Güvenlik Açığı | Windows 10/11 | Sıfırlama özelliğinin virüsleri temizleme becerisi var mı?

"Sıfırlama ile format aynı şey mi?", "Sıfırlama yaparak virüslerden kurtulabilir miyim?", "Sıfırlama özelliği ne kadar etkili?" sorularına cevap olması için yapılan bir güvenlik testidir.

Test amacı: Windows içerisinde dahili olarak sunulan sıfırlama fonksiyonunun formata bir alternatif olup olamayacağını değerlendirmek, en katı şekilde virüslere karşı etkililiğini görmek ve özelliğin açıklarını tespit etmek.

Test tanımı:
Taze kurulmuş işletim sistemine sıfırlama işlemi yaparken bir virüsün yapabileceği eylemleri taklit ederek sistemde sıfırlamadan sonra bulaşıklığı korumak veya en azından iz bırakmak.
  1. Sistem çalışıyorken bir kullanıcı olarak sistem dosyalarında değişiklik yapmak ve sıfırlama özelliğini çalıştırmak. Sıfırlama sonrası orjinal ve yeni dosyanın shasum değerini kontrol etmek.
  2. Sistem, sıfırlama özelliği kullanıldıktan sonra yeniden başlatılıyorken bir virüs olarak sistem dosyalarında değişiklik yapmak. Sıfırlama sonrası orjinal ve yeni dosyanın shasum değerini kontrol etmek.
  3. Sıfırlamadan sonra da sistemde kalmaya devam edecek notlar bırakmak.
Yukarıdaki işlemleri virüsler ile değil, virüslerin yapacağı eylemleri elle yaparak test edeceğim.

1) Ortam hazırlığı​

  1. Microsoft'un sitesinden Windows'u indirin.
  2. Shasum doğrulaması yapın.
  3. Sanal bilgisayara kurulum yapın.
  4. Sanal bilgisayara kurulum yapıldığında sistemi kapatın.
  5. Diğer testlerde kullanmak için disk dosyasının 3 kopyasını oluşturun.
  6. Bir virüsün, ağ bağlantısını kısmen veya tamamen kesebileceğini öngörerek sanal makinenin ağ bağlantısını kesin.
  7. Sanal makine diskini ana makineye bağlamak için libguestfs-tools paketini kurun.
  8. Rastgele bir sistem dosyasını gözünüze kestirin.
    • Yapılacak değişiklik yürütülebiliri bozacağı için kritik bir dosya seçmemeye dikkat edin. Sistem sıfırlamasına erişebilmeniz gerekiyor.
    • Örnekleri mevcuttur ki bir virüs, kendini bir başka yürütülebilire bulaştırabilir.
    • Bu testte System32 dizinindeki LAPRXY.DLL dosyasını pırtıklayacağım.
    • Dosyanın orijinal shasum değeri: FCEA47C0ACD7BC9EEC4B93F47F2D8130BAB5380B18C0121B0C4916340AFC73AF
    • 1694593428090.png
Ortamımı hazırladım. Son işlem olan kopya oluşturma işlemini de yapıyorum.

1694564090884.png


1694564062115.png



Testlere başlayalım.​

Test 1: Sıfırlama işlemi başlatılmadan öne değiştirilen sistem dosyası​

Kullanıcı tarafından veya bir virüs tarafından değiştirilmiş bir sistem dosyası olayından sonra sistemi fabrika ayarlarına döndürürsek dosya ilk haline geri mi gelir? Yoksa hata mı verir? En kötüsünün düşünecek olursak da kurcalanmış bir şekilde yeni sisteme mi geçer? Deneyelim.
  1. Dosyayı, misafir işletim sistemi üzerinden değiştirin.
    1. 1694594027435.png
    2. Dosyanın özelliklerinden sahipliğini üzerinize alın. Güvenlik sekmesinde bulunur.
    3. Dosya üzerinde ufak bir değişiklik yapın ve kaydedin.
    4. 1694594688962.png
    5. Her ne kadar ufak bir değişiklik desem de, kodlaması değiştiğinden büyük ihtimalle çalışmayacaktır.
  2. Yeni dosyanın sağlamasını alalım.
    1. 1694594828824.png
    2. Dosya değiştirildi.
  3. Bu sanal makineyi sıfırlayalım.
    1. 1694595252915.png
    2. Sıfırlarken her şeyi kaldır seçeneğini seçin.
    3. Sıfırlamanın tamamlanması için bekleyin.
    4. 1694596660454.png
    5. Sıfırlama tamamlandığında dosyaya sağlama testi yapın.
Bu testten başarısız ayrıldı. Beklediğim sonuç en azından "Bu sistem onarılamıyor" gibi bir hata vermesiydi, ama değiştirilmiş dosya yeni sistemde aynen korundu.

Sıfırlama işlemi, sistem dosyalarının kurcalanmasına karşı korunmasızdır.

Test 2: Dosyaları, geri döndürme işlemi başlamadan önce değiştirmek​

Dosyaları değiştirme adımı kolaylıkla geçti. Ekstra zaafiyet aramak için 2. testi yapmaya gerek yok, çünkü zaten onda da başarısız olacak. 3. teste geçiyoruz. Sistem sorunsuz çalıştığından yine aynı imaj üzerinden ilerleyelim.

Test 3: Sistemde ekstra dosya bırakmak​

Bir not veya yürütülebilir olabilir, herhangi bir ekstra dosyayı sıfırlamadan sonra saklama testi. Bu testte açıkçası pek umudum yok, çünkü dosya yolundan dolayı bir şekilde silinecektir zaten. Yine de, sistemin dosya yollarını sakladığı dosya bulunup kurcalanarak bu önlem geçersiz kılınabilirdir.
Fazla düşünmeden düz testimizi yapalım.
  1. System32 klasörüne "readme.txt" dosyası oluşturun.
  2. 1694597276441.png
  3. Sistemi, ayarlardaki sıfırlama özelliği ile sıfırlayın.
  4. 1694598760060.png
  5. Dosya kaldırılmış.
Yeni dosya eklenmesi kolay bir şekilde mümkün değil demek ki.

Mevcut dosyalara müdehale edilebilir mi?Evet
Yeni dosya eklenebilir mi?Hayır.

Sıfırlama özelliği yalnızca sistemi hafifletmek için kullanılabilir. Zararlı yazılımlardan kurtulmak için etkili değildir.
  • Beğen
  • İnanılmaz
  • Muhteşem
İfadeler: Physic, England, 403976 ve 10 kişi daha ifade bıraktı

Yorumlar

Nizel G
Stereo.Luigi99 dedi:
Hash değeri değişmiş. Burada yok fakat DLL'nin içine baktınız ve "virus" ibaresi hâlâ vardı sanırım.
Genişletmek için tıkla...
Hash değerleri tutmamıştı, dolayısıyla dosyanın orjinal dosyaya dönüştürülmediğini anladım. Beklediğim sonuç ya sistem dosyaları düzenlendiği için sıfırlamanın başarısız olması ve hata vermesiydi ya da dosyayı ilk haline döndürmesiydi.

Dosya içeriğine bakmadım da sanal sürücü hala duruyor. Bakayım.
Evet, dosya içeriğinde "virüs" ibaresi aynen duruyor.

1694868788100.png
 
Son düzenleme:
T
Konu ile alakasız kusura bakma. Ekran görüntülerinde Excel gibi bir uygulama kullandığını gördüm? Günlük hayatta ne için kullanıyorsun onu?
 
Physic
Her zaman bana göre temiz kurulum, sıfırlama çok uzun sürebiliyor. Onu beklemek yerine temiz kurulum ile 5 dk da hallediyorum.
 

Blog girdisi detayları

Ekleyen
Nizel G
Okuma süresi
3 dakika okuma
Görüntüleme
396
Yorumlar
8
Son güncelleme
Değerlendirme
5,00 yıldız 2 değerlendirme

Yazılım kategorisindeki diğer girdiler

Nizel G adlı kullanıcının diğer girdileri

Bu girdiyi paylaş

Geri
Yukarı