Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik

K Ö T Ü A M A Ç L I YA Z I L I M L A R V E A N A L İ Z İ
241
saklanır. Daha sonra, antivirüs tarayıcıları dosyanın imzasını bulur 
ve veri tabanında saklanan imzalarla karşılaştırır. Eğer imza veri 
tabanında mevcut ise ilgili dosya kötü amaçlı yazılım olarak işaret-
lenir, aksi takdirde normal yazılım olarak işaretlenir. Antivirüs tara-
yıcıları bilinen kötü amaçlı yazılımları (Aynı aileye ait farklı imzala-
ra sahip) tespitte hızlı ve doğru çalışsa da, bilinmeyen kötü amaçlı 
yazılımları tespit etmede yetersiz kalmaktadır. Şekil 8.8, örnek bir 
yazılımın antivirüs tarayıcısı olan “ClamAV” tarafından tespit edi-
len kötü amaçlı yazılım imzasını göstermektedir [Hahn, 2014].
Şekil 8.8. 
“ClamAV” bayt imzası
“90FF1683EE0483EB0175F6” ilgili kod bölümünün onaltılık format-
ta gösterimidir ve “assembly” dilinde Şekil 8.9’daki gibi gösteril-
mektedir. Aynı bayt imzası “Yara” formatında Şekil 8.10’da göste-
rilmektedir.
Şekil 8.9. 
“90FF1683EE0483EB0175F6” imzasının “assembly” bayt dizilimi
Şekil 8.10. 
Bayt imzasının “Yara” formatında gösterimi
Bilinmeyen kötü amaçlı yazılımlar (Unknown malware) genellikle, 
antivirüs tarayıcılarını atlatmak için imzasını ve kod yapısını değiş-
tiren normalde bilinen kötü amaçlı yazılımlardır [You ve Yim, 2010]. 
Zararlı. exe:1:90FF1683EE0483EB0175F6
Başlama: 0x401A2E length: 0xC
90 nop
FF 16 call dword ptr [esi]
83 EE 04 sub esi, 4
83 EB 01 sub ebx, 1
75 F6 jnz short loc_401A30
Kural örnegi 
{
Bayt dizilim:
imza = { 66 90 FF 16 83 EE 04 83 EB 01 75 F6 }
durum:
imza
}

R E F I K S A M E T - Ö M E R A S L A N
242
“Norton”, “McAfee”, “Karspersky” ve “ClamAV” yaygın olarak 
kullanılan antivirüs tarayıcılarıdır. Program imzaları çıkarılırken 
farklı yöntemler kullanılmaktadır: String analizi, üst ve kuyruk ta-
raması, giriş noktası taraması.

Yüklə 3,91 Mb.

Dostları ilə paylaş: