Arkadaşlar herkese merhaba,
yazılımcı olan arkadaşlara bir sorum olacak ;
aranızda anti-virüs programı yazan yada bu konuda araştırma yapmış birileri var mı acaba ?
Son bikaç gündür aklıma takıldı nasıl yapılabilir acaba diye. Biraz araştırdım genel olarak bir md5 hash ile bir de dosyayı txt olarak okuyup içerisindeki karakterlere göre virüslü olup olmadığının anlaşılabileceği yazılmış. çok kolay gibi görünüyor ama ne tür karakterler virüs olarak algılanabilir, yada virüslü olarak işaretlenen md5 hash dizilerini nereden bileceğiz? bununla ilgili pek bişey bulamadım.
araştırmalarım devam ediyor tabi ben sizlerin de görüşünü almak istedim.
Cevap veren herkese teşekkür ederim şimdiden....
merhaba,
heuristic taramalarda dosyayi sandboxda calistirip api call lerini dikkate aliyorlar, dosyanin import ve export tablelerine bakiyorlar, yazdigi yerlere dizin ve registry anahtarlarini kontrol ediyorlar.
analysis yapan elemanlar debugging islemi ollydebug idapro peid cFFExplorer wireshark gibi profesyonel toollar kullanmaktadir.
md5 islemleri son hali.. dosyanin kendisinin md5i alinarak imzasi alinmiyor.
eger oyle olsaydi exe de 1 byte degistirdiginiz anda md5 degisecek ve dosya taninmaz hale gelecekti... bu islemin hex editor ile de ilgisi bulunmamaktadir.
binary dosyanin yukarida da belirttigim gibi api call leri, resource directory(bindirilen dosya varmi? varsa export ediyor mu, ediyorsa calistiriyor mu?)
createprocessA/W
readprocessmemory
writeprocessmemory
set/get threadcontext
urltodownloadfileA/W
ornegin, Avira Antivirusun TR/DropperGEN Detectionu ile ilgili,
dosyanin resource undaki yazilan bilgiler export edilir.
ve ana dosyadan silinir.
"dosya boyutu" < "dosyanin resource boyutu" ise ve
BeginUpdateResourceA
UpdateResourceA
EndUpdateResource
EnumResourceNames
EnumResourceNamesEx
gibi apileri import etmis ise, dogrudan uyari veriyor..
Yada,
dosya sonunda yazilmis veri boyutu stub boyutundan buyuk ise,
direkt olarak Win32AtrapsGen veya TRDropperGen uyarisi veriyor..
Kaspersky icin ornek,
programin init inde eger registry startup alanlarina veri yazilirsa,
Heur Trojan Generic Win32 xxx seklinde bir uyari verir.
neyse, daha fzla yazamayacagim.
api referanslari
http://msdn.microsoft.com/en-us/library/ms648032.aspx
iyi forumlar.
--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 09:51:47 -->-> Daha önceki mesaj 09:46:55 --
Virüstotal gibi sitelerden daha önce taranmış virüslü içeriklerin hashlarina ulaşabilirsin onun haricinde hex editor çalışma mantığı ile dosyalarin hex stringlerini taratip içinde keylogger virus botnet gibi kelimeleri veya email gönderme kodları gibi kodları aratabilirsin.
cocukca olmus hocam. hic bir virusun icinde keylogger virus botnet gibi kelimeler gecmez... (All strings Encrypted) diye bir yazi gorursun black marketlerde profesyonel virus/trojan/worm gibi illegal yazilimlar satin almak istedigin zaman.
Hello Antivirus Company, Im a Stealer. Please Give me a Special Detection NAME!!!
boyle bişi mümkün değil
