Rehber Virüs Total sonuçları nasıl yorumlanır?

3-5 takoz antivirüs programı virüs değil dediyse virüs değildir ve oha kaç antivirüs virüs işaretlemiş bu virüs değil radyoaktif atık düşüncesini bir kenara bırakıp dosyaları elle nasıl inceleyebiliriz bir bakalım.

Adım adım yapmamız gerkenler:

1. VT taramasının tarihinin ne zaman yapıldığına bakın. Eski bir tarihse tarama yeniden yapılmalıdır. Yeni tehditler tespit edilebilir ve hatalı tespitler düşebilir.
   Görselde gördüğümüz üzere tarama 5 saat önce yapılmış. Yeterince yeni. Tekrar taratıp behavior testlerini 10 dakika beklemeye gerek yok. Taramadan ilerleyebiliriz.
   
   
   
   Eğer tarama 1-2 günlük olsaydı reanalyze tuşu ile yeniden taratabilirdik. Önden belirteyim, zaman alır.
   
   
2. Dosyanın oluşturulma tarihi, ilk kez görüldüğü tarih ve ilk raporlandığı tarihe bakın. Gerçek olması hayal olabilecek yakın tarihler şüphelidir. Oluşturulma tarihinden 5 dakika sonra tarama yapılmışsa dosya sahibinin bir şeyleri saklamaya çalıştığını düşünebiliriz. Yoksa neden dosyasını taratsın? Aynı şekilde, aşağıda görüldüğü gibi sahte tarihler de şüphelidir. Normal birisi yok yere neden dosyanın tarihini değiştirsin?
   Details > History:
   
   
   
   Burada şüpheyle yaklaşmamız gereken yer oluşturulma tarihi. Sahte bir şekilde 30 yıl öncesini işaret ediyor. Bu, korsan tarafından yakalanmamak için yapılan bir önlem olarak yorumlanabilir. Eğer dosyanın oluşturulduğu tarihi net bir şekilde belli ederse yakalanması kolaylaşır. Öğe bir crack dosyası olduğu için görmezden gelebiliriz, ama aklımızda bulunsun.
3. Dosyanın isim günlüğüne bakın. Farklı isimler şüphelidir. Örneğin siz Minecraft için FPS yükseltici mod indirdiniz diyelim, dosya adlarında amacınız haricindeki isimler de varsa dosya millete iteleniyor demektir.
   Details > Names
   
   
   
   Bu tarama sonucunda ilginç bir durum yok. Taramaların çoğu IDM programını yamalayan bir hileyi işaret ediyor. Eğer aşağıdaki gibi bir sonuç olsaydı ağır şüphe sebebi olurdu.
   
   
   
   Bu tip bir sonuçta aklınıza ilk gelmesi gereken şey aynı virüsü insanların gözlerini farklı şekillerde boyayarak yutturmaya çalışılmasıdır. Bu tip bir dosyayı açtığınızda genellikle hata alırsınız ve size absürt bir sistem hatasından dolayı programın kurulamayacağı söylenir. Oysa ki virüs sisteme çoktan bulaşmıştır.
4. İlerideki maddelerden önce dosyanın gizlenme eylemleri var mı diye kontrol edin. Her madde her taranan dosyada bulunmayabilir.
   1. Programın, eylemlerinin takip edilip edilmediğini anlaması
      
      
      
      Eğer hata ayıklama ortamını sorguluyorsa analizlerde farklı davranmaya çalışıyor olabilir. False positive olarak da düşük dosya boyutlarında veya .exe olmayan programlarda virüs total'in bu etiketi yanlışlıkla atayabileceğini farz edin.
   2. Kodlarını gizlemeye çalışması
      
      
      
      Behavior sekmesini biraz kaydırıp MITRE etiketlerine bakın. Eğer aşağıdakiler ve benzer etiketler varsa programın antivirüslerden saklanmaya çalıştığı kanısına varabiliriz. False positive olarak da uygulama yazarının emeğinin çalınmamasını istemesini örnek gösterebiliriz.
   3. Uzun süreli uyuması
      Elimde örnek gösterecek bir kaynak tarama mevcut değil, ancak yine üst etiketlerden veya MITRE etiketlerinden görebilirsiniz. Uzun süreli uykular berbat bir yazılımcının elinden çıkmış programlar veya virüsün etkisini geciktirmesi olarak yorumlanabilir. False positive olarak da bir kurulum dosyası olmasını örnek gösterebilirim.
5. Eğer 4. adımda bir şüphe oluştuysa adımların devamında eksik sonuç görebilirsiniz. Bunu da göz önünde bulundurarak yorumlayın.
6. İnternet erişimine bakın. Program, kendisini güncellemek, reklam ağlarıyla iletişime geçmek ve telemetri verileri gibi sebeplerden internete bağlanabilir; ama rastgele bir porta TCP bağlantısı açıyorsa trojan olabilir. False positive olarak da oyun sunucusu gibi örnekler verebilirim.
   
   
   
   Bu raporda, program şüpheli bir şekilde yerel ağı taramakta. Bunu 192.168.0.* IP adreslerinden anlayabilirsiniz. Program eğer bir dosya paylaşım programı olsaydı sorun yoktu, ama IDM programının böyle bir şey yapmasına gerek yok. Dolayısıyla bulaşacak başka cihazlar arıyor şeklinde yorumlanabilir.
7. Davranış raporuna genel olarak göz atın. Programın amacı dışında bir eylem etiketi varsa, özellikle de bir vürüsün işine yarayan eylemler, o dosyadan uzak durun. Örneğin aşağıdaki etiketler bir oyunun türkçe yamasına ait. Hangi türkçe yama klavyeyi kaydedip ekran paylaşımı yapar ki? Trojansa yapar.
   
   
   
   
   
   
   Bir de virüs sahibinin ekranında detaylı bilgiler dursun diye sistem raporu da alıyormuş.
   
   
   
   Böyle sürpriz yumurtalardan uzak durun. Ben virüsüm diye imza atmış işte.
8. Varsa topluluk yorumlarına bakın. Topluluk kısmında bilgili kişilerin dosya hakkında özel deneyimlerini, testlerini ve düşüncelerini bulabilirsiniz. Bu sayfada yorumları okuyabilir veya tespit özenin altından genel ifadeyi görebilirsiniz. Ok Yeşil tarafta ise insanlar dosyaya temiz diyor demektir.
   
   
   
   Gurur kasan bir arkadaşımız:
   
   
   
   Ellere güvenen Hintliler:
   
   
   
   Son karar yine de size ait.
9. Ebeveyn ilişkilerini inceleyin. Ebeveyn ilişkileri Relations > Execution Parents kısmında bulunur. Dosyanın farklı varyantlarının dağıtımını listeler. Örneğin düzgün bir siteden crack oyun indirdiniz, sizin dosya 0 gözüktü veya belirsiz uyarılar verildi. Bu kısımda farklı dosyalar var ve tespit oranı da yüksekse sizin indirdiğiniz dosyayı alıp, içine virüs atıp dağıtan var demektir. Aksine sizinki virüslü, buradaki birinin tespiti yoksa virüslü bir düzenlenmiş dosya indirdiniz demektir.
   
   
   
   Ayrıca burayı dosya adı testinin gelişmişi gibi düşünebilirsiniz.
10. Behavior sayfasında uygulamanın eylemlerine göz gezdirin. Saati gösterecek bir program bütün diskteki dosyaları silmeye yeltenmemelidir.

Bunlar temel noktalar. Sayfa üzerinde anlamadığınız kısmı internette aratarak açıklamasını bulabilirsiniz. Böylece daha kararlı sonuçlara varırsınız.