ServerErr0r
uid=0(root)
- Katılım
- 12 Eyl 2009
- Mesajlar
- 2,330
- Reaction score
- 0
- Puanları
- 0
Polimorfik virüs, antivirüs yazılımları tarafından tespit edilmemek için kodlarını değiştirebilen, bununla birlikte işlevselliğini koruyan virüslere verilen isimdir. Farklı polimorfik virüsler için farklı antivirüs yazılımlarının başarısız olduğu raporlar incelendiğinde görülmektedir. Polimorfik virüslerin tespiti konusunda antivirüs yazılımları gelişmekle beraber halen diğer virüs tipleri için sağlanan güvence seviyesine ulaşılamamıştır.
Polimorfik Virüs Tanımı:
Polimorfik virüslerin kodlarının değiştirilmesiyle kastedilen:
Değişken bir şifreleme anahtarı ve/veya şifreleme rutini ile şifreleme,
Virüs koduna şaşırtma amaçlı kodlar eklenmesi (kullanılmayan bir kütük değerinin değiştirilmesi vb.),
Kodu oluşturan fakat sıralamanın önemli olmadığı komutların sırasının işlevselliği değiştirmeyecek şekilde değiştirilmesi yöntemleridir.
Bu tür virüsler antivirüs yazılımları tarafından tespit edilmesi en zor olan virüs türleridir. Basit imza tabanlı virüs tespiti yapan antivirüs yazılımları polimorfik virüsleri tespit etmekte başarısız olabilmektedirler. Antivirüs yazılımlarını çeşitli tehidtlere göre değerlendiren bağımsız bir oluşum olan www.av-comparatives.org'da yayınlanan Şubat 2008 raporuna göre 8 farklı polimorfik virüs için antivirüs yazılımlarının değerlendirmesi aşağıda verilmiştir.
Polimorfik Virüslerin Yapısı:
Polimorfik virüsler 3 kısımdan oluşmaktadır:
Şifre Çözme kısmı: Bu kısım şifreleme rutinini ve gerekli ise anahtar bilgisini içermektedir. Virüslü bir dosya çalıştırıldığında şifre çözücü rutin devreye girerek virüsün şifreli kısımlarını çözer ve kontrolü şifresi çözülen zararlı koda devreder.
Virüs gövdesi: Zararlı kodu içermekte, virüslü dosyalarda şifreli olarak bulundurmaktadır. Virüslü dosya çalıştırıldığında belleğe aktarılıp şifresi çözülmekte, kodda belirtilen işlemlere göre virüsün kendini diğer dosyalara kopyalaması ve diğer zararlı işlemleri yapmasını sağlamaktadır.
Mutasyon Motoru: Zararlı kod ile birlikte şifreli olarak tutulmaktadır. Mutasyon motoru, virüslü dosya çalıştırıldığında şifre çözme rutini ile şifresi çözülüp, belleğe aktarılmakta ve bulaşacağı diğer dosyalara kopyalanacak mutasyona uğramış virüs versiyonlarını oluşturmaktadır. Bunun için virüs gövdesini işlevselliğini bozmayacak şekilde değiştirmekte, farklı bir şifreleme rutini ve anahtarı oluşturmaktadır. Bu sayede şifreleme rutinine göre tespit işlemi yapan antivirüs yazılımlarının aldatılması amaçlanmaktadır. Mutasyon motoru işlemini tamamladıktan sonra mutasyona uğramış virüs ve mutasyon motoru yeni oluşturulmuş şifreleme rutini ile şifrelenip virüs bulaştırılan dosyaya kopyalanmaktadır.
Polimorfik Virüslerin Tespiti:
Bütünlük Kontrolü (CRC Checking): Bu yöntemde dosyalar hakkında bir durum tablosu tutulur. Antivirüs yazılımı taranan dosyaların CRC’sini hesaplar ve durum tablosuna kaydeder. Sonraki taramalarda, ya da dosyaya erişildiğinde CRC değeri tekrar hesaplanır ve dosyanın virüslü olup olmadığına CRC değerinin değişip değişmediğine bakılarak karar verilir. Bu yöntem günümüz antivirüs yazılımlarında nadiren kullanılan oldukça eski bir yöntemdir. Dezavantajları:
Bu yöntemle virüsün türü tespit edilememektedir.
Günümüzde işletim sistemi dosyaları ve virüslerin sıklıkla bulaştığı dosya türleri normal işleyiş içerisinde sıklıkla değişmektedirler. Bütünlük kontrolü yapan antivirüs yazılımı değişimin kaynağını virüs olarak algılayıp yanlış alarmlar üretebilmektedir. Bu sebeple bu yöntem sadece normal şartlar altında değişmeyen dosyaların taranması için kullanılabilmektedir.
İmza Tabanlı Tarama: Antivirüs tarama motoru sistem belleğini, sistem başlangıç bölgesini (boot sector) ve dosyaların tutulduğu birimleri (hard disk, flash disk, floppy, cdrom) tarar ve antivirüs yazılımda yüklü olan, virüslerin karakteristik içeriklerine karşılık gelen bit dizini/imzalarla (signature) karşılaştırma yapar. Polimorfik virüslerin değiştirilmiş olması ihtimaline karşılık imzalarla birebir uyum aranmamakta, kısmi uyum yeterli görülebilmektedir. Dezavantajları:
İmzası oluşturulmamış virüs türlerini tespit edememektedir.
Polimorfik virüslerin tespiti amaçlı kullanılan kısmi imza eşleşmesi yöntemi yanlış alarm riskini artırmaktadır. Kesin imza eşleşmesi ya da yakın imza eşleşmesi durumlarında ise polimorfik virüslerin tespiti zorlaşmaktadır.
İmza tabanlı tarama yapan bazı gelişmiş antivirüs yazılımlarında polimorfik virüsler tespit edildiğinde mutasyon algoritması çalıştırılarak mutasyona uğramış hallerine ait virüs imzaları oluşturulup antivirüs imzalarına eklenmektedir. Böylece mutasyona uğrayarak yayılmış polimorfik virüsler tespit edilebilmektedir.
Mantıksal Virüs Tarama: Gelişmiş antivirüs yazılımlarında kullanılan bir yöntemdir. Tarama motoru sistem belleği üzerinde izole bir sanal sistem (virtual machine) oluşturmakta, taranan dosyalar bu izole sanal sistemde çalıştırılmakta ve böylece aktif hale geçen virüslerin davranışları sonucu değişen sanal sistem durumu incelenmektedir. Bu tür bir tarama ile polimorfik virüslerin yakalanmamak için sistem durumunu değiştirmeyen kod parçaları ekleme / zararlı kodu karıştırma yöntemleri etkisiz bırakılabilmektedir. Sanal sistem kullanımı polimorfik virüslerin şifre çözme kısmının çalışıp virüs gövdesi ve mutasyon motorunun sanal sistem belleğine yüklenmesini sağlamaktadır. Açık olarak sistem belleğinde bulunan sistem durumunu değiştirecek işlemler yaptığında tespit edilebilmektedirler. Dezavantajları:
Tarama işlemi daha uzun sürmektedir.
Virüsün işlevini gerçekleştirmesi birden çok programın/dosyanın çalıştırılmasına, şifre çözme anahtarı için uzun zaman alan aramalar yapmasına bağlı olabilir. Antivirüs yazılımı tüm ihtimalleri araştıramayacaktır.
Mantıksal virüs tarama normal program ve virüs aktivitelerini ayıramayabilir.
Proses Davranışlarının İzlenmesi: Bu yöntem kritik dosyaların virüslere karşı güvenliğini sağlamayı amaçlamaktadır, tüm sistem için bir antivirüs koruması değildir. Kritik dosyalara erişimine izin verilen prosesler antivirüs yazılımında yüklüdür ve erişim listesine uygun olmayan erişimler engellenir.
Heuristic İzleme Yöntemi: Polimorfik virüslerin tespitinde imza karşılaştırmasının yetersizliğinden dolayı sistem aktivitelerinin izlenmesi için farklı teknikler geliştirilmiştir. Heuristic İzleme virüs olan ve olmayan kodları/programları birbirinden ayırmak için tanımlanmış, virüslerin sebep olabileceği beklenmeyen, tutarsız işlemleri gerçek programların işlemlerinden ayıran kurallara göre sistem aktivitelerini izleme yöntemidir. Olasılık hesaplamaları yapar. Bir dosya ya da programın virüslü olduğuna karar vermek için belirlenen olasılık eşik değeri ne kadar düşük tutulursa, yanlış alarmlar alma riski de o kadar artacaktır. Heuristic sistemin başarılı olabilmesi için heuristic kuralları çok fazla sayıda programın davranışları detaylı olarak incelendikten sonra oluşturulmalıdır. Aksi takdirde kuralları yetersiz olan bir heuristic sistem çok sayıda yanlış alarmlar üretecektir ve kullanımı fayda getirmeyecektir.
Proses Davranışlarının İzlenmesi: Bu yöntem kritik dosyaların virüslere karşı güvenliğini sağlamayı amaçlamaktadır, tüm sistem için bir antivirüs koruması değildir. Kritik dosyalara erişimine izin verilen prosesler antivirüs yazılımında yüklüdür ve erişim listesine uygun olmayan erişimler engellenir.
Heuristic İzleme Yöntemi: Polimorfik virüslerin tespitinde imza karşılaştırmasının yetersizliğinden dolayı sistem aktivitelerinin izlenmesi için farklı teknikler geliştirilmiştir. Heuristic İzleme virüs olan ve olmayan kodları/programları birbirinden ayırmak için tanımlanmış, virüslerin sebep olabileceği beklenmeyen, tutarsız işlemleri gerçek programların işlemlerinden ayıran kurallara göre sistem aktivitelerini izleme yöntemidir. Olasılık hesaplamaları yapar. Bir dosya ya da programın virüslü olduğuna karar vermek için belirlenen olasılık eşik değeri ne kadar düşük tutulursa, yanlış alarmlar alma riski de o kadar artacaktır. Heuristic sistemin başarılı olabilmesi için heuristic kuralları çok fazla sayıda programın davranışları detaylı olarak incelendikten sonra oluşturulmalıdır. Aksi takdirde kuralları yetersiz olan bir heuristic sistem çok sayıda yanlış alarmlar üretecektir ve kullanımı fayda getirmeyecektir.
Sonuç:
Polimorfik virüsler antivirüs yazılımları tarafından tespit edilmesi en zor olan virüs türleridir. Basit imza karşılaştırma ve bütünlük kontrolü yapma yöntemleri bu tür virüslere karşı yeterli koruma sağlayamamaktadır. Mantıksal izleme ve heuristic yöntemler polimorfik virüslerin tespiti için daha gelişmiş tarama yöntemleridir, fakat başarı düzeyleri ilgili bileşenlerin çalışma yöntemlerine, kullandıkları kuralların yeterliliğine ve tarama motorlarının gücüne bağlı olarak farklılıklar gösterebilmektedir. Antivirüs yazılımı seçimi yapılırken çeşitli antivirüs yazılımlarının polimorfik virüslerin tespiti konusundaki başarıları karşılaştırılmalıdır. Birçok antivirüs yazılımı virüs imzaları bulunan polimorfik olmayan virüslerin tespitinde %99'a varan başarılar gösterirken, polimorfik virüslerin tespitinde bu başarı oranı ciddi şekilde düşebilmektedir
http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/polimorfik-virusler-ve-tespit-yontemleri.html
Polimorfik Virüs Tanımı:
Polimorfik virüslerin kodlarının değiştirilmesiyle kastedilen:
Değişken bir şifreleme anahtarı ve/veya şifreleme rutini ile şifreleme,
Virüs koduna şaşırtma amaçlı kodlar eklenmesi (kullanılmayan bir kütük değerinin değiştirilmesi vb.),
Kodu oluşturan fakat sıralamanın önemli olmadığı komutların sırasının işlevselliği değiştirmeyecek şekilde değiştirilmesi yöntemleridir.
Bu tür virüsler antivirüs yazılımları tarafından tespit edilmesi en zor olan virüs türleridir. Basit imza tabanlı virüs tespiti yapan antivirüs yazılımları polimorfik virüsleri tespit etmekte başarısız olabilmektedirler. Antivirüs yazılımlarını çeşitli tehidtlere göre değerlendiren bağımsız bir oluşum olan www.av-comparatives.org'da yayınlanan Şubat 2008 raporuna göre 8 farklı polimorfik virüs için antivirüs yazılımlarının değerlendirmesi aşağıda verilmiştir.
Polimorfik Virüslerin Yapısı:
Polimorfik virüsler 3 kısımdan oluşmaktadır:
Şifre Çözme kısmı: Bu kısım şifreleme rutinini ve gerekli ise anahtar bilgisini içermektedir. Virüslü bir dosya çalıştırıldığında şifre çözücü rutin devreye girerek virüsün şifreli kısımlarını çözer ve kontrolü şifresi çözülen zararlı koda devreder.
Virüs gövdesi: Zararlı kodu içermekte, virüslü dosyalarda şifreli olarak bulundurmaktadır. Virüslü dosya çalıştırıldığında belleğe aktarılıp şifresi çözülmekte, kodda belirtilen işlemlere göre virüsün kendini diğer dosyalara kopyalaması ve diğer zararlı işlemleri yapmasını sağlamaktadır.
Mutasyon Motoru: Zararlı kod ile birlikte şifreli olarak tutulmaktadır. Mutasyon motoru, virüslü dosya çalıştırıldığında şifre çözme rutini ile şifresi çözülüp, belleğe aktarılmakta ve bulaşacağı diğer dosyalara kopyalanacak mutasyona uğramış virüs versiyonlarını oluşturmaktadır. Bunun için virüs gövdesini işlevselliğini bozmayacak şekilde değiştirmekte, farklı bir şifreleme rutini ve anahtarı oluşturmaktadır. Bu sayede şifreleme rutinine göre tespit işlemi yapan antivirüs yazılımlarının aldatılması amaçlanmaktadır. Mutasyon motoru işlemini tamamladıktan sonra mutasyona uğramış virüs ve mutasyon motoru yeni oluşturulmuş şifreleme rutini ile şifrelenip virüs bulaştırılan dosyaya kopyalanmaktadır.
Polimorfik Virüslerin Tespiti:
Bütünlük Kontrolü (CRC Checking): Bu yöntemde dosyalar hakkında bir durum tablosu tutulur. Antivirüs yazılımı taranan dosyaların CRC’sini hesaplar ve durum tablosuna kaydeder. Sonraki taramalarda, ya da dosyaya erişildiğinde CRC değeri tekrar hesaplanır ve dosyanın virüslü olup olmadığına CRC değerinin değişip değişmediğine bakılarak karar verilir. Bu yöntem günümüz antivirüs yazılımlarında nadiren kullanılan oldukça eski bir yöntemdir. Dezavantajları:
Bu yöntemle virüsün türü tespit edilememektedir.
Günümüzde işletim sistemi dosyaları ve virüslerin sıklıkla bulaştığı dosya türleri normal işleyiş içerisinde sıklıkla değişmektedirler. Bütünlük kontrolü yapan antivirüs yazılımı değişimin kaynağını virüs olarak algılayıp yanlış alarmlar üretebilmektedir. Bu sebeple bu yöntem sadece normal şartlar altında değişmeyen dosyaların taranması için kullanılabilmektedir.
İmza Tabanlı Tarama: Antivirüs tarama motoru sistem belleğini, sistem başlangıç bölgesini (boot sector) ve dosyaların tutulduğu birimleri (hard disk, flash disk, floppy, cdrom) tarar ve antivirüs yazılımda yüklü olan, virüslerin karakteristik içeriklerine karşılık gelen bit dizini/imzalarla (signature) karşılaştırma yapar. Polimorfik virüslerin değiştirilmiş olması ihtimaline karşılık imzalarla birebir uyum aranmamakta, kısmi uyum yeterli görülebilmektedir. Dezavantajları:
İmzası oluşturulmamış virüs türlerini tespit edememektedir.
Polimorfik virüslerin tespiti amaçlı kullanılan kısmi imza eşleşmesi yöntemi yanlış alarm riskini artırmaktadır. Kesin imza eşleşmesi ya da yakın imza eşleşmesi durumlarında ise polimorfik virüslerin tespiti zorlaşmaktadır.
İmza tabanlı tarama yapan bazı gelişmiş antivirüs yazılımlarında polimorfik virüsler tespit edildiğinde mutasyon algoritması çalıştırılarak mutasyona uğramış hallerine ait virüs imzaları oluşturulup antivirüs imzalarına eklenmektedir. Böylece mutasyona uğrayarak yayılmış polimorfik virüsler tespit edilebilmektedir.
Mantıksal Virüs Tarama: Gelişmiş antivirüs yazılımlarında kullanılan bir yöntemdir. Tarama motoru sistem belleği üzerinde izole bir sanal sistem (virtual machine) oluşturmakta, taranan dosyalar bu izole sanal sistemde çalıştırılmakta ve böylece aktif hale geçen virüslerin davranışları sonucu değişen sanal sistem durumu incelenmektedir. Bu tür bir tarama ile polimorfik virüslerin yakalanmamak için sistem durumunu değiştirmeyen kod parçaları ekleme / zararlı kodu karıştırma yöntemleri etkisiz bırakılabilmektedir. Sanal sistem kullanımı polimorfik virüslerin şifre çözme kısmının çalışıp virüs gövdesi ve mutasyon motorunun sanal sistem belleğine yüklenmesini sağlamaktadır. Açık olarak sistem belleğinde bulunan sistem durumunu değiştirecek işlemler yaptığında tespit edilebilmektedirler. Dezavantajları:
Tarama işlemi daha uzun sürmektedir.
Virüsün işlevini gerçekleştirmesi birden çok programın/dosyanın çalıştırılmasına, şifre çözme anahtarı için uzun zaman alan aramalar yapmasına bağlı olabilir. Antivirüs yazılımı tüm ihtimalleri araştıramayacaktır.
Mantıksal virüs tarama normal program ve virüs aktivitelerini ayıramayabilir.
Proses Davranışlarının İzlenmesi: Bu yöntem kritik dosyaların virüslere karşı güvenliğini sağlamayı amaçlamaktadır, tüm sistem için bir antivirüs koruması değildir. Kritik dosyalara erişimine izin verilen prosesler antivirüs yazılımında yüklüdür ve erişim listesine uygun olmayan erişimler engellenir.
Heuristic İzleme Yöntemi: Polimorfik virüslerin tespitinde imza karşılaştırmasının yetersizliğinden dolayı sistem aktivitelerinin izlenmesi için farklı teknikler geliştirilmiştir. Heuristic İzleme virüs olan ve olmayan kodları/programları birbirinden ayırmak için tanımlanmış, virüslerin sebep olabileceği beklenmeyen, tutarsız işlemleri gerçek programların işlemlerinden ayıran kurallara göre sistem aktivitelerini izleme yöntemidir. Olasılık hesaplamaları yapar. Bir dosya ya da programın virüslü olduğuna karar vermek için belirlenen olasılık eşik değeri ne kadar düşük tutulursa, yanlış alarmlar alma riski de o kadar artacaktır. Heuristic sistemin başarılı olabilmesi için heuristic kuralları çok fazla sayıda programın davranışları detaylı olarak incelendikten sonra oluşturulmalıdır. Aksi takdirde kuralları yetersiz olan bir heuristic sistem çok sayıda yanlış alarmlar üretecektir ve kullanımı fayda getirmeyecektir.
Proses Davranışlarının İzlenmesi: Bu yöntem kritik dosyaların virüslere karşı güvenliğini sağlamayı amaçlamaktadır, tüm sistem için bir antivirüs koruması değildir. Kritik dosyalara erişimine izin verilen prosesler antivirüs yazılımında yüklüdür ve erişim listesine uygun olmayan erişimler engellenir.
Heuristic İzleme Yöntemi: Polimorfik virüslerin tespitinde imza karşılaştırmasının yetersizliğinden dolayı sistem aktivitelerinin izlenmesi için farklı teknikler geliştirilmiştir. Heuristic İzleme virüs olan ve olmayan kodları/programları birbirinden ayırmak için tanımlanmış, virüslerin sebep olabileceği beklenmeyen, tutarsız işlemleri gerçek programların işlemlerinden ayıran kurallara göre sistem aktivitelerini izleme yöntemidir. Olasılık hesaplamaları yapar. Bir dosya ya da programın virüslü olduğuna karar vermek için belirlenen olasılık eşik değeri ne kadar düşük tutulursa, yanlış alarmlar alma riski de o kadar artacaktır. Heuristic sistemin başarılı olabilmesi için heuristic kuralları çok fazla sayıda programın davranışları detaylı olarak incelendikten sonra oluşturulmalıdır. Aksi takdirde kuralları yetersiz olan bir heuristic sistem çok sayıda yanlış alarmlar üretecektir ve kullanımı fayda getirmeyecektir.
Sonuç:
Polimorfik virüsler antivirüs yazılımları tarafından tespit edilmesi en zor olan virüs türleridir. Basit imza karşılaştırma ve bütünlük kontrolü yapma yöntemleri bu tür virüslere karşı yeterli koruma sağlayamamaktadır. Mantıksal izleme ve heuristic yöntemler polimorfik virüslerin tespiti için daha gelişmiş tarama yöntemleridir, fakat başarı düzeyleri ilgili bileşenlerin çalışma yöntemlerine, kullandıkları kuralların yeterliliğine ve tarama motorlarının gücüne bağlı olarak farklılıklar gösterebilmektedir. Antivirüs yazılımı seçimi yapılırken çeşitli antivirüs yazılımlarının polimorfik virüslerin tespiti konusundaki başarıları karşılaştırılmalıdır. Birçok antivirüs yazılımı virüs imzaları bulunan polimorfik olmayan virüslerin tespitinde %99'a varan başarılar gösterirken, polimorfik virüslerin tespitinde bu başarı oranı ciddi şekilde düşebilmektedir
http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/polimorfik-virusler-ve-tespit-yontemleri.html