Çevrimdışı

Antibomba Dedektörleri

Anitbomba dedektörleri, bir veya daha faza dosyayı tarama veay hedef dosyanın çalı?tırılabilir ( .EXE ) koduna yerle?tirilmi? yokedici yolları (örne?in, disketi yeniden formatlama ça?rıları veya kütük silme komutları) ara?tırma yeteneklerine sahiptirler. Bazı antibomba dedektörleri, virüs aktivitelerinin açık belirtilerini (ekran mesajları gibi) ara?tırıp, program koduna depolanmı? metin mesajlarını çıkartırlar. Ancak bunların da bazı eksik yönleri vardır: Bazı yasal yazılımları bomba olarak tanımlarlar, ?ifrelenmi? metin mesajlarının yerini belirleyemez veya görüntüleyemezler ve sık sık gerçekten öldürücü program komutlarını yakalayamazlar.

Antivirüs Dedektörleri

Virüssel aktivitenin do?ası gere?i (virüsler statik .EXE program dosyalarında belirlenebilir de?i?ikliklere neden olurlar), önleme sistemleri ve antibomba dedektörlerine oranla antivirüs dedektörleri virüs aktivitesini belirlemede çok daha etkilidirler. Bu etkinlik, uygulamaya koyulan belirleme algoritmasının kalitesiyle daha da artırılabilir.

Antivirüs belirleme programları iki temel sınıfa ayrılırlar: Programa özgü dedektörler (genellikle virüs tarayıcılar olarak adlandırılırlar) ve genel dedektörler.

Programa Özgü Dedektörler: Belirli sayıda (500’e yakın) bilinen virüsün taramasını yaparlar. Belirlemek üzere programlandıkları virüslerin i?aretlerini (imzalarını) tanımlamaya çalı?arak dosyaları incelerler. Bilinen virüs i?aretlerini içeren program dosyaları, virüs tarayıcılarının belirledikleri virüse ili?kin olarak kullanıcıları uyarmalarına neden olurlar. Programa özgü belirleme sistemleri, kuramsal eksiklikleri ortaya çıkana dek iyi ve mantıklı bir görünümdedirler:

Programa özgü dedektörler, sadece bilinen virüslerin sabit ve sınırlı bir bölümünü tanıyabilirler. Bu da yeni veya de?i?ikli?e u?ratılmı? virüslerin, güncel olmayan bu dedektörlerin yanından kayarak sabit disklere do?ru kolaylıkla yayılabilmeleri demektir.
Programa özgü dedektörlerin, yeni virüsler ke?fedildikçe veya eskileri de?i?tirildikçe sık sık bazen de pahalı olarak güncelle?tirilmeleri gerekmektedir. Dahası, yeni virüs tanımlamaları sürekli olarak programa özgü dedektörlerin ara?tırma kodlarına eklenmelidir. Programa özgü dedektörlerin en son versiyonunu kullanmayan kullanıcılar tehlikeli bir ?ekilde günün gerisinde kalmı? olurlar.
Programa özgü dedektörler, ileri teknoloji ürünü olan ?ifrelenmi? virüsler tarafından saf dı?ı bırakılabilirler. ?ifrelenmi? virüsler ya onları ?ifreleyerek ya da her enfeksiyonda bula?tırma kodlarını de?i?tirerek kendilerini maskederler.
Genel dedektörler: İyi tasarlanmı? genel dedektörler (oldukça seyrektirler) antivirüs yazılımlarının en güvenilir olanlarıdır. Genel dedektörler ,bilinen her bir virüsü tanımlamaya ve onların gerisinde kalmamaya çalı?mak veya her bir DOS kesintisini ve olası olan bütün yazılım deliklerini tıkamak yerine, bütün bilgisayar virüslerinin payla?tı?ı tek zayıflı?ı hedeflerler: Bilgisayar virüsleri ya?amak için normal çalı?tırılabilir (.EXE) dosyalarını de?i?tirmelidirler.

Yeni versiyonları üretilmedikçe çalı?tırılabilir program dosyaları, ne uzunluk ne de içerik olarak de?i?mezler. Genel virüs dedektörleri, statik program dosyalarındaki yetkisiz de?i?ikliklerin bir virüs belirtisi oldu?u varsayımına dayanır. Pratikte de bu varsayımın do?ru oldu?u sonucu kaçınılmazdır.

İyi tasarlanmı? genel dedektörler, statik çalı?tırılabilir dosyalarda ne kadar küçük ve önemsiz olurlarsa olsunlar, meydana gelen bütün de?i?iklikleri yakalarlar. Di?er bütün entivirüs yazılımları gibi genel dedektörler de ne yazık ki, kusursuz de?ildirler. Kullanımı karma?ık, i?letimi zaman alıcı olabilir, yarattıkları veri çıktı dosyaları diskte çok de?erli alanları kullanabilir, bazen yanlı? alarm verebilirler veya hedef sisteme kopyalanmı?larsa virüs enfeksiyonlarına kendileri maruz kalabilirler.

İdeal antivirüs güvenlik a?ı yazılımı, akıllı, iyi denenmi?, güvenli bilgi i?lem yöntemlerinin dengeli bir birle?imi ve hem önleme hem de belirleme yazılımlarından olu?ur. Kullanıcılar bilgisayar savunmasında bu çok yönlü yakla?ımı benimseyerek ve düzenli veri yedekleri

(backups) sa?layarak, sistemlerinin muzır yazılımların tahriplerinden yeterince korundu?una emin olabilirler.



ANTİVİRÜS YAZILIMLARA İLİ?KİN SORUNLAR

Bugün piyasada olan bütün antivirüs yazılımları, korku faktörünü e?itimsiz kullanıcıları istismar edercesine öne sürerek de?erlerini artırırlar. Bilinçsiz kullanıcı, de?i?ik yollarla mutlak sistem güvenli?ini sa?ladı?ını iddia eden i?portacı sözleriyle kandırılırlar. Ancak, daha önce de belirtildi?i gibi, mükemmele ula?amamı? antivirüs programları kullanıcılara tehlikeli bir güvenlik duygusundan ba?ka bir ?ey kazandırmazlar.

A?ılar ( Vaccines)

Sözde yazılım a?ıları, bilgisayar virüslerinin ortaya çıktı?ı ilk anlarda geli?tirilen antivirüs ürünler arasındaydılar. Son kullanıcının bu ürünlere ilk tepkisi olumluydu. Ancak, kullanıcılar bu ürünlerin temelini olu?turan teknolojiyi (ve bu teknolojideki hataları) ö?rendikçe satı?lar dü?tü. Bugün piyasada kullanıcıları açıkta, üreticileri ise sektör dı?ında kalmı? olan böyle birkaç ürün vardır.

Yazılım a?ılarını geli?tirenler programlarının, çalı?tırılabilir dosyaya enjekte edildiklerinde onu virüs bula?malarından koruyan, yazılım antigenleri sa?ladıklarını söylemektedirler. Antivirüs programları ve gerçek biyolojik a?ılar arasındaki bu kesin kar?ıla?tırmalar yanlı? yönlendiricilerdir. Yazılım a?ılarının gerçekte yapabilece?i ?ey, küçük programları ve toplam kontrol verilerini belirli çalı?tırılabilir dosyalıra eklemektir. Böylece bu program dosyaları çalı?tırıldıklarında, kontrol ilk önce ekli antivirüs programlarına geçirilir. Antivirüs programaları, çalı?tırılabilir dosyaların halihazırdaki toplam kontrolleri ( checksum ) ile ekli toplam kontrol verilerini kar?ıla?tırırlar. Kar?ıla?tırmalar uyarsa, kontrol yeniden çalı?an programa devredilir. Kar?ıla?tırmalar uyu?madı?ında, kullanıcılar uyarılır ve gerekli önlemler alınır.

Kullanmadan önce yazılım a?ılarına ili?kin sorunların farkında olmak yararlıdır:

A?ılı programları yüklemek uzun sürer, çünkü eklenen antivirüs kodu ve verileri dosya büyüklü?ünü artırır ve çalı?tırma öncesi toplam kontrol-kar?ıla?tırma i?lemi zaman alır.
Eklenen antivirüs kodu ve verileri program dosyalarını büyüttüklerinden pek çok sayıda disket tüketilir.
.EXE dosyalarının ba?lıklarını de?i?tirmeye çalı?an bazı a?ılar, .COM dosyalarına kar?ı, bir koruma sa?layamazlar, çünkü .COM dosyaları, .EXE dosyaları ile aynı dosya ba?lı?ına sahip de?illerdir.
Bir çok a?ılar sistem dosyalarından fazlasını (IO.SYS, MSDOS.SYS VE COMMAND.COM) koruyamazlar.
Birçok a?ılar “pack” edilmi? (sıkı?tırılmı?) .EXE dosyalarını koruyamazlar.
Kendisini güncelle?tiren programlar (installation) i?leminin bir parçasının de?i?tirilmesinde yanlı? alarmlar üretilir. Bunu önlemek üzere, yerle?tirme i?leminden ve kendisini güncelle?tiren programlar kullanılmadan önce veya sonra, kullanıcılar, a?ıların devreden çıkarılmalarına ve yeniden yerle?tirilmelerine zorlanırlar.
Antivirüs kod ve verisi ekleyerek .EXE dosyaları üzerinde yapılan de?i?ikliklerin, bu program dosyalarının çalı?masını olumsuz yönde etkileyemeyece?ini kimse garanti altına alamaz.
Virüsler, hedef dosyalardaki a?ı program kodunun varlı?ını kolaylıkla belirleyebilir ve dosyalara kasten zarar vermedikleri halde, kendilerini çalı?tırılabilir dosyalara eklerler.

Panzehirler ( Antidotes )

Virüs panzehirleri (aynı zamanda dezenfektan veya sökücü olarak da bilinirler), yazılım a?ılardan kısa bir süre önce piyasaya girmi?lerdir. Bugün yeni bir virüs ortaya çıkarıldı?ında ona kar?ıt bir panzehir tasarlanmaktadır.

Ço?u antivirüs yazılım sistemleri, kendi ayrı türleri içerisinde alt sınıflandırmalar sunarlar. Antivirüs panzehir programlarını sınıflandırmanın en kolay yolu, felaket panzehirleri (disaster antidotes) ve bula?tırma panzehirleri (infection antidotes) ?eklinde ikiye ayırmaktır.

Felaket panzehirleri, zarar verici olaylar meydana geldikten sonra sistemleri çal?ıma düzenlerine geri döndürmek üzere tasarlanmı?lardır. Bu sistemin satıcıları, virüs nedeniyle yeniden formatlanarak kendilerine getirilen sabit disklerin üzerindeki verileri kurtarmalarıyla ün salmı?lardır. Ancak bu basit bir aldatmacadır. Ço?u kullanıcı, sabit diski yeniden formatlamanın bütün kullanıcı verilerini silmedi?ini, sadece “allocated” disk alanlarını “kullanılmamı?” olarak i?aretledi?inin farkında de?ildir. Gerçekte felaket panzehirleri; boot sektörleri, komut i?lemcisi, FAT (dosya yerle?im tablosu), dizinler ve bölümleme verileri gibi kritik disk bilgilerinin yedekleme kopyalarını geri yüklerler (restöre). Diskin yol haritaları (rood maps) geçerli yedeklerle de?i?tirildi?inde, kullanıcı verileri mucizevi olarak yeniden dirilmi? gibi gözükürler ve bir bakıma öyledir de.

Di?er yandan, bula?tırma panzehirleri bilinen virüsleri dosya dosya tararlar ve ortadan kaldırırlar. Bu programlar sınırlı kullanım alanları içerisnde oldukça iyi çalı?ırlar. Bula?tırma panzehirleri, bilinen program türlerinin dar bir grubundan bilinen virüslerin sadece sınırlı bir setini ortadan kaldırırlar. Gerçekte, ço?u bula?tırma panzehirleri tek bir bilgisayar virüs ailesini ortadan kaldırmak için tasarlanmı?lardır. Çünkü, sürekli olarak yeni virüslerin ortaya çıkmasıyla modalarının geçmesi ve etkisiz kalma olasılı?ı söz konusudur.

Yazılım a?ıları gibi panzehirler de bir noktaya kadar etkilidirler; ancak kusursuz de?ildirler:

Format kurtarma programları (felaket panzehirleri) sisteme yerle?tirilmelerinden önce zarar gören verileri kurtaramazlar. Panzehir programıyla yaratılmı?, en az bir tane güncel yedekleme diski gereklildir.l
E?er panzehirlerin yedeklenmi? verileri do?ru de?ilse, yerini de?i?tirdi?i bilgi güncel olmayacak ve yanlı?lık daha fazla veri kaybına neden olacaktır.
Format kurtarma programları, dü?ük-düzey formatlama yoluyla silinmi? verileri kurtarmada ba?arısız kalırlar. Dü?ük-düzey formatlama, bir çok sabit disk kontrol kartı üreticileri tarafından kullanılır ve bilgisayar virüsleri tarafından da harekete geçirilebilir. Yüksek-seviye formatlama ise, AT&T, Compaq veya Unisys’ın DOS versiyonlarında FORMAT komutu ile disk verilerine ölümcül zararlar vermezler. Aksine, disk sektörleri içerdikleri veriler bozulmadan “kullanılmamı? olarak i?aretlenirler.)
Diskler yeniden formatlandıktan sonra üzerlerine yeni veriler yazılırsa, silinen verilerin güvenilir bir biçimde kurtarılması mümkün olmayabilir.
Bir çok kullanıcı, çok kötü bir biçimde zarar görmü? diskleri bile kullanabilir duruma getirebilen, Mace Utilities, The Norton Utilities, PC-Tools gibi, veri kurtarma programını ba?arıyla kullanmaktadır.
Bula?tırma panzehirleri bilinen virüslerin ancak küçük bir miktarını ara?tırabilir, bulabilir ve ortadan kaldırabilirler. Sınıflandırılmamı? virüsler aktif, belirlenmemi? ve dokunulmamı? olarak kalırlar.
Bula?tırma panzehirlerini kullananlar, geçerliliklerini koruyabilmek için bu programları sürekli güncelle?tirmelidirler. Ancak yine de panzehir programları virüsleri bir adım geriden izlerler.
Normal program dosyalarının virüsler tarafından enfekte edilmesi dosya üzedinde oldukça önemli zararlara yol açar (önemli program verilerinin üzerine virüs kodları yazılır.) Hemen hemen aynı mantıkla çalı?an bula?tırma panzehirlerinin de virüs dolarını yok etmeye çalı?ırken dosyalara zarar verebilece?i dü?ünülebilir. Daha da kötüsü, temizleme programları, temiz dosyaları enfekte edilmi? gibi görerek, geçerli program verilerinin üzerine yazarlar ve dosyayı onarmak isterken bozabilirler.