Zararlı Yazılım Tespit Etmek


Virüsler   

Yazar: devLop    0 Yorum    92 Görüntüleme
  • 0 Oy - 0 Yüzde

Paylaşım Tarihi: 23.02.2016, 09:59:49 #1
devLop Yeğen
Onaylı Uye
Status: Çevrimdışı Yorum Sayısı:43 Konu Sayısı:34 Üyelik Tarihi:07.09.2015 Rep Puanı: 4

  
İmage Zararlı Yazılım Tespit Etmek


Aşağıdaki Kaspersky tarafından yayınlann bir çalışmanın özet haritasıdır. Görüldüğü gibi, 2013 yılında finansal alanda faaliyet gösteren zararlı yazılımların en çok görüldüğü ülkelerin başında geliyoruz.

[/url]

wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

[url=http://3.bp.blogspot.com/-F8NG6YRhSnY/VAwwwnoOZJI/AAAAAAAAA2Y/TzHLyN2YuOs/s1600/28-million-in-201310-235626.jpg]İmage

Ülkemizdeki kullanıcıların %12'den fazlası zararlı yazılım kurbanı. 

Dilimizin döndüğünce sunucular da dahil olmak üzere ağ üzerinde anti virüs yazılımı olmayan makina olmaması gerektiğini ve Android telefonlara bile anti virüs yüklenmesi gerektiğini anlatmaya çalışıyoruz. Ne yazık ki önerilerimiz ancak doktorların "düzenli aralıklarla check-up yaptırın" veya "sigarayı bırakın" demesi kadar etkili olabiliyor. Bu nedenle de destek verdiğim aşağı yukarı bütün ağlarda birkaç tane zararlı yazılım bulaşmış sistem buluyorum.

Engellemek için tedbir alamıyorsak, hiç değilse tespit edebilelim diyerek bir ağ veya sistemde zararlı yazılım olup olmadığını anlamak için kullandığım bazı basit yöntemleri toparlamak istedim.

Temel Göstergeler

>Sistemlerde ve ağda zararlı yazılım varlığı aşağıdaki temel göstergelerden biri veya birkaçı ile belli olabilir. 
>Bilgisayarın yavaşlaması: Zararlı yazılım sistem kaynaklarını kullanacağı için sisteminiz yavaşlayabilir.
>Artan disk kullanımı: Bilgisayarda bir işlem yapmıyorken bile disk ışığının yanıp-sönmesi ve disk kullanımı.
>Açılırken garip uyarıların belirmesi ve kaybolması: Özellikle dşsk kullanımı ve erişim yetkileri ile uyarıların çıkıp sonra kaybolması. 
>Sosyal medya hesaplarınızda sizin yazmadığınız mesajların ortaya çıkması
>Ağ üzerinde kaynağı belli olmayan trafik: Mesai saatleri dışında veya normalde kullanımın az olduğu zamanlarda yüksek trafiğin olması. Bilmediğiniz/kullanmadığınız protokoller üzerinden dışarıyla iletişim kurulması. 
>Kullanıcıların "internet yavaşladı" şikayetleri: bir şeylerin ters gittiğini en kolay anlayabilecek kişilerdir. Onlardan gelebilecek "bilgisayarım yavaşladı" veya "internet yavaşladı" geri bildirimleri çok önemlidir. 
>IP adreslerinizin kara listeye düşmesi.

Kullanılabilecek basit bir yöntem
Ağ genelinde birşeylerin ters gittiğini anlamak için yukarıdaki ipuçlarını değerlendirebilirsiniz. Belirli bir sistemin başında olduğunuzda ise, o sistemde zararlı yazılım olup olmadığını anlamak için, aşağıdaki yöntemi kullanabilirsiniz.

Netstat (NETwork STATistics) sistemin gelen ve giden bağlantılarını görüntülememizi sağlayan bir uygulamadır. Netstat ile birlikte kullanabileceğimiz parametreler arasında bizim için faydalı olabilecekler şunlardır:
netstat -a: Tüm bağlantıları ve dinleyen portları gösterir
netstat -b: bağlantıları ve portları onları kullanan uygulama adı ile birlikte görüntüler
netstat -n: port numaralarını gösterir
netstat -o: Bağlantıları ilgili PID (Process Identifier) ile birlikte gösterir

Bir windows sistemde netstat -a konutunu vermeniz siz o anda sistem üzerindeki açık veya dinlemede olan bağlantıların listesini verir. Bu çalışmanın bir miktar sabır gerektiğini söylemekte fayda var ama basit bir yaklaşımla yapılacaklar şunlar:

Öncelikle mevcut bağlantıları ortaya çıkartmamız gerekiyor

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

netstat -ano ile bağlantıyı kullanan process belirlenebilir. Processler hkkında daha fazla bilgi Windows Task Manager üzerinden elde edilebilir. Bu işlemleri yapmaktaki amacımızının bilgimiz dışında dış dünya ile iletişim kuran yazılımları tespit olmak olduğunu hatırlayarak bu bakış açımızı korumamız gerekiyor.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Son olarak da bağlantıların hangi uygulamalar tarafından kullanıldığını ortaya çıkartabiliriz.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Resim 4'te gördüğünüz "LISTENING" sistemin bağlantı beklediğini göstermektedir. Buna ek olarak aşağıdaki bağlantı durumları da görülebilir.

>CLOSED: Bağlantının kapalı olduğunu gösterir
>ESTABLISHED: Bağlantı kurulmuş
>TIME_WAIT: Bağlantı açık ancak kullanılmıyor

Bundan sonra yapılacak şey dikkatli bir şekilde "olmaması gerekeni" bulmaktır.

Kullanımda görünen portları ve bu bağlantıları kullanan uygulamaları Google'da aratarak bilinen bir zararlı yazılım olup olmadığını bulmak çoğunlukla mümkün olmaktadır.

Kullanıcı İmzası
İmage

Oliver Destan (Burak Ayyıldız - Eskiler  Tanır)







Konuyu görüntüleyenler:
1 Misafir