Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- 1) Temel (basit) dinamik analiz
- Şekil 8.11.
|
1) Temel (basit) dinamik analiz: Kötü amaçlı yazılım davranışları-
nın izleme programları kullanarak incelenmesidir. Temel dinamik analiz teknikleri sırasıyla şöyle sıralanabilir: a) Dosya ve “registry” olaylarının izlenmesi; b) Dosya değişikliklerinin izlenmesi; c) “Registry” anlık görüntülerinin karşılaştırılması; d) Ağ aktivitelerinin izlenmesi; e) “Sandbox” kullanarak otomatik analiz; f) Sistem çağrılarının izlenmesi. Şekil 8.11, Şekil 8.12 ve Şekil 8.13, farklı programlar için basit dina- mik analiz sonuçlarını göstermektedir. Şekil 8.11. “Process Monitor” kullanarak program analizi (Aktivitelerin listesi kısaltılmıştır) Şekil 8.11, “Process Monitor” kullanarak “svchost.exe” adlı sistem dosyasının çalıştırıldığında göstermiş olduğu dosya, “registry” ve ağ olaylarını göstermektedir. Hangi dizinde hangi dosyaların oluş- turulduğu, hangi dizin ya da dosyalarda okuma ve yazma yapıldı- ğı, “registry” değerlerine yapılan atamalar görülmektedir. R E F I K S A M E T - Ö M E R A S L A N 246 Şekil 8.12. Kötü amaçlı yazılımın başka sisteme (10.36.253.135) bağlanırken yaptığı ağ aktivitelerinin “Process Monitor” kullanarak izlenmesi (Aktivitelerin listesi kısaltılmıştır) Şekil 8.12, kötü amaçlı örnek bir yazılımın başka sisteme (10.36.253.135) bağlanırken yaptığı ağ aktivitelerinin göstermekte- dir. “Process Monitor” çıktısında gerekli filtrelemeler yapıldıktan sonra hangi “IP” adreslerine ya da web sitelerine bağlanıp kaç bayt gönderip alındığı çıktıda görülebilmektedir. Şekil 8.13. “API Monitor” kullanarak program analizi (API sistem çağrılarının listesi kısaltılmıştır) Benzer şekilde Şekil 8.13, örnek bir programın “API Monitor” kul- lanarak yapmış olduğu Windows API sistem çağrılarını göstermek- tedir. Şekilde hangi .dll ve metodların çağrıldığı görülmektedir. Otomatik çıktı üreten “Process Monitor” ve “API Monitor” gibi araç çıktılarının net olarak yorumlanabilmesi için ya gerekli filtrelemeler K Ö T Ü A M A Ç L I YA Z I L I M L A R V E A N A L İ Z İ 247 yapıldıktan sonra önemli görülen çıktılar elle yorumlanarak bir so- nuca varılmakta ya da özellikler belirlenip ve bu özelliklere makine öğrenmesi uygulanarak analiz edilmektedir. Örnegin, “AdjustTo- kenPrivileges”, “GetWindowsDirectory”, “ReadProcessMemory”, vb. Windows API’lerinin bir program tarafından çağrılması o prog- ramın kötü amaçlı olup olmadığı hakkında önemli bilgiler sun- maktadır. Ayrıca, araç çıktılarında bilgisayar kaynaklarında: dosya, “registry”, vb. yapılan değişiklikler görülebilmektedir. Tehlikeli gö- rülen dosyalar ve “registry” girdileri silinerek ya da güncellenerek kötü amaçlı yazılımın yayılması ve zarar vermesi engellenebilmek- tedir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|