I Virüsler
1 Tanım – Kötü Amaçlı Kod nedir?
Kötü amaçlı kod, kullanıcının izni olmadan şüpheli bir işlevi yerine getiren herhangi bir talimat veya talimat grubunu ifade eder.
2 Tanım – Bilgisayar Virüsü Nedir?
Bilgisayar virüsü bir tür kötü amaçlı koddur. Hem kendini kopyalayan hem de enfeksiyöz olan ve böylece bir biyolojik virüsü taklit eden bir dizi talimattır (yani bir program).
3 Program Virüsü ve Önyükleme Sektörü Enfektörleri
Virüsler önce enfekte ettikleri şey olarak sınıflandırılabilir. Kullanıcının oyunlar, kelime işlemciler (Word), elektronik tablolar (Excel) ve DBMS’ler (Access) gibi programlarına bulaşan virüsler program virüsleri olarak bilinir. Önyükleme sektörlerine (daha sonra açıklanacak) ve / veya Ana Önyükleme Kayıtlarına (daha sonra açıklanacak) bulaşan virüsler, önyükleme sektörü bulaşıcıları olarak bilinir. Bazı virüsler her iki gruba aittir. Tüm virüslerin üç işlevi vardır: Çoğaltma, Bulaşma ve Yükü Teslim Etme. Önce program virüslerine bakalım.
3.1 Program Virüsü Nasıl Çalışır?
Bir program virüsünün var olması için kendini diğer programlara eklemesi gerekir. Bu, bir virüsü diğer kötü amaçlı kod biçimlerinden ayıran temel özelliktir: kendi başına var olamaz; başka bir programda parazittir. Bir virüsün istila ettiği program ana bilgisayar programı olarak bilinir. Virüs bulaşmış bir program yürütüldüğünde, virüs de yürütülür. Virüs şimdi ilk iki işlevini eşzamanlı olarak yerine getiriyor: Reproducing and Infect.
Virüs bulaşmış bir program yürütüldükten sonra, virüs ana bilgisayardan denetimi alır ve aynı anda veya şu anda bulaşmamış olan diğer disklerdeki diğer programları aramaya başlar. Birini bulduğunda kendisini virüs bulaşmamış programa kopyalar. Daha sonra, bulaşmak için daha fazla program aramaya başlayabilir. Enfeksiyon tamamlandıktan sonra kontrol konak programına geri döner. Ana bilgisayar programı sonlandırıldığında, virüs ve muhtemelen virüs de bellekten kaldırılır. Kullanıcı muhtemelen ne olduğundan tamamen habersiz olacaktır.
Bu enfeksiyon yöntemindeki bir değişiklik, konakçı sona erdikten sonra bile virüsü hafızada bırakmayı içerir. Virüs artık bilgisayar kapatılana kadar bellekte kalacak. Bu pozisyondan, virüs programları kalbin içeriğine bulaştırabilir. Kullanıcı bilgisayarını bir daha başlattığında, bulaşmış uygulamalarından birini bilmeden yürütebilir.
Virüs hafızada olur olmaz virüsün üçüncü fonksiyonunun devreye girme riski vardır: Yükü Teslim Etme. Bu etkinlik, virüs oluşturucunun dosyaları silmek veya bilgisayarı yavaşlatmak gibi istediği herhangi bir şey olabilir. Virüs, bilgisayar kapatılana kadar yükünü taşıyarak bellekte kalabilir. Veri dosyalarını değiştirebilir, veri dosyalarına ve programlarına vb. Zarar verebilir veya silebilir. Bir kelime işlemcisi, elektronik tablo, veritabanı vb. İle veri dosyaları oluşturmanızı sabırla bekleyebilir. Daha sonra programdan çıktığınızda virüs değişebilir veya yeni veri dosyalarını silin.
3.1.1 Enfeksiyon Süreci
Bir program virüsü genellikle diğer programlara, hedefin sonuna (ana bilgisayar programı) bir kopyasını yerleştirerek bulaşır. Daha sonra, ana bilgisayar yürütüldüğünde, kontrolün virüse geçmesi için ana bilgisayar programının ilk birkaç talimatını değiştirir. Daha sonra kontrol ana programa geri döner. Bir programı salt okunur yapmak bir virüse karşı etkisiz bir korumadır. Virüsler, salt okunur özniteliğini devre dışı bırakarak salt okunur dosyalara erişebilir. Enfeksiyondan sonra salt okunur öznitelik geri yüklenir. Aşağıda, bir programın virüs bulaşmadan önce ve sonra çalıştığını görebilirsiniz.
Enfeksiyondan Önce
1. Talimat 1
2. Talimat 2
3. Talimat 3
4. Talimat n
Program sonu
Enfeksiyon Sonrası
1. virüs talimatı Git 1
2. Ana Bilgisayar Programı
3. Ev Sahibi Talimatı 1
4. Ana Bilgisayar Talimatı 2
5. Ana Bilgisayar Talimatı 3
6. Ev Sahibi Talimat n
7. Ana bilgisayar programının sonu
8. Virüs Programı
9. Virüs Talimatı 1
10. Virüs Talimatı 2
11. Virüs Talimatı 3
12. Virüs Talimatı n
13. Ana bilgisayar talimatı atlamak 1
14. Virüs programının sonu
3.2 Önyükleme Sektörü Enfektörü Nasıl Çalışır?
Sabit disklerde, parça 0, sektör 1 Ana Önyükleme Kaydı olarak bilinir. MBR, kullanılan sabit diski tanımlayan verilerin yanı sıra bir program da içerir. Bir sabit disk bir veya daha fazla bölüme ayrılabilir. İşletim sistemini içeren bölümün ilk sektörü önyükleme kesimidir.
Bir önyükleme kesimi bulaşıcısı, normalde kullanıcı için sınırların dışında olan bir alanı işgal ettiğinden, bir program virüsünden biraz daha ileridir. Bir önyükleme sektörü bulaşıcısının (BSI) nasıl çalıştığını anlamak için, önce önyükleme prosedürü adı verilen bir şey anlaşılmalıdır. Bu adım dizisi, güç düğmesine basıldığında başlar, böylece güç kaynağını etkinleştirir. Güç kaynağı CPU’yu başlatır ve bu da BIOS olarak bilinen bir ROM programını yürütür. BIOS, sistem bileşenlerini test eder ve ardından MBR’yi yürütür. MBR daha sonra işletim sistemini yükleyen önyükleme kesimini bulur ve yürütür. BIOS, programın parça 0, sektör 1’de ne olduğunu kontrol etmez; sadece oraya gider ve uygular.
Aşağıdaki diyagramın çok büyük olmasını önlemek için, önyükleme sektörü hem önyükleme sektörüne hem de MBR’ye atıfta bulunacaktır. Önyükleme kesimi bulaşıcısı, önyükleme kesiminin içeriğini diskte yeni bir konuma taşır. Daha sonra kendini orijinal disk konumuna yerleştirir. Bilgisayar bir daha önyüklendiğinde, BIOS önyükleme sektörüne gidecek ve virüsü çalıştıracaktır. Virüs şimdi bellekte ve bilgisayar kapatılana kadar orada kalabilir. Virüsün yapacağı ilk şey, yeni konumunda önyükleme sektöründe olan programı yürütmektir. Bu program daha sonra işletim sistemini yükleyecek ve şimdi bellekte bir virüs olması dışında her şey normal olarak devam edecektir. Viral enfeksiyondan önce ve sonra önyükleme prosedürü aşağıda görülebilir.
Enfeksiyondan Önce
1. güç düğmesine basın
2. Güç kaynağı CPU’yu başlatır
3. CPU BIOS’u çalıştırır
4. BIOS bileşenleri test eder
5. BIOS önyükleme kesimini yürütür
6. Önyükleme sektörü işletim sistemini yükler
Enfeksiyon Sonrası
1. güç düğmesine basın
2. Güç kaynağı CPU’yu başlatır
3. CPU BIOS’u çalıştırır
4. BIOS bileşenleri test eder
5. BIOS önyükleme kesimini yürütür
6. BSI yeni önyükleme sektörü programını yeni bir yerde yürütüyor
7. Orijinal önyükleme sektörü programı işletim sistemini yükler (Önyükleme işlemi tamamlandığında BSI bellekte kalır)
BSI = Önyükleme Sektörü Enfektörü
4 Gizli Virüs
Virüsleri sınıflandırmanın başka bir yolu, ana bilgisayarlarının içinde gizlenme biçimlerini ele alır ve hem program hem de önyükleme sektörü virüslerine uygulanır. Düzenli bir virüs bir programa veya önyükleme sektörüne bulaşır ve daha sonra orada oturur. Gizli virüs olarak bilinen özel bir virüs türü, başka bir programın veya önyükleme sektörünün içinde saklandığında kendini şifreler. Ancak, şifreli bir virüs çalıştırılamaz. Bu nedenle, virüs asla şifrelenmeyen küçük bir etiket bırakır. Ana bilgisayar programı veya önyükleme kesimi yürütüldüğünde, etiket denetimi ele alır ve virüsün geri kalanını deşifre eder. Tamamen kodu çözülen virüs, virüsün yazılma şekline bağlı olarak, Enfeksiyon ve Çoğaltma fonksiyonlarını veya Yükü Teslim fonksiyonunu yerine getirebilir.
Gizli virüsün gelişmiş bir biçimi, her seferinde farklı bir şifreleme algoritması kullanan polimorfik bir gizli virüstür. Ancak etiket hiçbir zaman şifrelenmemelidir. Aksi takdirde, çalıştırılamaz ve virüsün geri kalanının kodunu çözemez.
5 Mantık Bombası
Virüsler genellikle, yüklerini vermeden önce belirli bir koşulun gerçekleşmesini beklemek üzere programlanır. Bu tür koşullar şunları içerir: sabit disk% 75 dolu olduğunda, kendini belirli sayıda tekrarladıktan sonra, bu virüsler mantık bombaları olarak bilinir, çünkü yükü teslim etmeden önce mantıksal bir durum gerçekleşene kadar beklerler.
5.1 Saatli Bomba
Saatli bomba terimi, yükünü vermeden önce belirli bir tarihe ve / veya saate kadar bekleyen bir virüsü belirtmek için kullanılır. Örneğin, bazı virüsler 13 Cuma, 1 Nisan veya 31 Ekim’de söner. Michelangelo virüsü, tetikleme tarihi olarak 6 Mart’a sahipti. Yükü teslim etmeden önce belirli bir tarih ve / veya saate kadar beklemek, bir saatli bombanın belirli bir tip mantık bombası anlamına geldiği anlamına gelir (daha önce tartışılmıştır) çünkü bir tarih / saat beklemek, virüsün mantıksal bir durumun doğru olmasını beklediği anlamına gelir. Virüslerin tanımlanmasının bu alanlarında hatırı sayılır bir çakışma vardır. Örneğin, belirli bir virüs bir program virüsü ve bir polimorfik gizli virüs olabilir. Başka bir virüs, bir önyükleme sektörü enfeksiyonu, bir gizli virüs ve bir saatli bomba olabilir. Her terim virüsün farklı bir yönünü ifade eder.
II Malicious Code hakkında daha fazlası
1 Truva Atı
Truva atı bağımsız bir program ve bir tür kötü amaçlı koddur. Bu bir virüs değil, birinin bir şey yapacağını düşündüğü ama aslında başka bir şey yaptığını düşündüğü bir programdır. Kullanıcı, şüpheli olmayan kullanıcıları çalıştırmak için programın adını yanlış yönlendirir ve yürütüldüğünde bir parça kötü amaçlı kod çağrılır. Kötü amaçlı kod bir virüs olabilir, ancak olması gerekmez. Ne bulaşıcı ne de kendi kendini kopyalayan ancak bir tür taşıma yükü sağlayan bazı talimatlar olabilir. DOS günlerinden gelen bir truva atı, kasıtlı olarak bir virüs bulaşmış SEX.EXE idi. Sabit diskinizde bu ada sahip bir program bulduysanız, yürütür müsünüz? Program yüklendiğinde, dikkatinizi dağıtmak için ekranda bazı ilginç görüntüler belirdi. Bu arada, içerilen virüs sabit diskinize bulaşıyordu. Bir süre sonra, virüsün üçüncü işlevi sabit diskinizin FAT’ını (Dosya Ayırma Tablosu) karıştırdı; bu da programlarınıza, veri dosyalarınıza, belgelerinize vb. Erişemediğiniz anlamına geliyordu.
Bir truva atı sabit diskinize farklı şekillerde yol bulabilir. En yaygın olanı İnternet’tir.
– Başka bir şey indirirken izniniz olmadan indirebilir.
– Belirli web sitelerini ziyaret ettiğinizde otomatik olarak indirilebilir.
– E-postadaki bir ek olabilir.
Daha önce de belirtildiği gibi, bir truva atının dosya adı, şüpheli olmayan kullanıcıları onu çalıştırmak için ikna eder. Truva atı bir e-postadaki ek ise, e-postanın konu satırı kullanıcıyı çalıştırmaya ikna etmek için de yazılabilir. Örneğin konu satırı “5 milyon dolar kazandınız!” ve ekin dosya adı “milyon dolarlık kazanan.exe” olabilir.
2 Solucan
Solucan bir virüs değildir. Daha ziyade, bir yükü çoğaltan ve dağıtan ancak bulaşıcı olmayan bir tür kötü amaçlı koddur. Tek başına bir truva atı veya düzenli bir program gibi var olan bağımsız bir programdır. Virüsler kendi başlarına var olamazlar. Solucanlar programları etkilemez, ancak çoğalırlar ve genellikle truva atı tekniği kullanılarak bulaşırlar.
3 Yükü Teslim Et – Kötü Amaçlı Kod Ne Yapabilir?
– Ekranda, buldukları her şeyi yiyip yok ederek yavaşça dolaşan bir dizi yengeç gibi bir mesaj veya grafik görüntüleyin. Bu çok eski virüse Crabs deniyordu.
– Kullanıcının, normal işlemin devam etmesine izin vermeden önce belirli bir tuş sırasına basma gibi belirli bir işlevi yerine getirmesini talep etme. Buna bir örnek, Cookie Monster’ın ekranınızda görüneceği ve bilgisayarınızın kontrolünü size iade etmeden önce bir çerez talep edeceği Cookie Monster virüsüdür. Çerez yazarak yanıt vermelisiniz. Birkaç dakika sonra yeniden ortaya çıktı ve başka bir çerez talep etti.
– Bilgisayarın ve / veya farenin sistem yeniden başlatılıncaya kadar kilitlenmesine ve çalışmaz hale gelmesine neden olur.
– Klavyeyi yeniden tanımlama (r ve ak tuşlarına basın vb. Görünür).
– Bilgisayarın normal hızının çok altında çalışmasına neden olması.
– Bilgisayar dosyalarından bir veya daha fazlasının silinmesi.
– Veri dosyalarının içeriğinin (kurnazca veya başka bir şekilde) değiştirilmesi, genellikle çok daha sonraki bir tarihe kadar kullanıcı tarafından neredeyse algılanamayacak şekilde değiştirilmesi. Örneğin, kötü amaçlı kod, bir e-tablo bütçe dosyasındaki ondalık noktayı taşıyabilir veya bir kelime işlemci dosyasındaki her paragrafın ilk kelimesini “gotcha!” Olarak değiştirebilir.
III Önleyici Bakım
Bir virüs saldırısının kurbanı olmaktan kaçınmanın en iyi yolu, sisteminizin virüs bulaşmasını önlemektir. Basit, ihtiyati tedbirler alarak sisteminize virüs bulaşma olasılığını azaltabilirsiniz.
– Virüsten koruma yazılımı yükleyin. Avast Free Antivirus ürününü öneririm. Ücretsiz, kapsamlı koruma ve iyi çalışıyor.
– Yalnızca güvendiğiniz web sitelerini ziyaret edin
– Verilerinizi yedekleyin