Antivirüs Yazılımları Hakkında-Bölüm 2

| 19-04-2010 | 0 Yorum
guvenlik virus Antivirüs Yazılımları Hakkında Bölüm 2

Virüsü bulmak ayrı şey, silmek apayrı bir şey. Bundan yıllar önce, tarayıcıların başta gelen görevlerinden biri virüslerin bulaştığı dosyaları tamir etmekti. Parazitin kapsamlı analizi yapıldıktan sonra, temizleme rutini dosyada meydana getirilen değişiklikleri geri almaya çalışır ve bunun için de programın orijinal kodunu asıl yerine geri yazardı. Ya da dosyalar kısaltılır, böylece kendini dosyanın sonuna ekleyen virüs yok edilirdi.

Bugün ise asıl tehlike kaynağı olarak görülen Truva atları ve solucanlar, virüslerin aksine programlara bulaşmıyor ve başlı başına birer program olarak çalışıyorlar. Bunları silmek için bulunan ve hafızada etkisiz hale getirilen dosyaları silmek, sonra da kayıt defterindeki değişiklikleri geri almak yetiyor.

Bu yüzden virüs tarayıcıları önce bir “genel temizlik rutini” uyguluyorlar ve çoğu
zararlı kod bu süreçten sağ çıkmıyor. Eğer bu rutin yetmezse, virüs araştırmacıları özel silme rutinleri de hazırlayabiliyor.

İstek üzerine tarama nasıl çalışıyor?

İstek üzerine (on-demand) taramada, kullanıcı etkin olarak dosyaları ya da sabit diskin tümünü zararlı kodlara karşı taratıyor. Bunun için gereken ayarları anti virüs aracının grafiksel arabirimine (GUI) giriyor.

guvenlik antivurus2 Antivirüs Yazılımları Hakkında Bölüm 2

Kullanıcı

  1. Kullanıcı taramayı başlatıyor.
  2. Tarayıcı işletim sistemine gereken komutları veriyor.
  3. Böylece veri taşıyıcıdaki dosyaları birbiri ardına okuyup AV motoruna yolluyor.
  4. Motor dosyanın sağlam mı yoksa virüslü mü olduğunu söylüyor.

Erişim üzerine tarama nasıl gerçekleşiyor?

Virüse karşı koruyucu sürekli arka planda, işletim sistemi düzeyinde çalışıyor. Uygulamaların veri alışverişinin önünü kesip tüm davranışları kötü niyet olma olasılığına karşı inceliyor.

guvenlik antivurus1 Antivirüs Yazılımları Hakkında Bölüm 2

Kullanıcı

  1. Erişim üzerine koruma, bir program bir dosyaya eriştiği anda çalışıyor.
  2. Veri işleminin sonucunu, kontrol etmesi için AV motoruna yolluyor.
  3. Buna göre erişim izni veriliyor ya da reddediliyor.

Pes etmeyen zararlılar: Çetin cevizler

Eğer sisteme ilk varan zararlı yazılım olursa ve etkinse, silinmesini engellemek için elinden geleni yapıyor. Örneğin, rootkitler işletim sistemine filtre sürücüleri kurarak dosyalara ya da kayıt defterine erişimi kendi tekeline alıyor. Zararlı yazılımı aramaya yönelik sorgulara, kendi kimliğini gizleyecek yanıtlar veriyor. Böylece de görünmez hale geliyor (stealth malware). Sadece böyle filtre sürücülerini ya da belleği derinlemesine arayan özel araçlar böyle vakalarda faydalı olabiliyor. Biz, etkin rootkitlerin tespiti için Gmer adlı aracı tavsiye ediyoruz. Ayrıca sisteminizi kurulum CD’si ya da anti virüs açılış CD’si gibi bir ortamla açmanız da faydalı olacaktır.

Saldırgan savunma yöntemleriyle donanmış ve bu sayede bellekte etkin kalan yazılımlar daha da sinir bozucu. Bunlar, birbirlerini karşılıklı denetleyen süreçleri eşzamanlı olarak çalıştırıyor.

Süreçlerden birinin çalışması durursa diğeri onu tekrar başlatıyor. Win32/Sober solucanı bu tarz bir kendini savunma yöntemi kullanıyor ve “öldürülmeden” önce, bu “denetleme” süreçlerinin sona erdirilmesi gerekiyor.

Ama işler giderek sarpa sarıyor. Yeni virüsler özellikle koruma yazılımlarını hedef alıyor. Onların çalışmasına son veriyor, güncellemeleri önlüyor, imzaları siliyor ve böylece anti virüslerin etkisini azaltıyorlar. Bu virüslerin birçoğu yeni anti virüs kurmanızı, anti virüs sitelerini ziyaret etmenizi de engelliyor. Bunlara karşı özel silme programlarını (virüssüz bir bilgisayardan indireceğiniz), kurtarma CD’lerini kullanabilir ya da PC’nizi baştan kurabilirsiniz.

Güvenlik paketleri: Eksiksiz koruma

Bir internet güvenlik paketinin kalbinde virüs tarayıcı yatar. Bu paketler, zararlıların kullanıcının bilgisayarına yuvalanmasını önleyecek bileşenlere de sahip. Bunlara veri trafiğini süzerek şüpheli paketleri en düşük düzeyde arayan ve gerekirse, sisteme ya da uygulamalara ulaşmadan önce önleyebilen bir kişisel güvenlik duvarı bulunuyor.

Sürü posta filtresi, sadece istenmeyen reklamları değil, birçoğu birbirine benzeyen virüslü e-postaları da (onlar için yeni imzalar olmasa da) süzüyor.

Söz konusu koruma, bir URL filtresi yardımıyla zararlı web sitelerini de engellediğinden kullanıcı zararlı yazılımlarla yüz yüze gelmiyor. Aynısı “Drive by Download” yöntemiyle bilgisayara zararlı yazılım yükleyen açıklar içerdiği bilinen siteler için de geçerli.

Bu yüzden, virüs tarayıcı aslında komple güvenlik çözümlerinin sadece bir parçası ve önemi de azalacağa benziyor. Çünkü üreticiler internetten gelen tehditlere karşı kullanıcıları korumak için farklı yöntemlere başvuruyorlar. Yine de virüs tarayıcıların ya da güvenlik paketlerin sadece birer teknik destekten öte bir şey olmadığı unutulmamalı.

Biraz sağduyu (gerçek hayatta yapmadıklarınızı internette de yapmamak), sistemin DVD’deki Secunia Personal Security Inspector ile sürekli taranması da aynı derecede önemli. Eğer kullanıcı güvenlik paketini virüslü bir e-postada öylesi önerildiği için kendi eliyle kapatıyorsa internette savunmasız kalıyor. Son olarak, eğer Windows’un açıkları kapatılamayacak kadar fazlaysa, güvenlik yazılımları da kâr etmiyor. Tüm bunlar olup biterken zararlı kod yazarlarının eli boş durmuyor ve anti virüsleri atlatacak yeni numaralar peşinde koşuyorlar. Tilki tavşan oyunu böylece sürüyor, hem de her seferinde daha heyecanlı bir şekilde.

Zincirleme reaksiyon: İşte yanlış alarmların sebebi

guvenlik virustotal virus scanner Antivirüs Yazılımları Hakkında Bölüm 2

Anti virüs yazılımı üreticileri muazzam bir baskı altında çalışıyor. Çünkü programlarının hem her gün binlercesi çıkan yeni zararlı dosyaları bulması, hem yanlış alarma yol açmaması hem de sistemi mümkün olduğunca az yorması gerekiyor.

Virüs tarayıcıların ikide bir yanlış alarm vermesinin başlıca sebebi, kötü seçilmiş ya da aşırı genel imzalar. Bu, arama hızını artırmak amacıyla imzanın arşivden çıkarılmamış dosyalardan değil de, hala sıkıştırılmış durumda olan dosyalardan alındığı zaman da olabiliyor. Böylece, virüs imzaları zararlı bir yazılımdan değil, bellekteki dosyaları açmak için hazır bekleyen “iyi” bir programın kodundan da alınabiliyor. Böylesi bir yanlış alarm durumunda, tarayıcı aynı paketleyiciyle sıkıştırılmış tüm dosyaları virüslü sanabiliyor.

Neredeyse hiçbir anti virüs üreticisi, laboratuvarına ulaşan tüm örnekleri tepeden tırnağa inceleyecek durumda değil. Eğer az sayıda örnek varsa, rakip firmaların kaçının tanıdığına bakılıyor ve belirlenmiş bir eşik değeri aşıldıktan sonra dosyadan otomatik imza üretilerek virüs veritabanına ekleniyor. Uzmanlar bu kopyalama sürecini, aynı ismi taşıyan virüs tarama platformundan hareketle “VirusTotal” olarak adlandırıyor (resme bakınız). Üreticiler diğer programların sonucuna, pek de araştırmadan güveniyorlar. Ama eğer bir üreticinin ürünü yanlış alarm verirse, bir süre sonra diğer ürünlerde de bu hata çıkıyor ve saptanana kadar da yükseliyor. Sonra da yanlış alarm değeri adım adım aşağı iniyor.

Kategori: Güvenlik

Etiketler: , , , , ,

Yorum Yap




Yorumunuzda resminiz görünsün istiyorsanız: Gravatar.