Anti-Virus ' ler Haqqında Bilmədikləriniz
Bu yazımda antivirüs proqramlarının virus & trojan vs...' ları necə tutduğundan bəhs etmək istəyirəm. Buna niyə/səbəb də bəzi sayt və forumlarda insanların başqalarına səhv məlumatlar vermələridir. Ümumiyyətlə bu mövzu haqqındakı səhv məlumatlar da ən çox "Hansı OV (Anti Virus Proqramı) ən yaxşısı?" tərzindəki forum başlıqlarında gəzir.
Bəzi kəslər deyir ki bu OV daha yaxşı. Bax bu bu bu virusu-trojanı dərhal tutdu digər OV tuta bilmir. Əslində burada çox da səhv bir vəziyyət yox kimi görünsə də, ən yaxşısı OVların virusları necə tutduğunu öyrəndikdən sonra şərh etmək. Yoxsa ağızı olan danışır kimi bir vəziyyət çıxır ortaya.
Yaxşı OVlar Virusları Necə Tutur?
İndi əvvəlcə heç bir OV sizin yeni yazmış olduğunuz bir virusu, trojanı vs... tuta bilməz (təsbit edə bilməz). Çünki OVlar bir proqramın nə etdiyinə, quruluşuna baxaraq onun virus olduğuna qərar verməz (ascii formatında kodlaşdırılan bəzi zərərli scriptler xaricində)! Yaxşı necə tanıyarlar? Əvvəlcə bir OV firması şübhəli fayl haqqında ən az iki hesabat al/götürməlidir. Daha sonra isə bu faylın analizi edilər və bir virus & trojan vs... olduğuna qərar verilincə, fayldan hex imza alınar və virus verilənlər bazalarına işlənər. OV progra****z də darama əsnasında maşınınızdakı proqramlarda bu verilənlər bazasına işlənən hex imzanı axtarar və bərabərlik təmin edildiyində faylın infecte bir fayl olduğuna qərar verilər.
Yəni proqram istər kompüterə zərər verən bir virus olsun, istər kompüterinizdə arxa qapılar (backdoor) açaraq çölə məlumat sızdıran bir trojan & worm olsun, bunlar bir Ov firmasına hesabat edilib, firma tərəfindən analiz edilib verilənlər bazalarına daxil edilənə qədər əsla bir OV tərəfindən tanına bilməz. Lakin yuxarıda da bəhs etdiyim kimi bəzi zərərli scriptler ascii formatında (düz yazı - yığılmamış) olduğundan OV bu fayla baxaraq bəzi müəyyən təkrarlananlara görə faylın şübhəli bir fayl olduğuna qərar verə bilər.
Bunun doğruluğuna inanmaq üçün kompüterə format atan bir proqram yazın ya da trojan serveri tərzi maşında port açan (sayı əhəmiyyətli deyil; istər 1 olsun ister100 olsun) və dinlən/istirahət edən əmrlərə görə çölə məlumat sızdıran & maşında zərərli əmrlər işlədən bir proqram yazın. Bu proqramı hər hansı bir OVa tarattığınızda görəcəksiniz ki OV bu proqramı bir virus vs... olaraq tanıya bilməyəcək.
Haydı indi biz də bir virusdan hex imza götürək :-))
Mən nümunə olaraq Lorez virusundan bir hex imza götürdüm:
58 FF E0 8B 85 57 17 40 00
50 B9 78 56 34 12 FF 95 E6
16 40 00 89 85 53 17 40 00
83 F8 FF 75 01 C3 6A 20 8B
İndi məsələn Cdə bir proqram yazdığımızı fərz edək və Lorez virusundan al/götürdüyümüz bu hex imzanı da proqramda istifadə etdiyimizi düşünək. Yenə nümunə vermək lazım olsa BYTE tipində bir silsilə/seriala kodumuzu yerləşdirək:
BYTE lorez_virusu_imzasi[] = {0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00,
0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6,
0x16,0x40,0x00,0x89,0x85,0x53,0x17,0x40,0x00,
0x83,0xF8,0xFF,0x75,0x01,0xC3,0x6A,0x20,0x8B};
Bu kodu yazdığınız bir proqrama daxil edib windows altında yığıb only.exe deyə bir fayl meydana gətirdiyinizi fərz edək. Böyük ehtimalla OV progra****z only.exe faylına Win95.Lorez (ya da öz verilənlər bazalarına necə bir adla yazmışlarsa) virusu bulaşmış deyə bir xəbərdarlıq verəcək. Amma siz bunun zərərsiz bir kod olduğunu anlamısınız sanaram :-))
İşdə OV proqramları da eyni bu şəkildə özlərinə hesabat edilən faylları araşdırarlar və hex imza veritabanlar meydana gətirərlər. Daha sonra da darama əməliyyatlarında fayllarda bu verilənlər bazasındakı imzaları axtararlar və faylın infecte olub olmadığına qərar verərək disinfecte, silmə, karantin vs əməliyyatları reallaşdırarlar.
İndi ümumiyyətlə bir OVun necə işlə/çalışdığını öyrənmiş olduq. Yaxşı hansı OVun daha yaxşı olduğuna necə qərar verəcəyik? Əslində hər OV bu qisimdə eyni əməliyyatları etdiyindən fərq burada yox əslində. Ümumiyyətlə OVlarda sistemi həddindən artıq yavaşlatmaması (Norton yüklü maşının sürünməsi kimi) və e-poçt nəzarət etmə vs kimi əlavə xüsusiyyətlər və ən az sistem xərcləyərək ən çox funksiyas(n)ı ən yaxşı şəkildə bacaran bir OVu yaxşı olaraq xarakterizə etmək mümkün.
Əlavə olaraq özümcə yaxşı bir OVa nümunə verməm lazım olsa Kaspersky OVu rahatlıqla söyləyə bilərəm. Bu proqramın digər OVlara görə bir müsbəti daha var ki; o da bu viruslardan vs... alınıb verilənlər bazasına işlənən hex imzalara əlavə olaraq, faylı bir çox exe packer ilə ayrı-ayrı packlenmiş hallarından da hex imza al/götürərək verilənlər bazasına işləmələri. Beləcə məsələn tanınan bir trojanı (əgər packlenmişse unpack edərək başqa bir packerla) packleyerek digər OVlara qarşı tanınmaz hala gətirsəniz belə KAV bunu daha əvvəldən özü də sınayıb vertabanına əlavə etmiş ola biləcəyindən, digər OVlar tanımazkən KAV bu infecte faylı yenə tanıya bilər...
Siz bu təhlükəli viruslardan qorunmaq üçün hansı ANTİVİRUSDAN istifadə edirsiz ??? Seçdiyiniz ANTİVİRUS sizin PC nizi istədiyiniz kimi müdafiə edə bilir ???
Mövzu: Antiviruslar haqqında bilmədikləriniz 
Çər. Apr. 29, 2009 8:35 pm
