayarak program akışını yeniden yönlendirirler. Usta (belki daha çok virüs işçisi yayarak) işçilerini yönetir ve daha sonra denetimi gerçek programa bırakırlar.

    Virüs işçileri teoride birkaç düzine bayt küçüklüğünde veya bu uzunluktan daha kısa olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok kolaydır. İşin daha ilginç yönü; bellekte kalıcı virüslerle ( boot sektörü veya komut işlemcisi buluşanları gibi) birleştirildiklerinde, virüs işçilerinin boyu iki başta kadar sıkıştırılabilirler ve bu iki bayt denetimi bellekteki virüslere devreden DOS kesintilerini ( interrup) çağırmak için gereklidir.

    Yeniden yönlendirme yönteminde virüs kodlarının büyüklüğü ihmal edilebilir oranda az olduğu için, diskteki boş alanlarda herhangi bir değişiklik farkedilmez. Uygun küçüklükte olan bulaştırıcı kod parçaları program dosyalarını birkaç bayt büyütürler veya hiç büyütmezler. Sonuçta yeniden yönlendirme yöntemi muzır yazılımcılara, hedeflenen dosyalara veri kilobaytları eklemenin sonuçlarına aldırmaksızın geniş ve çok yönlü bilgisayar virüsleri yaratmalarına olanak tanır.

    Yeniden yönlendirme yönteminin muzır programcılara sunduğu temel dezavantaj şudur: Bulaşıcılar belirlendiklerinde kolaylıkla sökülüp atılabilmektedirler. Gizlendikleri yerlerden ana virüs damarlarını silmek, bilgisayarı temizlemek için yeterlidir. Bu durum bütün virüs işçilerini güçsüz kılacaktır, çünkü onlar hiçbir zaman kendi başlarına ana kontrol programlarını bulamaz ve iletişime geçemezler.



    YER DEĞİŞTİRME ( Replacement )

    Şimdiye kadar virüs yazılımcıları tarafından kullanılan en ağır ve en hantal bulaştırma yöntemi, hedeflenen çalıştırılabilir ( .EXE ) dosyaların virüssel işletimcilerle yer değiştirilmesidir. Yer değiştirme yöntemini kullanan virüsler gerçekte çalıştırılabilir dosyaları enfekte etmezler, daha ziyade yerleştikleri sistemi enfekte ederler. Şekil 3-3’de gösterildiği gibi virüs kodları ile tamamen yer değiştirirler; bu anlamda hedef, dosyaların üzerine yazılır. Bulaştırılmış programın işletilmesi sırasında olayların sırasının değişmediğine ve program kodunun virüs kodu tarafından nasıl silinip yer değiştirdiğine dikkat edelim.

    ŞEKİL 3-3

    Yer Değiştirme Yöntemini Kullanan Virüs Tarafından

    Bulaştırılmış Bir Program

    Enfeksiyondan önce program

    PROGRAM.EXE

    Dosya Uzunluğu=10240 bayt


    Enfeksiyondan sonra program

    VİRÜS.EXE

    Dosya Uzunluğu=10240 bayt







    Muzır yazılımcılar açısından bu kaba güç kullanan yöntemin bazı yaraları vardır: Geçerli program dosyaları her yer değiştirmede tamamen yok edilirler ve hedeflenen sistem çok kısa bir süre içinde değersiz bir donanım yığını haline dönüşür. Bu yöntemin zayıf yönü ise, enfeksiyonların ilk ortaya çıkışından hemen sonra kolaylıkla belirlenebilmeleridir. Ancak yer değiştirme yöntemini kullanan virüsler, ilk işletimleriyle birlikte verileri yok ettiklerinden, hızlı ve etkili bir şekilde yok edilebilmelerine rağmen etkileri zarar vericidir.



    VİRÜS KABUĞU ( The Viral Shell )

    Virüslerin dünyasında bu yöntem gerçekte bir bulaştırma tekniği olarak düşünülmez; daha çok ileri düzeyde virüs yapıları tarafından kullanılan enfeksiyon sonrası yaşama yöntemidir. Komut işlemcisi ve bellekte sonrası yaşama yöntemidir. Komut işlemcisi ve bellekte kalıcı virüslerin onun özelliklerini desteklemelerine karşın, çoğunlukla boot sektörü bulaşanları tarafından oyuna dahil edilirler. Bu virüs, sisteminize yüklenebilecek en sinsi ölümdür.

    Virüs kabuğu uygulamada sınırlayıcıdır. Bütün normal bilgisayar işlevlerin etkinliği altına alır ve belleğe yerleşen virüslerin varlığını tehdit eden, varlığını ve yerini ortaya çıkarıcı olası eylemleri durdurur veya maskeler. Dizin listeleri analiz edilir ve sonuçtaki ekran görüntüleri değiştirilir. Böylelikle birkaç ekstra kilobayt virüs kodu taşımalarına rağmen enfekte edilmiş dosyalar, normal dosya uzunluğuna sahiplermiş gibi görünürler. Boot sektörü, komut işlemcisi ve genel dosyaları görme, toplamı kontrol etme veya diğer türlü inceleme girişimleri hep sonuçsuz bırakılırlar.

    Muzır yazılımcılar, her gün daha yenisi ve etkilisi geliştirilen virüs programlarının yayılması, desteklenmesi, işletilmesi ve yüklenmesinde kullanıcıları tuzağa düşüren şeytanca zeki yollar yaratmak için saatlerini, günlerini harcarlar. Bu bölümde tartışılan virüs tipleri ve bulaştırma yöntemlerinin, virüslerin nasıl çalıştığı ve bilgisayar sistemlerine nasıl girdikleri konusunda size önemli temel bilgiler verdiği düşünülmelidir.





    BİLGİSAYAR VİRÜSLERİNİN YAYILMASINI ÖNLEMEK



    ALINMASI GEREKEN ÖNLEMLER KAÇINILMASI GEREKEN ÖNLEMLER

    Bilgisayar virüslerinin varlığını yok saymak felakete giden bir yoldur. “ Böyle bir şey benim başıma gelmez” yaklaşımını kabullenmek, muzır yazılıcıların ekmeğine yağ sürmekten başka bir şey değildir. Büyük bir olasılıkla bilgi işlemin uçsuz bucaksız dünyasında bir yerde, üzerinde kendi adınız veya dosyanızı paylaştığınız kişinin adı yazılı olan bir virüs vardır.

    Felaketi önleminin yolu, en iyi bilgi işlem güvenlik uygulamalarına sıkı sıkıya bağlanmaktır. En etkili antivirüs yazılımlarına sıkı sıkıya bağlanmaktır. En etkili antivirüs yazılımlarını ve en iyi disk/dosya kullanım programlarını kullanmak, artık sık sık rastlanan virüs krizlerinden etkilenmemenizi sağlayacaktır. Yeni keşfedilen virüsleri tanımlayabilmek ve yok edebilmek, bu konuda uzmanlar bulunmasına karşın, oldukça gerekli bir zorunluluktur.

    Sistem güvenliğini bugün piyasada olan antivirüs yazılımlarına emanet etmek, bir tavşana havuç tarlasını emanet etmek gibi bir şeydir. Virüs yazılımcıları, her zaman yazılım tabanlı güvenlik sistemlerinin üstesinden gelmeyi başarmışlardır. Antivirüs yazılımları, kullanıcıların kendilerini iyi hissetmelerine yardımcı olmakla beraber, hemen hiçbiri tam bir koruma sağlayamamaktadır.

    Bugüne kadar kullanıcıların kendilerini bilgisayar virüs saldırılarına karşı silahlandırmak istediklerinde, en sık yaptıkları şey, antivirüs yazılım programları satın almak olmuştur. Antivirüs yazılımları tıpkı bilgisayar virüsleri gibi değişik tatta ve farklılıkta ortaya çıkarlar. Ancak bunların tümü iki geniş kategoriye ayrılırlar: Önleme sistemleri ve belirleme sistemleri.

    Önleme Sistemleri

    Önleme sistemleri, muzır yazılım saldırılarına anında karşı koyup durdurmaya yönelir. Bazıları yetkisiz programların ve kullanıcıların sistem donanımına erişimini engellemeye çalışır. Meydana geldikçe illegal disk erişimlerini belirleme ve bloke etme yoluyla, muzır yazılımların belleğe yüklenmesini durduracak ve şifre kullanımı ile yetkisiz kullanıcıların donanıma veya yazılıma erişimlerini önleyecek sistemin güvenlik düzeyini genişletirler.

    Bütün önleme sistemleri, zorunlu olarak, bellekte kalıcı programlardır. Sürekli olarak devrededirler ve program yükleme, diske yazma ve diskten okuma gibi yazılım yönlü komut isteklerini durdurmak ve belirlemek için DOS kesintilerini izleme ilkesine dayanırlar. Kuşkulu eylemlerle (örneğin, bir programı yüklenip, boot sektörlerinin üzerine yazmak için DOS’tan izin isteminde bulunulması) karşılaşıldığında, önleme sistemi derhal harekete geçer. DOS çağrılarını kesintiye uğratır ve kullanıcıyı uyarırlar. Bu durumda kullanıcı, durdurulan eylemlerin devamına izin verilip verilmemesine karar verebilir. Doğal olarak, boot sektörü yazım işlemleri sırasında bütün faaliyetler her ne pahasına olursa olsun önlenmelidir.

    Bu tür gerçek-zaman ( real-time ) denetim mekanizması teoride yaralı gibi görünse de, pratikte son kullanıcıya etkili ve yeterli bir koruma sağlayamaz. Herşeyden önce bellekte kalıcı koruma sistemleri değerli RAM alanlarını yutar. DOS iletişim sisteminde çalışan uygulama programları, program kod alanları için 64 K ile sınırlandırılmışlardır ve kullanıcılar olabildiği kadar çok kod alanını boş tutmaya çalışırlar. Öte yandan, diğer programlarla uyumluluk problemleri yaratmaya yönelik olmaları nedeniyle kötü bir üne sahip olan TSR programları, antivirüs sistemler olarak uygulandıkları zaman daha can sıkıcı olabilirler. Olası program yükleme, diskleri okuma ve diske yazma gibi her gün sık sık kullanılan bilgisayar aktivitelerini kesintiye uğratırlar; çünkü hangi aktivitelerin kullanıcı tarafından hangilerinin muzır yazılımlar tarafından başlatıldığını ayırdedemezler.

    Dahası; PopDrop, Headroom, TurpolPower TSR gibi TSR yönetim sistemlerinin belleğe yerleşmiş olan programları belirleyebilmesi ve etkisiz kılabilmesi gibi, bilgisayar virüsleri ve darbe indirmeden önce hedeflerinin kalkanlarını yıkabilir. Virüsler, antivirüs sistemlerinin yerlerini belirlediklerinde onları susturabilir, muzır eylemlerini gerçekleştirdikten sonra hiçbir şey olmamış gibi eski aktif durumlarına döndürebilirler.

    Bu tip saldırılara karşı koymak için bazı önleme sistemleri antivirüs kodlarına “nabız ölçme” baytları ekleyecek kadar ileri gitmişlerdir. Böylelikle önleme sistemi, bilgisayarın iç saatini sürekli olarak izleyerek onların ne zaman ve ne kadar süreyle illegal olarak kapatıldıklarını sorgulayabilirler. Ne var ki, bilgisayarın içindeki saati durdurmak ve antivirüs sisteminin işlevlerini çalışmaz hale getirdikten sonra yeniden başlatmak, bilgisayar virüsleri için pek zor bir iş değildir.

    En kötüsü, antivirüs TSR programları disk erişim kontrollerinin doğrudan yönetimini belirleyemezler ve bu son derece zayıf bir yöndür. İyi tasarlanmış virüsler, bir kez yüklendiklerinde, DOS işletim sistemini (dolayısıyla önleme sistemlerini de) atlama yeteneğine sahiptirler ve disk erişimlerini doğrudan doğruya yönetirler. Bu tip ölümcül virüsler ürerlerken, kendilerini belleğe yükletip verileri tahrip ederlerken önleme sistemleri, arka bahçelerinde olup bitenlerden habersiz bir şekilde boş boş otururlar. Bu durum, bellekte kalıcı antivirüs sistemlerine, bilgisayar virüslerine karşı savunmada ana silah olarak güvenilmemesi gerektiğinin temel nedenidir. Bu tür önleme sistemleri, kötü tasarlanmış bombalara ve virüslere karşı sıradan bir kalkan oluştururlar.

    Belirleme Sistemleri

    Önleme sistemleri programlar çalışırken neler olup bittiğini sürekli olarak izlerlerken, belirleme sistemleri program çalıştırılmadan önce program kodunu kontrol ederler. Belirleme sistemleri, önleme sistemlerini tamamlarlar; davetsiz misafirlerin bozgunculuklarına izin vermekle birlikte, daha sonra onları izole etmek için oldukça karmaşık ve gelişmiş belirleme algoritmalarına sahiptiler ve bunlara güvenirler. Bulaştırılmış bir program kodu belirlediklerinde, kullanıcıyı uyarmakla birlikte, denetlenen programın kullanılmasına, ileri düzeyde değerlendirilmesine veya tamamen elenmesine karar verirler.

    Önleme ve belirleme sistemleri karşılaştırıldığında, ikincisi daha dostça , daha uyumlu ve daha fazla güvenli olarak görünür. Belirleme sistemleri, diğer normal uygulama yazılımları gibi yüklenip çalıştırılır ve sonra bellekten çıkarlar. Önleme sistemlerinin aksine, ne sürekli olarak büyük bellek alanlarını ellerinde tutarlar, ne de normal programların işlemesini kesintiye uğratırlar.

    Belirleme sistemlerinin iki türü karşımıza çıkmaktadır: Antibomba dedektörleri ve Antivirüs dedektörleri.

    Antibomba Dedektörleri

    Anitbomba dedektörleri, bir veya daha faza dosyayı tarama veay hedef dosyanın çalıştırılabilir ( .EXE ) koduna yerleştirilmiş yokedici yolları (örneğin, disketi yeniden formatlama çağrıları veya kütük silme komutları) araştırma yeteneklerine sahiptirler. Bazı antibomba dedektörleri, virüs aktivitelerinin açık belirtilerini (ekran mesajları gibi) araştırıp, program koduna depolanmış metin mesajlarını çıkartırlar. Ancak bunların da bazı eksik yönleri vardır: Bazı yasal yazılımları bomba olarak tanımlarlar, şifrelenmiş metin mesajlarının yerini belirleyemez veya görüntüleyemezler ve sık sık gerçekten öldürücü program komutlarını yakalayamazlar.

    Antivirüs Dedektörleri

    Virüssel aktivitenin doğası gereği (virüsler statik .EXE program dosyalarında belirlenebilir değişikliklere neden olurlar), önleme sistemleri ve antibomba dedektörlerine oranla antivirüs dedektörleri virüs aktivitesini belirlemede çok daha etkilidirler. Bu etkinlik, uygulamaya koyulan belirleme algoritmasının kalitesiyle daha da artırılabilir.

    Antivirüs belirleme programları iki temel sınıfa ayrılırlar: Programa özgü dedektörler (genellikle virüs tarayıcılar olarak adlandırılırlar) ve genel dedektörler.

    Programa Özgü Dedektörler: Belirli sayıda (500’e yakın) bilinen virüsün taramasını yaparlar. Belirlemek üzere programlandıkları virüslerin işaretlerini (imzalarını) tanımlamaya çalışarak dosyaları incelerler. Bilinen virüs işaretlerini içeren program dosyaları, virüs tarayıcılarının belirledikleri virüse ilişkin olarak kullanıcıları uyarmalarına neden olurlar. Programa özgü belirleme sistemleri, kuramsal eksiklikleri ortaya çıkana dek iyi ve mantıklı bir görünümdedirler:

    Programa özgü dedektörler, sadece bilinen virüslerin sabit ve sınırlı bir bölümünü tanıyabilirler. Bu da yeni veya değişikliğe uğratılmış virüslerin, güncel olmayan bu dedektörlerin yanından kayarak sabit disklere doğru kolaylıkla yayılabilmeleri demektir.
    Programa özgü dedektörlerin, yeni virüsler keşfedildikçe veya eskileri değiştirildikçe sık sık bazen de pahalı olarak güncelleştirilmeleri gerekmektedir. Dahası, yeni virüs tanımlamaları sürekli olarak programa özgü dedektörlerin araştırma kodlarına eklenmelidir. Programa özgü dedektörlerin en son versiyonunu kullanmayan kullanıcılar tehlikeli bir şekilde günün gerisinde kalmış olurlar.
    Programa özgü dedektörler, ileri teknoloji ürünü olan şifrelenmiş virüsler tarafından saf dışı bırakılabilirler. Şifrelenmiş virüsler ya onları şifreleyerek ya da her enfeksiyonda bulaştırma kodlarını değiştirerek kendilerini maskederler.
    Genel dedektörler: İyi tasarlanmış genel dedektörler (oldukça seyrektirler) antivirüs yazılımlarının en güvenilir olanlarıdır. Genel dedektörler ,bilinen her bir virüsü tanımlamaya ve onların gerisinde kalmamaya çalışmak veya her bir DOS kesintisini ve olası olan bütün yazılım deliklerini tıkamak yerine, bütün bilgisayar virüslerinin paylaştığı tek zayıflığı hedeflerler: Bilgisayar virüsleri yaşamak için normal çalıştırılabilir (.EXE) dosyalarını değiştirmelidirler.

    Yeni versiyonları üretilmedikçe çalıştırılabilir program dosyaları, ne uzunluk ne de içerik olarak değişmezler. Genel virüs dedektörleri, statik program dosyalarındaki yetkisiz değişikliklerin bir virüs belirtisi olduğu varsayımına dayanır. Pratikte de bu varsayımın doğru olduğu sonucu kaçınılmazdır.

    İyi tasarlanmış genel dedektörler, statik çalıştırılabilir dosyalarda ne kadar küçük ve önemsiz olurlarsa olsunlar, meydana gelen bütün değişiklikleri yakalarlar. Diğer bütün entivirüs yazılımları gibi genel dedektörler de ne yazık ki, kusursuz değildirler. Kullanımı karmaşık, işletimi zaman alıcı olabilir, yarattıkları veri çıktı dosyaları diskte çok değerli alanları kullanabilir, bazen yanlış alarm verebilirler veya hedef sisteme kopyalanmışlarsa virüs enfeksiyonlarına kendileri maruz kalabilirler.

    İdeal antivirüs güvenlik ağı yazılımı, akıllı, iyi denenmiş, güvenli bilgi işlem yöntemlerinin dengeli bir birleşimi ve hem önleme hem de belirleme yazılımlarından oluşur. Kullanıcılar bilgisayar savunmasında bu çok yönlü yaklaşımı benimseyerek ve düzenli veri yedekleri

    (backups) sağlayarak, sistemlerinin muzır yazılımların tahriplerinden yeterince korunduğuna emin olabilirler.



    ANTİVİRÜS YAZILIMLARA İLİŞKİN SORUNLAR


    Bugün piyasada olan bütün antivirüs yazılımları, korku faktörünü eğitimsiz kullanıcıları istismar edercesine öne sürerek değerlerini artırırlar. Bilinçsiz kullanıcı, değişik yollarla mutlak sistem güvenliğini sağladığını iddia eden işportacı sözleriyle kandırılırlar. Ancak, daha önce de belirtildiği gibi, mükemmele ulaşamamış antivirüs programları kullanıcılara tehlikeli bir güvenlik duygusundan başka bir şey kazandırmazlar.

    Aşılar ( Vaccines)

    Sözde yazılım aşıları, bilgisayar virüslerinin ortaya çıktığı ilk anlarda geliştirilen antivirüs ürünler arasındaydılar. Son kullanıcının bu ürünlere ilk tepkisi olumluydu. Ancak, kullanıcılar bu ürünlerin temelini oluşturan teknolojiyi (ve bu teknolojideki hataları) öğrendikçe satışlar düştü. Bugün piyasada kullanıcıları açıkta, üreticileri ise sektör dışında kalmış olan böyle birkaç ürün vardır.

    Yazılım aşılarını geliştirenler programlarının, çalıştırılabilir dosyaya enjekte edildiklerinde onu virüs bulaşmalarından koruyan, yazılım antigenleri sağladıklarını söylemektedirler. Antivirüs programları ve gerçek biyolojik aşılar arasındaki bu kesin karşılaştırmalar yanlış yönlendiricilerdir. Yazılım aşılarının gerçekte yapabileceği şey, küçük programları ve toplam kontrol verilerini belirli çalıştırılabilir dosyalıra eklemektir. Böylece bu program dosyaları çalıştırıldıklarında, kontrol ilk önce ekli antivirüs programlarına geçirilir. Antivirüs programaları, çalıştırılabilir dosyaların halihazırdaki toplam kontrolleri ( checksum ) ile ekli toplam kontrol verilerini karşılaştırırlar. Karşılaştırmalar uyarsa, kontrol yeniden çalışan programa devredilir. Karşılaştırmalar uyuşmadığında, kullanıcılar uyarılır ve gerekli önlemler alınır.

    Kullanmadan önce yazılım aşılarına ilişkin sorunların farkında olmak yararlıdır:

    Aşılı programları yüklemek uzun sürer, çünkü eklenen antivirüs kodu ve verileri dosya büyüklüğünü artırır ve çalıştırma öncesi toplam kontrol-karşılaştırma işlemi zaman alır.
    Eklenen antivirüs kodu ve verileri program dosyalarını büyüttüklerinden pek çok sayıda disket tüketilir.
    .EXE dosyalarının başlıklarını değiştirmeye çalışan bazı aşılar, .COM dosyalarına karşı, bir koruma sağlayamazlar, çünkü .COM dosyaları, .EXE dosyaları ile aynı dosya başlığına sahip değillerdir.
    Bir çok aşılar sistem dosyalarından fazlasını (IO.SYS, MSDOS.SYS VE COMMAND.COM) koruyamazlar.
    Birçok aşılar “pack” edilmiş (sıkıştırılmış) .EXE dosyalarını koruyamazlar.
    Kendisini güncelleştiren programlar (installation) işleminin bir parçasının değiştirilmesinde yanlış alarmlar üretilir. Bunu önlemek üzere, yerleştirme işleminden ve kendisini güncelleştiren programlar kullanılmadan önce veya sonra, kullanıcılar, aşıların devreden çıkarılmalarına ve yeniden yerleştirilmelerine zorlanırlar.
    Antivirüs kod ve verisi ekleyerek .EXE dosyaları üzerinde yapılan değişikliklerin, bu program dosyalarının çalışmasını olumsuz yönde etkileyemeyeceğini kimse garanti altına alamaz.
    Virüsler, hedef dosyalardaki aşı program kodunun varlığını kolaylıkla belirleyebilir ve dosyalara kasten zarar vermedikleri halde, kendilerini çalıştırılabilir dosyalara eklerler.
    Panzehirler ( Antidotes )

    Virüs panzehirleri (aynı zamanda dezenfektan veya sökücü olarak da bilinirler), yazılım aşılardan kısa bir süre önce piyasaya girmişlerdir. Bugün yeni bir virüs ortaya çıkarıldığında ona karşıt bir panzehir tasarlanmaktadır.

    Çoğu antivirüs yazılım sistemleri, kendi ayrı türleri içerisinde alt sınıflandırmalar sunarlar. Antivirüs panzehir programlarını sınıflandırmanın en kolay yolu, felaket panzehirleri (disaster antidotes) ve bulaştırma panzehirleri (infection antidotes) şeklinde ikiye ayırmaktır.

    Felaket panzehirleri, zarar verici olaylar meydana geldikten sonra sistemleri çalşıma düzenlerine geri döndürmek üzere tasarlanmışlardır. Bu sistemin satıcıları, virüs nedeniyle yeniden formatlanarak kendilerine getirilen sabit disklerin üzerindeki verileri kurtarmalarıyla ün salmışlardır. Ancak bu basit bir aldatmacadır. Çoğu kullanıcı, sabit diski yeniden formatlamanın bütün kullanıcı verilerini silmediğini, sadece “allocated” disk alanlarını “kullanılmamış” olarak işaretlediğinin farkında değildir. Gerçekte felaket panzehirleri; boot sektörleri, komut işlemcisi, FAT (dosya yerleşim tablosu), dizinler ve bölümleme verileri gibi kritik disk bilgilerinin yedekleme kopyalarını geri yüklerler (restöre). Diskin yol haritaları (rood maps) geçerli yedeklerle değiştirildiğinde, kullanıcı verileri mucizevi olarak yeniden dirilmiş gibi gözükürler ve bir bakıma öyledir de.

    Diğer yandan, bulaştırma panzehirleri bilinen virüsleri dosya dosya tararlar ve ortadan kaldırırlar. Bu programlar sınırlı kullanım alanları içerisnde oldukça iyi çalışırlar. Bulaştırma panzehirleri, bilinen program türlerinin dar bir grubundan bilinen virüslerin sadece sınırlı bir setini ortadan kaldırırlar. Gerçekte, çoğu bulaştırma panzehirleri tek bir bilgisayar virüs ailesini ortadan kaldırmak için tasarlanmışlardır. Çünkü, sürekli olarak yeni virüslerin ortaya çıkmasıyla modalarının geçmesi ve etkisiz kalma olasılığı söz konusudur.

    Yazılım aşıları gibi panzehirler de bir noktaya kadar etkilidirler; ancak kusursuz değildirler:

    Format kurtarma programları (felaket panzehirleri) sisteme yerleştirilmelerinden önce zarar gören verileri kurtaramazlar. Panzehir programıyla yaratılmış, en az bir tane güncel yedekleme diski gereklildir.l
    Eğer panzehirlerin yedeklenmiş verileri doğru değilse, yerini değiştirdiği bilgi güncel olmayacak ve yanlışlık daha fazla veri kaybına neden olacaktır.
    Format kurtarma programları, düşük-düzey formatlama yoluyla silinmiş verileri kurtarmada başarısız kalırlar. Düşük-düzey formatlama, bir çok sabit disk kontrol kartı üreticileri tarafından kullanılır ve bilgisayar virüsleri tarafından da harekete geçirilebilir. Yüksek-seviye formatlama ise, AT&T, Compaq veya Unisys’ın DOS versiyonlarında FORMAT komutu ile disk verilerine ölümcül zararlar vermezler. Aksine, disk sektörleri içerdikleri veriler bozulmadan “kullanılmamış olarak işaretlenirler.)
    Diskler yeniden formatlandıktan sonra üzerlerine yeni veriler yazılırsa, silinen verilerin güvenilir bir biçimde kurtarılması mümkün olmayabilir.
    Bir çok kullanıcı, çok kötü bir biçimde zarar görmüş diskleri bile kullanabilir duruma getirebilen, Mace Utilities, The Norton Utilities, PC-Tools gibi, veri kurtarma programını başarıyla kullanmaktadır.
    Bulaştırma panzehirleri bilinen virüslerin ancak küçük bir miktarını araştırabilir, bulabilir ve ortadan kaldırabilirler. Sınıflandırılmamış virüsler aktif, belirlenmemiş ve dokunulmamış olarak kalırlar.
    Bulaştırma panzehirlerini kullananlar, geçerliliklerini koruyabilmek için bu programları sürekli güncelleştirmelidirler. Ancak yine de panzehir programları virüsleri bir adım geriden izlerler.
    Normal program dosyalarının virüsler tarafından enfekte edilmesi dosya üzedinde oldukça önemli zararlara yol açar (önemli program verilerinin üzerine virüs kodları yazılır.) Hemen hemen aynı mantıkla çalışan bulaştırma panzehirlerinin de virüs dolarını yok etmeye çalışırken dosyalara zarar verebileceği düşünülebilir. Daha da kötüsü, temizleme programları, temiz dosyaları enfekte edilmiş gibi görerek, geçerli program verilerinin üzerine yazarlar ve dosyayı onarmak isterken bozabilirler.
    Dosya Karşılaştırma Kullanım Programları

    ( File Comparison Utilities )

    Gerçekte her DOS kopyası, beraberinde COMP, DISKCOMP veya FC gibi dosya karşılaştırma programları ile gelir. Dosya karşılaştırma programları, hedef dosya özelliklerinin iki farklı kopyasını harf harf, bayt bayt karşılaştırırlar. Bu yaptıkları tek şeydir; ancak bu işi de çok iyi yaparlar. DOS’tan bağımsız olarak da satılırlar.

    Antivirüs yazılım satıcıları, dosya karşılaştırma programlarına sıkı sıkıya sarılmışlardır, çünkü virüsler dosyalara bulaşmak için onları değiştirmek zorundadırlar ve iyi tasarlanmış dosya karşılaştırma programları dosyalardaki en küçük değişiklikleri bile belirlerler.

    Ne yazık ki, bu sade ve basit tekniğe ilişkin bazı problemler vardır:

    Aynı düzeyde bir koruma, hiçbir ekstra ücret gerektirmeyen DOS dosya karşılaştırma programları ile de sağlanabilir.
    Karşılaştırılacak her bir dosyanın kopyası, ayrı bir disk veya dizinde depolanmalıdır ki, bu da disk alanlarının doldurulması anlamına gelir.
    Dosya karşılaştırma programları, virüs belirleme amacına özgü olarak tasarlandıklarında bile; virüs belirleme yönetiminin temel yönlerini içermezler. Alarm, veri şifrelenmesi, sistem kilitleri gibi özellikler eksiktir.
    Virüsler, dosyaların ikinci kopyalarını arayarak disk dizinlerini kontrol edebilir ve buldukları her iki kopyaya da bulaşabilirler. Bu durumda, gelecekteki dosya karşılaştırmaları, enfekte olan her iki dosya arasında herhangi bir fark bulamazlar. Ancak dosyaların kopyaları farlı disklere kopyalanırsa, bu durum, problem olmaktan çıkar.


    Virüs Tarayıcıları ( Virüs Scanners )

    Diskleri tarayarak, bilinen virüslere ilişkin işaretleri arayan antivirüs yazılımların ortaya çıkışı yenidir. Bu konudaki en tutucu görüşe sahip olan IBM firması bile “The IBM Virüs Scanning Program” adı altında kullanımı kolay ve etkili bir yazılım ile piyasaya girmiştir. Virüs tarayıcıları, daha önce de söz edildiği gibi, yalnızca, belirlemek üzere programlandıkları sınırlı sayıdaki virüse ilişkin işaretleri ararlar. Bu gerçeğin herkes tarafından bilinmesinde yarar vardır. Buna rağmen kullanıcılar virüs tarayıcıları konusunda azimli görünmektedirler. Bunun nedeni belki de, bilinen virüslerin sistemde olup olmadığını aramak kullanıcıya güven verecek ölçüde mantıklı gelmektedir.

    Virüs tarayıcıları, bilinen virüslerin sınırlı sayıdaki bir grubunu belirleyebilirler. Bu yeni veya güncelleştirilmiş virüslerin aktif olabilecekleri, yayılabilecekleri ve modası geçmiş tarayıcılar tarafından yakalanamayacakları anlamına gelir.
    Yeni virüsler bulundukça veya eskileri güncelleştirildikçe, virüs tarayıcılarının da güncelleştirilmesi gereklidir. Ancak bu durum sık sık gerçekleşir ve çoğu zaman da oldukça masraflıdır.
    Virüs tarayıcıları, işaretlerin maskelemek için veri şifreleme tekniğini kullanan gelişmiş bilgisayar virüsleri tarafından kolaylıkla saf dışı bırakılabilirler. Bu virüsler her enfeksiyonda virüssel işaretlerini değiştirdikleri için, virüs tarayıcılarına arayacak veya belirleyecek fazla bir şey kalmaz.


    Bellekte Kalıcı Antivirüs Programları

    ( Memory-Resident Antivirüs Programs)

    Başka bir antivirüs stratejisi, DOS komutlarını kesintiye uğratarak çalıştırılacak programı son anda kontrol eden bellekte kalıcı modüllere dayanmaktadır. Bu da beraberinde bazı sorunlar getirir.

    TSR (Terminate and Stay Resident) teknolojisini kullanan antivirüs programları, ya belirli dosyalara yazımları izlerler ya da çalıştırılacak program üzerinde son dakika kontrolleri yaparlar. Bazıları yeni yazılımların ve veri dosyalarının yerleştirilmesi ve kullanımını izlerken, bazıları da şifre koruması sağlarlar. Antivirüs TSR’ların kullanımından doğan komplikasyonlar çok çeşitli ciddi ve üzüntü vericidir.l

    Birçok bilgisayar konfigürasyonunun bazı TSR programları ile uyumu zayıftır. Uyumsuz olanlar kırılır, sistemi kilitler; kısacası anormal davranırlar. TSR tenolojisi MS-DOS için tasarlanmamış olan bir işi gerçekleştirmeye yeltenirler: Çokgörevlilik (multitasking-birden fazla programı aynı anda çalıştırmak). TSR geliştiricilerinin MS-DOS’un bu eksikliğine yönelik çalışmaları, çoğu zaman standart dışı ve sorunlu olarak kalmıştır.
    Antivirüs TSR’lar eldeki sınırlı RAM alanlarını tüketirler. Bunun anlamı, varolan bellek alanlarının azalması ve normal programlar ile veriler için yer kalmamasıdır.
    Normal bir disk işlevinin virüs aktivitesi olarak yanlış yorumlanması sonucu, sık sık gereksiz alarmlar verilebilir.
    Birçok antivirüs TSR yazılımı, yalnızca sınırlı sayıdaki dosyaların izlenmesine izin verirler ve bu arada diğer dosyalar (kullanıcı veri dosyalı dahil) bütünüyle korunmasız kalırlar.
    BIOS veya DOS tarafından yönlendirilen işlemlerin, antivirüs TSR tarafından kesintiye uğratılmaları sistemin performansını düşürür. Bellekte aktif olan antivirüs TSR’ların tipine ve sayısına bağlı olarak, bilgi işlem hızı dramatik düzeylere düşebilir.
    Virüsler, doğrudan disk kontrol donanımlarıyla oynayarak antivirüs TSR’ların yol kesmelerinden kurtulabilirler.
    Virüsler antivirüs TSR’ları kolaylıkla belirleyebilirler. Buna fazla şaşırmamak gerekir, çünkü antivirüs TSR’ların bellekteki varlıkları çok açıktır. Virüsler bunları saf dışı bırakabilir veya yok edebilirler. Bu durumsa, kullanıcılara hak etmedikleri, gereksiz bir güvenlik duygusu verilmesi açısından tehlikelidir.
    Özet olarak, kullanacağımız kelime işlemci, elektronik tablolama, muhasebe uygulaması yazılımlarını seçmek için, nasıl belirli bazı kriterler (uyumluluk, kolay kullanım gibi) arıyorsak, kullanacağımız antivirüs yazılımları için de bazı temel özellikleri gözetmemiz gerekmektedir.

    Enfeksiyon sırasında virüslerin, PC sistem kaynaklarının kontrollünü tümüyle ele geçirdikleri gerçeğinin bilinmesi ve akıldan çıkarılmaması çok önemlidir. Bütün antivirüs yazılımları sistemi gözetlerken, izlerken bilgisayar virüsleri`nin dikkatli bakışları üzerlerindedir. Antivirüs yazılımlarına da virüs bulaşabilir.

    Kaynak;Hacettepe Ünv.

  2. #2

    Benim Yasak aşkım:)))

    Bir ara Virüslere böyle hitap ediyorduk.1 ay içinde bilgisayarı en az 5 kez formatladım.Artık sorana yasak aşk yaşıyoruz o benden kopamıyor benden ondan diyordum
    Antivüris programım da vardı buna rağmen gelip bulaşmıştı.Şimdilerde uğramıyor nedenini bilmiyorum herhalde bana hissettiği aşk bitti

    Şimdilerde yaptığım tek şey tanımadığım hiç bir maili açmıyorum.Anti virüs programımda yok yani dışardan gelecek her türlü saldıraya açığız Allah'a emanet.

    Aslında yeni bir virüs haberleri gündemdeyken ihmal etmeden antivirüs porgramini yuklemeliyim.

Benzer Konular

  1. Bilgisayar ekranının fotoğrafı nasıl çekilir
    Konuyu Açan: MEHTAP-EMİR, Forum: Genel Forum.
    Cevap: 7
    Son Mesaj: 01 Haziran 2009, 21:29
  2. BİLGİSAYAR MASANIZ NASIL OLSUN?
    Konuyu Açan: sevilsan, Forum: Genel Forum.
    Cevap: 6
    Son Mesaj: 12 Nisan 2006, 10:35
  3. Konuyu Açan: yılmaz, Forum: Genel Forum.
    Cevap: 0
    Son Mesaj: 04 Mart 2005, 01:56
  4. Cevap: 7
    Son Mesaj: 11 Mart 2004, 15:28
  5. hepatit b tükrükle bulaşır mı?
    Konuyu Açan: gülsün, Forum: Genel Forum.
    Cevap: 7
    Son Mesaj: 06 Ocak 2004, 16:38

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Dosya Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok
  •  
 
 

Bu site Lidya.Net tarafından hazırlanmış ve yayınlanmaktadır © 1998-2012. Bu sitede yayınlanan yazılar, kaynak ve yazarı belirtilmek kaydıyla kullanılabilir.
İçerik sağlayıcı paylaşım sitesi olarak hizmet veren AnneCocuk.com adresimizde 5651 Sayılı Kanun'un 8. Maddesine ve T.C.K' nın 125. Maddesine göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan ve yazdıkları yazılardan kendileri sorumludur.
AnneCocuk.com ile ilgili yapılacak tüm hukuksal şikayetler iletişim linkinden iletişime geçildikten sonra en geç 2 (iki) gün içerisinde ilgili kanunlar ve yönetmelikler çerçevesinde tarafımızca incelenerek, gereken işlemler yapılacak ve size geri dönüş yapılacaktır.