VirusTotal çalışma mantığı nedir?

U

UstaGT

Decapat
Katılım
19 Nisan 2023
Mesajlar
319
Çözümler
2
Merhaba. Genelde bu soruyu hep hile yapımcıları sorar onların yaptığı hileyi VirusTotal'e atıp sonuçlar şöyle çıktı deyince genelde hepsi sinirlenir hemen şu klasik sözü söyler "VirusTotal nasıl çalışıyor biliyorsun mu sen? * aynen böyle derler yok deriz. Nasıl çalışıyor diye sorarız ama cevap vermezler tabii, hile sonuçta. VirusTotal'de temiz çıkmasını bende beklemiyorum ama ne bileyim hiç olmazsa 20-30 tane şirket virüs değil uyarısı falan verse. Bir atıyorum dosyayı sadece birkaç tane şirket virüs değil diyor kalanları hep virüs diyor. İnsan da böyle olunca şüpheleniyor ama bazı hileler var VirusTotal'de temiz çıkıyor bazılarının sonucu berbat çıkıyor. Yani kısacası bu VirusTotal'in nasıl çalıştığını anlatacak biri var mı?
 
Son düzenleyen: Moderatör:
Cryptlenmiş ise AV bulamaz zaten.
 
Virustotal pek güvenilcek bir kaynak değil. Çoğunlukla false positive verir. Nasıl çalışır dersen yüklediğin dosyayı birsürü antivirüse taratır. Ama yani o antivirüslerin çoğu antivirüs sayılabilir programlar değil. Bu yüzden ya kaspersky threat intelligence portal olması lazımdı ismi tam hatırlamıyorum ona taratabilirsin. Ama üstteki arkadaşın dediği gibi Cryptlenmiş ise bulamaz zaten ondan hile yapımcılarına çok güvenme. Çok oyunculuysa kullanma tek oyunculuysa WeMod falan kullan.
 
Yanlış bilmiyorsam URL verilirse dosyayı kendi sunucularında antivirüslere taratıp sonuç veriyorlar. Kendiniz dosya taratacaksanız 250-350 MB gibi bir sınırı var tahminen kendi yüklediğiniz dosya da kendi makimalarında taranıyordur.

613366 dedi:
Cryptlenmiş ise av bulamaz zaten.
Genişletmek için tıkla...

Sifrelenmiş demek daha kolay değil mi
 
Kendi sanal sunucularında açıyor ve hangi IP'lere sitelere istek attığını sistemde ne yaptığını kayıt yapıyor ve eğer zararlı eylem yaparsa şüpheli diyor.
 
Son düzenleyen: Moderatör:
613366 dedi:
Cryptlenmiş ise AV bulamaz zaten.
Genişletmek için tıkla...
AV bulamaz diye bir şey yok. Tamam içindeki kodları vb göremez ancak neyle şifrelediğini görüp size dosyanın şifrelendiği hakkında uyarı verir. Sezgisel ve davranışsal tespit de edebilir antivirüsler.
Eğer bir dosyayı GitHub’dan açık kaynaklı indirmediyseniz zaten çoğu program şifrelenmiş geliyor. Kim programının kodlarının başka programcılara gözükmesini ister?

Genelde de bu hileler virüssüz olmasına rağmen virüslü tespit edilir ve herkes virüs yazar, ancak bu dosya şifrelendiği için antivirüsler uyarı veriyor demektir. Hiç farkettiniz mi bazen bazı dosyalarda Themida, VMP gibi şeyler yazar tespit açıklamasında. Bunlar işte en popüler şifreleyiciler ve bunları tespit edip sizi uyarıyor.

Çok basit bir login mantığıyla bile VirusTotal bypass mümkün. Ayrıca çoğu hile yapan kişiler 3. Parti yazılım olduğu için tespit ediliyor der. Ancak bunu diyenler büyük ihtimalle 3.parti yazılım ne demek onu bile bilmiyor.

Her veritabanında olmayan dosya (veya imzalanmamış bir dosya) antivirüse göre 3.parti uygulamadır. Ancak bazı dosyalar veritabanında olmasa bile dosyanın tarama sonucu temiz çıkabiliyor. Yani olayın 3.parti ile alakası bile yok.
Zaten her dosya da veritabanında yoktur yani aslında şuanda günlük bilgisayarınızda bile çok fazla 3.parti uygulama vardır büyük ihtimalle ancak çoğu antivirüs tarafından tespit edilmez.
 

Ben de öyle düşünmüştüm kendilerinin ya ayrı ayrı VPS'leri falan var oradan her VPS'te antivirüs uygulamaları yüklü. Bizim yüklediğimiz dosyalar oraya gidiyor orada taratılıyor sonuçlar bize gösteriliyor yani değil mi?


Öncelikle WeMod nedir Kaspersky threat ıntelligence nedir false positive nedir ve ayrıca "ama yani o antivirüslerin çoğu antivirüs sayılabilir programlar değil." derken neyi kastettiniz anlamadım yani tarattığı şirketler mi kötü orada neredeyse 80'den fazla şirket var tüm antivirüslere taratıyor.

613366 dedi:
Cryptlenmiş ise av bulamaz zaten.
Genişletmek için tıkla...

Crypt nedir anlamadım bu söylediğiniz kelime ve bunlarla alakalı şeylerle ilgili bilgiler sıfır.
 
Son düzenleyen: Moderatör:

Dosyaları kendi sunucularında tarıyorlar fakat o dosya şiftelenmiş ise doğru sonuç vermez. Yukarıda arkadaş encrypt(şifrelenmiş) dosyaların virüsü göstermeyeceğinden bahsetmiş. Örnek gerekirse korsan oyunların arşiv dosyaları ya şifresi oluyor ya da arşiv içi arşiv metodu ile kullanıcıya sunuluyor.


Kaspersky threat intelligence VirusTotal gibi dosya taraması yapıyormuş bende yeni öğrendim. Çoğu antivirüs te yukarıda da dediğim gibi şifresi olan arşivleri indirdiğinizde tarayamaz.
 
WeMod tek oyunculu oyunların çoğunda tek bir uygulama üzerinden hile yapabilmeni sağlayan bir uygulama. Kaspersky Threat Intelligence virustotal gibi ama çok daha güvenilir bir kaynak. False positive virüs olmayan şeyi antivirüsün virüs olarak algılamasıdır. Son soruya gelicek olursak da evet tarattığı antivirüslerin çoğu dandirik.
 

Şifre dediğin şey mi hani mesela bir tane ZIP dosyası var ama onu klasöre ayıkla dediğin zaman şifre sorar onu gibi bir şey mi çünkü benim tarattığım dosyada böyle ama ben ZIP'ten çıkarıp klasör olarak tarattım.
 
Konuyu cevapla
Menü
Giriş yap
Kaydol
Bu siteyi kullanmak için çerezler gereklidir. Siteyi kullanmaya devam etmek için çerezleri kabul etmelisiniz. Daha Fazlasını Öğren.…