DostYeri [Virüsler ve Trojanlar]

• Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır.Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler.
• Truva atları, virüslerden oldukça farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar.Belli olaylara bağlı olarak tetiklenen bir rutindirler.Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler.Trojanlar, ilgi çeken, utility gibi programların içine yerleştirilirler.Trojan kodu, trojanın içine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar.
• Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır.
  1- Assembly'ın çok güçlü bir dil olması:
  2- Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması
  Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir.
• Virüsleri özelliklerine göre sınıflandırmak pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır.Ancak pek çok virüs, pek çok özelliği bünyesinde barındırabilir.Bulaşma hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs, boot sektörlere, mbr kayıtlarına, programlara bulaşabilir. Şimdi de bu virüs türlerinin işleyişlerine bakalım

1 - Disk virüsleri :
       a-     a-    Boot
       b-     b-    MBR
2 - Dosya virüsleri :
       a-     a-    Program (TSR ve nonTSR)
         b-      b-      Makro virüsleri
3- FlashBIOS virüsleri

Şimdide Bu virüsleri tanıyalım..

1 - DiSK ViRÜSLERİ
Disk virüsleri, adından da anlaşılacağı üzere, disk ve/veya disketler üzerinde işletim sistemi için özel anlamı olan bölgelere (boot sektör, MBR) yerleşen virüslerdir. Disk virüsleri, hakkında en çok yanlış bilginin olduğu virüs türüdür.Boot ve MBR virüsleri, aşağıda da göreceğiniz gibi işletim sisteminden önce hafızaya yüklenir.Bu yüzden işletim sistemini kolaylıkla atlatıp, Yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR (partition) virüsleri olarak 2 gruba ayırabiliriz.

a-a- BOOT Virüsleri
          Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir, disk üzerinde nerede bulunur, önce bunlara bir bakalım; Boot sektör, bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunluğundaki bir programdır.Boot sektörler, disketlerde 0.cı iz, 0.cı kafa,1.ci sektör üzerinde bulunur. Hard disklerde ise boot sektörü 0.ci iz, 1.ci kafa ve 1.ci sektör üzerinde bulunur.Boot sektör, açılış için gerekli sistem dosyalarının yükleyen programdır.Aynı zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cylider hesaplarını yapar.
           Normal koşullarda, bilgisayarı başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takıp bilgisayarı açtığımızda, bilgisayar ilk olarak disket sürücüye bakar.Eğer sürücüde bir disket var ise bu disketin boot sektörü hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektör çalıştırılır.Boot sektör, işletim sistemini yükleyerek denetimi işletim sistemine bırakır.Eğer bilgisayarı boot edecek disket bir boot virüsü içeriyorsa o zaman durum değişir.Bilgisayar, boot sektörü yine 0000:7C00 adresine okur ve akışı bu adrese yönlendirir.Disketten okunan boot kaydı, yapı olarak değiştiğinden dolayı, 0000:7C00'daki kod virüsü hafıza içine yükleyip, hafızadaki konumunu garanti altına alacaktır.Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kayıdını okuyarak işletim sisteminin yüklenmesini sağlayacaktır.

b-b- MBR (Partition) Virüsleri
            MBR virüsleri esas olarak, boot virüslerinden pek de farklı değildir.Ancak can alıcı bir nokta vardır ki, bu boot ve mbr virüsleri arasındaki en önemli noktadır. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS'a tanıtılması amacıyla MBR - Master Boot Record (Ana açılış kaydı) denilen özel bir açılış programı içerirler.Bu kod diskin 0.cı iz, 0.cı kafa ve 1.ci sektörü üzerinde bulunur.Yani disketlerde boot sektörün bulunduğu konum, hard diskler için MBR yeridir.Master boot record, hangi disk partitionundan bilgisayarın açılacağını gösterir.Bu yüzden çok önemlidir.Eğer bilgisayar hard diskten boot ediliyorsa, o takdirde mbr ve partition table okunur.Aktif partitiona ait boot sektör okunur.Bundan sonrası boot sektör kısmındaki sistemin aynısıdır.

2 - DOSYA ViRÜSLERi
Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir.Dosya virüsleri çoğunlukla COM, EXE, SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi değişik tipte kütüklere bulaşabilirler.

Makro virüsleri
Makro virüsleri Word, Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar.Aktif olmaları bazı uygulamalara (word, excel vs) bağlı olduğundan program virüslerine oranla çok daha az etkilidirler.
Program virüsleri
(Not : Program virüsleri ile ilgili açıklamalar ileride detaylı olarak anlatılacaktır).Program virüsleri, DOS'un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar başta olmak üzere SYS, OVL, DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan (nonTSR) ve bellekte yerleşik duran (TSR) olarak 2 tipte yazılırlar.
nonTSR (Bellekte sürekli kalmayan) virüsler
Bellekte sürekli olarak kalmazlar.Kodları oldukça basittir.Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler.Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur.Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur.Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar.Virüs bulaşma işini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder.
TSR (Bellekte sürekli kalan) virüsler
TSR virüsler yapı olarak TSR olmayan virüslerden çok farklıdır.TSR virüsler, 2 temel bölümden oluşurlar.1.ci bölüm; Virüsün çalışması için gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir.2.bölüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür.Bu tip virüsler, çalışmak için sadece TSR olmakla kalmazlar.Aynı zamanda çeşitli Interruptları (kesilmeleri) kontrol altına alırlar.Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alabilirler.Örnek vermek gerekirse; TSR bir virüs DIR, COPY gibi DOS komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir.Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi, dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır.

3 - FlashBIOS Virüsleri
FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar.

|Design By DostYeri|