Bilgisayara bulaşan bir zararlı yazılım, Windows Defender veya başka virüs programları tarafından nasıl tespit edilebiliyor? Bu virüs programları dosyaların kodlarını okuyabiliyor mu? Mesela bilgisayardaki onlarca .py dosyası arasından birisi virüs ve anında tespit edildi. Virüs programları bunun zararlı yazılım olduğunu nasıl anlıyor?
Çözüldü Virüs programları virüsü nasıl anlıyor?
- Konuyu başlatan 670404
- Başlangıç Tarihi
- Mesaj 10
- Görüntüleme 543
Bu konu çözüldü olarak işaretlenmiştir. Çözülmediğini düşünüyorsanız konuyu rapor edebilirsiniz.
Çözüm
Birden fazla çeşitte algılama yöntemleri var.
Örneğin Byte-Signature, zararlı yazılımın bilinen ve makine dilinde tespit edilmiş bir parçasına göre sınıflandırılır. Yazılımda bu iz varsa tespit edilir.
Heuristic yani sezgisel tespit, en son çaredir. Çalıştırıldıktan sonra veya çalıştırılmadan önce (pre-infection veya post infection) davranış analizi gerçekleştirilir ve buna bağlı olarak eğer yeni bir zararlı ise tespit edilir, byte-sign oluşturulur ve veritabanına eklenir.
Hash-Signature yöntemi vardır bir de, bu pek tercih edilmemesi ve güvenilmemesi gereken bir yol. Dosyanın HASH değeri veritabanıyla eşleşiyorsa zararlı olarak algılar fakat bunu atlatmak oldukça basit, dosyada yapılacak en ufak bir değişiklik dahi HASH değerini değiştireceği için bu pek tercih edilmez.
Örneğin Byte-Signature, zararlı yazılımın bilinen ve makine dilinde tespit edilmiş bir parçasına göre sınıflandırılır. Yazılımda bu iz varsa tespit edilir.
Heuristic yani sezgisel tespit, en son çaredir. Çalıştırıldıktan sonra veya çalıştırılmadan önce (pre-infection veya post infection) davranış analizi gerçekleştirilir ve buna bağlı olarak eğer yeni bir zararlı ise tespit edilir, byte-sign oluşturulur ve veritabanına eklenir.
Hash-Signature yöntemi vardır bir de, bu pek tercih edilmemesi ve güvenilmemesi gereken bir yol. Dosyanın HASH değeri veritabanıyla eşleşiyorsa zararlı olarak algılar fakat bunu atlatmak oldukça basit, dosyada yapılacak en ufak bir değişiklik dahi HASH değerini değiştireceği için bu pek tercih edilmez.
GeceninMaymunu
Picopat
- Katılım
- 9 Eylül 2023
- Mesajlar
- 109
- Çözümler
- 1
Daha fazla
- Sistem Özellikleri
- Sistem Üreticisi : Asus
Sistem Modeli : X550JX
(+8 gb ram)
- Cinsiyet
- Erkek
- Meslek
- çırak
Dosyalari icerikleriyle beraber tariyor. Mesela VirusTotal'in sitesine girip bir dosya attiginda dosyanin komplesine bakiyor bir parcasina degil.
RBT Fan
Picopat
- Katılım
- 3 Ağustos 2023
- Mesajlar
- 169
- Çözümler
- 1
Daha fazla
- Cinsiyet
- Erkek
- Meslek
- Babayım
Bana kalsa onların da bir sistemi var kötü amaçlı kodların kayıtlı oldugu bir yere bağlıysalar mesela VirusTotal ne gibi virüs varsa içinde onu söylüyor onlarda böyle bir şey varsa öyle çalışıyor diye biliyorum.
Dutchman
Gigapat
Daha fazla
- Cinsiyet
- Erkek
- Meslek
- Network/IT Security & Threat Specialist
Birden fazla çeşitte algılama yöntemleri var.
Örneğin Byte-Signature, zararlı yazılımın bilinen ve makine dilinde tespit edilmiş bir parçasına göre sınıflandırılır. Yazılımda bu iz varsa tespit edilir.
Heuristic yani sezgisel tespit, en son çaredir. Çalıştırıldıktan sonra veya çalıştırılmadan önce (pre-infection veya post infection) davranış analizi gerçekleştirilir ve buna bağlı olarak eğer yeni bir zararlı ise tespit edilir, byte-sign oluşturulur ve veritabanına eklenir.
Hash-Signature yöntemi vardır bir de, bu pek tercih edilmemesi ve güvenilmemesi gereken bir yol. Dosyanın HASH değeri veritabanıyla eşleşiyorsa zararlı olarak algılar fakat bunu atlatmak oldukça basit, dosyada yapılacak en ufak bir değişiklik dahi HASH değerini değiştireceği için bu pek tercih edilmez.
Örneğin Byte-Signature, zararlı yazılımın bilinen ve makine dilinde tespit edilmiş bir parçasına göre sınıflandırılır. Yazılımda bu iz varsa tespit edilir.
Heuristic yani sezgisel tespit, en son çaredir. Çalıştırıldıktan sonra veya çalıştırılmadan önce (pre-infection veya post infection) davranış analizi gerçekleştirilir ve buna bağlı olarak eğer yeni bir zararlı ise tespit edilir, byte-sign oluşturulur ve veritabanına eklenir.
Hash-Signature yöntemi vardır bir de, bu pek tercih edilmemesi ve güvenilmemesi gereken bir yol. Dosyanın HASH değeri veritabanıyla eşleşiyorsa zararlı olarak algılar fakat bunu atlatmak oldukça basit, dosyada yapılacak en ufak bir değişiklik dahi HASH değerini değiştireceği için bu pek tercih edilmez.
lumei
Picopat
- Katılım
- 9 Temmuz 2023
- Mesajlar
- 527
- Çözümler
- 1
Daha fazla
- Cinsiyet
- Erkek
- Meslek
- <b> Cyber sec engineer</b>
2 türlü anti virüs vardır ilk olan dosyanın sadece imzasına bakar yani daha önceden yakalanan bir dosyaysa kendi veri tabanı ile eşleşirse bu dosyayı kötü amaçlı olarak algılar diğer çeşit ise ilk kinden daha pahalı olur ve genelde kurumlar tarafından kullanılır bu tür anti virüsler dosyanın nereye trafik yaptığını PC de nereleri karıştırdığını izler yapabilirse koduna da bakar ve buna göre karar verir.
Anladım ama mesela A kişisinin yazdığı keylogger ile B kişisinin yazdığı keylogger farklı dillerde ve farklı şekilde yazılmış olsun. Bu iki virüs nasıl aynı imzaya sahip olabiliyor?
Dutchman
Gigapat
Daha fazla
- Cinsiyet
- Erkek
- Meslek
- Network/IT Security & Threat Specialist
Aynı imzaya sahip olmuyorlar, tespitleri aynı oluyor. İkisi de tuş vuruşlarını kaydedecek, ikisi de bu vuruşları bir SMTP üzerinden saldırgana iletecek. Tuş vuruşu kaydetmek için kullanacağı kütüphaneler aynı olacak, SMTP ile yollama yöntemleri aynı olacak. Bunlar benzerlik gösterecek veya birebir aynı yapıda olacak, bu da byte-sign değerinin birbirine benzemesine hatta aynı olmasına sebep olacak ve tespit edilecek.
Byte-sign atlatmak için çeşitli şifreleme metodları var, ancak onlar da sezgisel taramada ortaya çıkacak.
Turkıye anlasması
Kilopat
- Katılım
- 12 Mayıs 2016
- Mesajlar
- 1.160
- Çözümler
- 5
SSdeep hariç. O küçük değişiklikleri tespit edebiliyor.
Github'da yaptığım Linux antivirüsü var ona bakıp çözebilirsin mantığını.
