TeYyArEe Posted November 29, 2009 Share Posted November 29, 2009 Bazı internet sitelerinde ve forumlarda söz edilen bir çalışma olan "Virüs Giremeyen Programlar" ve "Virüs Giremeyen Windows İşletim Sistemleri" konularında bulabildiğim sunum ve uygulamaları inceleme fırsatı buldum. Sözü edilen yazılımı geliştiren insanların web siteleri ve yazı yazdıkları forumlarlardan derlediklerimi müsadenizle sizlerle paylaşmak istiyorum. Yazılım geliştiricileri kendi sitelerinde antivirüslere ihtiyaç duymadan kendi kendini virüslerden kurtarabilen uygulama geliştirdiklerini yazmışlar. Bu konunun çok büyük bir haber değeri olduğunu düşündüğümden TNCTR üyeleri ile paylaşmayı uygun gördüm. Virtualbox ile kurulan bir XP üzerinde denemelerimi yapmaya başladım. Virtualbox'ta ki XP ile kendi bilgisayarım arasında köprü oluşturarak web bağlantıları ile ilgili olayları görüntülenmesini sağlayacağım. Spam'mı yoksa başka bir virüsmü yoksa gerçekten işe yarar bir uygulama mı yakında ortaya çıkacaktır. Dosyalar üzerinde ne gibi değişiklikler yapıyor anlamaya çalışacağım. Web sitelerindeki açıklama kısaca şu şekilde Antikor bir antivirüs değildir. Antivirüslerden daha hızlı virüs tespiti, daha akıllı güvenlik sağlaması ve koruduğu programa hiçbir şekilde virüs sokmayarak antivirüslerin bir adım ötesinde bir programdır. Her durumda koruduğu programın bozulmasınıda engelleyen Antikor sahip olduğu teknoloji ve yapay zekasıyla tüm dünyada alanında varolan tek programdır. Ufak dosya boyutu ile bir çığır açan Antikor çalıştığı esnada asla bilgisayarınızı yormaz ve hiçbir antivirüsün yakalayamadığı günümüzde mevcut olan ve gelecekte yazılabilecek virüslere karşıda programlarınızın güvenliğini sağlar. Moderator arkadaşlar eğer izin verirlerse programın linklerini de önümüzdeki günlerde bu başlık altında yayınlayacağım. Herkese iyi bayramlar Haydi kolay gele Link to comment Share on other sites More sharing options...
YAGMURADAM Posted November 29, 2009 Share Posted November 29, 2009 Doğrusunu istersen bana pek inandırıcı gelmedi.Böyle haberlerle bazen kendisi zararlı yazılım olan programlarla sistemde gizleniyorlar.Ve kişisel bilgileri çalabiliyorlar.Milyonlarca zararlı yazlımın cirit attığı bir dünyada bu programın tek başına yeterli olması pek mümkün değil gibi. Hiçbir antivirüsün yakalayamadığı sözüyle başlayıp size zararlı yazlım yükleyebilir veya başka bir zararlı yazılıma kapı açarak yine size zarar verebilir.Dikkatli olun başınıza iş açmayın.Saygılarımla NOT:Sanal sistemde kullanırken gerçek sistem ile olan bağlantılarınız olmasın.Oradan gerçek sisteme sızabilir. Link to comment Share on other sites More sharing options...
TeYyArEe Posted November 29, 2009 Author Share Posted November 29, 2009 Valla bende o yüzden linleri vermiyorum. Zaten bilgisayarımda normal olarak kullanmak yerine sanal makina üzerinde deniyorum. Haberin asılsız olup oladığını bilmediğim için doğrulama yapmaya çalışıyorum şu anda. Link to comment Share on other sites More sharing options...
baba3232 Posted November 29, 2009 Share Posted November 29, 2009 Bakalım nasılmış.incele ve paylaş demekten başka yapıcak bişi yok Link to comment Share on other sites More sharing options...
TeYyArEe Posted November 29, 2009 Author Share Posted November 29, 2009 İşte ilk resimleri upload ettim 3. resimdeki iki dosya aynı dosyadır. Soldaki dosyanın bağışıklanmamış hali sağdaki ise bağışıklanmış hali. Aradaki 8192 byte'lık kısmın ne olduğunu araştırıyorum şu anda. sistem herhangi bir şekilde internet ile bir alakası olmadı net açıkken bile. yani şu ana kadar bir veri gönderimi mevcut değil. Tabi kullandığım programlar yalan söylemiyosa Denemeye devam edeceğim haydi kolay gele Link to comment Share on other sites More sharing options...
TeYyArEe Posted November 29, 2009 Author Share Posted November 29, 2009 Valla gece 4.30 oldu, beyin durdu Deneme süresi: 3 saat 23 dk Sistem halen inatla internetle yada herhangi bir şekilde dosyalar ile ilgili bir işlem yapmıyor. Program tarafından yüksek risk olarak belirlediği dosyalar üzerinde kod yapısındaki 8192 byte lik değeri araştırıyodum ki sadece program hakkındaki verilerin sadece belleğe açılması için gerekli kodları işletmesini ve belleğin kalıcı kısmına yazılmasını engellemek için yapılmış kodlara erişebildim. Bu nedemek diyen arkadaşlara şu şekilde açıklayım. virüsler kendi dosyaları çalıştırıldığı zaman yani aktif oldukları zaman belleğin(RAM'lerin) üzerinde sistem tarafından oluşturulmuş kısmına kendilerini yazarak sürekli aktif durumda kalırlar. Yukarıdaki program ise virüslü dosyaların belleğe sadece açılmasını sağlıyor. Program kapatıldığı zaman ise tüm verilerin silinmesini yani virüsün aktifliğini yitirmesini sağlıyor. Ama; işin amasıda var tabi virüs halen dosya içinde iken ne kadar tehdit altında olur sistem onu şu an bilemiyorum. Yani bir yabani kurdun tüylerini okşarken ne kadar güvende olabiliriz orası meçhul halen. Yarın devam etmek üzere şimdilik ara veriyorum. Hadi kalın salıcakla Link to comment Share on other sites More sharing options...
[email protected] Posted November 29, 2009 Share Posted November 29, 2009 1 ve 2. resimlere bakılırsa senin makinedeki herşeyi tehlikeli görmüş bu şey sadece pinball ve winrar a temiz diyor Link to comment Share on other sites More sharing options...
Bultar Posted November 29, 2009 Share Posted November 29, 2009 Anlayamadığım nokta şu. Nasıl oluyorda bir uygulama olduğundan daha büyük bir boyutta unpacklenmeden çalışabiliyor. Heleki veri bütünlüğü gibi kavramların günümüzde cok sıkı denetlendiğini düşünecek olursak bana pek akılcı gelmedi. Aklıma gelen tek mantıklı açıklama mevcut dosyanın herhangi bir dosyayla bütünleştirilip tek dosya haline geldiği. Bu durumda mevcut dosyanın üstüne yazılan 8KB lık kısmın ne olduğu çok büyük bir soru işareti. Lakin üstüne birazdaha düşündüğümüzde bu kısmın programın belirli sınırlar içinde çalışmasını sağlayan bir loader olabileceği ihtimalinide göz ardı etmemek gerek. Çünkü bu tarz koşullar altında bir dosyaya ek yapıp çalıştırmak imkansızdır. Eğer mümkünse o iki farklı dosyayı upload edebilirmisin. Bir kurcalayalım bakalım ne yumurtlayacak Link to comment Share on other sites More sharing options...
HARBİKIZ Posted November 29, 2009 Share Posted November 29, 2009 konuyu merakla takip edecem.......... Link to comment Share on other sites More sharing options...
TeYyArEe Posted November 29, 2009 Author Share Posted November 29, 2009 Halen bende dosyalar ile ilgili araştırmaları yapıyorum. Benin bulabildiğim şeyleri paylaştım. Ama halen port ve diğer uygulamalar üzerindeki etkilerini araştırıyorum. Bultar benden dosyaları istemişsin. Bide sen bak bakalım neler çıkacak ortaya. El birliği ile uğraşmakta yarar var. İşte istediğin 2 dosya. http://www.mediafire.com/?nztmyttono3 InstallManagerApp.exe orjinal hali. InstallManagerApp2.exe iste antikor ile oluşturulmuş 8kb fazlası olan dosya. Neuronshell ve Reflektor gibi programlar ile kodları inceliyorum. Bazı kodlar ise şu şekilde PointerToRelocations=0x0 PointertoLineNumbers=0x0 NumberOfRelocations=0x0 NumberOfLineNumbers=0x0 Yukarıdaki kodlar ile bellek adreslemesi esnasında açılan dosyanın belleğin adreslemesi ve çoğaltılması engellenmiş. Ama backdoor gibi bi uygulama varmı içerisinde bilmiyorum. Link to comment Share on other sites More sharing options...
SoftProf Posted December 7, 2009 Share Posted December 7, 2009 merhaba program hakkında açıklamalarınız ve incelemeleriniz tamamlandımı acaba? konuyu çok detaylı incelemişsiniz. fikirlerinizi paylaşırsanız sevinirim. kolay gelsi. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.