VirusTotal çalışma mantığı nedir?

UstaGT dedi:
Şifre dediğin şey mi hani mesela bir tane ZIP dosyası var ama onu klasöre ayıkla dediğin zaman şifre sorar onu gibi bir şey mi çünkü benim tarattığım dosyada böyle ama ben ZIP'ten çıkarıp klasör olarak tarattım.
Genişletmek için tıkla...

O değil belli başlı kodlar ile AVler tarafından görünmüyorlar.
 
UstaGT dedi:
Merhaba. Genelde bu soruyu hep hile yapımcıları sorar onların yaptığı hileyi VirusTotal'e atıp sonuçlar şöyle çıktı deyince genelde hepsi sinirlenir hemen şu klasik sözü söyler "VirusTotal nasıl çalışıyor biliyorsun mu sen? * aynen böyle derler yok deriz. Nasıl çalışıyor diye sorarız ama cevap vermezler tabii, hile sonuçta. VirusTotal'de temiz çıkmasını bende beklemiyorum ama ne bileyim hiç olmazsa 20-30 tane şirket virüs değil uyarısı falan verse. Bir atıyorum dosyayı sadece birkaç tane şirket virüs değil diyor kalanları hep virüs diyor. İnsan da böyle olunca şüpheleniyor ama bazı hileler var VirusTotal'de temiz çıkıyor bazılarının sonucu berbat çıkıyor. Yani kısacası bu VirusTotal'in nasıl çalıştığını anlatacak biri var mı?
Genişletmek için tıkla...

Genellikle hile sahibi aptal değilse çok da güzel saklar burada hile sahibine güvenmek lazımdır zaten açık kaynak kodlu değilse Free hilelere yaklaşma bile zaten. Yabancı ya da Türk forumlar var hile hakkında yazılar olur geçmişte bir olay olmuşmu olmamışmı diye bakarsın. Zaten Türk hilelerin çoğu copy paste GitHub'da dolaşsan belki bulabilirsin bile. Anlatmaya çalıştığım kısaca eğer hile sahibi zeki biriyse vt ya da virüs programları işe yaramaz.
 
Malware.AI dedi:
Av bulamaz diye bir şey yok. Tamam içindeki kodları vb göremez ancak neyle şifrelediğini görüp size dosyanın şifrelendiği hakkında uyarı verir. Sezgisel ve davranışsal tespit de edebilir antivirüsler.
Eğer bir dosyayı GitHub'dan açık kaynaklı indirmediyseniz zaten çoğu program şifrelenmiş geliyor. Kim programının kodlarının başka programcılara gözükmesini ister?

Genelde de bu hileler virüssüz olmasına rağmen virüslü tespit edilir ve herkes virüs yazar, ancak bu dosya şifrelendiği için antivirüsler uyarı veriyor demektir. Hiç fark ettiniz mi bazen bazı dosyalarda themida, vmp gibi şeyler yazar tespit açıklamasında. Bunlar işte en popüler şifreleyiciler ve bunları tespit edip sizi uyarıyor.

Çok basit bir login mantığıyla bile VirusTotal bypass mümkün. Ayrıca çoğu hile yapan kişiler 3. parti yazılım olduğu için tespit ediliyor der. Ancak bunu diyenler büyük ihtimalle 3.parti yazılım ne demek onu bile bilmiyor.

Her veritabanında olmayan dosya (veya imzalanmamış bir dosya) antivirüse göre 3.parti uygulamadır. Ancak bazı dosyalar veritabanında olmasa bile dosyanın tarama sonucu temiz çıkabiliyor. Yani olayın 3.parti ile alakası bile yok.
Zaten her dosya da veritabanında yoktur yani aslında şu anda günlük bilgisayarınızda bile çok fazla 3.parti uygulama vardır büyük ihtimalle ancak çoğu antivirüs tarafından tespit edilmez.
Genişletmek için tıkla...

Amsi hariç Norton ve ESET'in Memory Scenner'ı bütün virüsleri algılayacaktır zaten, eğer siyasi değilseniz gazeteci falan her türlü virüsü isterseniz 0 yapın fakat sıfırdan bir virüs yazmadan Cryptleyince Win apiye elinde sonunda istek atacak ve anti yakalayacaktır. Sıfırdan yazsanız da 2 günde patlacaktır. Zaten o yüzden exploitler tehlikeli. Atıyorum NVIDIA'nın signaturune kendisini işlemcide eklerse anti bunu tarama dışına alacak ama aslında sen NVIDIA'nın uygulamasına gömdüğün için zararlı çalışacaktır.
 
Son düzenleyen: Moderatör:
627848 dedi:
Amsi hariç Norton ve ESET'in Memory Scenner'ı bütün virüsleri algılayacaktır zaten, eğer siyasi değilseniz gazeteci falan her türlü virüsü isterseniz 0 yapın fakat sıfırdan bir virüs yazmadan Cryptleyince Win apiye elinde sonunda istek atacak ve anti yakalayacaktır. Sıfırdan yazsanız da 2 günde patlacaktır. Zaten o yüzden exploitler tehlikeli. Atıyorum NVIDIA'nın signaturune kendisini işlemcide eklerse anti bunu tarama dışına alacak ama aslında sen NVIDIA'nın uygulamasına gömdüğün için zararlı çalışacaktır.
Genişletmek için tıkla...
Valla hiç bir şey anlamadım ne diyon?
 
627848 dedi:
Amsi hariç Norton ve ESET'in Memory Scenner'ı bütün virüsleri algılayacaktır zaten, eğer siyasi değilseniz gazeteci falan her türlü virüsü isterseniz 0 yapın fakat sıfırdan bir virüs yazmadan Cryptleyince Win apiye elinde sonunda istek atacak ve anti yakalayacaktır. Sıfırdan yazsanız da 2 günde patlacaktır. Zaten o yüzden exploitler tehlikeli. Atıyorum NVIDIA'nın signaturune kendisini işlemcide eklerse anti bunu tarama dışına alacak ama aslında sen NVIDIA'nın uygulamasına gömdüğün için zararlı çalışacaktır.
Genişletmek için tıkla...
Norton iyi çalışıyor da ESET'in memory scannerından emin değilim.
2 günde patlamasına gerek yok güvenlik duvarı yüksek ihtimalle engelleyecektir zaten.

Son dediğinizi anlayamadım ama dosyayı imzalamaktan bahsediyorsanız, antivirüsler dijital imzaları yemiyor. Kod imzaları varsa onları kabul ediyor yoksa dosyayı şüpheli görmeye devam ediyor (en azından çoğu böyle).
 
Malware.AI dedi:
Norton iyi çalışıyor da ESET'in Memory scannerından emin değilim.
2 günde patlamasına gerek yok güvenlik duvarı yüksek ihtimalle engelleyecektir zaten.

Son dediğinizi anlayamadım ama dosyayı imzalamaktan bahsediyorsanız, antivirüsler dijital imzaları yemiyor. Kod imzaları varsa onları kabul ediyor yoksa dosyayı şüpheli görmeye devam ediyor (en azından çoğu böyle).
Genişletmek için tıkla...

İmza dediğiniz nedir bana da açıklar mısınız artık?
 
Son düzenleyen: Moderatör:
UstaGT dedi:
İmza dediğiniz nedir bana da açıklar mısınız artık?
Genişletmek için tıkla...
Bir .exe dosyasına sağ tıklayıp, özellikler dediğinizde dijital imzalar diye bir kısım çıkar. Orası boşsa dosya imzalanmamış, doluysa imzalanmış demektir.
Genelde imzalı dosyaların "çoğu" "hepsi olmamakla" birlikte güvenilirdir.
1723313826587.png
 
Malware.AI dedi:
Bir .exe dosyasına sağ tıklayıp, özellikler dediğinizde dijital imzalar diye bir kısım çıkar. Orası boşsa dosya imzalanmamış, doluysa imzalanmış demektir.
Genelde imzalı dosyaların "çoğu" "hepsi olmamakla" birlikte güvenilirdir. Eki Görüntüle 2280682
Genişletmek için tıkla...

İmza dediğin ne ki? Yapılması zor bir şey sanırım.
 
Son düzenleyen: Moderatör:
627848 dedi:
Amsi hariç Norton ve ESET'in Memory Scenner'ı bütün virüsleri algılayacaktır zaten, eğer siyasi değilseniz gazeteci falan her türlü virüsü isterseniz 0 yapın fakat sıfırdan bir virüs yazmadan Cryptleyince Win apiye elinde sonunda istek atacak ve anti yakalayacaktır sıfırdan yazsanızda 2 günde patlacaktır zaten o yüzden exploitler tehlikeli atıyorum NVIDIA'nın signaturune kendisini işlemcide eklerse anti bunu tarama dışına alacak ama aslında sen NVIDIA'nın uygulamasına gömdüğün için zararlı çalışacaktır.
Genişletmek için tıkla...

.jar algılamıyor maalesef.
 
UstaGT dedi:
İmza dediğin ne ki? Yapılması zor bir şey sanırım.
Genişletmek için tıkla...

Kod bazlı imza taklidi yapılması imkansıza yakın, hatta iş birliği içinde değilse virüs yapan firma asıl sahip ile imkansız diyebilirim. Dijital imza daha kolay yapılıyor (örneğin programın NVIDIA uygulaması değil ama sen NVIDIA uygulamasıymış gibi göstermek için dijital imza ekliyorsun ancak bu da genelde işe yaramıyor).
 
Son düzenleyen: Moderatör:

Benzer konular

efew0
VirusTotal Çalışma Mantığı Nasıldır?
Mesaj
2
Görüntüleme
549
METANİC
METANİC
7
Anti virüslerin çalışma mantığı nedir?
Mesaj
7
Görüntüleme
325
713862
7
Nyaan_Neko
RAT virüsünün çalışma mantığı nedir?
Mesaj
3
Görüntüleme
541
Mucize Kartal
Mucize Kartal
V
VPN'lerin çalışma mantığı
Mesaj
6
Görüntüleme
1.155
Vanilla sky
V
YKTYN
Comodo Çalışma Mantığı
Mesaj
2
Görüntüleme
1.333
YKTYN
YKTYN

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı