Bilmek istediğin her şeye ulaş

Antivirüs programları nasıl çalışır?

Bilgisayar virüsleri, bilgisayarınızdaki donanımı normalde doğru bir şekilde kullanmak için yazılmış programcıkların yerine kötü amaçlar için kullanmak amacı ile yazılmış küçük programcık ve script parçalarıdır. Amaçlarını sizin bilgisayarınızda gerçekleştirmenin yanında hızla yayılmak gibi başka bir amaçları da vardır. Tabii ki bu da programlandıkları şekilde ilerler (kendileri bunu düşünmüyordur yani) . Bu benzerliklerinden dolayı da virüs kelimesi bu programcıkları tanımlamak için kullanılmıştır.

Antivirüs programlarını yazan firmalar kendilerine ait olan dünyanın farklı noktalarındaki sunucularını, güvenlik kalkanlarını da tamamen indirerek virüslere açarlar. İnterneti tarayan bot, spyware, virüs programcıkları (bunları yazan ve dağıtan kişiler) bu sunuculara çok hızlı bulaşır ve bulaşan bu virüsü tanımlayan antivirüs sunucuları da bu virüsün derecesini, yapısını ve imzasını belirleyerek kendi virüs tanıma veritabanlarına bu yeni virüsü de ekleyerek antivirüs veritabanlarını güncellerler. Bilgisayarınızdaki antivirüs programınızın aralıklarla veritabanı güncellemesi istemesinin nedeni budur. Gidip antivirüs veritabanının en güncelini indirerek bilgisayarınızdaki tanımlananlara benzer virüsleri de yakalama şansı elde eder. Böylece olabildiğince güncel olarak bilgisayarınızı korumuş sayılır. Bu açıdan bakıldığında anti-virüs yazılımlarının aslında hep 1 adım geriden geldiğini unutmamak gerekir.

Bu bahsettiğim yöntem bilinen ve uygulanan ilk yöntemlerden birisi idi ancak son dönemlerde sezgisel tarama yöntemleri geliştirildi. Bu yöntem ile de herhangi bir programın sıra dışı bir işlevi ya da haberleşme portlarında normalde olması gerekenden farklı bir davranışı yakalayan tarayıcılar bu sıradışılığı yaratan programcığı tespit ederek işaretleyebilmekte. Örneğin, bir program bilgisayar açılıında kendini çalıştırmak için sistem kaydını güncelliyorsa ve aynı program bilgisayar klavye tuşlarını takip için arayüze erişmeye çalışıyorsa bu yazılım güvenlik ile ilgili sorun yaratmaya çalışıyordur denebilir. Bunun gibi senaryolar çoğaltılarak sezgisel tarama sürekli gelişmektedir.

Anti Virüs Programları

  • Paylaş
Serkan Köse'nini yazdıklarına ilaveten;

Bir bilgisayar virüsü aslında yine bir bilgisayar programından farksızdır. Normalde bilgisayar programın veya scriptin yapamayacağı türden bir anomali meydana geldiğinde anti-virüs programları bunları fark ederek durdurmaya çalışır ve bilgisayarın yöneticisine danışmak için bir süre karantinada bekletir.

bir bilgisayar programı teknik açıdan kabaca nasıl çalışır ı tarif etmeye çalışırsak; uygulamanın derlenmiş veya derlenmemiş kodları bir dosya olarak disk üzerinde beklemektedir. Bilgisayarın Ana kartına gelen elektrik sayesinde tüm donanımlar harekete geçer ve işletim sistemi açılmaya başlar. İşletim sisteminin açılması bir dizi programcığın üst üste açılması sayesinde oluşur. Bu programcıklar çalışabilmek için durağan bir ortam olan disk den daha hareketli olan REM Yazılabilen önbellek de birikmeye başlarlar. Uygulama içindeki değişkenler , delegasyonlar, function işaretçileri vb. tüm uygulama kimyasındaki her şey ancak önbellek yani REM de çalışmaktadırlar. Asında bilgisayarımızı çalıştırdığımızda %90 oranında ön bellek üzerinde yaşarız.

işte bu nedenle bu virüsler işe REM e geçerek başlarlar. Çünkü bu bölgedeki çalışan diğer programların pointer leri ile oynamaya veya pointerlere yazılan değerleri değiştirmeye veya bunları farklı yerlere yollamaya çalışırlar. Bu nedenle .NET ve JAVA gibi dillerde geliştirilmiş uygulamalar dinamik bellek yönetimi kullanırlar. Adeta bu tip kötü amaçlı uygulamalardan köşe kapmaca oynarlar. Çalışma anında pointer in REM üzerindeki adresini sürekli değiştirirler. Bu nedenle uygulama performansları diğer makine diline daha yakın dillerle yazılmış uygulamalardan azdır.

özetle; uygulama güvenliği bir ölçüde virüs türündeki yazılımlarından nederece korunabildiğimizle de ilgilidir. Tabi yazılım aslında donanımı yöneten bir şeydir. Bu nedenle aslına bakarsanız donanımların daha güvenli tasarlanması gerekmektedir.
  • Paylaş
Serkan Köse (@serkan) nin de bahsettiği gibi, sezgisel tarama özelliği antivürüsün önemli özelliklerinden biridir. Default olarak iletişim kurulan portların dışında bir port kullanılmak istenildiğinde, dışarıdan gelen saldırıların engellenmesinde önemli rol oynar. Ayrıca windows işletim sistemi için dll dosyaları arasında bir köprü aracılığı görüp; herhangi bir erişim yapması durumunda veya setup dosyaların içindeki erişimleri de bu şekilde anlar.
  • Paylaş