| |
|
|
|
BİLGİ BANKASI /
İNTERNET GÜVENLİĞİ
Virüs nedir ? Trojan (Truva ati) nedir ?)
Virüsler, kendi kodlarını başka programlara veya program
niteliği olan dosyalara bulaştırabilme özelliği olan
(kendi kodunu kopyalayabilen) bilgisayar programlarıdır.
Bulaştıkları bilgisayarda genelde hızlı bir şekilde
yayılırlar. Belli bir amaca yönelik olarak yazılmış,
zarar vermeye yönelik olabilecekleri gibi eğlence
amacıyla da yazılmış olabilirler.
Truva atları, virüslerden oldukça farklı bir yapıya
sahiptir.Asla başka programlara bulaşmazlar. Belli
olaylara bağlı olarak tetiklenen bir rutindirler.
Kendilerini kopyalayamadıkları için bazı programların
içine bilinçli olarak yerleştirilirler. Trojanlar, ilgi
çeken, utility gibi programların içine yerleştirilirler.
Trojan kodu, trojanın içine gizlendi?i programın yazarı
tarafından yazılımı? olabilecegi gibi sonradan da
programa eklenmemi ? olabilir.Trojanlar aslında kopya
koruma amacıyla hazırlanırlar.
Virüsler çoğunlukla Assembly gibi düşük seviyeli bir
programlama dili ile yazılırlar.Bunun asıl 2 sebebi
vardır.
1- Assembli'in çok güçlü bir dil olması
2- Yazılan programların derlendikten sonraki dosya
boylarının çok küçük olması
Bu özelliklerin her ikisi de virüs yazarlarının assembly
dilini kullanması için yeterli ve gerekli sebeplerdir.
Virüsleri özelliklerine göre sınıflandırma pek mümkün
olmasa da aşağıdaki şekildeki gibi bir sınıflandırma
yapmak yanlış olmayacaktır.Ancak pek çok virüs, pek çok
özelliği bünyesinde barındırabilir.Bağlanmama hızını
arttırabilmek amacıyla yapılan bu durum sonucu virüs,
boot sektörlere, mbr kayıtlarına, programlara
bulaşabilir. şimdi de bu virüs türlerinin izleyişlerine
bakalım
1 - Disk virüsleri : a- Boot b- MBR
2 - Dosya virüsleri : a- Program (TSR ve nonTSR) b-
Makro virüsleri
3- FlashBIOS virüsleri
1 - DiSK ViRÜSLERI
Disk virüsleri, adından da anlaşılacağı üzere, disk
ve/veya disketler üzerinde iletişim sistemi için özel
anlamı olan bölgelere (boot sektör, MBR) yerle?en
virüslerdir. Disk virüsleri, hakkında en çok yanlış
bilginin olduğu virüs türüdür.Boot ve MBR virüsleri,
aşağıda da göreceksiniz gibi işletim sisteminden önce
hafızaya yüklenir.Bu yüzden işletim sistemini kolaylıkla
atlatıp, Yukarıdaki şekilde de görüleceği gibi disk
virüslerini boot ve MBR (partition) virüsleri olarak 2
gruba ayırtabiliriz .
BOOT Virüsleri
Boot virüslerinin ne olduğuna geçmeden önce boot sektör
nedir, disk üzerinde nerede bulunur, önce bunlara bir
bakalım; Boot sektör, bir diskin veya disketin işletim
sistemini yüklemeye yarayan 1 sektör (512 byte)
uzunlu?undaki bir programdır.Boot sektörler, disketlerde
0.cy iz, 0.cy kafa,1.ci sektör üzerinde bulunur. Hard
disklerde ise boot sektörü 0.ci iz, 1.ci kafa ve 1.ci
sektör üzerinde bulunur.Boot sektör, açılış için gerekli
sistem dosyalarının yükleyen programdır.Aynı zamanda
disk (veya disket) ile ilgili bilgileri saklar.DOS
buradaki bilgileri kullanarak cılider hesaplarını yapar.
Normal koşullarda, bilgisayar başlatabilecek durumdaki
bir sistem disketini (virüssüz) sürücüye takip
bilgisayarı açtığımızda da, bilgisayar ilk olarak disket
sürücüye bakar.E?er sürücüde bir disket var ise bu
disketin boot sektörü hafızanın 0000:7C00 (hex) adresine
okunur ve okunan boot sektör çalıştırılır.Boot sektör,
işletim sistemini yükleyerek denetimi işletim sistemine
bırakır.Eğer bilgisayarı boot edecek disket bir boot
virüsü içeriyorsa o zaman durum değişir.Bilgisayar, boot
sektörü yine 0000:7C00 adresine okur ve akışı bu adrese
yönlendirir.Disketten okunan boot kaydı, yapı olarak
değiştirildiğinden dolayı, 0000:7C00'daki kod virüsü
hafıza içine yükleyip, hafızadaki konumunu garanti
altına alacaktır.Virüs aktivitesi için gerekli interrupt
servislerini de kontrol altına aldıktan sonra orjinal
boot kaydını okuyarak işletim sisteminin yüklenmesini
saklayacaktır.
MBR (Partition) Virüsleri
MBR virüsleri esas olarak, boot virüslerinden pek de
farklı değildir.Ancak can alıcı bir nokta vardır ki, bu
boot ve mbr virüsleri arasındaki en önemli noktadyr.
Hard diskler kapasite olarak çok farklı ve büyük
kapasitede olduklarından diskin DOS'a tanıtılması
amacıyla MBR - Master Boot Record (Ana açılı kaydı)
denilen özel bir açılış programı içerirler.Bu kod diskin
0.cy iz, 0.cy kafa ve 1.ci sektörü üzerinde bulunur.Yani
disketlerde boot sektörün bulunduğu konum, hard diskler
için MBR yeridir.Master boot record, hangi disk
partitionundan bilgisayarın açılacağını gösterir.Bu
yüzden çok önemlidir.E?er bilgisayar hard diskten boot
ediliyorsa, o takdirde mbr ve partition table
okunur.Aktif partitiona ait boot sektör okunur.Bundan
sonrası boot sektör kısmındaki sistemin aynısıdır.
2 - DOSYA VİRÜSLERİ
Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar
olan virüslerdir.Dosya virüsleri çoğunlukla COM, EXE,
SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi değişik
tipte kütüklere bulaşabilirler.
Makro virüsleri
Makro virüsleri Word, Excel gibi programların makro
dilleri ile (mesela VBA - Visual Basic for Applications)
yazılırlar.Aktif olmaları bazı uygulamalara (word, excel
vs) basit olduğundan program virüslerine oranla çok daha
az etkilidirler.
Program virüsleri
Program virüsleri, DOS'un çalıştırılabilir dosya
uzantıları olan COM ve EXE türü programlar başta olmak
üzere SYS, OVL, DLL gibi değişik sürücü ve kütüphane
dosyalarını kendilerine kurban olarak seçip bu dosyalara
bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan
(nonTSR) ve bellekte yerle?ik duran (TSR) olarak 2 tipte
yazılırlar.
nonTSR (Bellekte sürekli kalmayan) virüsler
Bellekte sürekli olarak kalmazlar.Kodları oldukça
basittir.Bellekte sürekli kalmayan virüsler sadece
virüslü bir program çalıştırıldığında başka programlara
bulaşabilirler.Virüslü program çalıştırıldığında
programın başında program kontrolünü virüs koduna
yönlendirecek bir takım komutlar bulunur.Virüs kontrolü
bu şekilde ele aldıktan sonra virüs kendisine temiz
olarak nitelendirilen virüssüz programlar aramaya
koyulur.Bulduğu temiz programların sonuna kendi kodunu
ekler ve programın başına da virüsün kontrolü ele
alabilmesi için özel bir atlama komutu yerleştirir ve
kendisine yeni kurban programlar arar.Virüs bulaşma
i?ini bitirdikten sonra çalıştırmak istediğimiz program
ile ilgili tüm ayarları düzenleyerek kontrolü konak
programa devreder.
TSR (Bellekte sürekli kalan) virüsler
TSR virüsler yapı olarak TSR olmayan virüslerden çok
farklıdır.TSR virüsler, 2 temel bölümden olu?urlar.1.ci
bölüm; Virüsün çalışmasy için gerekli ayarlamaları yapar
ve TSR olacak kodu aktifleştirir.2.bölüm TSR olan kodun
kendisidir ve TSR virüslerin hayati önemdeki
bölümüdür.Bu tip virüsler, çalışmak için sadece TSR
olmakla kalmazlar.Aynı zamanda çeşitli Interruptlary
(kesilmeleri) kontrol altına alırlar.Böylece DOS
üzerinden yapılan işlemleri bile kontrol altına
alabilirler.Örnek vermek gerekirse; TSR bir virüs DIR,
COPY gibi DOS komutları ile yapılan -daha doğrusu
yapılmak istenen- işlemleri kontrol altına
alabilir.Kullanıcı DIR komutunu kullandığında dosya
boylarının 0 olarak gösterilmesi, dosya boylarının eksik
gösterilmesi gibi işlemler TSR bir virüs için çok
kolaydır.
3 - FlashBIOS Virüsleri
FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS
chiplerine bulaşırlar. |
| |
|
|
 |
|
|
|
|
|
|
|
