Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik


(a) String analizi (String analysis)



Yüklə 3,91 Mb.
Pdf görüntüsü
səhifə134/219
tarix20.11.2023
ölçüsü3,91 Mb.
#163459
1   ...   130   131   132   133   134   135   136   137   ...   219
siber-guvenlik-kitap-basila-04-01-2019

(a) String analizi (String analysis): Belirli dizilimler saldırganın 
e-posta adresi, zararlı kodla ilişkili “URL’ler”, kullanılan metot 
isimleri, vb. kötü amaçlı yazılımla ilgili uygun bilgiler sunmak-
tadır ve kötü amaçlı yazılım tespitinde sıkça kullanılmaktadır.
(b) Üst ve kuyruk tarama (Top-and-tail scanning): Bütün dosya 
yerine sadece dosyanın üst ve bitiş noktalarında belli bölümler 
alınarak imzalar oluşturulmaktadır [Szor, 2005]. Kendini dosya 
başlarına ve sonlarına ekleyen virüsleri tespit etmek için oldukça 
uygun bir imza çıkarma yöntemidir.
(c) Giriş noktası taraması (Entry point scanning): Bir dosyanın 
giriş noktası o dosya çalıştırılmaya başladığında ilk çalışmanın 
nerde başlayacağını gösterir. Kötü amaçlı yazılımlar genellikle 
programların giriş noktalarını zararlı kodların başlangıç nokta-
larını işaret edecek şekilde değiştirirler ve program kodlarından 
önce zararlı kodların çalıştırılmasını sağlarlar [Szor, 2005]. Bun-
dan dolayı program giriş noktalarındaki dizilimlerden imza çı-
karılarak belli kötü amaçlı yazılımlar tespit edilebilmektedir.
(2) Hashing: Kötü amaçlı yazılımı tespit edebilen bir yöntemdir. 
Örnek program hash programına girdi olarak verilerek “MD5”, 
“SHA-1” ve “SHA-2” gibi hash değerleri hesaplanır. Daha sonra, 
hesaplanan hash değerleri önceden hazırlanmış veri tabanlarındaki 
hash değerleriyle karşılaştırılarak işaretleme yapılır.
(3) Tersine derleme (Reverse compiling): Kötü amaçlı yazılım ör-
neklerinin makine kodu girdi olarak verilip “assembly” seviyesi 
komutlar elde etme işlemidir [Pandey vd. 2014; Fukushima, 2010]. 
Tersine derleme sırasında programın yapısı analiz edilebilmektedir: 
Hangi metotların kullanıldığı, “register” durumları, yığın durumu, 
vb. 
Statik analizde dosya ismi, uzantısı, içeriği, imzası, karakter dizileri, 
vb. bilgiler ilgili statik analiz araçları kullanılarak çıkartılır ve bu 
veriler kullanılarak programın yapısı belirlenir. Çıkarılan bu özel-

K Ö T Ü A M A Ç L I YA Z I L I M L A R V E A N A L İ Z İ
243
likler ilgili kötü amaçlı yazılım hakkında bilgi vermekte ve benzer 
özelliklerin başka kötü amaçlı yazılımlarda olup olmadığına bakıl-
maktadır. Daha önce bilinen kötü amaçlı yazılımlar bu sayede hızlı 
ve etkin bir şekilde tespit edilebilmektedir. Fakat bu yazılımlarda 
yapılan ufak bir değişiklik programın yapısını değiştireceğinden, 
ayrıca bazı kötü amaçlı yazılımların gerçek program yapısının be-
lirlenmesindeki zorluklar iyi programlanmış kötü amaçlı yazılım-
ları statik analiz kullanarak tespit etmeyi neredeyse imkansız hale 
getirmektedir. Ayrıca “BinText” ve “PEview” gibi statik analiz araç-
ları kötü amaçlı yazılımlar hakkında çok detaylı bilgi vermemekte 
ve “IDA Pro” gibi paket ayırıcı programlar kullanmak çok üst dü-
zey işlemci ve işletim sistemi bilgisi gerektirdiğinden dolayı statik 
analiz kullanarak yeni nesil kötü amaçlı yazılımları analiz ve tespit 
etmek nerdeyse olanaksızlaşmaktadır.

Yüklə 3,91 Mb.

Dostları ilə paylaş:
1   ...   130   131   132   133   134   135   136   137   ...   219



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Stomatologiya
Anesteziologiya
Cərrahlıq
Ginekologiya
Tibb

yükləyin