Tam Sürümü Göster: Manyak virüs
Manyak virüs Gönderen: Akrep Tarih: 19 September 2007 18:13:28
Kendi kendini kapatan programdan bahsedilmişti, benim aklıma şu takılıyor;
Virüsler, programlara bulaşan programlar olduklarına göre, programımızın arkasına saklanarak işlerini gören, sistem kaynaklarına muhtaç olan, diğer programlarla aynı dijital dünya yasalarına bağımlı, yani bulaştıkları programlarla aynı temel özellikleri paylaşan, sevimli, durmadan sırıtan, göbeğinin üzeri kıllı fakat cibilliyetsiz ve hain yaratıklar olduklarına göre;
1- Bir virüsün kendi kendisine bulaşması nasıl olur? Kendi kendine binlerce kez bulaşmış olan bir virüsü anti-virüs programı yakalarsa, kaç tane virüs yakaladığını bildirir?
2- Belirli bir algoritmaya bağlı olmaksızın ürettiği yeni yavrularının isimlerini değiştiren ve kendinde bulanan silahların aynısıyla değil fakat aynı işi görecek başka kaynak kodlarıyla donatan ve yepyeni yavru virüsler meydana getirerek çalıştıran, aynı zamanda oluşturduğu yeni yavrulara da aynı şekilde çoğalma yeteneği veren (hem virüs hem compiler) bir virüs, anti-virüs programlarına sizce yakalanır mı? Tamamen silinebilir mi? Ve daha önemlisi, anti-virüs yazılımı tarafından bu virüse tek bir isim verilebilir mi, yani bütün yavrularıyla birlikte bu virüsler "bilmemne virüsü" olarak tanımlanır mı?
3- Tamamen randomize şekilde isimlendirilmiş ve farklı saldırı şekillerine sahip olacak olan bu virüsler birbirlerini de tanıyamayacaklarına ve kafa-göz dalacaklarına göre, üstüste binmiş virüs yumakları oluşturarak çok daha feci yeteneklere ulaşmaları mümkün müdür?
4- Her gün bir kere yada haftada bir kere belirli bir ftp sunucusuna yada basit bir veritabanına bağlanarak enfekte ettikleri bilgisayarın numarasıyla birlikte kendi benzersiz kimliklerini bırakarak sayısal bir istatistik bilgisi oluşturulmasını sağlayıp, aynı zamanda bu bilgiyi kendileri de kontrol ederek, belirli bir sayıda enfekte bilgisayara ulaşıldığında o bilgisayarlardan girilen web sitelerinin ftp adreslerine "brüt force" atağına başlayarak şifresi kırılan sitelerde download amacıyla konulmuş uygulama dosyalarını bulup, indirip, "kendilerini bulaştırdıkları" yeni halleriyle tekrar upload eden ve böylece o programı indirerek çalıştıran her yeni bilgisayara "duhul" eden, kitlelere ulaşmayı hedefleyen bir (milyon) virüs olabilir mi?
5- Saldırı ve bulaşma - çoğalma yöntemini kendi kendine bilgisayarın performansını ölçerek belirleyen ve gerektikçe değiştiren bu tür virüse hangi anti-virüs zincir vurabilir?
6- Sizce böyle bir virüsle nasıl baş edilebilir? Ne tür bir yazılım kullanılabilir yada anti-virüsler nasıl bir metod uygulayabilir? Unutmayın ki bu virüsler müstakil programcıklar şeklinde veya başka programların içinde kopyalanabilir. Tamamen kendisi bilecek.
Ynt: Manyak virüs Gönderen: kocaturk Tarih: 20 September 2007 00:24:41
Öncelikle böyle bir virüs mü yazdın merak ettim ?
Sıraladığın sorulara gelince aslında soruların cevabını ilk paragrafta kendin vermişsin. Virüsler çalışacakları platformun kaynaklarını kullanırlar daha doğrusu hangi işe hangi alet,edevat kullanılacak onu bilirler ve onları kötü maksatlı kullanırlar, malum olduğu üzere bulaşma tipleri, çalışma tipleri vs gibi farklı konularda milyonlarca virüs tipi var, ve bunların hepside temelde aynı mantığa göre çalışırlar nedir o mantık?. bulaşacaları platformda kullanacakları bir açık veya suistimal edecekleri bir özelliği kullanırlar. Bu neye benzer bıçakla adam da kesersin ekmekte.
işte bu nkotada da antivirusler devreye girer. antivirusler de malum viruslerin suistimal edeceği sistem servislerini, açıklarını denetim altında tutarlar. ve oralara olacak bir müdahalenin legal mi illegal mi olduklarına bakarlar. Yoka düşünün en basit bir antivirüs bile yüzbinlerce virüs vs tanır nasıl tanır yakaladıktan sonra sabıka kaydına bakarak, yoksa Hayatinin yazdığı gibi temelde tek bir virüse özel savunma yapmazlar.
Ben evimin hırsız girebilecek bütün yerlerini güven altına aldım, ama o yerleri zorlayacak hırsızın kişiliği beni başta ilgilendirmiyor sadece yakalandığında sabıka kaydına bakılır ne tür bir hırsız para mı çalar eşya mı diye.
Microsoft malum haftada bir iki yama yayınlayıp açık olan pencereleri kapatmaya çalışırıyor.
Antivirüs yazılım şirketleri yazacakları yazılım için ilgili platformun bütün teknik dökümantasyonuna hatta bazı mödüllerin kaynak kodlarına sahiptirler. Dikkat ederseniz önce virüs sonra ilaç çıkar, yani bilinmeyen bir açığı nasıl kapatacaksınız.
Diğer tip virüslerde de işletim sisteminin sistem kaydı, temel kütüphaneleri gözlenir bunların boyutları, bunlardan çağrılan yordamlar vs izlenir, anormal bir durum sezilirse müdahale edilir.
oturup delphi ile basit bir trojan yazın ama tamamiyle native yani bilinen trojanların açmadığı bir port açsın veya rast gele bir port açsın ne kadar özgün davranırsa davransın bilgiyi dışarıya sızdıracağı çıkış nokaları bellidir o çıkış noktaları tutulmuşsa torjan ın ilk kopyası bile hemen kendi makinanızda yakalanır.
size yakalanmayan basit bir virüs kodu vereyim
Notepad i açın aşağıdaki iki satırı içeren bir toplu iş dosyası oluşturun;
start ganser.bat
ganser.bat
daha sonra bunu sistem path e uygun bir yere ganser.bat (akrebin ganseri ) olarak kaydedin ve üzerine çift tıklayın ve virüsününzün çalışmasını keyfle seyredin eğer keyif alabilirseniz tabi
şimdi kısaca sorularda dikkat çeken bir iki noktaya cevap vermeye çalışalım.
1- bir virüs kendi kendine bulaşmaz virüslerin birer imzaları vardır imzayı gördüğünde başka bir çalışıştırılabiliri bekler, Kendi kendine bulaşmasının sence ne mantığı var, sürekli boyutu büyüyecek hem kendini hemde HDD ı yiyip bitirsin mi yani
2- ne üretirse üretsin nereye saldıracağı önemlidir saldıracağı yer güven altına alınmışsa problem yok Çanakkale savaşını düşünün onların topu tüfeği vardı ama bizim kazma kürekli kahramanlarımızı geçemediler. Güvenli bir binada önemli olan güvenlik memurunun çayına uyku ilacı koymaktır bunu yapabiliyorsa binayı boşaltsa kimsenin ruhu duymaz.
4- bütün bu söylediklerinin olabilmesi için güvenlik görevlisi ve bağlı olduğu tüm şirket personelinin çaylarına uyku ilacı koyması gerekmez mi ?
5- bu aşamaya gelmi se zaten engellenemez.
Not : Bazen yazdıklarım yanlış anlaşılıyor aman ukalalık olarak kabul edilmesin .
Ynt: Manyak virüs Gönderen: Akrep Tarih: 20 September 2007 01:15:50
Hocam sen bizim köye gelende şerefine 2 tane irice virüs kurban edip, dökülen kaynak kodlarından bi parmak alıp alnına çalayım... Ama senin anlatımı biraz "Uzayda hayat olamaz kardeşşim, çünkü uzayda hava yoktur!" diyen eski Tübitak başkanına benzettim Sen klasik bilinen virüs ve trojanlardan bahsediyorsun.. Benim anlattığım farklı biraz. En az klasik virüsler kadar zararlı olup, delphiyle kendi yazdığımız telefon defteri programı kadar olağan ve normal... Hangi anti-virüs delphiyle yazıp mail gönderttiğimiz programı virüs sanıyor ki? Yada klavyeden girilen tuşları yakaladığımız, ekranın fotoğrafını çektiğimiz, istediğimiz bir yere kopya dosya oluşturduğumuz yada ShellExecute metoduyla program çalıştırdığımız, ftp'lere bağlandığımız programlar anti-virüslerce yakalanmıyor ki... İnternet alışverişini denetleyen firewall'lar var problem yaratıyor, fakat onun çözümü de zaten internete bilgi göndermesi çok doğal sayılan veya zaten önceden izin verilmiş olan bir programın kılığına girmek.
Katil ne kadar soğukkanlı olursa o kadar zor ele verir yakayı Daha değinmek istediğim noktalar var cevabında ama yarın daha ayrıntılı yazmaya çalışırım, biraz beyin el-nino'su yapalım.
Ynt: Manyak virüs Gönderen: Akrep Tarih: 20 September 2007 12:44:50
Milyonlarca virüs var ama kaç tane başarılı anti-virüs var? Bir virüsün sistemde kurulu olan anti-virüs yazılımını tespit edip ona göre amacını belirlemesi de sanırım pek zor değildir
Çünkü kendisi yavrusunu tanıyabiliyorsa anti-virüs'ün de onları tanıması pek uzun sürmeyecektir. HDD'yi yiyip bitirme konusunda da şunu söyleyim; Neden olmasın? Güzel fikir... Amacımız sadece HDD'yi yiyip bitirmek de olabilir, ve o kadar çok sayıda ve her biri farklı karakterde virüs birbirine zıplayınca sanıyorum anti-virüsün şansı bayağı azalıyor.
Tanışmıyor olmak belki birbirimizin değerli eşyalarını çalmamıza sebep olabilir, ama sonuçta asıl hedef olan binanın huzurunu bozarak insanların çalışamamasını sağlamak amacı gerçekleşecektir. Eğer birbirimizi tanıyabileceğimiz ortak yönler olursa, bunu bir şekilde öğrenen güvenlik görevlisi, bütün çeteyi çökertecektir.
Not: Bu mesajdaki kişiler, mekanlar ve olaylar tamamen hayal ürünüdür. Konu altındaki güvenlik amaçlı fikir ve teorileri kullanarak zararlı veya illegal hareketlerde bulunmak, kişinin kendi terbiyesizliği olup www.delphidunyasi.net sorumlu tutulamaz, sorumlu tutmayı bırakın, kaş göz hareketiyle ima dahi edilemez.
Ynt: Manyak virüs Gönderen: FetihlerFatihi Tarih: 20 September 2007 16:52:32
Virüsler hakkında pek bilgim yok, ama anti-virüsler beşpara etmediğine eminim
Ynt: Manyak virüs Gönderen: kocaturk Tarih: 20 September 2007 19:03:24
Sabıka kaydına yakalandıktan sonra, yani bir suç unsuru meydana geldikten sonra suçu işleyenin sabıka kaydına bakılır. suç işlenmeden kimi yakalayacaksın? suç işlenir potansiyel suçlu yakalanır ve GBT si istenir, ha bu su suçlara eğilimi olan bir zanlı denilir. Peki ilk kez suç işliyorsa(senin virus gibi) o zaman da kolluk kuvvetlerinin becerisi ve hafızası önemli, dha önc benzer bir suçu filan olayda da görmüştük bu bir suçtur derse ilk suç işlemede de yakalanırsın.
Koyun viruslere gelince bir belki ben iyi izah edemedim bir yazılımın virus olarak nitelendirilmesi için zararlı olması gerekmez mi? zarar vermek için de bilinçli veya pervasızca saldırması gerekmez mi? peki nereye saldıracak? bu birazda ilgili virüsün karakteristik özelliği ile ilgili ama sonuçta gerçek bir virüs sisteme zarar veren, sistemin denetiminden bağımsız hareket etmeyi becerebilen ve son aşamada da sistem denetimini ele geçirebilen bir virüstür. Bu noktada antivirus eğer sistemin denetimi elden bırakmaması için maksimum desteği veriyorsa problem yok.
bir virüsün bir makinada çoğalması eniklemesi çok önemli değildir, mühim olan kopyalarını ithal edebilmesidir. Bunun içinde dış dünyaya açılan kapıları elegeçirmesi gerekir. Eğer bir virus en kısa sürede ve hissedilmeden sistemin damarlarına sızabiliyor ve kendisini pazarlayabileceği kapıları ele geçirebiliyorsa güçlü ve tehlikelidir. yoksa kendi kendinyle kavga etmsinin bir anlamı yoktur.
son olarak şunu söyleyeyim böyle bir virüs yazılamaz mı? illaki yazılır ama bahsettiğin tarzada çoğalması ve kendi türevlerine dahi bulaşmasının bir anlamı yok.
Ynt: Manyak virüs Gönderen: Akrep Tarih: 20 September 2007 20:36:58
Yoksa eğer yaptığı iş anti-virüs tarafından suç sayılmakta ise, sabıka kaydı bulunamasa da gereğinin yapılacağını ve sabıkalandırılacağını mı demek istiyorsun?
Benim gözlemlediğim kadarıyla ilk seçenek en geneli. Ve sabıkalı virüslere karşı birebir. Fakat gelgelelim ikinci seçeneğe... Eğer "evet ikinci olay da anlattığın virüsü yakalar ve imha eder" diyorsan, ben de şunu soruyorum, API'leri kullanarak çatır çatır, klavyeye kanca atıyorum, istediğim yerden istediğim bilgiyi dosyayı çekiyorum, istediğim yere istediğim dosyayı oluşturuyorum ve istediğim uygulamayı çalıştırıyorum, istediğim mail serverına veya siteye de bağlanıyorum ve kullanıcı, firewall uyarısından başka birşey görmüyor. Anti-virüs arkadaşlar aval aval bakıyor, neden? Ben sonuçta virüsü kendi kendine çoğalarak diski doldurma gibi çok basit ve ilk icad edilen virüs ile aynı temel ilkede bile yapsam anti-virüs hala aval aval bakıyor neden? (* bahsedilenler tamamen izole network ortamında ve kimseye zarar vermeden yapılan deneylerdir)
Anti-virüs'ün "olası tehlike" diye tanımladığı şey nedir ki o zaman, sonuçta amacım bilgisyara zarar vermek ise veriyorum, başka bilgisayara "trojan" metoduyla sıçrıyorum, insanları kandırıyorum ve türlü türlü yollarla insanların kendi elleriyle virüs veya virüslü dosyaları yaymalarını sağlıyorum, anti-virüs bunları neden ben yaptığımda yakalayamaz da birileri rapor ettiği zaman ve kendi veritabanına sabıka kaydını ekledikten sonra yakalar?
İşte bu bana asıl meselenin virüsün imzası olduğunu gösteriyor, yanlış bildiğim birşey varsa düzeltin ama önceki mesajlarımda verdiğim örneklere dikkat edin..
En eski virüsün bile hedefi olan şeyi neden bir tehdit olarak algılamıyor? Ben bunun sabıka kaydı olmamasından kaynaklandığını düşünüyordum ama başka bir sebebi varsa da öğrenmek isterim.
Bahsettiğim olay biraz düşünce fırtınası yaratsın diye ve bilinen virüslerden farklı bir tarzı anlatsın diye bu konuyu buraya açtım, yani virüsün kendi kendine bulaşabilmesi durumunda olacaklar üzerine düşündürmek ve görüşleri almak istedim zaten Sen anlamsız buldun, ben ise virüs sabıkası karışıklığı yaratabileceği ve anti-virüse kafayı yedirebileceğini düşündüğüm için anlamlı buldum. Ayrıca bahsettiğim tarzda çoğalmasını da anlamsız buldun ama bahsettiğim tarzda çoğalma her üremede bağımsız belirsiz ama benzer zararlı hedefleri olan yeni eniklerdi, ve ben nedense hala çok anlamlı ve korkunç buluyorum... Belki de öyle birşey mümkün değildir bilemiyorum tam olarak
Görüşler için teşekür ederim, daha fazlası varsa bekliyorum)) Ayrıca ilk paragraftaki sabıka ve GBT yorumlarını virüsleri kastederek söylediğini düşünüyorum sadece. Gerçek hayatta işler pek anlattığın gibi değil sanırım, ben çok girdim çıktım içeri (!)
Ynt: Manyak virüs Gönderen: kocaturk Tarih: 20 September 2007 21:39:00
Her iki paragraf ta doğru, yada her ikisinide kastediyorum duruma göre. Şöyleki firewall uyarısı diyorsun veya virüs programı uyarısı da diyebilirsin her iki uyarı tipinde de ilgili güvenlik yazılımı potansiyel suçu tepit ettiğinde, kullanıcın program ayarlarındaki tercihlerine göre, eğer suç daha önceden bilinen bir suçlu tarafından işleniyorsa suçlu hakkında ayrıntılı bilgi verilip vereceği zararlar belirtilir, eğer siz ayarlarınızda bilinen bir suçlu yakalarsan bana sorma direk merkeze götür dediyseniz siz farkında bile olmadan gerekli ceza-i müeyyide uygulanır.
Eğer ortada bir suç varsa ve suçlu önceden bilinmiyorsa, bu cürüm sonucunda alabileceğiniz zararlardan bahsedilir ve ne yapılmasını istediğiniz sorulur, siz serbest bırak derseniz sorumluluk sizin dir yok "ya ben bunu pimapenleri değiştirsin diye çağırdım laptop ımı çalıyor haa, asın!!" derseniz o zaman asar.
işin özü şudur ki, yapılan uyarıları dikkate alıp almamak sizin tercihiniz. yoksa virüse gerek yok komut satırından,
format c:
dediğinizde HDD ınızdaki veriler silinecek devam edilsin mi? diye sorulduğunda evet demeyle firewall veya virus yazılımının bu tür bir uyarısına devam kararı vermek arasından bir fark yok.
Antivirus programınızı paranoyak ayarlarla set ederseniz her konuda uyarı alırsınız hatta siz dosya silmek istediğinizde bile uyarılırsınız. Bu biraz da kullanıcının bilinçli olmasıyla alakalı diye düşünüyorum haksızmıyım?
Ynt: Manyak virüs Gönderen: dameon Tarih: 20 September 2007 22:41:06
Dediğiniz virüs türü çok uzun zamandır mevcut zaten , Polymorphic Virus diye arattırırsanız detaylı bilgi bulabilirsiniz.Hiçbir kopyası birbirine benzemez ama yine bir yerlerinde ya 2 byte arka arkaya denk gelmiştir ya da hepsi aynı üreteçten çıktığı için benzer birşeyler vardır , bu yüzden antivirüsler bunları imza olmadan heuristic method tarzı yöntemlerle yakalarlar.Çok eskiden benim sevdiğim Thunderbyte antivirus vardı , hiç imzası olmayan virüsleri bile bulabiliyordu , her bir şüpheli durumda bir bayrak işaretleyip bayrak sayısı 3-4 gibi bir sayıyı geçerse uyarı veriyordu potansiyel virüs olabilir diye.Mesela elinizdeki program başka bir dosyanın EXE'mi COM'mu olup olmadığını araştırıyorsa bir bayrak işaretleniyor.Dosyanın hemen başından dosya sonlarına yakın bir yerlere dallanma varsa başka bir bayrak işaretleniyordu , çünkü bunlar genelde virüslerin ortak davranışları idi...
Sabıka kaydı olayına gelince normal hayat gibi düşününce herhalde mantıklı olur.Normalde sokakta yürürken polis size herhangi birşey yapmaz ama hakkınızda suçlama varsa o zaman göz altına alınırsınız.Eğer temiz çıkar iseniz sizi salıverirler yoksa yargılanırsınız
Çünkü virüslerde normal programların yaptığı gibi aynı metodları ve yöntemleri kullanırlar ama optimizasyon yaparak en küçük boyutta olmaları gerekir.Bazen de illegal yöntemler veya undocumented methodlar kullanarak hedeflerine ulaşırlar.Bu yöntemlerden haberdar olan bir antivirus mutlaka yakalayacaktır.Örnek vermek gerekirse ;
Bir dosyaya yazmak için 21h nolu interrupt 40 küsur nolu fonksiyon kullanılır.Bu fonksiyon hook edilerek işlemler kontrol edilebilir ama eğer 13h nolu BIOS interrupt 02 nolu yöntem kullanılmışsa o zaman virüs yakalanmaz.Diyelim 13h nolu interrupt da kontrol edildi , o zamanda virs 1F0 nolu port aracılığı ile doğrudan harddiske erişir ki , bildiğim kadarı ile bunu engellemenin yöntemi yoktur.
Yani antivirüs yazılımının bütün legal ve illegal yöntemlerden haberdar olması gerekir.
Kendi kendine sürekli bulaşma olmaz , zaten virüsler bir dosyaya bulaşmadan önce kendi imzası o dosyada arar , eğer bulamaz ise bulaşır.Amaç iyice şişip yakalanmak değil , hem mümkün mertebe küçük olmak hem de dikkat çekmemekdir.
DOS yıllarımdan hatırladığım bir virüs vardı , biz command.com dosyasının boyunu 47845 byte (dos 5.0) olarak ezberlemiştik , herhangi bir şekilde dosyanın boyu artarsa anında virüs olduğundan şüphelenir ve genelde de haklı çıkardık.Dosyanın boyutunu almak için DIR komutunu kullanırdık.Sonradan bir baba virüs çıkmıştı , meğersem command.com dosyasının boyunu 2000 byte arttırmış , DIR fonsiyonunu ele geçirmiş ve biz DIR diyince bulaştığı dosyaların boyutlarını ekrana 2000 rakamını çıkartıp öyle veriyormuş.Biz de dosyanın boyunu hala 47845 byte olarak görüyorduk. Hey gidi günler!
Ynt: Manyak virüs Gönderen: Akrep Tarih: 21 September 2007 00:46:26
Yahu sabıka, gözaltı deyip duruyorsunuz ben şüphelenmeye başladım polis falan mısınız yoksa
Ben virüs mirüs yaymadım haberiniz olsun neme lazım
Ynt: Manyak virüs Gönderen: kocaturk Tarih: 21 September 2007 00:59:37
şu avatara baksana ne kadar masum
hiç virüs yazarmı yayar mı??
Ynt: Manyak virüs Gönderen: Akrep Tarih: 21 September 2007 02:42:11
Ynt: Manyak virüs Gönderen: dameon Tarih: 21 September 2007 06:58:47
Ama sorularına bakılırsa çok büyük bir virüs yazma potansiyeli olduğu görülüyor Symantec , Kaspersky vb.. gibi laboratuarları şimdiden uyardım , sitemizin linkini ve bu konuşmaları avatarlar ile birlikte gönderdim.Sonuncu Avatar zaten herşeyi açıklıyordu
Ynt: Manyak virüs Gönderen: Akrep Tarih: 21 September 2007 12:12:58
Ama ayıp olmuyor mu öyle site arkadaşını şirketlere ispiyonlamak falan? Kara listeye aldım sizi, bilgisayarınızın virüs karargahı olarak kullanılması için gereken talimatları şimdi veriyorum. Herhangi bir anti-virüs saldırısı durumunda ise yazıcı, scanner ve harici diskleriniz 2.Virüs Kolordusu komutanı Amiral Çernobil'in yönetimine devredilecek ve diskinizin boot sector bölümü virüs yatakhanesi olarak kullanılacaktır.
Bilgisayarınızın 31337 numaralı portu itilaf virüslerinin kullanımına "kayıtsız ve şartsız" olarak açılacak ve bu portdaki giriş-çıkışın denetlenmesi için Albay George W. WinCIH görevlendirilecektir.
İşgal sonrası imzalanacak Server Antlaşması ile bilgisayarın tüm yönetimi virüslere devredilecek, bu antlaşmanın imzalanması esnasında virüs temsilcileri "virüs imzası" kullanabileceklerdir.
Ynt: Manyak virüs Gönderen: babahayati Tarih: 21 September 2007 14:03:08
@Akrep sen kafayı bozdun virüsle, yakında anakartın bios piline bulaşan bir virüs duyarsam şaşırmayacam.. ama varsa yapacağımız bir şey söyle kardeşim... güçlerimizi birleştiririz icabında, oluştururuz voltranı iki dakkada..
Bu arada Perlovga nın icabına baktım... korunan işletim sistemi dosyalarını göster checkbox unun işaretini kaldırın sürücülerinizin root dizinlerinde host.exe copy.exe ve autorun.inf varsa, işte o Perlovga
lütfen shift+delete ile silmeye çalışın çok zevkli oluyor, silemeyenler lütfen özelden pm atın, rep verin ve sağ elinizle havaya 8 çizerken sağ ayağınızı saat yönünde çevirin..
birde sevgili Oktay abi bir yerde bana sataşmış bir daha girmeyecem bu foruma...
demeden önce ben antivirüs programı yapmadım, öyle bir şeyde demedim, sadece bir kaçkez format atmama sebep olan bir virüsü temizlemeye yönelik sizlerinde yardımıyla yapılan küçük bir programcığa antivürüs demek en azından akrep'e hakarettir zaten.
Şaka dememe gerek yoktur herhalde Oktay abi, biliyorum içinden "paranoyak yapacak bu çocuklar beni" diyorsun..
smith in şu gülüşünede hastayım
Kendi kendini kapatan programdan bahsedilmişti, benim aklıma şu takılıyor;
Virüsler, programlara bulaşan programlar olduklarına göre, programımızın arkasına saklanarak işlerini gören, sistem kaynaklarına muhtaç olan, diğer programlarla aynı dijital dünya yasalarına bağımlı, yani bulaştıkları programlarla aynı temel özellikleri paylaşan, sevimli, durmadan sırıtan, göbeğinin üzeri kıllı fakat cibilliyetsiz ve hain yaratıklar olduklarına göre;
1- Bir virüsün kendi kendisine bulaşması nasıl olur? Kendi kendine binlerce kez bulaşmış olan bir virüsü anti-virüs programı yakalarsa, kaç tane virüs yakaladığını bildirir?
2- Belirli bir algoritmaya bağlı olmaksızın ürettiği yeni yavrularının isimlerini değiştiren ve kendinde bulanan silahların aynısıyla değil fakat aynı işi görecek başka kaynak kodlarıyla donatan ve yepyeni yavru virüsler meydana getirerek çalıştıran, aynı zamanda oluşturduğu yeni yavrulara da aynı şekilde çoğalma yeteneği veren (hem virüs hem compiler) bir virüs, anti-virüs programlarına sizce yakalanır mı? Tamamen silinebilir mi? Ve daha önemlisi, anti-virüs yazılımı tarafından bu virüse tek bir isim verilebilir mi, yani bütün yavrularıyla birlikte bu virüsler "bilmemne virüsü" olarak tanımlanır mı?
3- Tamamen randomize şekilde isimlendirilmiş ve farklı saldırı şekillerine sahip olacak olan bu virüsler birbirlerini de tanıyamayacaklarına ve kafa-göz dalacaklarına göre, üstüste binmiş virüs yumakları oluşturarak çok daha feci yeteneklere ulaşmaları mümkün müdür?
4- Her gün bir kere yada haftada bir kere belirli bir ftp sunucusuna yada basit bir veritabanına bağlanarak enfekte ettikleri bilgisayarın numarasıyla birlikte kendi benzersiz kimliklerini bırakarak sayısal bir istatistik bilgisi oluşturulmasını sağlayıp, aynı zamanda bu bilgiyi kendileri de kontrol ederek, belirli bir sayıda enfekte bilgisayara ulaşıldığında o bilgisayarlardan girilen web sitelerinin ftp adreslerine "brüt force" atağına başlayarak şifresi kırılan sitelerde download amacıyla konulmuş uygulama dosyalarını bulup, indirip, "kendilerini bulaştırdıkları" yeni halleriyle tekrar upload eden ve böylece o programı indirerek çalıştıran her yeni bilgisayara "duhul" eden, kitlelere ulaşmayı hedefleyen bir (milyon) virüs olabilir mi?
5- Saldırı ve bulaşma - çoğalma yöntemini kendi kendine bilgisayarın performansını ölçerek belirleyen ve gerektikçe değiştiren bu tür virüse hangi anti-virüs zincir vurabilir?
6- Sizce böyle bir virüsle nasıl baş edilebilir? Ne tür bir yazılım kullanılabilir yada anti-virüsler nasıl bir metod uygulayabilir? Unutmayın ki bu virüsler müstakil programcıklar şeklinde veya başka programların içinde kopyalanabilir. Tamamen kendisi bilecek.
Ynt: Manyak virüs Gönderen: kocaturk Tarih: 20 September 2007 00:24:41
Öncelikle böyle bir virüs mü yazdın merak ettim ?
Sıraladığın sorulara gelince aslında soruların cevabını ilk paragrafta kendin vermişsin. Virüsler çalışacakları platformun kaynaklarını kullanırlar daha doğrusu hangi işe hangi alet,edevat kullanılacak onu bilirler ve onları kötü maksatlı kullanırlar, malum olduğu üzere bulaşma tipleri, çalışma tipleri vs gibi farklı konularda milyonlarca virüs tipi var, ve bunların hepside temelde aynı mantığa göre çalışırlar nedir o mantık?. bulaşacaları platformda kullanacakları bir açık veya suistimal edecekleri bir özelliği kullanırlar. Bu neye benzer bıçakla adam da kesersin ekmekte.
işte bu nkotada da antivirusler devreye girer. antivirusler de malum viruslerin suistimal edeceği sistem servislerini, açıklarını denetim altında tutarlar. ve oralara olacak bir müdahalenin legal mi illegal mi olduklarına bakarlar. Yoka düşünün en basit bir antivirüs bile yüzbinlerce virüs vs tanır nasıl tanır yakaladıktan sonra sabıka kaydına bakarak, yoksa Hayatinin yazdığı gibi temelde tek bir virüse özel savunma yapmazlar.
Ben evimin hırsız girebilecek bütün yerlerini güven altına aldım, ama o yerleri zorlayacak hırsızın kişiliği beni başta ilgilendirmiyor sadece yakalandığında sabıka kaydına bakılır ne tür bir hırsız para mı çalar eşya mı diye.
Microsoft malum haftada bir iki yama yayınlayıp açık olan pencereleri kapatmaya çalışırıyor.
Antivirüs yazılım şirketleri yazacakları yazılım için ilgili platformun bütün teknik dökümantasyonuna hatta bazı mödüllerin kaynak kodlarına sahiptirler. Dikkat ederseniz önce virüs sonra ilaç çıkar, yani bilinmeyen bir açığı nasıl kapatacaksınız.
Diğer tip virüslerde de işletim sisteminin sistem kaydı, temel kütüphaneleri gözlenir bunların boyutları, bunlardan çağrılan yordamlar vs izlenir, anormal bir durum sezilirse müdahale edilir.
oturup delphi ile basit bir trojan yazın ama tamamiyle native yani bilinen trojanların açmadığı bir port açsın veya rast gele bir port açsın ne kadar özgün davranırsa davransın bilgiyi dışarıya sızdıracağı çıkış nokaları bellidir o çıkış noktaları tutulmuşsa torjan ın ilk kopyası bile hemen kendi makinanızda yakalanır.
size yakalanmayan basit bir virüs kodu vereyim
Notepad i açın aşağıdaki iki satırı içeren bir toplu iş dosyası oluşturun;
start ganser.bat
ganser.bat
daha sonra bunu sistem path e uygun bir yere ganser.bat (akrebin ganseri
) olarak kaydedin ve üzerine çift tıklayın ve virüsününzün çalışmasını keyfle seyredin eğer keyif alabilirseniz tabi şimdi kısaca sorularda dikkat çeken bir iki noktaya cevap vermeye çalışalım.
1- bir virüs kendi kendine bulaşmaz virüslerin birer imzaları vardır imzayı gördüğünde başka bir çalışıştırılabiliri bekler, Kendi kendine bulaşmasının sence ne mantığı var, sürekli boyutu büyüyecek hem kendini hemde HDD ı yiyip bitirsin mi yani
2- ne üretirse üretsin nereye saldıracağı önemlidir saldıracağı yer güven altına alınmışsa problem yok Çanakkale savaşını düşünün onların topu tüfeği vardı ama bizim kazma kürekli kahramanlarımızı geçemediler. Güvenli bir binada önemli olan güvenlik memurunun çayına uyku ilacı koymaktır bunu yapabiliyorsa binayı boşaltsa kimsenin ruhu duymaz.
4- bütün bu söylediklerinin olabilmesi için güvenlik görevlisi ve bağlı olduğu tüm şirket personelinin çaylarına uyku ilacı koyması gerekmez mi ?
5- bu aşamaya gelmi se zaten engellenemez.
Not : Bazen yazdıklarım yanlış anlaşılıyor aman ukalalık olarak kabul edilmesin .
Ynt: Manyak virüs Gönderen: Akrep Tarih: 20 September 2007 01:15:50
Not : Bazen yazdıklarım yanlış anlaşılıyor aman ukalalık olarak kabul edilmesin .
Estağfurullah (benden yana)...Hocam sen bizim köye gelende şerefine 2 tane irice virüs kurban edip, dökülen kaynak kodlarından bi parmak alıp alnına çalayım... Ama senin anlatımı biraz "Uzayda hayat olamaz kardeşşim, çünkü uzayda hava yoktur!" diyen eski Tübitak başkanına benzettim
Sen klasik bilinen virüs ve trojanlardan bahsediyorsun.. Benim anlattığım farklı biraz. En az klasik virüsler kadar zararlı olup, delphiyle kendi yazdığımız telefon defteri programı kadar olağan ve normal... Hangi anti-virüs delphiyle yazıp mail gönderttiğimiz programı virüs sanıyor ki? Yada klavyeden girilen tuşları yakaladığımız, ekranın fotoğrafını çektiğimiz, istediğimiz bir yere kopya dosya oluşturduğumuz yada ShellExecute metoduyla program çalıştırdığımız, ftp'lere bağlandığımız programlar anti-virüslerce yakalanmıyor ki... İnternet alışverişini denetleyen firewall'lar var problem yaratıyor, fakat onun çözümü de zaten internete bilgi göndermesi çok doğal sayılan veya zaten önceden izin verilmiş olan bir programın kılığına girmek.Katil ne kadar soğukkanlı olursa o kadar zor ele verir yakayı
Daha değinmek istediğim noktalar var cevabında ama yarın daha ayrıntılı yazmaya çalışırım, biraz beyin el-nino'su yapalım.Ynt: Manyak virüs Gönderen: Akrep Tarih: 20 September 2007 12:44:50
Öncelikle böyle bir virüs mü yazdın merak ettim ?
Hayır yazmadım, ama "barışçı amaçlar" ve enerji üretimi için yazmayı düşünüyorum. işte bu nkotada da antivirusler devreye girer. antivirusler de malum viruslerin suistimal edeceği sistem servislerini, açıklarını denetim altında tutarlar. ve oralara olacak bir müdahalenin legal mi illegal mi olduklarına bakarlar. Yoka düşünün en basit bir antivirüs bile yüzbinlerce virüs vs tanır nasıl tanır yakaladıktan sonra sabıka kaydına bakarak, yoksa Hayatinin yazdığı gibi temelde tek bir virüse özel savunma yapmazlar.
Sabıka kaydı konusunda benim bildiğim kadarıyla yakalamadan önce sabıka kaydına bakılıyor, yani önceden virüs olarak tanımlanmış unsurlar içermiyorsa zararlı yazılımı çoğu anti-virüs tehdit olarak görmüyor. Mesela geçen sene bir keylogger yazmaya çalışırken, önce bazı kodları hazır bulmayı denedim ve ismini şu anda hatırlamadığım derlenmiş bir dll buldum. Tam olarak istediklerimi yapıyordu, programcıya sadece birkaç satır kod yazmak kalıyordu. Fakat bu dll yüzünden program anti-spyware'lere yakalandı... Vazgeçtim ve sağdan soldan öğrendiklerime göre kendimce bir programlama yaparak aynı sonucu elde ettim, hatta daha iyisini. Hiçbir anti-spyware yada anti-virüse yakalanmadı, sadece firewall programın internet alışveriini tespit ederek sordu "bu programın bilgi göndermesine izin veriyor musunuz?" diye. Bu bana anti-virüslerin aslında klavyeden girilen bilgilerin kaydedildiğini bile anlamadığını, sadece çalışan programlarda yada genel arama yapıldığında tüm dosyalar içerisinde "virüs imzası" aradıklarını düşündürdü. Okuduğum dökümanlar da çoğunlukla aynı şeyi söylüyor. Bu virüs imzası ise anladığım kadarıyla virüsü yazan programcının bilerek ve imza olsun diye bıraktığı bir şeyden daha çok, bir tespit. Aslında virüsün kimliğini ele veren bir açık. Yanlış mıyım?Diğer tip virüslerde de işletim sisteminin sistem kaydı, temel kütüphaneleri gözlenir bunların boyutları, bunlardan çağrılan yordamlar vs izlenir, anormal bir durum sezilirse müdahale edilir.
İşte ben bu tip virüslere "bilinçsiz" ve "koyun zihniyetli" virüs derim. Yani amaç bilgisayara zarar vermek ise, yada bir süre sadece çoğalmak ise, yada bilgi kaçırmak ise gidip de kontrol edileceği muhtemel olan sistem dosyalarına saldırıp kimliği ele vermenin bir anlamı yok. Milyonlarca virüs var ama kaç tane başarılı anti-virüs var? Bir virüsün sistemde kurulu olan anti-virüs yazılımını tespit edip ona göre amacını belirlemesi de sanırım pek zor değildir
şimdi kısaca sorularda dikkat çeken bir iki noktaya cevap vermeye çalışalım.
1- bir virüs kendi kendine bulaşmaz virüslerin birer imzaları vardır imzayı gördüğünde başka bir çalışıştırılabiliri bekler, Kendi kendine bulaşmasının sence ne mantığı var, sürekli boyutu büyüyecek hem kendini hemde HDD ı yiyip bitirsin mi yani
İmza... Ama benim bahsettiğim virüs, sırf belli bir imza bırakarak anti-virüslerin veritabanına düşmemeleri için her yavrusunun kodlarını yeniden düzenleyecek ve isim vs. birçok değişkenini belli bir algoritmaya göre değil, rastgele belirleyecek. Belli bir imza olmayışının sonucu olarak maalesef kendi yavrusunu bile tanımayarak ona bulaşmaya çalışacak 1- bir virüs kendi kendine bulaşmaz virüslerin birer imzaları vardır imzayı gördüğünde başka bir çalışıştırılabiliri bekler, Kendi kendine bulaşmasının sence ne mantığı var, sürekli boyutu büyüyecek hem kendini hemde HDD ı yiyip bitirsin mi yani
Çünkü kendisi yavrusunu tanıyabiliyorsa anti-virüs'ün de onları tanıması pek uzun sürmeyecektir. HDD'yi yiyip bitirme konusunda da şunu söyleyim; Neden olmasın? Güzel fikir... Amacımız sadece HDD'yi yiyip bitirmek de olabilir, ve o kadar çok sayıda ve her biri farklı karakterde virüs birbirine zıplayınca sanıyorum anti-virüsün şansı bayağı azalıyor.2- ne üretirse üretsin nereye saldıracağı önemlidir saldıracağı yer güven altına alınmışsa problem yok Çanakkale savaşını düşünün onların topu tüfeği vardı ama bizim kazma kürekli kahramanlarımızı geçemediler. Güvenli bir binada önemli olan güvenlik memurunun çayına uyku ilacı koymaktır bunu yapabiliyorsa binayı boşaltsa kimsenin ruhu duymaz.
4- bütün bu söylediklerinin olabilmesi için güvenlik görevlisi ve bağlı olduğu tüm şirket personelinin çaylarına uyku ilacı koyması gerekmez mi ?
İşte ben de diyorum ki, hırsızlık yapmak için güvenlik görevlisinin çayına uyku ilacı koymak gibi zor bir yöntem yerine, o güvenlik görevlisinin hassas noktalarını binaya girmeden önce araştırarak ona göre davranmak, yada binaya kafada kadın çorabı,maske, elde silah, çalınan eşyaları taşımak için çuval gibi şeylerle girmek yerine takım elbiseyle girerek 8'inci kattaki mali müşavirlik şirketine gideceğimizi söylemek, diğer hırsız arkadaşların da her birinin temizlikçi kadın, posta kuryesi, yeni bir şirket çalışanı gibi farklı şekillerde gelmelerini sağlamak ve bina içerisinde birbirimizi gerçekten tanımamak daha iyi (yani kötü) bir yöntem 4- bütün bu söylediklerinin olabilmesi için güvenlik görevlisi ve bağlı olduğu tüm şirket personelinin çaylarına uyku ilacı koyması gerekmez mi ?
Tanışmıyor olmak belki birbirimizin değerli eşyalarını çalmamıza sebep olabilir, ama sonuçta asıl hedef olan binanın huzurunu bozarak insanların çalışamamasını sağlamak amacı gerçekleşecektir. Eğer birbirimizi tanıyabileceğimiz ortak yönler olursa, bunu bir şekilde öğrenen güvenlik görevlisi, bütün çeteyi çökertecektir. Not: Bu mesajdaki kişiler, mekanlar ve olaylar tamamen hayal ürünüdür. Konu altındaki güvenlik amaçlı fikir ve teorileri kullanarak zararlı veya illegal hareketlerde bulunmak, kişinin kendi terbiyesizliği olup www.delphidunyasi.net sorumlu tutulamaz, sorumlu tutmayı bırakın, kaş göz hareketiyle ima dahi edilemez.
Ynt: Manyak virüs Gönderen: FetihlerFatihi Tarih: 20 September 2007 16:52:32
Virüsler hakkında pek bilgim yok, ama anti-virüsler beşpara etmediğine eminim
Ynt: Manyak virüs Gönderen: kocaturk Tarih: 20 September 2007 19:03:24
Sabıka kaydına yakalandıktan sonra, yani bir suç unsuru meydana geldikten sonra suçu işleyenin sabıka kaydına bakılır. suç işlenmeden kimi yakalayacaksın? suç işlenir potansiyel suçlu yakalanır ve GBT si istenir, ha bu su suçlara eğilimi olan bir zanlı denilir. Peki ilk kez suç işliyorsa(senin virus gibi) o zaman da kolluk kuvvetlerinin becerisi ve hafızası önemli, dha önc benzer bir suçu filan olayda da görmüştük bu bir suçtur derse ilk suç işlemede de yakalanırsın.
Koyun viruslere gelince bir belki ben iyi izah edemedim bir yazılımın virus olarak nitelendirilmesi için zararlı olması gerekmez mi? zarar vermek için de bilinçli veya pervasızca saldırması gerekmez mi? peki nereye saldıracak? bu birazda ilgili virüsün karakteristik özelliği ile ilgili ama sonuçta gerçek bir virüs sisteme zarar veren, sistemin denetiminden bağımsız hareket etmeyi becerebilen ve son aşamada da sistem denetimini ele geçirebilen bir virüstür. Bu noktada antivirus eğer sistemin denetimi elden bırakmaması için maksimum desteği veriyorsa problem yok.
bir virüsün bir makinada çoğalması eniklemesi çok önemli değildir, mühim olan kopyalarını ithal edebilmesidir. Bunun içinde dış dünyaya açılan kapıları elegeçirmesi gerekir. Eğer bir virus en kısa sürede ve hissedilmeden sistemin damarlarına sızabiliyor ve kendisini pazarlayabileceği kapıları ele geçirebiliyorsa güçlü ve tehlikelidir. yoksa kendi kendinyle kavga etmsinin bir anlamı yoktur.
son olarak şunu söyleyeyim böyle bir virüs yazılamaz mı? illaki yazılır ama bahsettiğin tarzada çoğalması ve kendi türevlerine dahi bulaşmasının bir anlamı yok.
Ynt: Manyak virüs Gönderen: Akrep Tarih: 20 September 2007 20:36:58
Sabıka kaydına yakalandıktan sonra, yani bir suç unsuru meydana geldikten sonra suçu işleyenin sabıka kaydına bakılır. suç işlenmeden kimi yakalayacaksın? suç işlenir potansiyel suçlu yakalanır ve GBT si istenir, ha bu su suçlara eğilimi olan bir zanlı denilir. Peki ilk kez suç işliyorsa(senin virus gibi) o zaman da kolluk kuvvetlerinin becerisi ve hafızası önemli, dha önc benzer bir suçu filan olayda da görmüştük bu bir suçtur derse ilk suç işlemede de yakalanırsın.
Hocam, bu paragraftan virüslerin şüpheli bir işi yaparken anti-virüs tarafından durdurulup sabıka kaydına bakıldığı, sabıkası varsa gereğinin yapıldığını mı demek istiyorsun?Yoksa eğer yaptığı iş anti-virüs tarafından suç sayılmakta ise, sabıka kaydı bulunamasa da gereğinin yapılacağını ve sabıkalandırılacağını mı demek istiyorsun?
Benim gözlemlediğim kadarıyla ilk seçenek en geneli. Ve sabıkalı virüslere karşı birebir. Fakat gelgelelim ikinci seçeneğe... Eğer "evet ikinci olay da anlattığın virüsü yakalar ve imha eder" diyorsan, ben de şunu soruyorum, API'leri kullanarak çatır çatır, klavyeye kanca atıyorum, istediğim yerden istediğim bilgiyi dosyayı çekiyorum, istediğim yere istediğim dosyayı oluşturuyorum ve istediğim uygulamayı çalıştırıyorum, istediğim mail serverına veya siteye de bağlanıyorum ve kullanıcı, firewall uyarısından başka birşey görmüyor. Anti-virüs arkadaşlar aval aval bakıyor, neden? Ben sonuçta virüsü kendi kendine çoğalarak diski doldurma gibi çok basit ve ilk icad edilen virüs ile aynı temel ilkede bile yapsam anti-virüs hala aval aval bakıyor neden? (* bahsedilenler tamamen izole network ortamında ve kimseye zarar vermeden yapılan deneylerdir)
Anti-virüs'ün "olası tehlike" diye tanımladığı şey nedir ki o zaman, sonuçta amacım bilgisyara zarar vermek ise veriyorum, başka bilgisayara "trojan" metoduyla sıçrıyorum, insanları kandırıyorum ve türlü türlü yollarla insanların kendi elleriyle virüs veya virüslü dosyaları yaymalarını sağlıyorum, anti-virüs bunları neden ben yaptığımda yakalayamaz da birileri rapor ettiği zaman ve kendi veritabanına sabıka kaydını ekledikten sonra yakalar?
İşte bu bana asıl meselenin virüsün imzası olduğunu gösteriyor, yanlış bildiğim birşey varsa düzeltin ama önceki mesajlarımda verdiğim örneklere dikkat edin..
En eski virüsün bile hedefi olan şeyi neden bir tehdit olarak algılamıyor? Ben bunun sabıka kaydı olmamasından kaynaklandığını düşünüyordum ama başka bir sebebi varsa da öğrenmek isterim.
Bahsettiğim olay biraz düşünce fırtınası yaratsın diye ve bilinen virüslerden farklı bir tarzı anlatsın diye bu konuyu buraya açtım, yani virüsün kendi kendine bulaşabilmesi durumunda olacaklar üzerine düşündürmek ve görüşleri almak istedim zaten
Sen anlamsız buldun, ben ise virüs sabıkası karışıklığı yaratabileceği ve anti-virüse kafayı yedirebileceğini düşündüğüm için anlamlı buldum. Ayrıca bahsettiğim tarzda çoğalmasını da anlamsız buldun ama bahsettiğim tarzda çoğalma her üremede bağımsız belirsiz ama benzer zararlı hedefleri olan yeni eniklerdi, ve ben nedense hala çok anlamlı ve korkunç buluyorum... Belki de öyle birşey mümkün değildir bilemiyorum tam olarak Görüşler için teşekür ederim, daha fazlası varsa bekliyorum
)) Ayrıca ilk paragraftaki sabıka ve GBT yorumlarını virüsleri kastederek söylediğini düşünüyorum sadece. Gerçek hayatta işler pek anlattığın gibi değil sanırım, ben çok girdim çıktım içeri (!)Ynt: Manyak virüs Gönderen: kocaturk Tarih: 20 September 2007 21:39:00
Her iki paragraf ta doğru, yada her ikisinide kastediyorum duruma göre. Şöyleki firewall uyarısı diyorsun veya virüs programı uyarısı da diyebilirsin her iki uyarı tipinde de ilgili güvenlik yazılımı potansiyel suçu tepit ettiğinde, kullanıcın program ayarlarındaki tercihlerine göre, eğer suç daha önceden bilinen bir suçlu tarafından işleniyorsa suçlu hakkında ayrıntılı bilgi verilip vereceği zararlar belirtilir, eğer siz ayarlarınızda bilinen bir suçlu yakalarsan bana sorma direk merkeze götür dediyseniz siz farkında bile olmadan gerekli ceza-i müeyyide uygulanır.
Eğer ortada bir suç varsa ve suçlu önceden bilinmiyorsa, bu cürüm sonucunda alabileceğiniz zararlardan bahsedilir ve ne yapılmasını istediğiniz sorulur, siz serbest bırak derseniz sorumluluk sizin dir yok "ya ben bunu pimapenleri değiştirsin diye çağırdım laptop ımı çalıyor haa, asın!!" derseniz o zaman asar.
işin özü şudur ki, yapılan uyarıları dikkate alıp almamak sizin tercihiniz. yoksa virüse gerek yok komut satırından,
format c:
dediğinizde HDD ınızdaki veriler silinecek devam edilsin mi? diye sorulduğunda evet demeyle firewall veya virus yazılımının bu tür bir uyarısına devam kararı vermek arasından bir fark yok.
Antivirus programınızı paranoyak ayarlarla set ederseniz her konuda uyarı alırsınız hatta siz dosya silmek istediğinizde bile uyarılırsınız. Bu biraz da kullanıcının bilinçli olmasıyla alakalı diye düşünüyorum haksızmıyım?
Ynt: Manyak virüs Gönderen: dameon Tarih: 20 September 2007 22:41:06
Dediğiniz virüs türü çok uzun zamandır mevcut zaten , Polymorphic Virus diye arattırırsanız detaylı bilgi bulabilirsiniz.Hiçbir kopyası birbirine benzemez ama yine bir yerlerinde ya 2 byte arka arkaya denk gelmiştir ya da hepsi aynı üreteçten çıktığı için benzer birşeyler vardır , bu yüzden antivirüsler bunları imza olmadan heuristic method tarzı yöntemlerle yakalarlar.Çok eskiden benim sevdiğim Thunderbyte antivirus vardı , hiç imzası olmayan virüsleri bile bulabiliyordu , her bir şüpheli durumda bir bayrak işaretleyip bayrak sayısı 3-4 gibi bir sayıyı geçerse uyarı veriyordu potansiyel virüs olabilir diye.Mesela elinizdeki program başka bir dosyanın EXE'mi COM'mu olup olmadığını araştırıyorsa bir bayrak işaretleniyor.Dosyanın hemen başından dosya sonlarına yakın bir yerlere dallanma varsa başka bir bayrak işaretleniyordu , çünkü bunlar genelde virüslerin ortak davranışları idi...
Sabıka kaydı olayına gelince normal hayat gibi düşününce herhalde mantıklı olur.Normalde sokakta yürürken polis size herhangi birşey yapmaz ama hakkınızda suçlama varsa o zaman göz altına alınırsınız.Eğer temiz çıkar iseniz sizi salıverirler yoksa yargılanırsınız
Çünkü virüslerde normal programların yaptığı gibi aynı metodları ve yöntemleri kullanırlar ama optimizasyon yaparak en küçük boyutta olmaları gerekir.Bazen de illegal yöntemler veya undocumented methodlar kullanarak hedeflerine ulaşırlar.Bu yöntemlerden haberdar olan bir antivirus mutlaka yakalayacaktır.Örnek vermek gerekirse ;
Bir dosyaya yazmak için 21h nolu interrupt 40 küsur nolu fonksiyon kullanılır.Bu fonksiyon hook edilerek işlemler kontrol edilebilir ama eğer 13h nolu BIOS interrupt 02 nolu yöntem kullanılmışsa o zaman virüs yakalanmaz.Diyelim 13h nolu interrupt da kontrol edildi , o zamanda virs 1F0 nolu port aracılığı ile doğrudan harddiske erişir ki , bildiğim kadarı ile bunu engellemenin yöntemi yoktur.
Yani antivirüs yazılımının bütün legal ve illegal yöntemlerden haberdar olması gerekir.
Kendi kendine sürekli bulaşma olmaz , zaten virüsler bir dosyaya bulaşmadan önce kendi imzası o dosyada arar , eğer bulamaz ise bulaşır.Amaç iyice şişip yakalanmak değil , hem mümkün mertebe küçük olmak hem de dikkat çekmemekdir.
DOS yıllarımdan hatırladığım bir virüs vardı , biz command.com dosyasının boyunu 47845 byte (dos 5.0) olarak ezberlemiştik , herhangi bir şekilde dosyanın boyu artarsa anında virüs olduğundan şüphelenir ve genelde de haklı çıkardık.Dosyanın boyutunu almak için DIR komutunu kullanırdık.Sonradan bir baba virüs çıkmıştı , meğersem command.com dosyasının boyunu 2000 byte arttırmış , DIR fonsiyonunu ele geçirmiş ve biz DIR diyince bulaştığı dosyaların boyutlarını ekrana 2000 rakamını çıkartıp öyle veriyormuş.Biz de dosyanın boyunu hala 47845 byte olarak görüyorduk. Hey gidi günler!
Ynt: Manyak virüs Gönderen: Akrep Tarih: 21 September 2007 00:46:26
Yahu sabıka, gözaltı deyip duruyorsunuz ben şüphelenmeye başladım polis falan mısınız yoksa
Ben virüs mirüs yaymadım haberiniz olsun neme lazım Ynt: Manyak virüs Gönderen: kocaturk Tarih: 21 September 2007 00:59:37
şu avatara baksana ne kadar masum
Ynt: Manyak virüs Gönderen: Akrep Tarih: 21 September 2007 02:42:11
Ynt: Manyak virüs Gönderen: dameon Tarih: 21 September 2007 06:58:47
Ama sorularına bakılırsa çok büyük bir virüs yazma potansiyeli olduğu görülüyor
Symantec , Kaspersky vb.. gibi laboratuarları şimdiden uyardım , sitemizin linkini ve bu konuşmaları avatarlar ile birlikte gönderdim.Sonuncu Avatar zaten herşeyi açıklıyordu Ynt: Manyak virüs Gönderen: Akrep Tarih: 21 September 2007 12:12:58
Ama ayıp olmuyor mu öyle site arkadaşını şirketlere ispiyonlamak falan? Kara listeye aldım sizi, bilgisayarınızın virüs karargahı olarak kullanılması için gereken talimatları şimdi veriyorum. Herhangi bir anti-virüs saldırısı durumunda ise yazıcı, scanner ve harici diskleriniz 2.Virüs Kolordusu komutanı Amiral Çernobil'in yönetimine devredilecek ve diskinizin boot sector bölümü virüs yatakhanesi olarak kullanılacaktır.
Bilgisayarınızın 31337 numaralı portu itilaf virüslerinin kullanımına "kayıtsız ve şartsız" olarak açılacak ve bu portdaki giriş-çıkışın denetlenmesi için Albay George W. WinCIH görevlendirilecektir.
İşgal sonrası imzalanacak Server Antlaşması ile bilgisayarın tüm yönetimi virüslere devredilecek, bu antlaşmanın imzalanması esnasında virüs temsilcileri "virüs imzası" kullanabileceklerdir.
Ynt: Manyak virüs Gönderen: babahayati Tarih: 21 September 2007 14:03:08
@Akrep sen kafayı bozdun virüsle, yakında anakartın bios piline bulaşan bir virüs duyarsam şaşırmayacam.. ama varsa yapacağımız bir şey söyle kardeşim... güçlerimizi birleştiririz icabında, oluştururuz voltranı iki dakkada..
Bu arada Perlovga nın icabına baktım... korunan işletim sistemi dosyalarını göster checkbox unun işaretini kaldırın sürücülerinizin root dizinlerinde host.exe copy.exe ve autorun.inf varsa, işte o Perlovga
lütfen shift+delete ile silmeye çalışın çok zevkli oluyor, silemeyenler lütfen özelden pm atın, rep verin ve sağ elinizle havaya 8 çizerken sağ ayağınızı saat yönünde çevirin..
birde sevgili Oktay abi bir yerde bana sataşmış bir daha girmeyecem bu foruma...
demeden önce ben antivirüs programı yapmadım, öyle bir şeyde demedim, sadece bir kaçkez format atmama sebep olan bir virüsü temizlemeye yönelik sizlerinde yardımıyla yapılan küçük bir programcığa antivürüs demek en azından akrep'e hakarettir zaten.
Şaka dememe gerek yoktur herhalde Oktay abi, biliyorum içinden "paranoyak yapacak bu çocuklar beni" diyorsun..
smith in şu gülüşünede hastayım