Bilgisayardaki virüs nasıl tespit edilir??

Konu: Bilgisayardaki virüs nasıl tespit edilir?? Paz Mart 01, 2009 8:32 am

[hide]

ANTi-ViRÜS KULLANMADAN BiLGiSAYARDAKi ViRÜS NASIL TESPiT EDiLiR ?

Virüsler, bilgisayarlarda genel bazi etkilere sebep olurlar.Eger bilgisayarinizda asagidaki etkilerden biri veya birkaçi varsa sisteminizi bir virüs taramasindan geçirebilirsiniz;

* Sistem hizinda yavaslama : Sistem hizinda meydana gelen ani hiz düsüsleri virüs etkinliklerinden kaynaklanabilir.Ancak bu durum Windows'un registry kaydinin asiri dolu olmasindan da kaynaklanabilir.

* Programlarin diske erisim süresinin ve/veya yüklenmelerinin daha uzun sürede gerçeklesmesi : Dosya virüsleri bir program yüklenmek istendiginde o programi kontrol eder, virüssüz ise o programa bulasir.TRAKIA.1070 (Yandan Çarkli) gibi bazi virüsler aktif dizindeki EXE veya COM uzantili dosyalarin hepsine birden bulasmak isteyebilir.Bu da yüklenme hizindaki düsüse neden olur.

* Bilgisayarin sebepsiz yere kilitlenmesi veya resetlenmesi : Iyi kodlanmamis TSR virüsler veya virüsün programcisi tarafindan sistemin sik sik kilitlenmesi veya resetlenmesi öngülmüs olabilir.

* Anormal mesajlar : Eglence amaciyla yazilmis virüsler veya özel bir amaçla yazilmis virüsler belli zamanlarda veya bazi özel durumlarda garip mesajlar verirler.

* Dosyalarin garip bir sekilde yok olmasi ve(ya) dosya özniteliklerinin (attribute) degismesi : Bazi virüsler dosyalari silerler.Bazi virüsler de daha önceden bulasip bulasmadiklarini anlamak için dosyalarin öznitelik bilgilerinde degisiklik yaparlar.

* Yazma-korumali bir diskte okuma islemi yaparken "Write protection" hatasi : Iyi yazilmamis virüsler write-protected disklerdeki programlara bulasmak istediklerinde genelde bu hataya düserler.

* Disk haritasini gösteren programlar ile diske baktiginizda daha önceden olmayan bozuk alanlar : Genellikle boot/mbr virüsleri sakladiklari alanlari korumak için kullandiklari bu alanlari bozuk olarak isaretler.

Periyodik olarak bilgisayarda virüs aramak can sikici bir hal aldigindan virüs taramalarindan vazgeçtiyseniz asagidaki yollarla da bilgisayarinizda virüs olup olmadigini kontrol edebilirsiniz.Eger biraz da olsa assembly biliyorsaniz asagidakileri anlamaniz kolaylasacaktir.

BOOT/MBR Virüslerin Tespit Edilmesi

Simdi bilgisayari resetleyin.Starting MS-DOS, Starting Windows türünden bir mesaj aldiktan sonra F5 tusunu veya klavyedeki sol shift tusunu basili tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyalari islenmeden çalisacaktir. Simdi DEBUG adli programi çalistirin.Ekranda - isareti görüyor olmalisiniz.Simdi a koomutunu verip enter tusuna basin.(a komutu assembly dilinde program girilecegini belirtir).Ekranda 6750:0100 gibi bir adres degeri göreceksiniz.INT 13 yazip enter tusuna basin.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çikin.Tekrar - isaretini göreceksiniz.Simdi t (trace-adim adim çalistir) komutunu verin.Hemen ardindan da u komutunu girerek INT 13'ün yönlendirildigi adresteki assembly kodlarini ekrana getirin.Eger ekranda DB komutlari görüyorsaniz bilgisayarinizda herhangi bir TSR virüs yok demektir.(Debug, unasseble islemi yaparken çevirdigi kodu 16 bitlik olarak çevirir.Bu yüzden herhangi bir 386 komutu debug tarafindan önce bir DB komutu ve ardindan da 16 bitlik bir komut seklinde çevirilmektedir.Mesela 32 bitlik MOV EAX,C0310102h komutu debug tarafindan DB 66h / MOV AX,0102h / XOR AX,AX seklinde çevirilecektir.Virüslerin eski islemcilerde dahi çalisacak sekilde yazildiklarini gözönünde tutarak DB komutu görüldügünde sistemde kesinlikle bir virüs yoktur diyebiliriz)

INT 13 bir BIOS interruptidir.Bu yüzden adresi de F000:0000 adresinden daha yukarida bir bölgede olmalidir.Eger Int 13 kodu 9C00:0000-A000:0000 arasinda bir bölgeye denk geliyorsa sizin için virüs taramasinin vakti gelmistir.Asagida virüssüz bir bilgisayardan alinmis INT 13 kodu görülmektedir.Siz asagidaki çiktinin aynisini göremeyebilirsiniz.

DEBUG (Enter)
-
a (Enter)
xxxx:0100 INT 13 (Enter)
xxxx:0102 (Enter)
-
-t (Enter)
FD60:2517 63 DB 63
-u (Enter)
FD60:2517 63 DB 63
FD60:2518 38 6C 6C CMP [SI+6C],CH
.........

nonTSR (ve TSR) Virüslerin Tespit Edilmesi

nonTSR (bellekte sürekli kalmayan) programlar oldukça basit bir sekilde incelenebilir.Bunun için Norton Commander türü bir programa ihtiyaciniz var.Norton Commander'i çalistirin ve çok kullandiginiz COM ve EXE uzantili dosyalarin içlerine F3-View'a basarak Text View modunda bakin.Programin basinda veya sonunda bir yerlerde (EXE dosyalar için sadece dosya sonuna bakmak yeterli) *.COM, *.EXE, ????????.EXE, ????????.COM türünden yazilar veya anormal olarak nitelendirilebilecek mesajlar görüyorsaniz (Ingilizce esas alinarak yazilmis bir program içinde Türkçe mesajlar veya tuvalete gidince sifonu çekin gibi alakasiz mesajlar gibi) bu mesajlari, eger mesaj yok ise baktiginiz kisimlardan seçeceginiz bir kisim kodu bir yere not edin.Ayni türden birkaç dosyaya daha bakin.Not ettiklerinizi her baktiginiz dosyada görüyorsaniz bilgisayarinizi bir sistem disketi ile açin ve sistemi virüs taramasindan geçirin.

TSR Virüslerin Tespit Edilmesi

Ilk önce DOS'un MEM, CHKDSK gibi komutlari ile konvansiyonel bellegi (640Kb'lik bellek blogunu) kontrol edin.TSR virüsler bellege yerlesebilemek için bilgisayarin belleginden ihtiyaç duydugu kadarlik bir bölümünü ayirmak zorundadir.Bunu yerlerini garanti altina almak için yaparlar.Eger bellek 640Kdan (655360 byte) az görünüyorsa virüsten süphelenmeye baslayabiliriz.Yalniz bazi makinalarda BIOS ayarlarindan dolayi ana bellek 639K görünebilir.TSR bir virüsler genelde 2Kb veya daha fazla bellek ayirirlar.Eger konvansiyonel bellek 640 Kb'dan az görünüyorsa bilgisayarda TSR bir virüs oldugundan süphelenmek için ilk sinyali almis oluruz.Eger konvalsiyonel bellek 640Kb görünüyorsa incelememize devam edelim.

Simdi bilgisayari resetleyin.Starting MS-DOS, Starting Windows türünden bir mesaj aldiktan sonra F5 tusunu veya klavyedeki sol shift tusunu basili tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyalari islenmeden çalisacaktir. AUTOEXEC.BAT dosyasinda bulundugu için her açilista otomatik çalisan bir programi çalistirin (Mesela ses kartinin DOS sürücüsü, Türkçe karakter seti programi, Türkçe klavye programi gibi.Autoexec.Bat kütügünün içini görmek için TYPE C:\AUTOEXEC.BAT komutunu kullanin).Çalistirdigimiz program ile virüsün hafizaya yüklenmesini saglamis olduk.TSR virüsler bulasmak için DOS'un program çalistirma, dosya açma, dosya kapama gibi servislerini kontrol ederler.Tüm bu servisler INT 21 altinda toplanmistir.

Simdi DEBUG adli programi çalistirin.Ekranda - isareti görüyor olmalisiniz.Simdi a komutunu verip enter tusuna basin.(a komutu assembly dilinde program girilecegini belirtir).Ekranda 6750:0100 gibi bir adres degeri göreceksiniz.INT 21 yazip enter tusuna basin.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çikin.Tekrar - isaretini göreceksiniz.Simdi t (trace-adim adim çalistir) komutunu verin.Hemen ardindan da u komutunu girerek INT 21'in yönlendirildigi adresteki assembly kodlarini ekrana getirin.

u komutunu verdikten sonra gelen çiktida ;

PUSHF
CMP AX,4B00 veya CMP AH,4B satirlarini görüyorsaniz sisteminizde kesinlikle bir TSR virüs var diyebiliriz.

PUSHF komutu DOS'un isaret yazmacini stack alanina sürerek saklamak amaciyla kullanilir.TSR rutinlerin basinda mutlaka yer alir. Virüs isaret yazmacinin degerinin degismesine sebep olursa , virüsün isi bittiginde servisi çagiran programin hatali çalismasina sebep olacaktir.Bu yüzden virüs ele geçirdigi interrupta atadigi rutinin basina bir PUSHF komutu koyacaktir.

CMP AX,4B00 veya CMP AH,4B komutlari (INT 21/AH=4B servisi) Int 21'in bir programi yüklemek veya çalistirmak amaciyla çagirilip çagirilmadigini kontrol etmek için kullanilmaktadir.Int 21'in 4B servisi program yükle/çalistir anlamina gelen bir servistir ve DS:DX yazmaclarinda yüklenecek/çalistirilacak programin ASCIIZ olarak ismi yer alir.Virüs bu servisi kullanarak DS:DX adresindeki programi kontrol edecek, temiz bir program ise ona bulasacaktir. [/left]

Bu Konuya Cevap Yazmıyanlar linklerimizden faydalanamazlarAdmin