K Ö T Ü A M A Ç L I YA Z I L I M L A R V E A N A L İ Z İ
241
saklanır. Daha sonra, antivirüs tarayıcıları dosyanın imzasını bulur
ve veri tabanında saklanan imzalarla karşılaştırır.
Eğer imza veri
tabanında mevcut ise ilgili dosya kötü amaçlı yazılım olarak işaret-
lenir, aksi takdirde normal yazılım olarak işaretlenir. Antivirüs tara-
yıcıları bilinen kötü amaçlı yazılımları (Aynı aileye ait farklı imzala-
ra sahip) tespitte hızlı ve doğru çalışsa da, bilinmeyen kötü amaçlı
yazılımları tespit etmede yetersiz kalmaktadır. Şekil 8.8, örnek bir
yazılımın antivirüs tarayıcısı olan “ClamAV” tarafından tespit edi-
len kötü amaçlı yazılım imzasını göstermektedir [Hahn, 2014].
Şekil 8.8.
“ClamAV” bayt imzası
“90FF1683EE0483EB0175F6” ilgili kod bölümünün onaltılık format-
ta gösterimidir ve “assembly” dilinde Şekil 8.9’daki
gibi gösteril-
mektedir. Aynı bayt imzası “Yara” formatında Şekil 8.10’da göste-
rilmektedir.
Şekil 8.9.
“90FF1683EE0483EB0175F6” imzasının “assembly”
bayt dizilimi
Şekil 8.10.
Bayt imzasının “Yara” formatında gösterimi
Bilinmeyen kötü amaçlı yazılımlar (Unknown malware) genellikle,
antivirüs tarayıcılarını atlatmak için imzasını ve kod yapısını değiş-
tiren normalde bilinen kötü amaçlı yazılımlardır [You ve Yim, 2010].
Zararlı. exe:1:90FF1683EE0483EB0175F6
Başlama: 0x401A2E length: 0xC
90 nop
FF 16 call dword ptr [esi]
83 EE 04 sub esi, 4
83 EB 01 sub ebx, 1
75 F6 jnz short loc_401A30
Kural
örnegi
{
Bayt dizilim:
imza = { 66 90 FF 16 83 EE 04 83 EB 01 75 F6 }
durum:
imza
}
R E F I K S A M E T - Ö M E R A S L A N
242
“Norton”, “McAfee”, “Karspersky” ve “ClamAV” yaygın
olarak
kullanılan antivirüs tarayıcılarıdır. Program imzaları çıkarılırken
farklı yöntemler kullanılmaktadır: String analizi, üst ve kuyruk ta-
raması, giriş noktası taraması.
Dostları ilə paylaş: 
