[BilGi] VirüS ler....

**ABYSS** · 08-23-2006, 09:55 PM

[BilGi] VirüS ler.... by FakeR

Bilgi biraz eski kaynaktan alıntıdır ; ama geçerliliğini halen koruduğu için konuyu açtım ;

Virüs nedir ?

Virüsler kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır.Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Belli bir amaca yönelik olarak yazılmış zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler.

Truva atları virüslerden oldukça farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar.Belli olaylara bağlı olarak tetiklenen bir rutindirler.Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler.Trojanlar ilgi çeken utility gibi programların içine yerleştirilirler.Trojan kodu trojanın içine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar.

Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır.

1- Assembly'ın çok güçlü bir dil olması:
2- Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması

Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir.

Virüsleri özelliklerine göre sınıflandırmak pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır.Ancak pek çok virüs pek çok özelliği bünyesinde barındırabilir.Bulaşma hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs boot sektörlere mbr kayıtlarına programlara bulaşabilir. Şimdi de bu virüs türlerinin işleyişlerine bakalım

1 - Disk virüsleri : a- Boot b- MBR
2 - Dosya virüsleri : a- Program (TSR ve nonTSR) b- Makro virüsleri
3- FlashBIOS virüsleri

1 - DiSK ViRÜSLERİ

Disk virüsleri adından da anlaşılacağı üzere disk ve/veya disketler üzerinde işletim sistemi için özel anlamı olan bölgelere (boot sektör MBR) yerleşen virüslerdir. Disk virüsleri hakkında en çok yanlış bilginin olduğu virüs türüdür.Boot ve MBR virüsleri aşağıda da göreceğiniz gibi işletim sisteminden önce hafızaya yüklenir.Bu yüzden işletim sistemini kolaylıkla atlatıp Yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR (partition) virüsleri olarak 2 gruba ayırabiliriz.

BOOT Virüsleri

Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir disk üzerinde nerede bulunur önce bunlara bir bakalım; Boot sektör bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunluğundaki bir programdır.Boot sektörler disketlerde 0.cı iz 0.cı kafa1.ci sektör üzerinde bulunur. Hard disklerde ise boot sektörü 0.ci iz 1.ci kafa ve 1.ci sektör üzerinde bulunur.Boot sektör açılış için gerekli sistem dosyalarının yükleyen programdır.Aynı zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cylider hesaplarını yapar.

Nornal koşullarda bilgisayarı başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takıp bilgisayarı açtığımızda bilgisayar ilk olarak disket sürücüye bakar.Eğer sürücüde bir disket var ise bu disketin boot sektörü hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektör çalıştırılır.Boot sektör işletim sistemini yükleyerek denetimi işletim sistemine bırakır.Eğer bilgisayarı boot edecek disket bir boot virüsü içeriyorsa o zaman durum değişir.Bilgisayar boot sektörü yine 0000:7C00 adresine okur ve akışı bu adrese yönlendirir.Disketten okunan boot kaydı yapı olarak değiştiğinden dolayı 0000:7C00'daki kod virüsü hafıza içine yükleyip hafızadaki konumunu garanti altına alacaktır.Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kayıdını okuyarak işletim sisteminin yüklenmesini sağlayacaktır.

MBR (Partition) Virüsleri

MBR virüsleri esas olarak boot virüslerinden pek de farklı değildir.Ancak can alıcı bir nokta vardır ki bu boot ve mbr virüsleri arasındaki en önemli noktadır. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS'a tanıtılması amacıyla MBR - Master Boot Record (Ana açılış kaydı) denilen özel bir açılış programı içerirler.Bu kod diskin 0.cı iz 0.cı kafa ve 1.ci sektörü üzerinde bulunur.Yani disketlerde boot sektörün bulunduğu konum hard diskler için MBR yeridir.Master boot record hangi disk partitionundan bilgisayarın açılacağını gösterir.Bu yüzden çok önemlidir.Eğer bilgisayar hard diskten boot ediliyorsa o takdirde mbr ve partition table okunur.Aktif partitiona ait boot sektör okunur.Bundan sonrası boot sektör kısmındaki sistemin aynısıdır.

2 - DOSYA ViRÜSLERi

Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir.Dosya virüsleri çoğunlukla COM EXE SYS olmak üzere OVL OVR DOC XLS DXF gibi değişik tipte kütüklere bulaşabilirler.

Makro virüsleri

Makro virüsleri Word Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar.Aktif olmaları bazı uygulamalara (word excel vs) bağlı olduğundan program virüslerine oranla çok daha az etkilidirler.

Program virüsleri
(Not : Program virüsleri ile ilgili açıklamalar ileride detaylı olarak anlatılacaktır).

Program virüsleri DOS'un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar başta olmak üzere SYS OVL DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan (nonTSR) ve bellekte yerleşik duran (TSR) olarak 2 tipte yazılırlar.

nonTSR (Bellekte sürekli kalmayan) virüsler

Bellekte sürekli olarak kalmazlar.Kodları oldukça basittir.Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler.Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur.Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur.Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar.Virüs bulaşma işini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder.

TSR (Bellekte sürekli kalan) virüsler

TSR virüsler yapı olarak TSR olmayan virüslerden çok farklıdır.TSR virüsler 2 temel bölümden oluşurlar.1.ci bölüm; Virüsün çalışması için gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir.2.bölüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür.Bu tip virüsler çalışmak için sadece TSR olmakla kalmazlar.Aynı zamanda çeşitli Interruptları (kesilmeleri) kontrol altına alırlar.Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alabilirler.Örnek vermek gerekirse; TSR bir virüs DIR COPY gibi DOS komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir.Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır.

3 - FlashBIOS Virüsleri

FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar.

ViRÜSLER NELERi YAPABiLiR NELERi YAPAMAZ ?

Virüslerin neleri yapıp neleri yapamayacakları konusu en çok ilgi çeken üzerinde en çok konuşulan konulardan birisidir. Çünkü bir virüs yaptıklarıyla anılır ve bilinir.Virüserin en çok korkulan etkilerin başında gelenler şunlardır:

BİR VİRÜS BİLGİSAYARDAN SİLİNDİKTEN SONRA KENDİ KENDİNE TEKRAR ORTAYA ÇIKIP ETKİNLEŞEBİLİR Mİ ?

Hayır.Bir virüsün temizlenmesinden sonra durduk yerde yeniden peydahlanması doğru değildir.Eğer bir antivirüs programı ile sisteminizden virüsü temizlemenize rağmen virüs tekrar ortaya çıkıyorsa 2.durum sözkonusu olabilir.

1- Antivirüs virüsü temizleyemiyor olabilir.Amatör programcıların yazdıkları shareware olarak dağıtılan antivirüs programlarından birini kullanıyorsanız bu durumla karşılaşmanız olasıdır.Bunun pek çok sebebi olabilir.Örneğin antivirüs virüsü başka bir virüsle karıştırıyor olabilir.İmza tarama esasına göre çalışan antivirüslerde ortaya çıkabilecek bu sorun genellikle iki virüsün birbirinin varyantı (üzerinde küçük değişiklikler yapılmış biçim) olmasından kaynaklanır.Bir veya birkaç virüsü temizlemek için hazırlanmış eski antivirüs programlarının o virüsün yeni bir varyantının temizlenmesi amacı ile kullanılması sonucu da ortaya çıkabilir.Mesela; elimizde bir programcının 4 yıl önce yazdığı xx virüsünün antivirüs programı olsun.1 yıl önce ortaya çıkan xx virüsünün bir varyantı olan xx.a gibi bir virüsü temizlemek istersek muhtemelen tarama imzaları aynı veya benzer yapıda olacağından bu tür bir sorun ile karşılaşabiliriz.Bunun sonucu olarak virüs uzunluğunun farklı oluşundan dolayı yanlış isimle bile olsa tespit edilir ancak temizlenemez.Bu durumda antivirüs kullanıcıyı yeni bir virüsle karşılaştığını belirten bir mesaj ile uyarır.

2- Bir yerlerde temizlemeyi unuttuğunuz birkaç virüslü dosyanız kalmıştır.Virüs taramalarında taramayı unuttuğunuz disketleri kullanırsanız ve disketteki programlar virüslü ise siz farkına varmadan virüs tekrar sisteminize bulaşacaktır.Virüs taraması yaparken sahip olduğunuz tüm disk ve disketleri virüs taramasından geçirin.Ancak bu şekilde virüslerden kurtulabilirsiniz.

Burada belirtmek isterim ki bu iki durumdan 2.sinin olması daha muhtemeldir.Birinci durumun gerçekleşme ihtimali çok azdır.

VİRÜSLER VERİ DOSYALARINA ZARAR VEREBİLİR Mİ ?
Evet kesinlikle verebilir.Özel bir veya birkaç dosya türünü hedef alan virüsler bu tür dosyalara silebilir veya içlerindeki veriyi değiştirebilir dosyanın yapısını bozabilir.Örneğin yerli virüslerden Trakia.653 virüsü AutoCAD'in DXF ve DWG uzantılı dosyaları hedef almakta ve bu kütüklerin yapısını bozarak işlenemeyecek hale getirmektedir.Trakia.560 virüsü bazı dosyaları silmektedir.Ancak bu tür etkiler virüsün farkedilmesi kolaylaştıracağından pek tercih edilmezler.

ViRÜSLER YAZMA-KORUMALI DiSKETLERE BULAŞABiLiR Mi ?

Disketlerin yazma koruması yazılımla kontrol edilen bir sistemdir ve bu sistem aşılabilir.Ancak yazma korumasını kapatmak virüs içinde ekstra kod anlamına gelir.Eksta kod virüsün boyunu uzatacak ve virüsün farkedilmesini kolaylaştıracaktır.Bu yüzden uygulanan bir yol değildir.Virüsler yazma korumasını kapatmak yerine yazma korumasını kontrol edip koruma varsa bulaşmamayı tercih ederler.

VİRÜSLER CMOS'A BULAŞABİLİR Mİ ?
Herhangi bir virüsün CMOS alanına bulaşması mümkün değildir.Hatta imkansızdır.CMOS bellek kapasitesi üretici firmaya bağlı olarak 128 veya 256 bayttır.Bu alan virüsün ihtiyaç duyacağı belleğin çok altındadır.Kaldı ki CMOS setup parametrelerinin saklandığı bir veri alanıdır.Ancak virüsler setup parametlerini değiştirebilirler.

VİRÜSLER DONANIMA ZARAR VEREBİLİR Mİ ?

Eskiden kısmen günümüzde hayır.Eski MDA (mochrome display adapter - tekrenkli görüntü bağdaştırıcısı) ekran kartlarına bir komut serisi yollanarak MDA kartlar yakılabilir.Ancak MDA kartlar çoktan tarih olduğundan artık bunun pek önemi de yok.

Eski disklerin okuma/yazma kafalarının ani hareketlerle hareket ettirilmesi sonucu diskin bozulmasını sağlamak mümkündü. Artık günümüzde ise disklerin cacheleri sayesinde bu tür hareketler disk tarafından engellenebiliyor ve disklerdeki kafalar manyetik bir esasa göre çalışıyor.Bu sayede elektrikler kesilse bile disk zarar görmeden kafalar park ediliyor.

Bir de disk üzerinde bir bölgenin milyonlarca kez formatlanması durumu var.Bu işlem sonunda disk üzerindeki manyetik malzeme zarar görecek disk okunamaz duruma gelecektir.Bu işlemin partition table üzerinde yapıldığını düşünürsek diski kaldırıp çöpe atmaktan veya disk kasasını açıp raf süsü olarak kullanmak dışında geriye pek bir şey kalmaz.Ancak hemen belirteyim ki bu formatlama işlemi oldukça uzun sürecektir.Bir virüsü diski milyonlarca kez formatlamak isterse kullanıcı bilgisayarın kilitlendiğini düşünecek ve resetleyecektir.Sonuçta virüs amacına ulaşamamış olacaktır.

Eğer Windows95/98/NT gibi bir işletim sisteminin çalıştığı bilgisayarlarda windows direkt disk erişimlerini mümkün olduğunca engellemeye çalışır.

VİRÜSLER V-SAFE VIRSCAN GUARD GİBİ KORUMA PROGRAMLARINI ATLATABİLİR Mİ ?
Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları safdışı edebilir.Ancak koruma programları virüslü programı daha çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir.Virüsler bu tür programları aktivitelerinin rapor edilmesinin engellemek için atlatmak ister.

Virüslerin ilk öncelikli amacı bulaşmaktır.Bütün virüs yazarları virüsün var olabilmesi için bulaşmak zorunda olduğunu bilirler. Bu yüzden de hızlı bulaşma rutinleri geliştirirler.Pek çok virüsün amacı sadece bulaşmaktan ibarettir.Zaten "bulaşma" özelliği olmayan bir kodu virüs olarak adlandırmak doğru değildir.

Kullanıcının sisteminde virüs olduğunu farketmesini mümkün olduğunca engellemeye çalışırlar.Kendini kullanıcıdan gizleyen bir virüs uzun süre boyunca yaşabilir ve pek çok bilgisayara bulaşabilir.

Veriye veya donanıma zarar vermek asla birinci amaç değildir.Virüslerin bilgisayarlarda zarara sebep olabilmeleri için bazı tetikleme süreçlerine veya tetikleme olaylarına gereksinimleri vardır.

Zarar vermeye yönelik virüsler olabildiği gibi amacı sadece bulaşmak bir mesaj vs görüntülemek olan virüsler de vardır.

Virüslerin en sık karşılaşılan etkileri arasında ekranda mesaj/şekil görüntülemek bilgisayarı kilitlemek bilgisayarı resetlemek gelir.

VİRÜSLERDEN KORUNMAK iÇiN;

Elinizin altında daima bir sistem disketi ve kaliteli bir antivirüs programının bulunduğu bir disket bulundurun.Bu disketleri yazma korumalı olarak bozulmayacakları bir ortamda saklayın.Bilgisayarınızı periyodik olarak virüs taramsından geçirin.Sizin için önemli olan programların ve verilerin mutlaka yedeklerini çıkarın.Elden ele dolaşan programları kullanmadan önce mutlaka virüs taramasından geçirin.Çünkü elden ele dolaşan programlar virüsler için çok uygundur ki bunların başında da disketlerle taşınabilecek oyunlar gelir.Artık disketlerle taşınabilecek oyun kalmamışta olsa eski oyunlar public domain freeware shareware programlar virüslerin taşınmasında etkilidirler.

Internet intranet veya bağlandığınız bir BBSten (artık çalışan BBS bulmak ne kadar zor olsa da) download edilen dosyalar da virüslerin taşınmasında önemli bir yere sahiptir. Özellikle "aaaaa" durumundaki programlar ve/veya çeşitli program paketlerinin aaaaaaaaaaaaaaaaleri birer virüs taşıyıcısı olabilirler.Bu tür dosyaları download ederseniz downloaddan sonra mutlaka virüs taraması yapmak gereklidir.

ANTi-ViRÜS KULLANMADAN BiLGiSAYARDAKi ViRÜS NASIL TESPiT EDiLiR ?

Virüsler bilgisayarlarda genel bazı etkilere sebep olurlar.Eğer bilgisayarınızda aşağıdaki etkilerden biri veya birkaçı varsa sisteminizi bir virüs taramasından geçirebilirsiniz;

* Sistem hızında yavaşlama : Sistem hızında meydana gelen ani hız düşüşleri virüs etkinliklerinden kaynaklanabilir.Ancak bu durum Windows'un registry kaydının aşırı dolu olmasından da kaynaklanabilir.

* Programların diske erişim süresinin ve/veya yüklenmelerinin daha uzun sürede gerçekleşmesi : Dosya virüsleri bir program yüklenmek istendiğinde o programı kontrol eder virüssüz ise o programa bulaşır.TRAKIA.1070 (Yandan Çarklı) gibi bazı virüsler aktif dizindeki EXE veya COM uzantılı dosyaların hepsine birden bulaşmak isteyebilir.Bu da yüklenme hızındaki düşüşe neden olur.

* Bilgisayarın sebepsiz yere kilitlenmesi veya resetlenmesi : İyi kodlanmamış TSR virüsler veya virüsün programcısı tarafından sistemin sık sık kilitlenmesi veya resetlenmesi öngülmüş olabilir.

* Anormal mesajlar : Eğlence amacıyla yazılmış virüsler veya özel bir amaçla yazılmış virüsler belli zamanlarda veya bazı özel durumlarda garip mesajlar verirler.

* Dosyaların garip bir şekilde yok olması ve(ya) dosya özniteliklerinin (attribute) değişmesi : Bazı virüsler dosyaları silerler.Bazı virüsler de daha önceden bulaşıp bulaşmadıklarını anlamak için dosyaların öznitelik bilgilerinde değişiklik yaparlar.

* Yazma-korumalı bir diskte okuma işlemi yaparken "Write protection" hatası : İyi yazılmamış virüsler write-protected disklerdeki programlara bulaşmak istediklerinde genelde bu hataya düşerler.

* Disk haritasını gösteren programlar ile diske baktığınızda daha önceden olmayan bozuk alanlar : Genellikle boot/mbr virüsleri sakladıkları alanları korumak için kullandıkları bu alanları bozuk olarak işaretler.

Periyodik olarak bilgisayarda virüs aramak can sıkıcı bir hal aldığından virüs taramalarından vazgeçtiyseniz aşağıdaki yollarla da bilgisayarınızda virüs olup olmadığını kontrol edebilirsiniz.Eğer biraz da olsa assembly biliyorsanız aşağıdakileri anlamanız kolaylaşacaktır.

BOOT/MBR Virüslerin Tespit Edilmesi

Şimdi bilgisayarı resetleyin.Starting MS-DOS Starting Windows türünden bir mesaj aldıktan sonra F5 tuşunu veya klavyedeki sol shift tuşunu basılı tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyaları işlenmeden çalışacaktır. Şimdi DEBUG adlı programı çalıştırın.Ekranda - işareti görüyor olmalısınız.Şimdi a komutunu verip enter tuşuna basın.(a komutu assembly dilinde program girileceğini belirtir).Ekranda 6750:0100 gibi bir adres değeri göreceksiniz.INT 13 yazıp enter tuşuna basın.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çıkın.Tekrar - işaretini göreceksiniz.Şimdi t (trace-adım adım çalıştır) komutunu verin.Hemen ardından da u komutunu girerek INT 13'ün yönlendirildiği adresteki assembly kodlarını ekrana getirin.Eğer ekranda DB komutları görüyorsanız bilgisayarınızda herhangi bir TSR virüs yok demektir.(Debug unasseble işlemi yaparken çevirdiği kodu 16 bitlik olarak çevirir.Bu yüzden herhangi bir 386 komutu debug tarafından önce bir DB komutu ve ardından da 16 bitlik bir komut şeklinde çevirilmektedir.Mesela 32 bitlik MOV EAXC0310102h komutu debug tarafından DB 66h / MOV AX0102h / XOR AXAX şeklinde çevirilecektir.Virüslerin eski işlemcilerde dahi çalışacak şekilde yazıldıklarını gözönünde tutarak DB komutu görüldüğünde sistemde kesinlikle bir virüs yoktur diyebiliriz)

INT 13 bir BIOS interruptıdır.Bu yüzden adresi de F000:0000 adresinden daha yukarıda bir bölgede olmalıdır.Eğer Int 13 kodu 9C00:0000-A000:0000 arasında bir bölgeye denk geliyorsa sizin için virüs taramasının vakti gelmiştir.

nonTSR (ve TSR) Virüslerin Tespit Edilmesi
nonTSR (bellekte sürekli kalmayan) programlar oldukça basit bir şekilde incelenebilir.Bunun için Norton Commander türü bir programa ihtiyacınız var.Norton Commander'ı çalıştırın ve çok kullandığınız COM ve EXE uzantılı dosyaların içlerine F3-View'a basarak Text View modunda bakın.Programın başında veya sonunda bir yerlerde (EXE dosyalar için sadece dosya sonuna bakmak yeterli) *.COM *.EXE ??.EXE ??.COM türünden yazılar veya anormal olarak nitelendirilebilecek mesajlar görüyorsanız (İngilizce esas alınarak yazılmış bir program içinde Türkçe mesajlar veya tuvalete gidince sifonu çekin gibi alakasız mesajlar gibi) bu mesajları eğer mesaj yok ise baktığınız kısımlardan seçeceğiniz bir kısım kodu bir yere not edin.Aynı türden birkaç dosyaya daha bakın.Not ettiklerinizi her baktığınız dosyada görüyorsanız bilgisayarınızı bir sistem disketi ile açın ve sistemi virüs taramasından geçirin.

TSR Virüslerin Tespit Edilmesi

İlk önce DOS'un MEM CHKDSK gibi komutları ile konvansiyonel belleği (640Kb'lık bellek bloğunu) kontrol edin.TSR virüsler belleğe yerleşebilemek için bilgisayarın belleğinden ihtiyaç duyduğu kadarlık bir bölümünü ayırmak zorundadır.Bunu yerlerini garanti altına almak için yaparlar.Eğer bellek 640Kdan (655360 byte) az görünüyorsa virüsten şüphelenmeye başlayabiliriz.Yalnız bazı makinalarda BIOS ayarlarından dolayı ana bellek 639K görünebilir.TSR bir virüsler genelde 2Kb veya daha fazla bellek ayırırlar.Eğer konvansiyonel bellek 640 Kb'dan az görünüyorsa bilgisayarda TSR bir virüs olduğundan şüphelenmek için ilk sinyali almış oluruz.Eğer konvalsiyonel bellek 640Kb görünüyorsa incelememize devam edelim.

Şimdi bilgisayarı resetleyin.Starting MS-DOS Starting Windows türünden bir mesaj aldıktan sonra F5 tuşunu veya klavyedeki sol shift tuşunu basılı tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyaları işlenmeden çalışacaktır. AUTOEXEC.BAT dosyasında bulunduğu için her açılışta otomatik çalışan bir programı çalıştırın (Mesela ses kartının DOS sürücüsü Türkçe karakter seti programı Türkçe klavye programı gibi.Autoexec.Bat kütüğünün içini görmek için TYPE C:\AUTOEXEC.BAT komutunu kullanın).Çalıştırdığımız program ile virüsün hafızaya yüklenmesini sağlamış olduk.TSR virüsler bulaşmak için DOS'un program çalıştırma dosya açma dosya kapama gibi servislerini kontrol ederler.Tüm bu servisler INT 21 altında toplanmıştır.

Şimdi DEBUG adlı programı çalıştırın.Ekranda - işareti görüyor olmalısınız.Şimdi a komutunu verip enter tuşuna basın.(a komutu assembly dilinde program girileceğini belirtir).Ekranda 6750:0100 gibi bir adres değeri göreceksiniz.INT 21 yazıp enter tuşuna basın.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çıkın.Tekrar - işaretini göreceksiniz.Şimdi t (trace-adım adım çalıştır) komutunu verin.Hemen ardından da u komutunu girerek INT 21'in yönlendirildiği adresteki assembly kodlarını ekrana getirin.u komutunu verdikten sonra gelen çıktıda ;

PUSHF
CMP AX4B00 veya CMP AH4B satırlarını görüyorsanız sisteminizde kesinlikle bir TSR virüs var diyebiliriz.

PUSHF komutu DOS'un işaret yazmacını stack alanına sürerek saklamak amacıyla kullanılır.TSR rutinlerin başında mutlaka yer alır. Virüs işaret yazmacının değerinin değişmesine sebep olursa virüsün işi bittiğinde servisi çağıran programın hatalı çalışmasına sebep olacaktır.Bu yüzden virüs ele geçirdiği interrupta atadığı rutinin başına bir PUSHF komutu koyacaktır.

CMP AX4B00 veya CMP AH4B komutları (INT 21/AH=4B servisi) Int 21'in bir programı yüklemek veya çalıştırmak amacıyla çağırılıp çağırılmadığını kontrol etmek için kullanılmaktadır.Int 21'in 4B servisi program yükle/çalıştır anlamına gelen bir servistir ve DSX yazmaclarında yüklenecek/çalıştırılacak programın ASCIIZ olarak ismi yer alır.Virüs bu servisi kullanarak DSX adresindeki programı kontrol edecek temiz bir program ise ona bulaşacaktır.Burada anlattığım yollardan başka daha farklı metodlar da geliştirilebilir/kullanılabilir. Bu ayki yazıyı merak edilen bazı sorularla bitirelim..

VİRÜSLER V-SAFE VIRSCAN GUARD GİBİ KORUMA PROGRAMLARINI ATLATABİLİR Mİ ?
Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları safdışı edebilir.Ancak koruma programları virüslü programı daha çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir.Virüsler bu tür programları aktivitelerinin rapor edilmesinin engellemek için atlatmak ister.

BiR ViRÜSTEN KURTULMAK iÇiN HARD-DiSK FORMATLAMAK DOĞRU MU ?

Hayır.Bir virüsten kurtulmanın yolu kesinlikle hard-disk formatlamak değildir.Hele low level format denilen işlemin yapılması tamamen yanlıştır ve kesinlikle kaçınılması gereken bir durumdur.Hard-disk formatlamak yerine önemli verileri disketlere yedekleyip virüsü silebilecek bir anti-virüs aramak daha akılcı olacaktır.Eğer bir antivirüs programı bulamasanız bile diskinizi formatlamayın.Virüsün sisteminize vereceği zarar sizin diskinizi formatlayarak kendi kendinize vereceğiniz zarardan hiçbir zaman daha fazla değildir.Düşünün diskinize low level format attığınızda (fabrikada zaten atılıyor !) diskin ömründen çalmış oluyorsunuz.DOS'tan formatladığınızda ise disk üzerindeki verinin tamamını kaybediyorsunuz.

BiR BOOT/MBR ViRÜSÜNÜ TEMiZLEDiKTEN SONRA HARDDiSKiM UÇTU.NASIL DÜZELTiRiM ?

Cansu (Sigalit) veya Crazy Boot gibi boot/mbr virüslerini silerken meydana gelebilen bu tür sorunları düzeltmek için Norton Disk Doctor gibi partition table'ı yeniden oluşturabilecek programlar kullanın. Bilgisayarı temiz bir boot disketi ile açıp NDD /REBUILD şeklinde Norton Disk Doctor'u çalıştırın.Program diski araştıracak ve tüm disk partitionlarını yeniden oluşturacaktır.

**sixty9** · 09-22-2006, 08:20 PM

gecen gun evde kardesım le pc basındaydık ve pcye trojen bulastı kardesım ısyan ettı tam tamına ıkı gun uyumadan pcyı kurtarmaya calıstı umarım kurtarmıstır pcsını kardesıme bu sıtetı onerıcem belkı ısıne yarar bısıler bulur

**ATADOGU** · 09-26-2006, 12:56 AM

pc sinizdeki antivürüs programından dolayı giriyor forumda aaaa sürümlü programlar war

**BoDyGuArD** · 12-11-2006, 05:42 PM

hiç bi antivirüs programı kullanmıoyorum makine kasıyorlar valla

hiçşikayetim de yok

**SonKraL** · 03-14-2008, 04:33 PM

detaylı açıklama olmuş kardeşim emeğine sağlık

**the_kingson** · 03-16-2009, 06:20 PM

evet

**UsLanMam0005** · 03-22-2009, 08:36 PM

sagol benim bilgisayara bir sürü virüs bulasmisti format atdirmak zorunda kaldim

**SonKraL** · 05-22-2009, 09:05 AM

Alıntı:

BoDyGuArD´isimli üyeden Alıntı

hiç bi antivirüs programı kullanmıoyorum makine kasıyorlar valla

hiçşikayetim de yok

kasıyorlar doğru ama koruma sağlamak için..virüs bulaşınca bilgisayar çökünce veya herhangi bir donanımın virüs yoluyla yanınca görürsün..

**_ıLoVeThisGame_** · 08-28-2009, 03:33 AM

bılgıler ıcın sagol

**UrBaNLeGenD** · 12-25-2009, 04:45 PM

paylaşım için teşekkürler...

08-23-2006, 09:55 PM	#1 (permalink)
ABYSS Administrator	[BilGi] VirüS ler.... [BilGi] VirüS ler.... by FakeR Bilgi biraz eski kaynaktan alıntıdır ; ama geçerliliğini halen koruduğu için konuyu açtım ; Virüs nedir ? Virüsler kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır.Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Belli bir amaca yönelik olarak yazılmış zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler. Truva atları virüslerden oldukça farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar.Belli olaylara bağlı olarak tetiklenen bir rutindirler.Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler.Trojanlar ilgi çeken utility gibi programların içine yerleştirilirler.Trojan kodu trojanın içine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar. Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır. 1- Assembly'ın çok güçlü bir dil olması: 2- Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir. Virüsleri özelliklerine göre sınıflandırmak pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır.Ancak pek çok virüs pek çok özelliği bünyesinde barındırabilir.Bulaşma hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs boot sektörlere mbr kayıtlarına programlara bulaşabilir. Şimdi de bu virüs türlerinin işleyişlerine bakalım 1 - Disk virüsleri : a- Boot b- MBR 2 - Dosya virüsleri : a- Program (TSR ve nonTSR) b- Makro virüsleri 3- FlashBIOS virüsleri 1 - DiSK ViRÜSLERİ Disk virüsleri adından da anlaşılacağı üzere disk ve/veya disketler üzerinde işletim sistemi için özel anlamı olan bölgelere (boot sektör MBR) yerleşen virüslerdir. Disk virüsleri hakkında en çok yanlış bilginin olduğu virüs türüdür.Boot ve MBR virüsleri aşağıda da göreceğiniz gibi işletim sisteminden önce hafızaya yüklenir.Bu yüzden işletim sistemini kolaylıkla atlatıp Yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR (partition) virüsleri olarak 2 gruba ayırabiliriz. BOOT Virüsleri Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir disk üzerinde nerede bulunur önce bunlara bir bakalım; Boot sektör bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunluğundaki bir programdır.Boot sektörler disketlerde 0.cı iz 0.cı kafa1.ci sektör üzerinde bulunur. Hard disklerde ise boot sektörü 0.ci iz 1.ci kafa ve 1.ci sektör üzerinde bulunur.Boot sektör açılış için gerekli sistem dosyalarının yükleyen programdır.Aynı zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cylider hesaplarını yapar. Nornal koşullarda bilgisayarı başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takıp bilgisayarı açtığımızda bilgisayar ilk olarak disket sürücüye bakar.Eğer sürücüde bir disket var ise bu disketin boot sektörü hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektör çalıştırılır.Boot sektör işletim sistemini yükleyerek denetimi işletim sistemine bırakır.Eğer bilgisayarı boot edecek disket bir boot virüsü içeriyorsa o zaman durum değişir.Bilgisayar boot sektörü yine 0000:7C00 adresine okur ve akışı bu adrese yönlendirir.Disketten okunan boot kaydı yapı olarak değiştiğinden dolayı 0000:7C00'daki kod virüsü hafıza içine yükleyip hafızadaki konumunu garanti altına alacaktır.Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kayıdını okuyarak işletim sisteminin yüklenmesini sağlayacaktır. MBR (Partition) Virüsleri MBR virüsleri esas olarak boot virüslerinden pek de farklı değildir.Ancak can alıcı bir nokta vardır ki bu boot ve mbr virüsleri arasındaki en önemli noktadır. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS'a tanıtılması amacıyla MBR - Master Boot Record (Ana açılış kaydı) denilen özel bir açılış programı içerirler.Bu kod diskin 0.cı iz 0.cı kafa ve 1.ci sektörü üzerinde bulunur.Yani disketlerde boot sektörün bulunduğu konum hard diskler için MBR yeridir.Master boot record hangi disk partitionundan bilgisayarın açılacağını gösterir.Bu yüzden çok önemlidir.Eğer bilgisayar hard diskten boot ediliyorsa o takdirde mbr ve partition table okunur.Aktif partitiona ait boot sektör okunur.Bundan sonrası boot sektör kısmındaki sistemin aynısıdır. 2 - DOSYA ViRÜSLERi Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir.Dosya virüsleri çoğunlukla COM EXE SYS olmak üzere OVL OVR DOC XLS DXF gibi değişik tipte kütüklere bulaşabilirler. Makro virüsleri Makro virüsleri Word Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar.Aktif olmaları bazı uygulamalara (word excel vs) bağlı olduğundan program virüslerine oranla çok daha az etkilidirler. Program virüsleri (Not : Program virüsleri ile ilgili açıklamalar ileride detaylı olarak anlatılacaktır). Program virüsleri DOS'un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar başta olmak üzere SYS OVL DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan (nonTSR) ve bellekte yerleşik duran (TSR) olarak 2 tipte yazılırlar. nonTSR (Bellekte sürekli kalmayan) virüsler Bellekte sürekli olarak kalmazlar.Kodları oldukça basittir.Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler.Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur.Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur.Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar.Virüs bulaşma işini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder. TSR (Bellekte sürekli kalan) virüsler TSR virüsler yapı olarak TSR olmayan virüslerden çok farklıdır.TSR virüsler 2 temel bölümden oluşurlar.1.ci bölüm; Virüsün çalışması için gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir.2.bölüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür.Bu tip virüsler çalışmak için sadece TSR olmakla kalmazlar.Aynı zamanda çeşitli Interruptları (kesilmeleri) kontrol altına alırlar.Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alabilirler.Örnek vermek gerekirse; TSR bir virüs DIR COPY gibi DOS komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir.Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır. 3 - FlashBIOS Virüsleri FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar. ViRÜSLER NELERi YAPABiLiR NELERi YAPAMAZ ? Virüslerin neleri yapıp neleri yapamayacakları konusu en çok ilgi çeken üzerinde en çok konuşulan konulardan birisidir. Çünkü bir virüs yaptıklarıyla anılır ve bilinir.Virüserin en çok korkulan etkilerin başında gelenler şunlardır: BİR VİRÜS BİLGİSAYARDAN SİLİNDİKTEN SONRA KENDİ KENDİNE TEKRAR ORTAYA ÇIKIP ETKİNLEŞEBİLİR Mİ ? Hayır.Bir virüsün temizlenmesinden sonra durduk yerde yeniden peydahlanması doğru değildir.Eğer bir antivirüs programı ile sisteminizden virüsü temizlemenize rağmen virüs tekrar ortaya çıkıyorsa 2.durum sözkonusu olabilir. 1- Antivirüs virüsü temizleyemiyor olabilir.Amatör programcıların yazdıkları shareware olarak dağıtılan antivirüs programlarından birini kullanıyorsanız bu durumla karşılaşmanız olasıdır.Bunun pek çok sebebi olabilir.Örneğin antivirüs virüsü başka bir virüsle karıştırıyor olabilir.İmza tarama esasına göre çalışan antivirüslerde ortaya çıkabilecek bu sorun genellikle iki virüsün birbirinin varyantı (üzerinde küçük değişiklikler yapılmış biçim) olmasından kaynaklanır.Bir veya birkaç virüsü temizlemek için hazırlanmış eski antivirüs programlarının o virüsün yeni bir varyantının temizlenmesi amacı ile kullanılması sonucu da ortaya çıkabilir.Mesela; elimizde bir programcının 4 yıl önce yazdığı xx virüsünün antivirüs programı olsun.1 yıl önce ortaya çıkan xx virüsünün bir varyantı olan xx.a gibi bir virüsü temizlemek istersek muhtemelen tarama imzaları aynı veya benzer yapıda olacağından bu tür bir sorun ile karşılaşabiliriz.Bunun sonucu olarak virüs uzunluğunun farklı oluşundan dolayı yanlış isimle bile olsa tespit edilir ancak temizlenemez.Bu durumda antivirüs kullanıcıyı yeni bir virüsle karşılaştığını belirten bir mesaj ile uyarır. 2- Bir yerlerde temizlemeyi unuttuğunuz birkaç virüslü dosyanız kalmıştır.Virüs taramalarında taramayı unuttuğunuz disketleri kullanırsanız ve disketteki programlar virüslü ise siz farkına varmadan virüs tekrar sisteminize bulaşacaktır.Virüs taraması yaparken sahip olduğunuz tüm disk ve disketleri virüs taramasından geçirin.Ancak bu şekilde virüslerden kurtulabilirsiniz. Burada belirtmek isterim ki bu iki durumdan 2.sinin olması daha muhtemeldir.Birinci durumun gerçekleşme ihtimali çok azdır. VİRÜSLER VERİ DOSYALARINA ZARAR VEREBİLİR Mİ ? Evet kesinlikle verebilir.Özel bir veya birkaç dosya türünü hedef alan virüsler bu tür dosyalara silebilir veya içlerindeki veriyi değiştirebilir dosyanın yapısını bozabilir.Örneğin yerli virüslerden Trakia.653 virüsü AutoCAD'in DXF ve DWG uzantılı dosyaları hedef almakta ve bu kütüklerin yapısını bozarak işlenemeyecek hale getirmektedir.Trakia.560 virüsü bazı dosyaları silmektedir.Ancak bu tür etkiler virüsün farkedilmesi kolaylaştıracağından pek tercih edilmezler. ViRÜSLER YAZMA-KORUMALI DiSKETLERE BULAŞABiLiR Mi ? Disketlerin yazma koruması yazılımla kontrol edilen bir sistemdir ve bu sistem aşılabilir.Ancak yazma korumasını kapatmak virüs içinde ekstra kod anlamına gelir.Eksta kod virüsün boyunu uzatacak ve virüsün farkedilmesini kolaylaştıracaktır.Bu yüzden uygulanan bir yol değildir.Virüsler yazma korumasını kapatmak yerine yazma korumasını kontrol edip koruma varsa bulaşmamayı tercih ederler. VİRÜSLER CMOS'A BULAŞABİLİR Mİ ? Herhangi bir virüsün CMOS alanına bulaşması mümkün değildir.Hatta imkansızdır.CMOS bellek kapasitesi üretici firmaya bağlı olarak 128 veya 256 bayttır.Bu alan virüsün ihtiyaç duyacağı belleğin çok altındadır.Kaldı ki CMOS setup parametrelerinin saklandığı bir veri alanıdır.Ancak virüsler setup parametlerini değiştirebilirler. VİRÜSLER DONANIMA ZARAR VEREBİLİR Mİ ? Eskiden kısmen günümüzde hayır.Eski MDA (mochrome display adapter - tekrenkli görüntü bağdaştırıcısı) ekran kartlarına bir komut serisi yollanarak MDA kartlar yakılabilir.Ancak MDA kartlar çoktan tarih olduğundan artık bunun pek önemi de yok. Eski disklerin okuma/yazma kafalarının ani hareketlerle hareket ettirilmesi sonucu diskin bozulmasını sağlamak mümkündü. Artık günümüzde ise disklerin cacheleri sayesinde bu tür hareketler disk tarafından engellenebiliyor ve disklerdeki kafalar manyetik bir esasa göre çalışıyor.Bu sayede elektrikler kesilse bile disk zarar görmeden kafalar park ediliyor. Bir de disk üzerinde bir bölgenin milyonlarca kez formatlanması durumu var.Bu işlem sonunda disk üzerindeki manyetik malzeme zarar görecek disk okunamaz duruma gelecektir.Bu işlemin partition table üzerinde yapıldığını düşünürsek diski kaldırıp çöpe atmaktan veya disk kasasını açıp raf süsü olarak kullanmak dışında geriye pek bir şey kalmaz.Ancak hemen belirteyim ki bu formatlama işlemi oldukça uzun sürecektir.Bir virüsü diski milyonlarca kez formatlamak isterse kullanıcı bilgisayarın kilitlendiğini düşünecek ve resetleyecektir.Sonuçta virüs amacına ulaşamamış olacaktır. Eğer Windows95/98/NT gibi bir işletim sisteminin çalıştığı bilgisayarlarda windows direkt disk erişimlerini mümkün olduğunca engellemeye çalışır. VİRÜSLER V-SAFE VIRSCAN GUARD GİBİ KORUMA PROGRAMLARINI ATLATABİLİR Mİ ? Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları safdışı edebilir.Ancak koruma programları virüslü programı daha çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir.Virüsler bu tür programları aktivitelerinin rapor edilmesinin engellemek için atlatmak ister. Virüslerin ilk öncelikli amacı bulaşmaktır.Bütün virüs yazarları virüsün var olabilmesi için bulaşmak zorunda olduğunu bilirler. Bu yüzden de hızlı bulaşma rutinleri geliştirirler.Pek çok virüsün amacı sadece bulaşmaktan ibarettir.Zaten "bulaşma" özelliği olmayan bir kodu virüs olarak adlandırmak doğru değildir. Kullanıcının sisteminde virüs olduğunu farketmesini mümkün olduğunca engellemeye çalışırlar.Kendini kullanıcıdan gizleyen bir virüs uzun süre boyunca yaşabilir ve pek çok bilgisayara bulaşabilir. Veriye veya donanıma zarar vermek asla birinci amaç değildir.Virüslerin bilgisayarlarda zarara sebep olabilmeleri için bazı tetikleme süreçlerine veya tetikleme olaylarına gereksinimleri vardır. Zarar vermeye yönelik virüsler olabildiği gibi amacı sadece bulaşmak bir mesaj vs görüntülemek olan virüsler de vardır. Virüslerin en sık karşılaşılan etkileri arasında ekranda mesaj/şekil görüntülemek bilgisayarı kilitlemek bilgisayarı resetlemek gelir. VİRÜSLERDEN KORUNMAK iÇiN; Elinizin altında daima bir sistem disketi ve kaliteli bir antivirüs programının bulunduğu bir disket bulundurun.Bu disketleri yazma korumalı olarak bozulmayacakları bir ortamda saklayın.Bilgisayarınızı periyodik olarak virüs taramsından geçirin.Sizin için önemli olan programların ve verilerin mutlaka yedeklerini çıkarın.Elden ele dolaşan programları kullanmadan önce mutlaka virüs taramasından geçirin.Çünkü elden ele dolaşan programlar virüsler için çok uygundur ki bunların başında da disketlerle taşınabilecek oyunlar gelir.Artık disketlerle taşınabilecek oyun kalmamışta olsa eski oyunlar public domain freeware shareware programlar virüslerin taşınmasında etkilidirler. Internet intranet veya bağlandığınız bir BBSten (artık çalışan BBS bulmak ne kadar zor olsa da) download edilen dosyalar da virüslerin taşınmasında önemli bir yere sahiptir. Özellikle "aaaaa" durumundaki programlar ve/veya çeşitli program paketlerinin aaaaaaaaaaaaaaaaleri birer virüs taşıyıcısı olabilirler.Bu tür dosyaları download ederseniz downloaddan sonra mutlaka virüs taraması yapmak gereklidir. ANTi-ViRÜS KULLANMADAN BiLGiSAYARDAKi ViRÜS NASIL TESPiT EDiLiR ? Virüsler bilgisayarlarda genel bazı etkilere sebep olurlar.Eğer bilgisayarınızda aşağıdaki etkilerden biri veya birkaçı varsa sisteminizi bir virüs taramasından geçirebilirsiniz; * Sistem hızında yavaşlama : Sistem hızında meydana gelen ani hız düşüşleri virüs etkinliklerinden kaynaklanabilir.Ancak bu durum Windows'un registry kaydının aşırı dolu olmasından da kaynaklanabilir. * Programların diske erişim süresinin ve/veya yüklenmelerinin daha uzun sürede gerçekleşmesi : Dosya virüsleri bir program yüklenmek istendiğinde o programı kontrol eder virüssüz ise o programa bulaşır.TRAKIA.1070 (Yandan Çarklı) gibi bazı virüsler aktif dizindeki EXE veya COM uzantılı dosyaların hepsine birden bulaşmak isteyebilir.Bu da yüklenme hızındaki düşüşe neden olur. * Bilgisayarın sebepsiz yere kilitlenmesi veya resetlenmesi : İyi kodlanmamış TSR virüsler veya virüsün programcısı tarafından sistemin sık sık kilitlenmesi veya resetlenmesi öngülmüş olabilir. * Anormal mesajlar : Eğlence amacıyla yazılmış virüsler veya özel bir amaçla yazılmış virüsler belli zamanlarda veya bazı özel durumlarda garip mesajlar verirler. * Dosyaların garip bir şekilde yok olması ve(ya) dosya özniteliklerinin (attribute) değişmesi : Bazı virüsler dosyaları silerler.Bazı virüsler de daha önceden bulaşıp bulaşmadıklarını anlamak için dosyaların öznitelik bilgilerinde değişiklik yaparlar. * Yazma-korumalı bir diskte okuma işlemi yaparken "Write protection" hatası : İyi yazılmamış virüsler write-protected disklerdeki programlara bulaşmak istediklerinde genelde bu hataya düşerler. * Disk haritasını gösteren programlar ile diske baktığınızda daha önceden olmayan bozuk alanlar : Genellikle boot/mbr virüsleri sakladıkları alanları korumak için kullandıkları bu alanları bozuk olarak işaretler. Periyodik olarak bilgisayarda virüs aramak can sıkıcı bir hal aldığından virüs taramalarından vazgeçtiyseniz aşağıdaki yollarla da bilgisayarınızda virüs olup olmadığını kontrol edebilirsiniz.Eğer biraz da olsa assembly biliyorsanız aşağıdakileri anlamanız kolaylaşacaktır. BOOT/MBR Virüslerin Tespit Edilmesi Şimdi bilgisayarı resetleyin.Starting MS-DOS Starting Windows türünden bir mesaj aldıktan sonra F5 tuşunu veya klavyedeki sol shift tuşunu basılı tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyaları işlenmeden çalışacaktır. Şimdi DEBUG adlı programı çalıştırın.Ekranda - işareti görüyor olmalısınız.Şimdi a komutunu verip enter tuşuna basın.(a komutu assembly dilinde program girileceğini belirtir).Ekranda 6750:0100 gibi bir adres değeri göreceksiniz.INT 13 yazıp enter tuşuna basın.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çıkın.Tekrar - işaretini göreceksiniz.Şimdi t (trace-adım adım çalıştır) komutunu verin.Hemen ardından da u komutunu girerek INT 13'ün yönlendirildiği adresteki assembly kodlarını ekrana getirin.Eğer ekranda DB komutları görüyorsanız bilgisayarınızda herhangi bir TSR virüs yok demektir.(Debug unasseble işlemi yaparken çevirdiği kodu 16 bitlik olarak çevirir.Bu yüzden herhangi bir 386 komutu debug tarafından önce bir DB komutu ve ardından da 16 bitlik bir komut şeklinde çevirilmektedir.Mesela 32 bitlik MOV EAXC0310102h komutu debug tarafından DB 66h / MOV AX0102h / XOR AXAX şeklinde çevirilecektir.Virüslerin eski işlemcilerde dahi çalışacak şekilde yazıldıklarını gözönünde tutarak DB komutu görüldüğünde sistemde kesinlikle bir virüs yoktur diyebiliriz) INT 13 bir BIOS interruptıdır.Bu yüzden adresi de F000:0000 adresinden daha yukarıda bir bölgede olmalıdır.Eğer Int 13 kodu 9C00:0000-A000:0000 arasında bir bölgeye denk geliyorsa sizin için virüs taramasının vakti gelmiştir. nonTSR (ve TSR) Virüslerin Tespit Edilmesi nonTSR (bellekte sürekli kalmayan) programlar oldukça basit bir şekilde incelenebilir.Bunun için Norton Commander türü bir programa ihtiyacınız var.Norton Commander'ı çalıştırın ve çok kullandığınız COM ve EXE uzantılı dosyaların içlerine F3-View'a basarak Text View modunda bakın.Programın başında veya sonunda bir yerlerde (EXE dosyalar için sadece dosya sonuna bakmak yeterli) .COM .EXE ??.EXE ??.COM türünden yazılar veya anormal olarak nitelendirilebilecek mesajlar görüyorsanız (İngilizce esas alınarak yazılmış bir program içinde Türkçe mesajlar veya tuvalete gidince sifonu çekin gibi alakasız mesajlar gibi) bu mesajları eğer mesaj yok ise baktığınız kısımlardan seçeceğiniz bir kısım kodu bir yere not edin.Aynı türden birkaç dosyaya daha bakın.Not ettiklerinizi her baktığınız dosyada görüyorsanız bilgisayarınızı bir sistem disketi ile açın ve sistemi virüs taramasından geçirin. TSR Virüslerin Tespit Edilmesi İlk önce DOS'un MEM CHKDSK gibi komutları ile konvansiyonel belleği (640Kb'lık bellek bloğunu) kontrol edin.TSR virüsler belleğe yerleşebilemek için bilgisayarın belleğinden ihtiyaç duyduğu kadarlık bir bölümünü ayırmak zorundadır.Bunu yerlerini garanti altına almak için yaparlar.Eğer bellek 640Kdan (655360 byte) az görünüyorsa virüsten şüphelenmeye başlayabiliriz.Yalnız bazı makinalarda BIOS ayarlarından dolayı ana bellek 639K görünebilir.TSR bir virüsler genelde 2Kb veya daha fazla bellek ayırırlar.Eğer konvansiyonel bellek 640 Kb'dan az görünüyorsa bilgisayarda TSR bir virüs olduğundan şüphelenmek için ilk sinyali almış oluruz.Eğer konvalsiyonel bellek 640Kb görünüyorsa incelememize devam edelim. Şimdi bilgisayarı resetleyin.Starting MS-DOS Starting Windows türünden bir mesaj aldıktan sonra F5 tuşunu veya klavyedeki sol shift tuşunu basılı tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyaları işlenmeden çalışacaktır. AUTOEXEC.BAT dosyasında bulunduğu için her açılışta otomatik çalışan bir programı çalıştırın (Mesela ses kartının DOS sürücüsü Türkçe karakter seti programı Türkçe klavye programı gibi.Autoexec.Bat kütüğünün içini görmek için TYPE C:\AUTOEXEC.BAT komutunu kullanın).Çalıştırdığımız program ile virüsün hafızaya yüklenmesini sağlamış olduk.TSR virüsler bulaşmak için DOS'un program çalıştırma dosya açma dosya kapama gibi servislerini kontrol ederler.Tüm bu servisler INT 21 altında toplanmıştır. Şimdi DEBUG adlı programı çalıştırın.Ekranda - işareti görüyor olmalısınız.Şimdi a komutunu verip enter tuşuna basın.(a komutu assembly dilinde program girileceğini belirtir).Ekranda 6750:0100 gibi bir adres değeri göreceksiniz.INT 21 yazıp enter tuşuna basın.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çıkın.Tekrar - işaretini göreceksiniz.Şimdi t (trace-adım adım çalıştır) komutunu verin.Hemen ardından da u komutunu girerek INT 21'in yönlendirildiği adresteki assembly kodlarını ekrana getirin.u komutunu verdikten sonra gelen çıktıda ; PUSHF CMP AX4B00 veya CMP AH4B satırlarını görüyorsanız sisteminizde kesinlikle bir TSR virüs var diyebiliriz. PUSHF komutu DOS'un işaret yazmacını stack alanına sürerek saklamak amacıyla kullanılır.TSR rutinlerin başında mutlaka yer alır. Virüs işaret yazmacının değerinin değişmesine sebep olursa virüsün işi bittiğinde servisi çağıran programın hatalı çalışmasına sebep olacaktır.Bu yüzden virüs ele geçirdiği interrupta atadığı rutinin başına bir PUSHF komutu koyacaktır. CMP AX4B00 veya CMP AH4B komutları (INT 21/AH=4B servisi) Int 21'in bir programı yüklemek veya çalıştırmak amacıyla çağırılıp çağırılmadığını kontrol etmek için kullanılmaktadır.Int 21'in 4B servisi program yükle/çalıştır anlamına gelen bir servistir ve DSX yazmaclarında yüklenecek/çalıştırılacak programın ASCIIZ olarak ismi yer alır.Virüs bu servisi kullanarak DSX adresindeki programı kontrol edecek temiz bir program ise ona bulaşacaktır.Burada anlattığım yollardan başka daha farklı metodlar da geliştirilebilir/kullanılabilir. Bu ayki yazıyı merak edilen bazı sorularla bitirelim.. VİRÜSLER V-SAFE VIRSCAN GUARD GİBİ KORUMA PROGRAMLARINI ATLATABİLİR Mİ ? Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları safdışı edebilir.Ancak koruma programları virüslü programı daha çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir.Virüsler bu tür programları aktivitelerinin rapor edilmesinin engellemek için atlatmak ister. BiR ViRÜSTEN KURTULMAK iÇiN HARD-DiSK FORMATLAMAK DOĞRU MU ? Hayır.Bir virüsten kurtulmanın yolu kesinlikle hard-disk formatlamak değildir.Hele low level format denilen işlemin yapılması tamamen yanlıştır ve kesinlikle kaçınılması gereken bir durumdur.Hard-disk formatlamak yerine önemli verileri disketlere yedekleyip virüsü silebilecek bir anti-virüs aramak daha akılcı olacaktır.Eğer bir antivirüs programı bulamasanız bile diskinizi formatlamayın.Virüsün sisteminize vereceği zarar sizin diskinizi formatlayarak kendi kendinize vereceğiniz zarardan hiçbir zaman daha fazla değildir.Düşünün diskinize low level format attığınızda (fabrikada zaten atılıyor !) diskin ömründen çalmış oluyorsunuz.DOS'tan formatladığınızda ise disk üzerindeki verinin tamamını kaybediyorsunuz. BiR BOOT/MBR ViRÜSÜNÜ TEMiZLEDiKTEN SONRA HARDDiSKiM UÇTU.NASIL DÜZELTiRiM ? Cansu (Sigalit) veya Crazy Boot gibi boot/mbr virüslerini silerken meydana gelebilen bu tür sorunları düzeltmek için Norton Disk Doctor gibi partition table'ı yeniden oluşturabilecek programlar kullanın. Bilgisayarı temiz bir boot disketi ile açıp NDD /REBUILD şeklinde Norton Disk Doctor'u çalıştırın.Program diski araştıracak ve tüm disk partitionlarını yeniden oluşturacaktır.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

Benzer Konular
Konu	Konuyu Başlatan	UslanmaM	Cevaplar	Son Mesaj
Wikipedia'ya virüs bulaştı!	USLANMAM	Güncel	0	11-14-2006 02:50 PM
Wikipedia'ya virüs bulaştı!	USLANMAM	Güncel	0	11-09-2006 04:54 PM
Wikipedia'ya virüs bulaştı!	USLANMAM	Güncel	0	11-07-2006 06:00 PM
Virüs Nedir?	xCaLiBrEx	Elektronik & Bilgisayar	0	11-01-2006 07:23 AM
Cep telefonlarına virüs tehdidi	ABYSS	Güncel	0	10-06-2006 02:05 PM

09-22-2006, 08:20 PM	#2 (permalink)
sixty9 Yeni Üye	gecen gun evde kardesım le pc basındaydık ve pcye trojen bulastı kardesım ısyan ettı tam tamına ıkı gun uyumadan pcyı kurtarmaya calıstı umarım kurtarmıstır pcsını kardesıme bu sıtetı onerıcem belkı ısıne yarar bısıler bulur

09-26-2006, 12:56 AM	#3 (permalink)
ATADOGU Kurmay Yarbay	pc sinizdeki antivürüs programından dolayı giriyor forumda aaaa sürümlü programlar war

12-11-2006, 05:42 PM	#4 (permalink)
BoDyGuArD BUNALIMLARIN ADMİNİ	hiç bi antivirüs programı kullanmıoyorum makine kasıyorlar valla hiçşikayetim de yok

03-14-2008, 04:33 PM	#5 (permalink)
SonKraL RûHûMûN FîŞîNî ÇêKTîM ~~	detaylı açıklama olmuş kardeşim emeğine sağlık

03-16-2009, 06:20 PM	#6 (permalink)
the_kingson Kıdemli Başçavuş	evet

03-22-2009, 08:36 PM	#7 (permalink)
UsLanMam0005 Teğmen	sagol benim bilgisayara bir sürü virüs bulasmisti format atdirmak zorunda kaldim

08-28-2009, 03:33 AM	#9 (permalink)
_ıLoVeThisGame_ Kurmay Albay	bılgıler ıcın sagol

12-25-2009, 04:45 PM	#10 (permalink)
UrBaNLeGenD Türk	paylaşım için teşekkürler...

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)