Güvenlik Programları Hakkında Genel Bilgiler... » Sayfa 1

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:35:39 Konu Sahibi

Hangi Antivirüs Programı

Antivirüs programlarını ve teknolojilerini incelemeye dalmadan önce, hain ve sinsi düşmanımız virüslerin ne olduklarına kısaca bir göz atalım. Biyolojik karşılıkları gibi bilgisayar virüsleri de, bilgisayarın içinde yayılırlar ve istenmeyen durumların ortaya çıkmasına neden olurlar. Bütün virüsler �kötüdür� diyemeyiz fakat büyük bir çoğunluğunun amacının da dosyalara, uygulamalara ve işletim sistemlerine zarar vermek olduğunu bilmemiz gerekir. Zararsız olarak nitelendirdiğimiz virüsler ise, başta ekranda mesaj görüntüleme olmak üzere bilgisayarların içinde istenmeyen birçok davranış gösterirler. Bilgisayar virüslerini temelde üç grup altında toplayabiliriz; başlangıç sektörü (boot sector) virüsleri, dosyalara bulaşan virüsler ve makro virüsleri.

Başlangıç sektörü virüsleri, sabit diskin veya disketin ilk (boot) sektörüne çalıştırılabilir bir kod ekleyerek yerleşirler. Medyaların başlangıç sektörleri, bir bilgisayarın işletim sistemini başlatabilmesi için gerekli bilgileri barındırdığı için çok önemlidir ve virüsler için çok uygun bir hedeftir. Başlangıç sektörüne yerleşen bir virüs, bilgisayar açıldığında kendini otomatik olarak belleğe yükleyerek hain planlarını gerçekleştirmeye başlar. Bu virüslerin artık pek kullanmadığımız disketlerle yayılması sık karşılaşılan bir durumdur. Diskete bulaşan bir virüs, başka bir bilgisayarda çalıştırıldığında hemen hemen kendini henüz virüs bulaşmamış sabit diskin başlangıç sektörüne kopyalamaya çalışır. Ayrıca bu tarz virüsler bilgisayarın açılmamasına neden olabilmekteler.

Dosyalara bulaşan virüsler, kendilerine hedef olarak, exe ve com uzantılı dosyalar gibi çalıştırılabilir dosyaları seçmekteler. Bu şekilde dosyayı çalıştırdığınızda virüs belleğe yüklenmekte yayılmak için kendine yeni hedefler aramaya başlamakta.

Makro virüsleri, bugün virüslerin yaklaşık %75�ini oluşturuyor. Bu virüsler, disklerden, ağdan, Internet�ten veya bir e-posta ekinden bulaşabiliyor. Makro virüsleri direkt olarak uygulamalara bulaşmazlar. Bunun yerine sistemlere sızmak için Microsoft Excel veya Word gibi belgelerde kullanılan makro programlama dilini kullanırlar. Bulaşmış dosya açıldığında virüs aktif hale gelir ve kendini yaymak için diğer belgelerin içine girmeye çalışır. Kullanıcı hazırladığı belgeleri bir başkasıyla paylaştığında ise, virüs diğer sisteme taşınır.

Diğer mahremiyetimizi (gizliliğimizi) tehdit eden truva atları, solucanlar ve mantık bombaları (logic bombs) virüs olarak tanımlanmazlar. Truva atları, bilgisayarınıza sızarak sistemde bir arka kapı oluşturur. Bu arka kapıdan davetsiz misafirler girerek bilgisayarınızı uzaktan kontrol edebilirler. Solucanlarsa, virüsler gibi yayılma eğilimindedirler. Fakat virüslerden farklı olarak kendi kendilerini kopyalarlar ve yayılmak için bir çalıştırılabilir bir taşıyıcıya ihtiyaç duymazlar. Yayılmak için özellikle e-posta istemcilerini seçen solucanlar, bir anda çok geniş bir alana yayılabilirler. Bulaşma ve yayılma faaliyetlerinde bulunmayan mantık bombaları ise, sadece tarih gibi bir tetikleyici unsuru beklerler. Tetikleme gerçekleştiğinde ise yıkım başlar. Son olarak sahte virüslere de değinmeden geçmeyelim. Sahte virüsler gerçekte zararlı bir kod parçası içermezler. Fakat ortamda karışıklık yaratırlar ve bilgisayarın çalışmasında yavaşlıklar meydana getirirler.

Bütün iyi antivirüs programları bazı sahte virüsler hariç, bütün bu zararlı programları tanımlayabiliyor. Yazının ilerleyen bölümlerinde daha basit bir anlatım sağlayabilmek için bütün bu zararlı programları, virüslere eş değer olarak kabul edip �virüs� olarak tanımlayacağız.

Antivirüslerin çalışma prensipleri

Antivirüs terimi, sizi virüslerden koruyan ve bilgisayarınıza bulaşmış virüsleri temizleyen tek bir programı veya bir programlar bütünün tarif etmek için kullanılıyor. Antivirüs çözümlerinin en temel bileşenini tarama motorları oluşturuyor. Her bir motorun karmaşık detayları bulunmakta, fakat hepsinin paylaştığı basit bir sorumluluğu var; virüs yüklü dosyaları bul ve temizle. Tarama motorları bir dosyanın virüs bulaşmış olduğunu, virüsün parmak izi olan, kendine özel katar dizelerini virüs imza dosyalarıyla tespit eder. Dosya içindeki verileri kendi virüs tanıma veritabanındakilerle karşılaştırarak virüs tespit ettiği kodları genelde dosyanın içinden başarıyla söküp çıkartır. Virüsten temizlenmiş dosya ile normal şekilde çalışmaya devam edebilirsiniz. Temizlemenin mümkün olmadığı durumlarda, antivirüs programları ilgili dosyayı karantinaya alarak, yanlışlıkla çalıştırılmasını engellerler veya dosyayı silmeniz için uyarı mesajı görüntülerler.

Yeni yazılmış virüslerin panzehiri (imza dosyaları) hazır değildir. Fakat çoğu motor, buluşsal (heuristic) tarama yaparak kendi virüs tanıma veritabanında bulamadığı fakat şüpheli veri yapıları taşıyan veya virüse benzer aktivitelerde bulanan dosyaları işaretler ve karantinaya alır.

Symantec'in virüs inceleme laboratuarları

Sizin de şüphelendiğiniz karantinadaki dosyaları antivirüs üreticisine göndererek, incelenmesini sağlayabilirsiniz. Eğer bu dosyada gerçektende daha önce tanımlanmamış bir virüsün olduğu tespit edilirse, imzası ve ismi çıkarılarak kategoriye konur. Araştırma raporları ve panzehir hazırlanır ve yayınlanır. Artık virüs bilinen bir virüs oldu.

Antivirüsler nelerle mücadele eder?

Antivirüs programlarının koruma seviyeleri, ürünün çıkış tarihine göre değişir. Yeni ürünler, otomatik güncelleştirme özellikleri, belli bir zamanda tarama, bellek koruması ve e-posta istemcisi, Web tarayıcısı veya dosya indirme yöneticisi gibi Internet uygulamalarıyla daha iyi bütünleşerek daha iyi bir koruma sunarlar. Yeni saldırı yöntemlerine karşıda daha etkilidirler. Fakat bütün antivirüs çözümleri, güncellemeleri zamanında yapıldığında, düzenli olarak sisteminizi ve indirdiğiniz dosyaları da çalıştırmadan önce tarattığınızda güvenliği sağlayacaktır.

Yeni antivirüs çözümleri, özellikle kullanıcının bilgisiz veya dikkatsiz olduğunda kendini göstermekte. Birçok işlem otomatik olarak gerçekleşir. Ayrıca �güncelleme yapılmalı� gibi yararlı hatırlatma mesajları çıkartılır ve Internet programlarıyla iyi bir bütünleşme göstererek sisteminizde virüslerden kaynaklanacak zararları en aza indirirler. En azından başlangıç sektörü, dosyaya bulaşmış ve makro virüslerinin yanında truva atlarından ve solucanlardan korunmayı beklersiniz. Yeni ürünler ayrıca zararlı web sayalarında, betiklerden, ActiveX kontrollerinden, java applet�lerinden ve e-posta solucanlarından korunmanızı sağlarlar.

Virüslerden Korunun

Virüsler bulaşmadan önce tedbir almak en iyisi. Çünkü virüs bulaşmış bir bilgisayarı virüsten arındırma saatlerinize mal olabilir. En kötüsü de verinizi silmek zorunda kalabilirsiniz.

Bir diğer can sıkıcı olayda, bütün arkadaşlarınızı arayıp, neden bilgisayarınızın virüslü e-postalar gönderdiğini anlatmak olacaktır. Aslında virüslerden uzak durmak için uymanız gereken basit 5 kural var.

E-posta istemcinizi istenmeden çalışan virüslere karşı emniyete alın.

Kullandığınız e-posta istemcisinin antivirüs programları tarafından denetlendiğinden emin olun ve istemcinizin güncellemeleri takip ederek, çıktıklarında hemen yükleyin.

Haftada en az bir kere bilgisayarınızı taratın ve herhangi bir virüs veya solucanın barınmadığından emin olun.

Bilgisayarınızda antivirüs programı var diye, bilgisayarınızı virüs taramasından geçirmemezlik etmeyin. Düzenli yapılan taramalar güvenliğinizi arttıracaktır.

Antivirüs programınızı güncel tutun.

Antivirüs üreticileri sıklıkla yeni güncellemeler yayınlarlar. Eğer kullandığınız programda otomatik güncelleme özelliği varsa, bunu mutlaka aktif edin. Eğer yoksa iki üç günde bir üreticinin sitesini ziyaret etmeyi unutmayın.

E-posta ile birlikte çalıştırılabilir bir dosya arkadaşlarınızdan veya akrabalarınızdan gelse, çalıştırmayın.

Virüs yazarları sizin bir soyayı çalıştırabilmeniz için, e-postanın tanıdıklarınızdan gelmiş olması gerektiğini biliyorlar. Bu yüzden de virüsler kendileri tanıdığınızın e-postasındaki adreslere gönderiyorlar ve içinde eğlenceli veya pornografik resimler bulunduğunu iddia ederek, ekte dosyaları bulunduruyorlar. Eğer mesaj İngilizce ise hemen silin. Türkçe ise, açmadan önce arkadaşınıza bir telefon edin.

Bilgisayarınızın dışında bulunan bir yere düzenli yedek alın.

Başta yazılabilir CD�ler olmak üzere, yedeklerinizi bilgisayarın dışında tutacağınız bir yere düzenli olarak alın. Fakat yedek almadan önce de, dosyaları virüslere karşı taratmayı ihmal etmeyin.

Eğer bilgisayarınıza virüs bulaşmışsa, antivirüs üreticilerinden yardım alabilirsiniz. Birçok üreticinin ücretsiz olarak dağıttığı, belli bir virüsü temizlemeye yönelik araçları üretici firmaların sitelerinden indirebilirsiniz.

Antivirüs çözümleri arasındaki farklar

Temelde bütün antivirüs çözümleri aynı işi yaparlar; bilgisayarınızı virüslerden uzak tutarlar. Birçoğu virüs tanımlaması için aynı tarama motorunu paylaşırlar. Fakat antivirüs programları arasındaki fark, kullanıcı arabirimlerinde (GUI), sundukları eklentilerde (e-posta tarama, otomatik güncelleme, buluşsal tarama ve dosyaları karantinaya almak gibi), hız ve ürünün başarıyla çalışmasında.

Bir antivirüs programının kullanılabilir olması için süregelen bir başarısının olması şart. Ayrıca bir antivirüs programının kullanılabilir olması için, masaüstünüzde kendiliğinden açılan ve sizi rahatsız eden pencereler varsa, bunları kapatabilmeli veya sistemde bir program düzgün olarak çalışmıyorsa, sizi uyarmalı ve tavsiyelerde bulunabilmeli.

Bugün birçok program gibi antivirüsler de, satın almadan önce programı denemeniz ve düzgün çalıştığını kontrol edebilmeniz için, kısıtlı zaman kullanıma izin veren shareware�lerini yayınlıyorlar.

Bazı antivirüs üreticileri, daha iyi bir sistem güvenliği sağlamanız için, kişisel güvenlik duvarı ve Web filtreleme uygulamalarını da ürünleriyle birlikte verebiliyorlar. Bu da hız ve doğru karşılaştırma gibi, üreticiler arasındaki en büyük farklılığı oluşturuyor.

Antivirüs programları başta Internet�ten olmak üzere, saldırılara karşı sizi en iyi şekilde koruyabilmeli. Bu yüzden eğer mesajlaşma ve dosya paylaşım programları kullanıyorsanız, bunlara karşıda koruma sunabilmelidirler. Kullandığınız programın seçtiğiniz antivirüs tarafından desteklenip desteklenmediğini öğrenmeniz gerekir. Zira, her antivirüs her programı desteklemiyor.

Eski bir sisteminiz varsa, bu sistemde bir antivirüs çalıştırmak için, diğer programların olduğu gibi antivirüs programınızın da bazı özelliklerinden feragat etmeniz gerekir. O zamanda daha az sistem kaynağı tüketen çözümler size uygun olacaktır.

Bir diğer önemli farkta tabi ki, toplam sahip olma maliyeti olacaktır. Diğer yazılımlardan farklı olarak antivirüs programlarının etkili olabilmesi için, devamlı olarak güncellenmeleri gerekiyor. En üst seviyede güvenliğinizin devamı için, yıllık olarak yeni versiyonlara ücret ödemeniz gerekiyor. Üreticilerin yıllık olarak sürüm yükseltmek için istedikleri fiyat, büyük değişiklikler gösterebiliyor. Bu yüzden toplayarak sahip olma maliyetini önceden çıkartmanız gerekiyor.

EN ÇOK KULLANILAN ANTİVİRÜS YAZILIMLARI

BitDefender 8

BitDefender�ı kurmaya başladığınız andan itibaren, görselliği önem verilmiş bir programla çalıştığınızı hemen anlıyorsunuz. Bu çekici görselliği işlevsel bir arabirimle birleştirmesi BitDefender için büyük bir artı. Menülerde dolaşmak ve istediğiniz ayarlara ulaşmak çok kolay. İncelememize katılan BitDefender 8 Professional Plus, komple güvenlik çözümü arayanlar için antivirüs motorunun yanında antispam ve güvenlik duvarı ile birlikte geliyor. Programların ayarlarının değiştirilmemesini istiyorsanız, ayarlara erişim için parola koruması sağlayabilirsiniz.

Sistemdeki dosya kopyalama, yeni oluşturma ve erişim gibi aktiviteleri gözetleyen Virüs Shield, ayrıca gelen e-postaları ve kayıt defteri erişimlerini de kontrol ediyor. Sıkıştırılmış dosyaların içerisini de kontrol edebilen BitDefender raporlamasıyla da dikkat çekiyor. Diğer antivirüs programlarına göre çok daha detaylı raporlama yapabiliyor. Belirlediğiniz zamanlarda taratma yapabilme özelliğine de sahip BitDefender, orta seviyede performansa sahip bir bilgisayar istiyor. Internet�e bağlı olduğunuz sürece varsayılan olarak 3 saatte bir güncellemeleri kontrol ediyor. İstenirse bu güncelleme kontrol etme süresi de değiştirilebilir.

BitDefender�ın Internet ile bütünleşmesi oldukça başarılı. Mesajlaşma programlarından size gönderilen dosyaları veya e-posta eklerini tarayabiliyor. Saat üzerinde bulunan Scan Activity Bar isimli saydam küçük pencerede dosya ve Internet aktivitelerinizin yoğunluğunu görebilirsiniz.

Artılar: Görsellik, komple güvenlik çözümü, detaylı raporlama, sevimli aktivite penceresi.

Eksiler: Taraması biraz yavaş.

Computer Associates eTrust Antivirus

Computer Associates eTrust Antivirus 7.1 incelememize katılan en ilginç ürünlerden biri. İlginç çünkü diğer antivirüs yazılımlarında olmayan çok gelişmiş özellikleri var, ilginç çünkü çalıştırılması sırasında problemle karşılaştığımız tek ürün.

İncelememizdeki, hiç bir antivirüs çözümünde bulunmayan iki adet tarama motoru eTrust ile birlikte gelmekte. Tarama yapılacak dosyalar gelen dosyalar ve giden dosyalar olarak gruplandırılmış. Bu gruplamaya göre taramanın yönünü seçebilirsiniz. Virüs bulaşmış dosyaya karşı temizle, adını değiştir, sil, sadece raporla gibi varsayılan olarak ne yapacağını ayarlayabiliyorsunuz. Sıkıştırılmış dosyaları başarıyla tarayan eTrust, tarama işlemini de oldukça hızlı gerçekleştirebiliyor. Fakat karantina özelliğinin varsayılan olarak aktif olmaması ilginç.

eTrust, görsellik konusunda son kullanıcıların isteklerini karşılamaktan uzak. Bir Windows Explorer ekranına benzer arabirim, çok gelişmiş bu özelliklere ulaşmaya yardımcı olmuyor. Fakat eTrust�ın bu görsellikten ödün vermesi ona, yüksek performans ve düşük sistem gereksinimi olarak geri dönüyor. Karşılaştığımız problem ise, güncelleme sırasında yaşandı. Windows�un güvenlik duvarı güncellemeyi engellediği için, elle ayar yapılması gerekti. Ayarları yaptıktan sonra, güncellemeleri başarıyla indirdi. eTrust�ı ağ üzerindeki bütün bilgisayarlara istemci olarak yükleyerek, sunucu olarak ayarladığınız yazılıma kolayca entegre edebilirsiniz.

Artılar: Gelişmiş özellikler, düşük sistem gereksinimi, çift tarama motoru.

Eksiler: Kurulum problemi, kötü arabirim.

F-Secure 2005

DOS zamanının ünlü antivirüs programı F-PROT�un yaratıcısı Datafellows�un ürünü F-Secure 2005, kurulum sırasında Internet�e bağlanarak gerekli güncellemeleri indiriyor ve sisteme yüklüyor. F-Secure açıldığında sade fakat güzel bir arabirim sizi karşılıyor.

F-Secure�nin en güzel özelliklerinden biri, yeni çıkan virüsler için yayınladığı bültenleri program içinde göstermesi. F-Secure, virüslere, truva atlarına, solucanlar ve spyware programlarına karşı oldukça başarılı. Fakat aynı başarıyı sistem kaynaklarını kullanmasında söylemek zor. Özellikle tarama sırasında işlem yapmak oldukça güç.

Gerçek zamanlı tarama özelliği ile, sistemde olup biteni gözetliyor ve herhangi virüs tespit ettiğinde kullanıcıyı uyarıyor. İsterseniz uyarı mesajı almadan da virüsün temizlenmesini sağlayabilirsiniz. Zamanlanmış tarama özelliği ile, bilgisayarınızın belli zamanlarda taranmasını sağlayabilirsiniz. Tarama işleminin sonucu detaylı olarak raporlayabilen F-Secure Internet ile de oldukça başarılı bir bütünleşme sağlıyor. Gelen ve giden e-postaları tarayarak dışarıdan herhangi bir virüs bulaşmasını engelliyor. Ayrıca saatte bir Internet�ten güncellemelerini kontrol ediyor.

Spyware programlarına karşı da, LavaSoft�un ünlü yazılımı Ad-aware�in motoru kullanılmış. Daha önce Ad-aware kullananların alışık olduğu arabirimi kullanan F-Secure, spyware programlardan kurtulmak isteyenlere iki yazılım ücreti ödeme gerek kalmadan, tam bir güvenlik çözümü sunmayı hedeflemiş.

Artılar: Başarılı tarama ve spyware motoru.

Eksiler: Yüksek kaynak kullanımı.

Kaspersky Pro

Kaspersky Pro 5.0Rusların ünlü antivirüs çözüm Kaspersky, ününü pekiştiren bir yazılımla karşımızda. Kaspersky�nin en önemli özelliklerinden biri kuşkusuz, yakalanması zor virüsleri başarıyla dosyaların içinden başarıyla söküp çıkartması. İncelememizde bu başarının aynen devam ettiğini tespit ettik. Kabiliyetlerine göre oldukça iyi bir performans sergileyen Kaspersky, tarama ve sistemi gözetlemesi sırasında, sisteme aşırı yük bindirmiyor. Bütün makro virüslerine karşı oldukça başarılı olması ek bir artı puan kazandırıyor.

Kaspersky, özellikle virüs taramaya ve hıza önem vermiş. Basit arabirimi boyalı ve güzel arabirim beklentisi olmayanları tatmin edecek seviyede. E-posta koruması, sıkıştırılmış dosyaları tarayabilmesi, geliştirilmiş raporlama özelliği ve istatistik gösterimi gibi özellikleri, Kaspersky�i yeterli fakat farklı olmayan bir ürün yapıyor. Hem gelen hem giden e-postaları tarayabiliyor, güvenlik seviyesi seçilebiliyor ve makro virüsleri karşı sistemi koruyabiliyor.

Kaspersky�nin ScriptChecker özelliği LoveLetter gibi betik tabanlı virüsleri bulmakla görevli ve oldukça başarılı. Ayrıca şüphelendiğiniz dosyaları Kaspersky�e göndererek incelenmesini sağlayabilirsiniz. Kullanıcılarını e-posta listesine üye yaparak, yeni virüs geliştirmelerinden e-posta yoluyla haberdar Kaspersky, kendi yönettiği viruslist.com sitesinde de ziyaretçilerine son çıkan virüsler hakkında bilgi ve istatistik veri sunuyor.

Artılar: Güçlü virüs taraması, etkili Internet bütünleşmesi.

Eksiler: Basit arabirim.

McAfee VirusScan

McAfee VirusScan 9.0Ünlü antivirüs programı McAfee yeni versiyonu 9.0 ile incelememize katılıyor. McAfee�nin ilk göze çarpan özelliği arabirimdeki iyileştirme. Açıklayıcı bilgilerin bulunduğu butonlarla yapmak istediğiniz bir ayarı kolaylıkla yapabiliyorsunuz. Fakat ayar yapabileceğiniz ve programı kişiselleştirebileceğiniz fazla bir bölüm de yok.

McAfee�nin görsellikten daha da güzel olanı ise, tarama sırasında bile sistemden oldukça az kaynak kullanması. McAfee�nin taraması biraz yavaş olsa da oldukça etkili ve sistemdeki bütün virüsleri başarıyla bulup temizleyebiliyor.

McAfee 9.0 versiyonuyla birlikte, istenmeyen (spyware,adware ve dialer) programlarını bulup silme özelliği de başarıyla eklenmiş. Acil durumlar için sisteminizi kurtarmanızı sağlayacak bir disket hazırlama özelliğini de unutulmamış. Kaliteli antivirüs programlarında bulunan bütün özellikleri barındıran McAfee 9.0 esas ağırlığını Internet ortamında koyuyor. Büyük boyutlu e-posta eklerini de kolaylıkla taraması için özel olarak ayarlanmış motoru, gelen ve giden bütün e-postaları denetleyebiliyor. Anında mesajlaşma programlarıyla da başarıyla bütünleşen McAfee, ScriptStopper ve WormStopper özellikleriyle Internet�ten gelebilecek bütün tehlikelere karşı bilgisayarınızı bir kalkanla koruyor. Ayrıca virüslü olduğundan şüphe duyduğunuz dosyaları McAfee laboratuarlarına gönderebilir ve dosyaların incelenmesini sağlayabilirsiniz.

Artılar: Ektin arabirim, istenmeyen programları tespit edebilme, Internet bütünleşmesi.

Eksiler: Az kişileştirilebilir seçenek

Nod32 Control Center

Hızlı bir kurulumdan sonra, bilgisayara yüklenen Nod32, taramada da aynı hızı gösteriyor. Anında mesajlaşma programlarına benzeyen arabirimi küçük ve sevimli. Fakat alışkanlıktan programı hemen sağ tarafa koymayın! Çünkü menüler sağa doğru açılıyor. Pencereleri sağ tarafa alabiliyorsunuz fakat programı saatin yanına küçülttüğünüzde pencereler yeniden sağda açılıyor ve kaybedebiliyorsunuz.

Nod32 temelde üç bileşenden oluşmakta. System aktivitelerinin gözlendiği AMON, ofis belgelerinin gözlendiği DMON ve Internet uygulamalarının gözlendiği IMON. Her birinin kendi ayarlarının olması ve istediğinizi kapatabilmeniz güzel bir özellikleri arasında. Ayrıca düşük sistem gereksinimi ve tarama sırasında ki performansı da dikkate değer.

Neredeyse bütün özellikleri kişileştirilebilen Nod32 kullanıcılara parola korumalı ayar yapabilme imkanı tanıyarak, program ayarlarına kullanıcı dışındaki kimselerin ulaşmasını engelleyebiliyor. Çok az antivirüs programında bulunan, uyarıları e-posta ve ağ üzerinden başka bilgisayara mesaj olarak gönderebilme özelliğine de sahip. Fakat zamanlandırılmış görevler ve raporlama özellikleri biraz basit kalmış.

Internet üzerinden virüs bulaşmasına karşı etkin olarak yapılandırılmış IMON, gelen e-postaları işaretleme, Web sayfalarını tarama, indirilen dosyaları tarama gibi özelliklerle göz dolduruyor. Sıklıkla çıkan güncellemeleri ister başka bir medyadan isterseniz de Internet�ten indirip yükleyebiliyorsunuz

Eksiler: Yönetmesi zor arabirim, basit zamanlandırılmış görevler ve raporlama.

Norman 5.7Norman Antivirus Control

Norman 5.7Norman Antivirus Control 5.7, kaliteli antivirüs çözümlerinde görmeye alıştığımız sıkıştırılmış dosyaları tarama, gerçek zamanlı olarak sistem uygulamaları tarama, sesli alarm gibi özelliklerle donatılmış olarak geliyor. Sistemdeki bir dosyaya erişim sağladığınızda ve bir e-posta eklentisini açtığınızda NVC hemen devreye girerek dosyaları truva atlarına, solucanlar ve virüslere karşı tarıyor. Norman�ın sık sık yeni virüs güncelleme paketleri sunarak, yeni virüslere karşı önlem almanıza yardımcı oluyor. Virüs güncellemelerinin yanında programın kendisi ile ilgili dosyaları da Internet�ten indirerek, hem programın hem de virüs tanıma veritabanının herzaman güncelliğini muhafaza ediyor. Fakat güncelleme çıkartmaktaki hızını dosya taramasında da görmek mümkün. Norman�ın dosya taraması dll yapısının sağladığı avantajla oldukça hızlı çalışıyor. Yeni çıkmış ve keşfedilmemiş virüsleri tarama özelliğine olan SandBox ise, ürünün en önemli özelliklerinden biri. Yazılım devi Microsoft da ürünlerini SandBox ile taratmakta

Norman Internet ile oldukça iyi uyum sağlamış durumda. Gelen - giden e-postaların ve haber gruplarına gönderilen mesajların kontrolünün başarıyla kalkabiliyor. İstenirse gelen bütün ekleri bile iptal edebilirsiniz. Belli sürelerde bir diski veya bir dizini tarama gibi otomatik işlemleri bir iş olarak tanımlayabilirsiniz. Norman�ın arayüzü basit ve her işleminizi kolaylıkla gerçekleştirebilirsiniz. Fakat biraz daha çekici de olabilirdi.

Artılar: Çekirdeğe yakın dll yapısı, SandBox.

Eksiler: Çekici olmayan arabirim.

Norton Antivirus 2005

Antivirüs programı denilince ilk akla gelenlerin başında Symantec�in Norton Antivirus ürünü geliyor. Norton Antivirus her yıl başarısını pekiştirecek bir ürünle raflardaki yerini alırken, antivirüs sektörünün ilklerine de imza atıyor. Ülkemizde birçok kullanıcısı bulunan Norton�un en büyük dezavantajı sistem kaynaklarını fazlasıyla kullanması. Kurulumu bile çok uzun süren, düşük konfigürasyonlu bilgisayarlarda çalışmayı çok güçleştiriyor. Çok sade ve basit bir arabirime sahip ürün, sınırlı kişileştirilebilir ayar sunuyor.

Norton solucanlara, truva atlarına, ActiveX kontrollerine, Java uygulamalarına, zararlı ofis belge makrolarına, e-posta virüslerine karşı bilgisayarınızı başarıyla koruyor. Yayınlanan virüs güncellemeleri Internet�ten çok hızlı indiriyor. Özel bir tarama alanı oluşturabiliyor, zamanlanmış görevler ekleyebiliyorsunuz.

Internet ile bütünleşmesi çoğu ürün gibi çok başarılı olan Norton Antivirus 2005, gelen ve giden e-postaları ilk önce kendi üzerinde tarıyor daha sonra, e-posta istemcisine iletiyor. Bu sayede de, virüsün gelen kutusuna düşmesi engelleniyor. Anında mesajlaşma programlarına da destek verebiliyor. Bloodhound teknolojisiyle, yeni ve tanımlanmayan virüslere karşı koruma sağlayabiliyor. Internet solucan koruması, Internet�te dolaşan solucanları bilgisayarınıza girmeden engelliyor. Bu özelliklerine ek olarak, bilgisayarı açabilen CD�si bilgisayarın başlangıç sektöründe oluşan sorunlara karşı çözüm sunuyor.

Artılar: Ödüllü tarama motoru, hızlı güncelleme sistemi.

Eksiler: Basit arabirim, az özellik, yüksek sistem kaynağı ihtiyacı.

Panda Titanium 2005

Bellekteki programları tarayarak kuruluma başlayan Panda, sisteme bir çırpıda kuruluyor. Panda�nın geçmişten gelen başarılı arabirimi 2005 sürümünde de devam ediyor. Panda yüklendikten sonra, devamlı uyarı penceresi çıkartarak güncellemelerin yapılmasını istiyor. Güncellemeler bitiyor, daha sonra tam tarama yapılmadığını belirten uyarı pencereleri çıkıyor. Fakat bu pencereler bir süre sonra can sıkıcı olabiliyor. Bu yüzden uyarıları dikkate alın ve yapmak istediği işleme izin verin. Bunun dışında sade arabirimi kısıtlı kişiselleştirilebilir ayarlara kolay ulaşmayı sağlıyor.

Panda�ya yeni eklenen TruPrevent özelliği sayesinde, virüs güncellemesi olana kadar, tanımlanmayan virüsleri tespit edebilmekte ve sistemden kaldırabilmekte. Virüs tespitinde çok başarılı olan Panda, aynı başarıyı raporlamada gösteremiyor. Panda ile birlikte bütünleşik olarak gelen güvenlik duvarı, anti-spyware ve anti-dialer özellikleri sayesinde komple güvenlik çözümü sunabiliyor. Tarama sırasında, fazla olmasa da yine de sistem kaynaklarına belli bir yük biniyor. Günlük olarak gelen tehlike uyarıları sayesinde, virüsler daha size ulaşmadan bilgi sahibi olabiliyorsunuz.

Panda e-posta istemcileriyle,Web tarayıcılarıyla ve anında mesajlaşma programlarıyla bütünleşerek, Internet�ten gelecek tehlikelere karşı sisteminizi başarıyla koruyabiliyor. Bunun yanında birkaç antivirüs çözümünde bulunan Kurtarma Disketi oluşturma bölümü Panda�da da unutulmamış.

Artılar: Arabirim, başarılı virüs tarama, komple güvenlik çözümü, Internet�ten gelecek tehlikelere karşı etkin koruma.

Eksiler: Sıkıcı uyarı pencereleri, basit raporlama, taramada yüksek sistem kaynağı kullanma.

PC-cillin 2005

Trend Micro PC-cillin Internet Securty 2005, yüklenmesi sırasında seri numarası istediği için, yüklemeye başlamadan öncewww.trendmicro.com sitesinden ücretsiz olarak kayıt olmanız gerekiyor. Kayıt olduktan sonra, seri numarası e-posta yoluyla size bildiriliyor. Kurulum aşamasında, sadece antivirüs programını seçebileceğiniz gibi, kişisel güvenlik duvarı ve wi-fi güvenliği özelliklerini de bilgisayarınıza yükleyebilirsiniz.

PC-cillin Internet Securty 2005, biraz karışık yükleme işleminden sonra, son derece profesyonel ve iyi bir güvenlik çözümü olarak bilgisayarınızı tehlikelerden korumaya başlıyor. İşlevsel arabirimi, istediğiniz bütün bilgilere ve ayarlara erişebilmenize yardımcı oluyor. Virülere, spyware programlara, hacker saldırılarına ve spam e-postalarına karşı bilgisayarınızı koruyan PC-cillin, kişisel bilgilerinizi koruyarak, tehlikeli Web sitelerine girişleri de engelliyor.

Web tabanlı e-postalara karşıda güvenlik sağlayan PC-cillin, e-posta istemcisi kullanıcılarının gelen ve giden e-postalarını tarayarak sisteme e-posta yoluyla virüs bulaşmasını engelliyor. PC-cillin Internet kadar tehlikeli kablolu ve kablosuz ağlara karşı da bilgisayarınızı koruyabilmekte. Turbo Scan özelliği sayesinde, daha önceden kontrol edilmiş ve değiştirilmemiş dosyaları atlayarak çok daha hızlı bir tarama imkanı sunuyor. Internet�ten güncelleştirilen güvenlik uyarıları, kullanıcılara yeni tehlikeler hakkında bilgi veriyor.

Artılar: Etkin ağ güvenliği, işlevsel arabirim, Turbo Scan.

Eksiler: Kurulum için kayıt gerektiriyor

< Bu mesaj bu kişi tarafından değiştirildi Hover_Craft -- 25 Haziran 2006; 16:50:03 >

0

|

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:38:45 Konu Sahibi

İlgili Link =http://www.av-comparatives.org/

BİLİNEN ZARARLILARA KARŞI ANTİVİRÜS TESTİ SONUÇLARI

TEST SONUÇLARI

a. Windows virüsleri, makro virüsleri, solucanlar, script'ler ve diğer işletim sistemi zararlılarının tesbit oranları.

b. Arkakapı açıkları yaratan zararlılar, truva atları ve diğer zararlı kodların tesbit oranları.

c. DOS ortamında aktif olan zararlılar HARİÇ genel tesbit oranları.

d. DOS ortamında aktif olan zararlılar DAHİL genel tesbit oranları.

Sonunda "*" işareti olanlar Kaspersky çekirdeğini kullanan bir diğer ifade ile Kaspersky klonu antivirüs yazılımlarıdır.

TOPLAM ZARARLI KOD TESBİT ORANLARI

with DOS = DOS ortamı DAHİL

without DOS = DOS ortamı HARİÇ

AĞUSTOS 2005 AYINDAN ŞUBAT 2006 AYINA KADAR OLAN SÜRE İÇİNDE ANTİVİRÜS YAZILIMLARININ TESBİT EDEMEDİKLERİ ZARARLI SAYISININ DEĞİŞİMİ

Yukarıdaki grafikte; antivirüslerin Ağustos 2005 ayında tesbit edemediği zararlı sayısı daha fazla iken, Şubat 2006 ayına doğru azaldığı gözükmektedir. Ağustos 2005 ayında tesbit edemediği zararlı sayısı en az olan ve Şubat 2006 ayında da en aza inmiş olan daha iyidir. Bu grafikte öncelikle KAV (Kaspersky Antivirüs) yazılımının hemen arkasından Symantec Norton ve sonra McAfee yazılımının en iyi sonuçları aldığı gözükmektedir.(ilk üçün değerlendirmesi anlamında) 4. NOD32, 5. F-Prot, 6. BitDefender olmuş.

İLAVE TEST: POLİMORFİK TEST

Tesbit edilmesi diğer zararlı sınıflarına göre çok daha zor olan ve en fazla 1 sene öncesinden bu yana bilgisayar sektöründe görülmeye başlanan; 10 adet yüksek derecede komplex polimorfik (polymorphic) virüsün yüzlerce değişik türevi ile bu test yapılmıştıır.

BİLGİSAYAR VİRÜSLERİ

Günümüzde bilgisayarların yegane düşmanı virüslerdir. 1980'lerin ortalarında Lahor'lu (Pakistan) Basit ve Amjad Alvi, kendi yazılımlarının kopyalandığını farkettiler. Buna tepki olarak ilk bilgisayar virüsünü geliştirdiler. Bu virüs, müşterilerinin kopyaladığı her floppy disket üzerine hem kendi kopyasını hem de telif hakkı (Copyright) mesajını koyan bir programdı. Virüsler böylesine basit bir gelişmeyle başladı,fakat zamanla tam bir virüs kültürü gelişti. Günümüzün virüsleri tüm dünyayı birkaç saat içinde sarabiliyor, manşetlere konu olabiliyor.

Bir bilgisayar virüsü, belleğe yerleşen, çalıştırılabilen programlara kendini ekleyen, yerleştiği programların yapısını değiştiren ve kendi kendini çoğaltabilen kötü amaçlı programlardır.

Teknik olarak bir bilgisayar programının virüs sayılması için kendi benzerini yapıp bunu başka programlara bulaştırması lazımdır

Virüsler bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Tıpkı grip virüsünün insan vücuduna yerleşmesi gibi, bilgisayar virüsleri de kendilerini taşıyıcı bir programa yerleştirir.Böyle virüs bulaşmış bir program bilgisayara transfer edildiğinde,bilgisayardaki diğer programlara da virüs bulaşmaya başlayacaktır.

Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar programına (örneğin, sık kullanılan bir ekran koruyucusuna ya da bir oyun programına) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları, "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya alışverişlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlarını daha da iyi anlayabiliriz.

Virüslenmiş program çalıştırıldığında virüs kodu da, genellikle, bilgisayarın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskin ya da disketlerin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayar her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve Windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.

Virüs bulaşması için önceleri tek yol, floppy disketler idi. Ancak daha sonraları, gelişen bilgisayar ağları ve özellikle internet aracılığıyla da bulaşmaları olanaklı hale geldi. E-posta kullanımının yaygınlaşması ile virüsler artık çok daha hızlı yayılabilmektedirler.

Virüslerin Genel Yapısı

Virüsler baslıca üç bölümden meydana gelmişlerdir.Bunlar sırası ile kopyalama bölümü, gizleyici ve etki bölümüdür.

Kopyalama bölümü ile kendisini çalıştırılabilir dosyalara ilave eder.

Gizleyici bölümü, kendini gizleme görevi yapar. Daha ziyade anti-virüs programlarının gözünden kaçmak ve anti-virüs programını yanıltmak için oluşturulmuştur.

Etki bölümü ile asıl işlem yerine getirilir.Asıl işlemin yaptığı zararlı etkilere; verileri karıştırmak, programın bir kısmını silmek, disk veya disketin çalışmasını engellemek örnek olarak verilebilir.

Virüsler kopyalama bölümü ile bulaşmalarına rağmen bulaştıkları dosyalar farklı olabilir.Virüsler genel olarak EXE, COM, OVL, OBJ, LIB uzantılı dosyalara kendilerini kopyalarlar. Virüs bulaştıktan sonra gizleyici bölümü, program her çalıştığında aktif duruma geçer ve virüs kendini gizlemeye çalışır.Normal çalışma süresince etki bölümü pasif durumdadır. Şartlar uygun olduğunda ortaya çıkar ve etkisini gösterir. Bu bölümün şartlarının uygunlaşması; bir tarih olabilir (Örneğin CIH virüsü) , ülke kodu olabilir, kopyalama işlemi olabilir, herhangi bir verinin girilmesi olabilir. Virüs yazan bir insan için mantık geliştirme bölümü bu bölümdür. Virüs yazmanın ayrıcalığı da bu bölümde gizlidir. Çünkü diğer bölümler hemen hemen aynıdır. Yukarıda uzantıları verilmiş olan dosyaların dışında ayrıca bir program için yazılmış özel virüsler de vardır.

Virüsler Neler Yapabilir? Bilgisayar içi yapısı tamamen programlamaya dayılıdır. Hangi donananımın nasıl ve ne şekilde çalışacağını programlanma şekli belirler. Virüs de bir program türü olduğuna göre; bilgisayarda programlamaya dayalı her şeyi yapabilirler. Yapabileceklerini sıralayacak olursak;

• Bilginiz dışında bilgisayarınızın denetimini ele geçirir.

• Bilgisayarınızın garip davranmasına neden olur, örneğin, çeşitli sesler çıkarır veya can sıkıcı iletiler görüntüler.

• Word ve Excel belgelerine bulaşan ve zarar veren makrolara gizlenirler. (Bunlara makro virüsleri denir.)

• Dosyalarınızda ciddi zararlara neden olurlar. Virüsler, verileri bozabilir, dosyaları silebilir, hatta sabit diskinizi tamamıyla silebilir.

• Zarar vermek için önceden tanımlanan tetikleme tarihine kadar (örneğin, 13. Cuma) virüsler etkin olmazlar.

• Donanımlara zarar verebilir.

En iyi huylu virüsler (görünürde zarar vermeyen virüsler) bile önemli zararlar verirler : sabit disk ve/veya bellekte yer kaplarlar, CPU zamanını harcarlar; ortaya çıkarılmaları ve temizlenmeleri için önemli miktarda zaman ve para harcanır.

Değişik Türde Zararlı Programlar

Virüslerle ile zaman zaman karşılaştırılan fakat virüslerden farklı özellikler sahip başka zararlı programlar da vardır. Truva Atları (Trojan Horses) ve Solucanlar (Worms) örnek verilebilir.

Truva Atları(Trojan Horses)

Virüslerin bir alt sınıfları, Truva Atı olarak bilinen, virüslerdir. Esasında Truva Atı teknik olarak bir virüs değildir. Truva Atı, ki bu adı tarihte Truva Savaşları olarak bilinen ve Yunanların uyguladıkları ve kazandıkları bir taktikten alır (Truvalılar'ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve eğlenceye dalmış olan Truvalılar’ı öldürürler. Günümüzde de aynı işi programcılar yapıyor. Tahta at yerine, bilgisayarlarımıza çeşitli programlar yolluyorlar. Bir tür programdır. Bu program aslında kullanışlı ve cazip gelen şeyler vaat eder yada yapıyor izlenimi verir (oyunlar veya kullanışlı kaçak dosyalar arkasında gelebilir). Fakat içinde kötü niyetli şeyler ihtiva eder ve sinsice bunları arka tarafta kullanıcının haberi olmadan uygular (Bilgisayardaki şifreleri çalmak gibi). Truva Atları asla başka programlara bulaşmazlar.

Çoğu Truva Atı, oturumu açma kimliği ve parolasını çalmak ve sonra da onları ödeme yaparken kullanılan hesabı kullanabilecek bir başkasına e-posta ile göndermek üzere tasarlanmıştır.Bazı Truva Atları da müstehcen iletiler görüntüler veya sabit sürücünün içeriğini siler. Örneğin güvenli görünen veya ücretsiz çevrimiçi bağlanma gibi öneriler sunan bir programı yüklerken Truva Atları alınabilir. Program bir kere yüklendiğinde ve çalıştırıldığında, kötü amaçlı kodlar çalışmaya başlar. Truva Atları ile virüsler arasındaki fark, Truva Atlarının kendiliklerinden bulaşmamaları veya yinelenmemeleridir. Yalnızca kasıtlı olarak; e-posta ile ,disket yolu ile veya bir bilgisayara doğrudan yüklenerek yayılabilirler. Bunun anlamı, virüsten farklı olarak, yalnızca bir kere belli Truva Atı tarafından etkilenilir.

Solucanlar(Worms)

Genellikle ağ bağlantılarını kullanarak yayılan, solucan olarak tanımlanan kodlar, yayılmak için her zaman taşıyıcı bir programa ihtiyaç duyarlar.Solucanlar dosyadan dosyaya yayılma yerine tüm sisteme zarar vererek bilgisayardan bilgisayara yayılırlar. Solucanlar, e-postayı kullanarak ağ üzerindeki bir bilgisayardan diğer bilgisayarlara kendilerini kopyalarlar. Solucanlar, çoğalmak için insan müdahalesine gereksinim duymadıklarından bilgisayar virüslerinden daha hızlı yayılabilirler.

Virüs Çeşitleri

• Yazılımlarına Göre Virüsler

Virusleri yazılım yöntemlerine göre iki grubu ayrılırlar. Buna göre yazılımlarına göre virüs çeşitleri :

o Resident Virüsler

Bu virüsler adından da anlaşılacağı gibi yerleşik (resident) olarak her an bellekte kalan ve her an aktif olan virüslerdir.Yazılımı biraz daha karışık ve detaylıdır.Gizleyici bölümü daha fazla emek isteyen virüslerdir.Örneğin virüs bulaşmış bir dosyanın uzunluğu değişmesine rağmen , gizleyici bölüm bu dosyanın orijinal uzunluğunu vererek kullanıcıyı yanıltır.Genellikle INT 20h,21h,41h gibi kesme sinyalleri sırasında dosyalara bulaşırlar.

Bellekte bulunup bulunmadıkları çok çeşitli yöntemlerle ve anti virüs programları ile anlaşılabilir.Tespit edilip edilememesi virüsün kalitesine bağlıdır.Kalitesi iyi olmayan bir virüs bellek hartalarını veren programlarla rahatlıkla tespit edilebilir.

o Nonresident Virüsler

Bu tip virüsler bellekte yerleşik kalmayan virüslerdir.Ancak bulaştıkları program çalıştığında aktif hale geçerler.Aktif hale geçer geçmez kendilerini bir veya daha fazla dosyaya kopyalarlar.dosya tipi virüs ise bulaştıktan sonra kontrolü asıl programa bırakır. Eğer boot virüs ise bulaştıktan sonra kontrolü işletim sistemine bırakır.Resident virüslere oranla daha iyi ve sinsi bir şekilde korunabilirler.Çünkü bulaştığı program çalıştığı esnada ve kısa bir sürede tahribatını yapıp geri çekilirler.Bellek haritaları ile tespit etmek oldukça zordur.

Nonresident olarak yazılmış boot sektör virüsü pek etkili değildir.Çünkü bir disketten diğerine bulaşabilmesi için bellekte sürekli aktif olması gerekir.Bu yüzden bu tip yazılan virüsler genellikle dosya virüsleridir.

• Etkilerine Göre Virüsler

Etkilerine göre virüsleri iki ana başlık altında toplamak mümkündür.Bunlar:

1-Boot Sektör Virüsleri :

A-Master Boot Record

B-Normal Boot Sektör Virüsleri

2-Program (Dosya) Virüsleri:

A-COM dosya Virüsleri

B-EXE dosya Virüsleri

C-Diğer Virüsler

o Boot Sektör Virüsleri

 Master Boot Record (MBR/Partition Table) Virüsleri :

Boot sektör virüsleri hard diskin veya floppy disketin ilk sektörlerine bulaşır.Dosya viruslerinden farklılıkları dosya çalıştırılmadan aktif hale geçmeleridir. Bilindiği gibi bilgisayar açıldığı zaman ilk devreye giren ünitesi BIOS’ tur.BIOS harddisk'in boot sektöründen geçerli partition table(reverse Word format) imzasını arar.Eğer bu imzayı bulabilirse bu bloktaki bilgileri RAM belleğe okur.Virüs kendisini bu imza yerine veya okunacak bloğa yazdığı taktirde problem burada ortaya çıkar.BIOS'un okuması sırasında partition imzasını gizleyebilir.BIOS görevini tamamlayamayacağı için , bilgisayar açılmaz.Bloğun okunması sırasında virüs yazıcısının belirlediği bir kesme çağırılabilir.Bu durumda bilgisayarın açılması kesintiye uğrar.Blok okunup, Ram belleğe aktarıldıktan sonra ,virüsün etki kısmı çalışarak bilgisayarı reset edebilir veya bir jump komutu ile okunması gerekli olan bazı dosyaları okutturmadan sistemin yanlış yüklenmesini sağlayabilir.İşte bu türlü işlemler virüs yazmanın mantığını oluşturur.

 Normal Boot Sektör Virüsleri :

Floppy disketlerinde partition table bulunmaz.Aslında harddiskteki partition table'de boot sektördür.Fakat birden fazla işletim sistemi yükleyebilmek için bölümlendirilmişlerdir.Yukarıda hard disk için açıklanan imzalara benzer.İmzalar disketin sıfırıncı sektöründe de vardır.Virüs bilgisayarın hard diskten açılması sırasında yaptığı işlemleri floppy disketten açılma yapıldığında da yapar.

İster hard diskten , İster floppy disketten boot yapılsın daha işletim sistemi yüklenmeden virüs yüklenmiş olur.İşletim sisteminden önce yüklenmesinden dolayı işletim sistemini istediği gibi yönetebilir.Yani kaleyi içten kuşatmıştır ve savunmayı yenmiştir.

Virüs kendisini partition sektöre veya boot sektöre yazabileceği gibi FAT'a (dosya yerleşim tablosuna)veya partition bölümleri arasına da yazabilir.Buradaki yapacağı işlemlere dosya yerleşim tablosunu bozmak aranılan kütüğü gizlemek gibi örnekler verilebilir.

Her iki çeşit virüsünde çalışma algoritmasının aşağıdaki gibi olduğu söylenebilir.

1-Belirtilen yere bulaşmak için kendini gizle

2-Orijinal boot/MBR sektörünü kontrol altında tut

3-Kendi virüs imzanı ara ve daha önce bulaşıp bulaşmadığını denetle

4-Bulaşılmış ise hareketsiz kal ve boot sektörü terk et

5-Bulaşılmamış ise Kendi kodlarını belirtilen şartlarda boot sektöre yaz

6-Duruma göre hareket et.Gerekiyorsa Resident olarak yerini al

7-Birinci basamaktan itibaren görevine devam et

o Program (Dosya) Virüsleri

Program virüsleri çalıştırılabilir dosyalara bulaşabilen virüslerdir.Programların tanımlanan yerlerine kendilerini kaydederek onlarla beraber çalışırlar.Bu yüzden programın çalıştığı her bilgisayara kolayca bulaşırlar.

Program virüslerinin DOS'un kullanılma özelliklerine göre birkaç tipi vardır.Hangi tip olursa olsun çalışma algoritması hemen hemen aynıdır.Değişik olan kısımları ; gizleyici ve bomba bölümleridir.Kopyalama bölümleri genellikle aynı mantığa dayanır.

o COM Dosya Virüsleri :

Daha önceki bölümlerde açıklandığı gibi DOS ortamından uzantıları COM ,EXE ve BAT olan dosyalar doğrudan çalıştırılabilirler.Bu tur virüslerin yazılımında temel mantık budur. COM uzantılı dosyalar 64 KB 'lık bir segment üzerindedir.COM uzantılı bir program çalıştırıldığı zaman ,DOS tüm bellek alnını bu dosyanın kontrolüne birakır.COM dosya virüsü en kolay ve en hızla yayılan bir virüstür.Virüsün kopyalama kısmı , virüslü bir dosyadan diğerine kopyalama yapar.Kendisine zarar gelmemesi için ,com dosyanın başlangıcını saklar ve kendisinin bir kısmını buraya , bir kısmını da dosyanın sonuna yazar.Virüs yazarının tanımladığı işlemleri ise program çalıştığı sürece yerine getirir.

o EXE Dosya Virüsleri :

EXE dosya virüsleri COM dosya virüslerinden biraz daha farklıdır.EXE dosya virüsü COM dosya virüsü gibi kendisini dosyanın başlangıcına yazmaz.EXE programın başlığında ufak tefek değişiklikler yapmak onun için yeterlidir.Kendisini büyük oranla programın en sonuna yazar.EXE bir dosyaya virüsün kendisini yazması COM dosyaya oranla daha zordur.Genelde minimum bellek ihtiyacını yükselterek etkilerini gösterirler.

• Platformlara göre virüsler

o PC Virüsleri

PC virüsleri kişisel bilgisayarlar(PC’ler) ve DOS ortamı için yazılmış virüslerdir.Bu tür virüsler daha çok DOS ortamında çalışmaları için yapılmalarına rağmen Windows 95 Windows 98,Windows ME,Windows NT ve OS/2 işletim sistemlerinde de çalışabilmektedirler.

o Macintosh Virüsleri

Macintosh virüsleri PC virüsleri kadar problemler çıkarmazlar. Macintosh işletim sisteminde çalışabilecek virüs sayısı gerçekten çok azdır.Bu tür virüsler daha çok okullardan temin edilmektedir. Microsoft ürünü olan işletim sistemlerinin(DOS, Windows...) yaygınlığı göz önüne alındığında,Macintosh işletim sistemi için yazılmış virüslerin azlığı doğaldır.

• Diğer Platformlar

Virüsler hemen hemen her tür bilgisayarda bulunabilirler.Örneğin;gelişmiş hesap makinaları,eskiden var olan Commodore 64 ve Unix bilgisayarları gibi sistemler.

• Diğer Virüsler

Yukarıda bahsedilen virüslerin dışında bilinen BAT ve SYS dosya virüslerde vardır.Bunlara da kısaca değinelim.

o BAT Dosya Virüsleri

DOS ortamından çalıştırılan 3. dosya ,BAT uzantılı dosyalardır.Bu dosyalar binary komut düzeninde olmayıp ASCII komut düzenindedir.

Önceki konulardan hatırlanacağı gibi uzantısı BAT olan dosyalar toplu işlem dosyalarıdır ve kapsamlarında birçok toplu işlem komutlarını içerirler.BAT dosya virüsleri toplu işlem dosyası içerisinde kullanılan emirleri birer COM uzantılı dosyaya çevirirler.Bu durumda sanki bir COM uzantılı dosya çağrılmış gibi çalıştırılmak istenir.Örneğin “CALL” emri karşısında CPU ne yapacağına karar veremediği için sistem ya kilitlenir veya bir interrupt ile kesintiye uğrar.Kullanıcıyı hayret içinde bırakan ilginç virüs tipleridir.

Bazı BAT dosya virüsleri DIR komutunun işlevlerinden yararlanır.DIR komutu çalıştırıldığında , değişik isimli yeni bir dosya oluştururlar.Oluşturulan bu dosya ile debug programını çalıştırır.Kendisini çalıştırmakta olan BAT uzantılı dosyaya adapte edecek yeni program yazar.BAT uzantılı dosya çalıştırıldığında bu dosya içerisinde kendi dosyasını da çalıştırır.

o SYS Dosya Virüsleri

SYS virüsleri oldukça zor yazılan virüslerdendir.SYS dosyalarının başlığını değiştirerek kendilerini kopyalarlar.Resident olarak anti-virüslerden önce yüklenirler.Bu yüzden anti-virüs programı tarafından görülemezler.

Genellikle kurulabilir ünite sürücülerinin işlevlerini engelleyecek şekilde görev yaparlar.Bellek haritasını veren programlarla yakalanması oldukça zordur.

Virüslerin Adlandırılması

Bir virüs adı üç kısımdan oluşur : önek (prefix), ad ve sonek (suffix). Norton Anti-virüs yazılımı virüsleri bu şekilde adlandırmaktadır.

• Önek, virüsün çoğaldığı platformu veya virüs türünü belirtir. DOS virüsleri genelde önek içermezler.

• Ad, virüsün aile adıdır.

• Sonek her zaman olmayabilir. Sonekler aynı ailenin varyantlarını ayırdetmek için kullanılır. Genellikle virüsün boyutunu belirten bir numara ya da bir harftir.

Bu üçü şu biçimde yazılır : Önek.Ad.Sonek.

Örnek olarak WM.Cap.A Cap ailesinin A varyantıdır. WM ise bir Word Makro virüsü olduğunu belirtir. Şu önekler öngörülmüştür :

Önekler

WM Word6.0 and Word95 (Word7.0) altında çoğalan Word Makro virüsleri. Word97 (Word8.0) altında da çoğalabilirler ancak aslen Word97 virüsü değildirler

W97M Word97 Makro virüsleri. Bunlar Word97 için yazılmışlardır ve sadece Word97 altında çoğalırlar.

XM Excel5.0 ve Excel95 için yazılan Excel Makro virüsleri. Bu virüsler Excel97 içinde de çoğalabilirler.

X97M Excel97 için yazılan Excel Makro virüsleri. Bu virüsler Excel5.0 ve Excel95'de de yayılabilirler.

XF Excel Formula virüsleri. Daha yeni Excel belgeleri içine gömülü (embedded) eski Excel4.0 gömülü çalışma sayfalarını kullanırlar.

AM Access95 için yazılan Access Makro virüsleri. A97M: Access97 içinde çoğalabilen Access Makro virüsleri.

W95 Windows95 işletim sistemindeki dosyalara bulaşan Windows95 virüsleri. Windows95 virüsleri çoğunlukla Windows98'i de etkilerler.

Win Windows3.x işletim sistemi altındaki dosyalara bulaşan Windows3.x virüsleri.

W32 Tüm 32-bit Windows platformlarında etkili 32-bit Windows virüsleri.

WNT Windows NT işletim sistemlerinde etkili 32-bit Windows virüsleri

HLLC High Level Language Companion virus. Bunlar genellikle yayılmak için ek bir dosya yaratan DOS virüsleridir.

HLLP High Level Language Parisitic virus. Bunlar genellikle kendilerini bir başka dosyaya iliştiren DOS virüsleridir.

HLLO High Level Language Overwriting virus. Bunlar genellikle host (ev sahibi) dosyaların üzerine kendi bulaşıcı kodlarını yazan DOS virüsleridir.

Trojan/Troj Bunlara virüs değil, Trojan Horse (Truva Atı) denir. Kendilerini faydalı programlarmış gibi gösterirler ancak zarar verici programlardır. Çoğalmazlar.

VBS Visual Basic Script programlama diliyle yazılan virüslerdir.

AOL America Online (Amerika Birleşik Devletlerinde bir internet servis sağlayıcı şirket) ortamına özgü Trojanlardır ve genellikle AOL parola bilgilerini çalmak için yazılmışlardır.

PWSTEAL Parola çalan Trojan programlardır

Java JAVA programlama diliyle yazılan virüsler.

MAKRO VİRÜSLER

Word Makro Virüsleri Nedir?

Makrolar, kullanıcıların işlerini kolaylaştırmanın yanında,kullanıcının bilgisi dışında yazılmış makrolarda kullanıcıların bilgisayarlarına büyük zararlar verebilir.

Kendini kopyalama özelliği olan ve kullanıcının izni olmadan çeşitli görevleri yerine getiren makrolara “Makro Virüs” denilmektedir.Makro virüsler geniş uygulama alanına sahip Word, Excel,Access,PowerPoint,Project,Corel Draw...vs. gibi programların içinde bulunabilir.

Makro Virüslerin yapabileceği görevler,makronun yazıldığı programlama dilinin özellikleriyle sınırlandırılmıştır.Programlama dili,makronun yenilenmesine ,yayılmasına ve bilgisayarı etkilemesine olanak sağlar.En çok kullanılan makro dili olan Visual Basic for Applications (VBA) virüslerin yazımı için geniş özellikler sağlar.VBA gibi makro dillerinin gelişimiyle birlikte Makro Virüslerinde etkinliklerinin artacağı unutulmaması gereken bir gerçektir.Daha komplike bir makro diliyle yazılmış Makro virüsler çok daha zararlı sonuçlar ortaya çıkarabilirler.Bu gelişmiş makro dillerinin uygulamalarda daha sık kullanılmaya başlanmasıyla makro virüsler için olan potansiyel artmıştır.Geçmişte virüs yazan kişiler,virüs yazmak için makro dillerini pek tercih etmemişlerdir.Muhtemelen bunun nedeni ise geleneksel şekilde makro yazımının pek ilgi çekici olmaması yada virüs yazan kişilerin makro dillerindeki potansiyeli keşf edememelerindendir.

Makro virüslerin ortaya çıkmasından önce ,bilgisayar virüsleri çalıştıkları platformlara mahsuslar idi.Örneğin; PC virüslerinin sadece PC’lerde ,Unix virüslerinin sadece Unix makinalarında çalışması gibi.Bilindiği gibi programlar,bilgisayarın kullandığı işletim sistemine göre değişiklik gösterir.Öyle ki,Microsoft Office gibi,hem Macintosh’ larda hem de PC’lerde çalışabilen uygulamalar bile,temelde ,işletim sisteminden dolayı değişiklikler gösterir (Office’in Macintosh versiyonu Windows95 işletim sistemi ile çalışan bir bilgisayarda çalışmaz.).Word’ün yeni versiyonlarında kullanılan VBA’ya ekstra özellikler eklenerek oluşturulan WordBasic makro dili uygulamada özel,fakat platformda özel değildir,yani başka bir deyişle platformdan bağımsızdır.Bunun anlamı;virüs yazan kişilerin hem PC’lerde hem de Macintosh’larda çalışabilen virüsler yazabilecek durumda olmalarıdır.

Makro Virüs yazmak için kullanılan tek program MS Word’ün makro dili, WordBasic değildir.MS Excel ve Lotus Ami Pro gibi programlar içinde yazılmış makro virüsler mevcuttur.Fakat Word’ün kullanım alanının diğer programlara göre daha yaygın olmasından dolayı,Word ile birlikte aktif olan makro virüsler bir hayli fazladır.

Makrolar,dokümanlar içlerinde metin ve metin formatı bilgileri taşımaktan ziyade,grafik dosyaları,video dosyaları gibi şeyleri “taşıyıcı” bir hale gelmişlerdir.Eskiden WordPerfect’te yazılmış olan makrolar,WordPerfect’in dışında,dokümandan bağımsız bir DOS dosyası olarak kayd edilmekteydi.Word’ün yeni versiyonlarında ise makro,Word dokümanının içine yerleştirilmektedir.Bunun sonucu olarak Word dokümanı,makro virüsün bilgisayardan bilgisayara yayılmasında aracılık etmektedir.

Peki virüs nasıl bir dokümandan diğerine geçebiliyor?Buna cevap olarak Normal Şablonu üzerinden diyebiliriz.Normal Şablonu, otomatik makroların ve Word biçimlerinin kodlarının bulunduğu belgedir.Normal Şablonda bulunan makrolar,güvenlik düzeyi sorgulanmadan,tüm dokümanlar için gerçeklenir.

Biçimler yada stiller ,emirleri formatlama koleksiyonlarına verilen isimlerdir.Mesela bölüm başlıklarındaki,yazı biçimini, büyüklüğünü ve özelliklerini belirlemek için “Bölüm Başlığı” adlı bir stil oluşturulabilir (Arial,24pt,Bold gibi) ve “Bölüm Başlığı” adlı stil uygun menüden seçildiğinde,yazılan metne stil otomatik olarak uygulanmış olacaktır.Eğer bu stili,yazılan tüm dokümanlarda kullanmak isteniliyorsa ,stilin adını “Normal” olarak değiştirmek yeterli olacaktır. ”Normal” stili Word’ün başlangıçta dokümanlar için varsaydığı stildir.Bu varsayılan stil Normal.dot (Normal Şablonu) adında bir dosyada saklar. Normal.dot dosyası da diğer dokümanlar gibi makro virüs taşıyabilir.Bütün yeni oluşturulan dokümanların Normal.dot dosyasının üzerine kurulmasından beri,eğer Normal.dot virüslenmişse,daha sonra oluşturulan bütün yeni dokümanlarında virüslendiği görülebilir.

Makro Virüs Tehlikesi Nasıl Başladı?

Makro Virüs terimi beş yıldan daha uzun bir süredir kullanılmaktadır.Makro virüs yayılımına karşı geliştirilen pek çok güvenlik önlemine rağmen hâlâ makro virüsler milyonlarca bilgisayar kullanıcısında korku yaratmaya devam etmektedirler.

İlk MS Word makro virüsü ”Concept” Ağustos 1995’te,Windows 95 ve MS Office’in yeni versiyonunun çıkması ile birlikte ortaya çıktı.Birkaç gün içinde bu virüs, dünya çapında on binlerce bilgisayara bulaşarak büyük bir salgına yol açtı ve tüm dünyada büyük bir yankı uyandırdı.Burada belirtilmesi gereken bir noktada,anti-virüs şirketlerinin bu yeni virüs çeşidine hazır olmamalarıydı.Bu yüzden anti-virüs şirketleri, anti virüs yazılım motorlarını değiştirmek yada yeni anti-virüs motorları üretmek zorunda kalmışlardır.

İlk MS Excel makro virüsü olan “Laroux” ’da Temmuz 1996’da ortaya çıkmıştır.Bu virüs aynı anda ,dünyanın farklı bölgelerinde bulunan (Güney Afrika ve Alaska) iki petrol şirketinin faaliyetlerini felce uğratmıştır.

Mart 1997’ye meşhur Melissa virüsünün yazarı David Smith’in yazdığı “ShareFun” adlı virüs damgasını vurmuştur.

Mart 1998’de,başka bir Office uygulaması olan MS Access , “AccessiV” adında bir virüse karşı kurban durumuna düşmüştür.yaklaşık bir yıl sonrada MS PowerPoint makro virüsü olan “Attach” adlı virüsün saldırıları başlamıştır.

1999’da makro virüslerin sayısı ,virüslerin başka programlarda da çalışmaya başlamasıyla hızla artmıştır.Mayıs ayında Corel Draw grafik editörü makro virüsü olan “Gala” ve Ekim ayının sonuna doğru ortaya çıkan MS Project görev zamanlayıcısı makro virüsü olan “The Corner” virüsü ve Mart ayının sonunda çıkan “Melissa” virüsü 1999 yılında çıkan virüslere örneklerdir.

1999’da ortaya çıkan ve “Multi-platform makro virüsleri” olarak tanımlanan çeşitli virüsleri de görmekteyiz.Bu virüslerin özelliği,birkaç Office uygulamasında birden çalışabilmeleridir.Aynı anda Word,Excel ve PowerPoint dosyalarının üçünü birden etkileyebilen,bilinen ilk virüs olan “Triplicate” bu tür virüslere örnek olarak gösterilebilir.Bu tür virüsler bilinen virüsler içinde en komplike olanlarıdır.Bu virüslerin kullandığı Stealth tekniği (virüsü,doküman içinde görünmez yapar) ve Polymorphism (virüsün zaman zaman kodunu değiştirmesi,şifrelemesi) nedeni ile tespit etmek ve yok etmek çok zordur.

2000 Love Bug (diğer adıyla LoveLetter) bugüne kadarki en başarılı e-posta virüsü oldu. Palm işletim sistemi için de ilk virüs boy gösterdi, ancak hiçbir kullanıcıya bulaşmadı.

Niçin Makro Virüsler Bu Kadar Yaygındır?

Geçmiş yıllar boyunca makro virüsler listelerde sürekli zirvede kalmışlardır.Uluslar arası Bilgisayar Güvenliği Birliği’ne göre makro virüsler,virüsler içinde üçte ikilik bir yere sahiptirler.Kapersky Laboratuarlarına göre de bu oran yaklaşık olarak %55 civarındadır.Bu oran bile makro virüslerin yaygınlığını göstermeye yeterlidir.Makro virüslerin bu kadar yaygın olması şu faktörlere bağlanabilir.

• Makro virüslere karşı savunmasız olan Office uygulamaları,kullanıcılar arasında son derece yaygın olarak kullanılmaktadır.Günümüzde,tüm bilgisayar kullanıcıları Office yada Office’e benzer uygulamaları günlük çalışmalarında kullanmaktadırlar.

• Bu uygulamalar için geliştirilmiş anti-virüs sistemlerinin sağladığı güvenlik derecesi çok düşüktür.Microsoft uzmanlarının MS Office 2000’de güvenlik probleminin çözüleceğini söylemelerine rağmen ,Office uygulamaları geçmişte olduğu gibi makro virüslere karşı savunmasız kalmıştır.

• Bir makro virüs yazmak çok basittir.Mesela MS Word için bir virüs yazmak isteyen birinin ihtiyacı olan sadece VBA Programlama dilinin temellerini öğrenmektir.Diğer programlama dilleri ile karşılaştırıldığında VBA,içlerinde en basit ve öğrenilmesi en kolay olanıdır.Aynı zamanda VBA sahip olduğu özellikler ile de virüs yazan kişiye bilgisayardaki bilgilere zarar verme ve bilgisayarı uzun süre kullanılmaz hale getirme imkanı verir.

• Çoğu Office uygulaması MS Outlook yada MS Exchange gibi posta programlarıyla uyumlu olarak çalışmaktadır.Bu,makro virüslere posta programlarına erişme imkanı sağlar.Böylece makro virüs kendini çok hızlı bir şekilde milyonlarca bilgisayara yayabilir.

• Bilgisayar kullanıcıları arasında en çok paylaşılan dosya türleri Word dokümanlarıdır.İnsanlar,arkadaşları ve tanıdıkları ile hiç şüphe duymadan dokümanları değiş tokuş ettikleri için makro virüsler şüphe duyulmadan çalıştırılabilmektedir.

HACKER TARİHİ

1969 Öncesi. Önce bir telefon şirketi vardı Bell Telephone, Ve zamane hacker’ları Tabii, 1878’de onlara hacker denmiyordu henüz. Telefon santrallerine operatör olarak alınmış, onun telefonunu buna, bununkini ona bağlayan şakacı birkaç genç idi.

ABD’nin dahiler çıkaran ünlü üniversitesi MIT’de (Massachusetts Institute of Technology) bilgisayarlar kullanılmaya başlandığında, bazı öğrenci ve asistanlar, bu makinelerin nasıl çalıştığını çok merak ettiler, bu yeni teknoloji hakkında ne varsa öğrenmeye çalıştılar. O günlerde bilgisayarlar, ısı kontrollü cam odalarda kilitli olan devasa makinelerdi.

Bu ağır metal yığınlarını çalıştırmak binlerce dolara mal oluyordu. Programcılar bu dinozorları pek de kolay kullanamıyordu. Bu yüzden, zeki olanlar, hesaplama işlemlerini daha çabuk yapabilmek için “hack” dedikleri programlama kısa yolları yarattılar. Bazen bu kısa yollar orijinal programdan daha iyi tasarlanmış oluyordu.

Belki de bütün zamanların en iyi hack’lerinden biri, 1969’da, Bell laboratuarlarındaki iki çalışanın, Dennis Ritchie ve Ken Thompson’un bilgisayarların artık açık kurallarla çalıştırılması gerektiğini düşünmesiyle yaratıldı. İkili, geliştirdikleri bu yeni standart işletim sistemine UNIX ismini verdiler.

1970-1979. 1970’lerde siber cephe alabildiğine açıldı. Bu işle ilgilenen herkes, kablolarla bağlanmış bir dünyanın nasıl çalıştığını araştırmaya ve bulmaya çalışıyordu. 1971’de, John Draper isimli bir Vietnam gazisi, Cap’n’Crunch (mısır gevreği markası) kutusundan çıkan promosyon düdüklerin 2600 MHz tonda ses çıkarttığını fark etti. Bedava telefon görüşmesi yapmak için düdüğü telefonun alıcısına üflemek yeterliydi.

O zamanın hacker’ları, “phreaking” adı verilen bu tür yöntemlerin kimseyi incitmediğini, telefon hizmetinin sınırsız bir kaynak olduğunu ileri sürüyorlardı. Hackerlar dünyasında tek eksik sanal bir kulüp binası idi. Dünyanın en iyi hacker’ları nasıl tanışacaklardı 1978 de, Chicago’lu iki genç, Randy Seuss ve Ward Christiansen, ilk kişisel BBS’i (Bulletin Board System - Yılan Tahtası Sistemi) kurdular. BBS’ler günümüzde halen çalışıyor.

1980-1986. Bildiğiniz gibi IBM firması, 1981’de bağımsız işlemcisi, yazılımı, belleği ve depolama birimleri olan yeni bir bilgisayarı duyurdu. Bu modele PC (Personal Computer-Kişisel bilgisayar) adını verdiler. Bu makinelerden biriyle istediğinizi yapabilirdiniz. Gençlerin Chevrolet’lerini bırakıp PC’lere, “Commie 64” (Commodore64) ve “Trash-80”lere (TRS80-Tandy) düştükleri zamanlardı bunlar.

1983 yılında çevrilen War Games (Savaş Oyunlary) adlı film, hacker’lıgı farklı bir cepheden ele aldı: Bu film izleyicileri hacker’ların her bilgisayar sistemine girebileceği konusunda uyarıyordu.

Her geçen gün daha fazla kişi online dünya ile tanışıyordu. Askeri amaçlarla kurulan, sonradan üniversiteler arasında bir ağ haline gelen ARPANET, artık Internet’e dönüşüyordu; BBS’lere karşı tam bir ilgi patlaması yaşanıyordu. Milwaukee’de kendilerine The 414’s diyen bir hacker grubu, Los Alamos Laboratuarlaryndan Manhattan’daki Sloan-Kettering Kanser Merkezi’ne kadar değişen pek çok kurumun sistemine girdiler. Artık polisin işe karışma zamanı gelmişti.

Büyük Hacker Savaşı. 1984’e, kendine Lex Luthor adını veren bir kişi Legion Of Doom (LOD - Kıyamet Lejyonu) adlı hacker grubunu kurdu. Adını bir çizgi filmden alan LOD, en iyi hackerlara sahip siber-çete olarak ün saldı. Ta ki grubun en parlak üyelerinden Phiber Optik isimli gencin, grubun bir diger üyesi Erik Bloodaxe ile kavga edip kulüpten atılmasına kadar. Phiber’in arkadaşları rakip bir grup kurdular: Masters Of Deception (MOD). 1990’den itibaren, LOD ve MOD, iki yıl boyunca online savaşlar sürdürdüler, telefon hatlarını kilitlediler, telefon görüşmelerini dinlediler, birbirlerinin özel bilgisayarlarına girdiler. Sonra Federaller (FBI) olaya el attı, Phiber ve arkadaşları tutuklandı. Bu olay, bir dönemin sonunun geldiğini haber veriyordu.

Yasaklar (1986-1994). Devlet de online olunca, eğlence bitti. Kongre, ciddi olduklarını göstermek için, 1986’da Federal Computer Fraud and Abuse Act (Federal Bilgisayar Sahtekarlıgı ve Kötüye Kullanma) adı altında bir yasa çıkardı. Bu boyutta hacker’lık ağır bir suç oldu.

1988’de Robert Morris Internet worm (Internet solucan’ı) adını verdiği bir hack yöntemi ile ortaya çıktı. Net’e bağlı 6000 bilgisayarı göçerterek, yeni yasayla yargılanan ilk kişi oldu. Sonuç: 10.000 dolar para cezası ve çok fazla saat toplum hizmeti.

Bir süre sonra, tutuklananları saymak için parmaklar yetmemeye başladı. Aynı yıl Condor takma adıyla tanınan ünlü hacker Kevin Mitnick, Digital Equipment Company şirketinin bilgisayar ağına girdi. Yakalandı ve 1 yıl hapis cezasına mahkum oldu. Sonra adaşı Kevin Poulsen telefon hatlarına girmekle suçlandı. Kevin hemen ortadan kaybolarak 17 ay boyunca saklandı.

Sundevil Operasyonu, ABD hükümetinin ülkedeki tüm hacker’ları (LOD dahil) ele geçirmek için 1990’da başlattıgı bir operasyondur. Bu girişim bir işe yaramadı; ancak bir yıl sonraki Credux operasyonun MOD’ın 4 üyesinin hapisle cezalandırılmasıyla sonuçlandı. Phiber Optik federal hapishanede bir yıl geçirdi.

1994’den Bugüne. 1994 yazında, Rus mafyasının eline düştügü ileri sürülen Vladimir Levin adlı bir genç, Citibank’ın bilgisayarlarına girerek müşterilerin hesaplarından, bir söylentiye göre 10 milyon dolardan fazla parayı (resmi açıklamaya göre 2.5 milyon dolar) İsrail’deki banka hesaplarına transfer etti. Levin, 95 yılında Interpol tarafından Heatrow Havaalanında tutuklandı; Citibank yaklaşık 400.000 dolar haricinde tüm parasını geri aldı. Hackerların ard arda tutuklanması siber ortamda ani bir dolandırıcılık azalmasına neden oldu.

Bunu ister anarşinin sonu, ister serbestliğin ölümü olarak adlandırın, artık hacker’lar romantik anti-kahramanlar, sadece bir şeyler öğrenmek isteyen farklı (tuhaf) insanlar olarak kabul edilmiyorlardı. Dünya piyasasını Net üzerinden yönetme vaadiyle filizlenen online ticaret, korunmaya ihtiyaç duyuyordu. Hacker’lar birden dolandırıcı niteligi kazandılar.

Peki şimdilerde neler oluyor? Internet dünyasında yasadığı yöntemlere sıkça başvuruluyor, ancak eskisi gibi efsaneleşmiş isimler çıkmıyor.

Yine de Aldous Huxley’in bir zamanlar söylediği gibi, olaylar görmezlikten gelinmekle yok olmazlar. Bilgisayar yer altı dünyasında hep söylenen şu sözü de unutmayın: iyi bir hacker’san, ismini herkes bilir. Ama büyük bir hacker’san kimse kim olduğunu bilmez.

HACKER VE LAMER

Lamer : 14 ile 50 yaş arası bir kitledir, fazla bir bilgiye sahip olmaksızın ve fazla bir emek harcamadan site kırmak veya başkalarının bilgisayarlarına girmek gibi işlerden haz duyarlar, %100 oraninda hazır bilgiye bağımlı oldukları için bu camiadan pek fazla yeni fikir çıkmaz. Hacker : 17-25 yas arası bir kesimdir, bu yaş gurubundakiler bilgisayarın Türkiye’de yeni yeşerdiği zamanlardan beri bilgisayar kullandıklarından oldukça maharetlidirler tabi olarak. Çoğunlukla en az bir bilgisayar dili veya işletim sistemi üzerine yoğun bilgi sahiptirler, bilgisayar hayatlarının önemli bir kısmını meşgul eder. Bilgi paylaşımı esas teşkil ettiği için bir bilgiyi alır geliştirir ve diğer hackerlar ile paylaşırlar. Hackerlık ile lamerlik farklı şeylerdir, ancak biri diğerinden kötü falan değildir. Bu daha çok fotograf makinesi olan bir insanla, fotoğrafçılık yapan bir insanı karşılaştırmak gibi bir durum olur.

HACKERLERİN KULLANDIKLARI YÖNTEM VE PROGRAMLAR

• TROJANLER

Hackerlar trojan (diğer adı ile RAT=Remote Access Tools) adı verilen programları kullanırlar.Peki trojan nedir? Adını Truva Atı'ndan alan programcıklar olan trojanların ikiyüze yakın çeşidi mevcut ve her gün yenileri çıkmakta.Hepsinin çalışma yöntemi aşagı-yukarı aynı.Server,client ve editör denen üç parçadan oluşuyorlar.En sık kullanılanlardan bazılarının adlarını söylemek gerekirse ; Bladerunner, Deepthroat, Girlfriend, Schoolbus, Netbus, Subseven, Striker, Doly, Wincrasher, Voodoo, Netsphere .Dediğimiz gibi sayıları iki yüze yakın, ancak hit olan sadece iki tane.Tüm dünya ile birlikte Türk hackerlarının gözdesi olan bu programlar Subseven ve Netbus trojanlardır.Bunlar arasından da en genel hatta Türk hackerlarının kullandığı program Subseven‘dır.

o SERVER'LAR

Trojan denilen programların ilk parçalarına server denilir.Hacklenecek bilgisayarda bir kez çalıştırılması yeterlidir.Çalıştığı bilgisayar net'e her bağlandığında,kullanıcının haberi olmadan,"ben buradayım ve bu bilgisayarın arka kapısını açtım,haydi bağlan" mesajını verecektir.Bilindiği gibi bir bilgisayarda yaklaşık 40000 kapı yani port vardır.Bunların ilk 1000 adedini bilgisayarınız kullanır.Kalan 39000 kapı normalde kilitlidir.İşte bu server adı verilen programlar, hırsızlar tarafından bu kapılardan birini açsın diye yazılırlar.Her trojanın açtığı bir kapı vardır. Subseven trojan en çok 1243 no'lu kapıyı açsın diye yazılır. Peki server denen bu ajan parça bilgisayarınıza nasıl girer.Bu işin en kolay yolu, server'ı masum bir programa yapıştırmaktır.Bu işi sağ mouse darbesi ile açılan kes-yapıştır modu ile yapamazsınız.Genellikle joiner, silkrope gibi programlar bu iş için yazılmışlardır.Nasıl kullanacağınızı ilerde anlatacağız.Serverları bir bilgisayarda çalıştırmanın diğer yolu icq, irc gibi sohbet programlarında güveni kazanılmış kişilere yollamaktır. Kullanıcı programa clikler ve artık bilgisayar işgale açıktır.Serverla enfekte hale gelmenin ülkemizdeki en sık nedeni net'ten bilinçsiz program indirmektir.Güvenilir bir siteden indirdiğiniz programları bile,açmadan önce kesinlikle iyi bir antivirus ve antitrojan programından geçirmek şarttır.Trojanları tanıyan antivirus programlarına AVP,antitrojan programlara da cleaner'ı ve Norton,McAfee,F-Prot gibi ünlü antivirus programlarını örnek verebiliriz.Subseven trojan üçlü bir pakettir.Piyasadaki son versiyonları 2.0 ve 2.1 Gold adlarını taşıyor.

o EDİTÖR

Server'ı islediğimiz şekilde kurmaya yarayan parçadır.Operasyonun en hassas bölgesi diyebiliriz.Önce EditServer yazan yeni dosya açılır.Açılan alttaki pencereden "next"e cliklenir.Burada size server'a nasıl ulaşabileceğini soran cümle ile karşılaşırsınız.Eğer server'ı A: disketine kaydedilmişse “a:server.exe” yazılır.Belgeler bölümüne kaydedilmişse “c:Belgelerimserver.exe” yazılır. Adresi yazıp alttaki next'e clicklenir yeni sayfaya geçilir.Bu sayfada server'ın hangi porttan yayın yapacağını sorar.1243 en iyisidir.Solundaki minik kutuyu işaretlenir.Altta pasaport yerleştirmek isteyenlere hitap eden satır vardır.Soldaki minik kutuyu işaretleyip iki kez pasaport girilir.En alttaki minik kutuyu işaretlenmez yoksa asla geri dönemezsiniz. Şimdi "server'ın adını koyun" sorusu çıkmaktadır.Default tuşu en iyisidir.Altta yerleştikten sonra izini kaybettir anlamına gelen küçük kutu var,işaretlenir.Beşinci aşama,server'ın ilk çalışması ile sahte bir hata mesajı verme opsiyonudur.Configure tuşu ile bir mesaj beğenilir.Bu bölüm opsiyoneldir.Yedinci bölümde kullanıcıya ad verilmesi istenir. Sekizinci bölümde,server nereye yerleşeceğini sorar.Less known ve unknown metotları seçilir.Eğer hata ile server'ı kendi aletinizde çalıştırırsanız, bir daha zor kurtulursunuz.Şimdi ki aşamada server'ı sonu exe ile biten bir programa yapıştırma şansı verilmekte.C: driver taranıp,istediğiniz bir programa yapıştırılarak kullanıcılara gönderilir.Alttaki soruda,başkalarının server'ınızı açmaması için pasaport sorulmaktadır.Sadece,save a new copy bölümünü tıklayıp yeni server'ımızın kaydı alınır.Sol en alttaki kutuyu işaretlenerek işlem bitirilir.

• KARŞI KULLANICIYI HACKLEME

Subseven programını açınca karşımıza çıkan programda öncelikle soldaki sıralı kutucuklardan "connection"ı seçilir.Beş bölümden ilk olarak ip scanner'ı seçin.Bildiğiniz gibi internete bağlandığında şirket tarafından bir numara verilir.Bu no'lar veezy'de 212.29 ile,turknet'te 212.57 ile, superonline'da 212.252 ile başlar.Sağda açılan start ip kutucuklarını doldurulur. Veezy kullanıcısını haclemek için 212.29.60.2 yazılır. end ip numaralarına 212.29.233.255 yazılır. Port kutusuna 1243, delay kutusuna 4 yazılır.Sağ üstteki scan tuşuna basınca,tüm bu numaralar aralığında bilgisayarında server olan şahısları arar.Bulduğu numaraları ortadaki büyük kutuda sıralar.Oltaya takılan bu no'yu enüstteki ip: yazan yere koyun.Sağdaki port no hala 1243 olmalı. Şimdi sağ en üstteki connect yazısına tıklanır.Bağlantı kurulunca en altta connected yazısı görülür.Eğer kurbandaki server pasaportla korunuyorsa members.xoom.com/netvampiri/files/subpass.exe dosyası çekilir.Bunu açıp,kurbanın ip numarasını yazılır ve change(değiştir)tuşuna basılırsa, pasaport predatox olarak değişir.Tekrar subseven'la kullanıcıya bağlanıp yeni pasaportu girilir.Connection bölümünde diğer bir şık,server options bölümüdür.Buradan kullanıcının server'ına yeni pasaport koyma, portunu değiştirme gibi olanaklara kavuşulur.İkinci bölüm keys/messages bölümüdür.Burada klavye girilirse, kullanıcının klavyede bastığı her tuş görülebilir. Get cache ve get recorded tuşları ile net şifrelerine el koyarsınız. Files / windows ana şıkkında file manager'a girerseniz kullanıcının tüm dosyalarına ulaşılır .İstediğiniz çekebilir hatta silinebilir.

Bir sonraki sayfada bazı trojan programı isimleri ve bunların bilgisayarlarımızda kullandığı portların numaraları verilmiştir.

PORT Trojan'ın ismi

21 - Fore, Invisible FTP,FTP, WebEx,WinCrash

23 - Tiny Telnet Server, Telnet, Wingate

25 - Antigen, Email Password Sender,Haebu Coceda, Shtrilitz Stealth, Terminator

31 - Hackers Paradise

80 - Executor

456 - Hackers Paradise

555 - Ini-Killer, Phase Zero, Stealth Spy

666 - Satanz Backdoor

1001 - Silencer, WebEx

1011 - Doly Trojan

1170 - Psyber Stream Server, Voice

1234 - Ultors Trojan

1243 - SubSeven Default Port

1245 - VooDoo Doll

1492 - FTP99CMP

1600 - Shivka-Burka

1807 - SpySender

1981 - Shockrave

1999 - BackDoor

2001 - Trojan Cow

2023 - Ripper

7301 - NetMonitor

7306 - NetMonitor

7307 - NetMonitor

7308 - NetMonitor

7789 - ICKiller

9872 - Portal of Doom

9873 - Portal of Doom

9874 - Portal of Doom

9875 - Portal of Doom

9989 - iNi-Killer

10067 - Portal of Doom

10167 - Portal of Doom

11000 - Senna Spy

11223 - Progenic trojan

12223 - Hack´99 KeyLogger

12345 - GabanBus, NetBus

12346 - GabanBus, NetBus

12361 - Whack-a-mole

12362 - Whack-a-mole

16969 - Priority

17000 - Kuang2

20001 - Millennium

20034 - NetBus 2 Pro

21544 - GirlFriend

22222 - Prosiak

23456 - Evil FTP, Ugly FTP

26274 - Delta

31337 - Back Orifice

ESSENTİAL PROGRAMI

Essential net tools (gerekli internet araçları) bu program bilgisayarlar arası dosya alışverişi sağlayan ve internet üzerinden paylaşımı açık insanların bilgisayarlarına girebilmenizi sağlar

Programı indirdikten sonra bilmemiz gerek ilk şey ip numarasının ilk iki epizotunun değişmedigi son 2 epizotunun değiştiğidir ve buna göre ip numarasının son epizotu 1 ile 255 arasında olduğundan biz bir ip numarası alındığında Starting IP yerine yazınca sonunu 1 Ending IP bölümüne yazınca da sonunu 255 yapılır.

Bulduğuz ip numarasını yazdıktan sonra Go tuşuna basılır ve o ip numarası arasındaki bütün bilgisayarlar çıkacak ondan sonra b RS bölümde YES yazan bilgisayarlara sağ tuş ile tıklayıp Open Computer denilir. Genelde ise C ve D gözükür öyle bilgisayarlara girip istenilen her şey yapılır.Unutulmaması gereken tek şey var oda paylaşımı açık bir bilgisayara girmek için bilgisayarımızın paylaşıma açık olması gerekir.

EXPLOİT PROGRAMLARI

Exploitler,bir sisteme erişim almak ya da sahip olduğunuz erişimi arttırmak için yazılmış küçük programcıklardır.Ayrıca exploitlerin işlevine göre serveri crash etme özellikleri de olabilir.Çeşitleri ;

Local Exploit :Local exploitler,sisteme erişimi olan kullanıcılar tarafından çalıştırılabilir.Bu tip exploitler sayesinde basit bir kullanıcı,sistemde yönetici hakkına bile kavuşabilir.

Remote Exploit : Remote exploitler, sisteme hiç bir giriş izni olmadan çalıştırılabilir.Bu tip exploitler sayesinde kendi bilgisayarınızda çalıştırdığınız bir script ile hiç bir erişiminiz olmayan bir bilgisayarı ele geçirebilirsiniz.

Cgi Exploitleri :Bu tip exploitler cgi scriptlerinde bulunan açıklardan yararlanırlar. Güvenlik sitelerinde yüzlerce cgi exploitlerine rastlayabilirsiniz.Günümüzdeki en popüler hacking yöntemlerinden biridir.Özellikle web üzerinde çalıştırılan scriptlerde programcının yaptığı hatalardan yararlanan kullanıcılar,önemli dosyalara ulaşarak sisteme zarar verebiliyorlar.

NUKE

Windows 3.1x, Windows 95 ve Windows NT de "Microsoft Network Client" vardır. Dosya ve yazıcı paylaşımı için geliştirilmiş bir teknik. Önceleri sadece NetBEUI protokolünü desteklerken bu gün TCP/IP veya IPX/SPX protokolü ile de bu client çeşidini kullanabilirsiniz. Nuke olayı bir bug'dan kaynaklanmaktadır. Eğer "Microsoft Network Client" i kullanıyorsanız bilgisayarınızda 137,138 ve 139 nolu portlar aktif demektir. Bilgisayarlar bu portlardan haberleşir. Ne yazık ki burada bulunan bir bug, başkalarının sizin bilgisayarınızı çökertmesine neden olmaktadır. Hatta yine aynı portlardan bilgisayarınıza girip şifrelerinizi çalabilir, dosyalarınıza erişebilirler.139 nolu porttan özel bir kod gönderilirse bilgisayarınız kesin çöker. Eğer bir patch uygulanmamışsa.Çözüm olarak Windows'unuzun ağ ayarlarından "Microsoft Network Client" i ve "NetBEUI" i kaldırılır. Eğer kullanmak zorunda olunursa Microsoft'dan patch alınır. Eğer işe yaramazsa "Microsoft Network Client" i TCP/IP ile kullanılır. Ayrıca nukler MIRC ,ICQ gibi sohbet programlarının bug (hata) larında dan yaralanılarak kullanıcı bilgisayara zara verilebilir. Aslında bu tür nukler işletim sistemine değil bu programların çalışmasını etkiler buda işletim sistemini etkileyerek dolaylı olarak sistemin durmasına yol açar.

Hackerlardan korunma yöntemleri

1)Tanımadığınız kişilerin yolladığı dosyaları almayın.Tanıdığınız kişilerin hatta arkadaşlarınızın da sizi hacklemeye çalışabileceğini de unutmayın!

2)Sürekli bir Antivirüs programı bulundurun ve sürekli internetten update (yani yeni virüsleri tanıması için) edin!(Antivirüs bölümünde gerekli programları bulabilirsiniz.)

3)İnternetten çektiğiniz veya başkalarından aldığınız dosyaları antivirüs kontrolünden geçirmeden açmayın!

4)Ara sıra hard diskinizin tamamını virüs taramasından geçirin.

5)İnternetten çektiğiniz ve bilmediğiniz programları sakın açmayın.Eğer güvenilir bir kaynaktan çektiyseniz ne olduğunu görmek için açabilirsiniz ama bir virüsse bilgisayarınızı bile çökertebilir.

6)E-Mail , İcq , vb. hesaplarınızda '111111' , 'asdf' , doğum tarihiniz , hayvanınızın ismi gibi şifreler kullanmayın.Bunları genelde tahmin etmesi kolaydır ve çabuk hack edilir.

7)E-Maillerinize gelen 'şifreniz kayboldu , hemen bilgilerinizi şu adrese bildirin' gibi mesajlarda bir hackerdan gelmiş olabilir.Bu hatta tanıdığınızdan gelen bir e-mailde olabilir..Ama bilen birinin istediği adresi göstermesi hiçte zor değil!Yani isterse size beyaz saraydan e-mail yollanmış gibi bile yapabilir...

Firewall ve Anti Virüs Programları

Firewall

Firewall diye bilinen programlar, bilgisayarınızın portları ile internet arasına yerleşerek yapancı veya sizin onaylamadığınız girişimlere mani olurlar. Özellikle bilgisayarınızda bir trojan var ise bile firewall sayesinde, trojan ile başkalarının size ulaşmasını önler. Firewall virüs veya trojan bulmaz sadece internete giriş kapılarınız olan portları kontrol altına alarak istemediğiniz bilgi giriş çıkışlarına mani olur. Bu programlar sık binen trojanların kullandıkları portları kontrol ederler veya bilgisayarınızda sizin kontrolünüz haricinde işlem yapıldığında sizi uyarırlar.

Ayrıca Firewall yerel ağın internete bağlı olduğu sitemlerde internet üzerinden gelen diğer istenmeyen kullanıcıların yerel ağa girmelerini önler bunun için firewall programının yerel ağı internete bağlayan ana bilgisayarlara veya sistemlere kurulur.

Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde firewall bulunması o networklerin güvenliği açısından bir gerekliliktir.

Firewall’ ların genel mantığı sisteminize onay verilmeden (authorization) kullanıcıların girmemesini sağlayarak sisteminizi teorik olarak dışarıdan görünmez hale getirmektir.

Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna adres filtreleme(Address Filtering) denir.

İki firewall bir arada düşünürsek; gateway’den ve ya gateway’e gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi oluştururlar.

Global Ağdaki bir makineye bağlanmak için, ilk önce gateway a bağlanmanız gerekir. Bunun ardından global networke geçebilirsiniz.

Nuke Nabber 2.9: IRC Kullanıcıları arasında en çok tercih edilen programdır. mIRC programının DDE adı verilen özelliği sayesinde Nuke adi ile genellenen ICMP saldırılarına karşı sizi korur. Programı kurduğunuz zaman dikkat etmeniz gereken nokta IRC’nin içerisindeki DDE Server ile Nuke Nabber 'in ayarlarındaki DDE Server’ın ayni ayarlara sahip olmasıdır, eğer bu ayarı doğru yapmazsanız programın hiç bir etkisi kalmaz. Ayarları yapmak için önce mIRC programında Options (Alt+O) mönüsüne girin. Ekrana gelen pencerenin solundaki bölmede General özelliğinin altında Servers bölümü bulunmaktadır. Servers özelliğini seçtiğiniz zaman pencerenin sağ kısmında açılan DDE Server kısmında “Enable DDE Server” seçeneğinin yanına işaret koyun ve Service Name kısmına mIRC ya da dilediğiniz bir isim yazın. Şimdi aynı ayarı Nuke Nabber programını açarak yapalım. Options mönüsünde General bölümünü seçin ve karşınıza gelen IRC client kısmından mIRC’yi seçin ve hemen altındaki DDE Services kısmında yer alan mirc ibaresini Del seçeneğiyle silin ve yerine Add diyerek mIRC programına eklediğiniz DDE Server adini girin ve pencerenin sağ kısmındaki Enable DDE Link seçeneğini aktif hale getirin. Artık program kurulumda gelen portlara karşı olan saldırıları engelleyecektir ve saldırının yapıldığı Internet adresini (IP) size bildirecektir. Programda daha gelişmiş ayarlar da yapılması mümkün. Örneğin Advanced mönüsü içerisinde ekli olan portlara yabancı bir paket geldiği zaman sizi bir sesle uyarmasını isterseniz General mönüsünde Play Sound seçeneğini aktif hale getirip Browse ile sisteminizdeki bir sesi bu özellik için tanımlayabilirsiniz. Herhangi bir porta yapılan saldırıyı, o portu yoğun paket trafiğinden korumak amacıyla (0-60) saniye süresiyle kapatarak etkisiz hale getirebilirsiniz. Bunun için ise Disable Port for 60 se conds seçeneğini aktif hale getirmelisiniz. Port tarayıcı programlar ile o an listen (dinleme) halinde olan yani potansiyel saldırıya açık port'larınızın bulunmasını istemiyorsanız Block Port Scanners seçeneğini aktif hale getirmelisiniz. Belirli bir adresten yoğun bir saldırı altındaysanız bu adresten gelen paketleri sonsuza dek reddetmeniz gerekebilir. Reddetmek için Ignore mönüsünden adresi yazabilir ve Add diyerek red listenize ekleyebilirsiniz. Artık yanlış nick şifresi girmek yada IRC sunucularının birbirlerinden kopmaları (split) dışında sizi hiç bir güç IRC sunucusundan düşüremez.

Conseal PC Firewall: Hem ev hem ofisinizi korur. Aslında büyük sistemleri korumak amacıyla hazırlanmış bu program ev kullanıcılarına da hitap ediyor, bildiğiniz gibi günümüzde Internet üzerinde AltaVista, Yahoo gibi büyük siteleri günlerce ulaşılamaz hale getirmiş saldırı programlarına erişmek mümkün, dolayısıyla evinizdeki bilgisayarı da nispeten büyük saldırılara karsı korumak için firewall kullanmak iyi bir çözüm olacaktır.

Lockdown 2000: Hem Firewall hem Trojan temizleyici, firewall olarak pek fazla özelliği bulunmayan bu program trojan temizleyici ve network koruyucu özellikleri de taşıyor. Programın içerisinde whois, traceroute gibi tarama yapabileceğiniz özelliklerin yanında, yeni bir versiyon çıktığı anda Internet site sine bağlanarak kendi kendisini yenileme özelliği de bulunuyor. Programın koruyucu özelliğini harekete geçirmek için uygulama penceresinde sol alt kısımda bulunan icq/nukes/troj yazısının yanındaki Options düğmesine tıklayın ve karsınıza gelecek ekranda 3 seçeneği de işaretleyin. Program ilk seçeneklerim ile bilgisayarınız açıldığı anda çalışmaya başlıyor ve trojanlara karsı sizi uyarabiliyor. ICQ programına yapılan saldırıları da engelleyen program tek basına yetersiz kalabilir ancak diğer programlarla birleştiği zaman etkisi artacaktır.

Zone Alarm: Yerel ağıda kontrol edin İşte gerçekten protokolleri ayırt edebilen ve sizi uyaran bir firewall programı. Bu program evinizdeki sisteminizi yardımcı programa ihtiyaç duymadan koruyacaktır. Programı çalıştırdığınızda dikkat etmeniz gereken noktalar pencerenin üst kısmındaki kilit işaretinin "Unlocked" olması, eğer bu yazı "Locked" ise firewall tüm internete çıkışınızı kilitler. Bu işaretin hemen altındaki mönüde 5 seçenek bulunuyor. Alerts: Programı çalıştırdığınız andan itibaren programın size yaptığı tüm uyarıları burada tek tek görebilir ve gözden kaçan uyarıları okuyabilirsiniz. Aşağıdaki Log Alerts to a txt file seçeneğinden bu uyarıları bir dosyaya kaydetmek de mümkün. Lock: Yukarıda anlattığımız Internet’i kitleme ve açma opsiyonu daha detaylı bir şekilde bu mönüde mevcut. İsterseniz bu meniden internete erişecek programları şifre ile çalıştırmanız mümkün. Security: Bu mönüde ise sisteminizde çalışan sunucuları ve yerel ağ korumasını ayarlayan Local ile Internet bağlantısını ayarlayan Internet seçeneği mevcut. Her ikisine de 3'er koruma seviyesi mevcut. Programs: Programlarınızın internette ve yerel ağa/sistem içine olan paket çıkışlarını şifrelemeniz yada açmanız mümkün. Configure: Programı nerede yer alacağını belirlemek, açılışta başlamasını ayarlamak, yada kendi sitesinden yeni versiyonlara yükseltme yapmak bu mönüden ayarlanabiliyor.

Black Ice Defender: Saldırıları grafiğe dönüştürün LockDown 2000'e benzer olarak koruma anlamında önünüze fazla seçenek sunmayan Black Ice Defender'in en büyük özelliği makinenize gelen paketlerin listesini önünüze sunması ve bu saldırıları seçerek hakkında bilgi sahibi olabilmeniz. Firewall’a çalıştırdığınızda karsınıza gelen ekrandaki Attacks seçeneğinden saldırıyı yapan adres, saldırı türü,boyutu ve zamanını görebilirsiniz. Intruders seçeneğinden saldırı yapan kısının adresine tıkladığınızda o makineden size gönderilen tüm paketleri görebilirsiniz. History seçeneğinde makinenize gelen paketleri zamana göre grafik haline getirebilirsiniz. Information mönüsü ise program hakkında bilgi sahibi olmanızı ve Buy seçeneği ile lisanslı kullanıcı olmanızı sağlar. Programı ayarlamak için Tools mönüsünden Edit Blackice Settings seçeneğine tıklayın ve karsınıza gelen yeni bir ekran ve mönüler olacak. Protection seçeneğinde 4 değişik seviye mevcut bulunuyor. Packet Logging seçeneğinde yapılan saldırıları bir log dosyasında saklamak ve sisteminizin basında olmadığınız anlarda yapılan saldırıları incelemeniz mümkün kilinmiş. Blocked Adresses ve Trusted Adresses seçeneklerinden istediğiniz IP adreslerini engellemeniz yada kısıtlamasız paket kabul etmeniz mümkün.

AT Guard: Firewall programı sizi internetten gelen tehlikelere karsı esnek ayarları ile koruyacaktır. Programı kurduktan sonra Settings özelliğini açın ve karsınıza gelen meniden ayarlamaları yapmaya başlayalım, Ad Blocker mönüsünde çeşitli kısaltmaları içeren web adreslerini blok etmeye ayarlayabiliriz. Bu kısaltmalar içerisinde örneğin "/ad/" geçenleri blok ediyorsak birçok sitede karsımıza çıkan reklam pencereleri gelmeyecektir. Privacy menusunda zararlı olabilecek çerezleri belirli kurallar ekleyerek zararsız hale getirebiliriz. Firewall menusu ise adından da anlaşıldığı gibi bizi en çok ilgilendiren kısım. Enable firewall seçeneğini işaretleyerek altta kullanıma açılacak kısımda kurallar eklememize olanak verecektir. General mönüsünde firewall’ın çalışıp çalışmamasını belirleyebilir ve programa bir şifre atayabiliriz. About mönüsünde ise programın kullandığı kaynakları, versiyon bilgisini bulabilir ve üreticinin sayfasını ziyaret edebilirsiniz .

Norton Personal Firewall: Symantec firmasının geliştirdiği bu firewall kişisel bilgisayarların internette güvenliği için hazırlanmıştır. Kullanımı kolay ve Symantec firmasının geliştirdiği norton antivisüs programıyla birlikte çalışarak sistem güvenliğini artırmaktadır. Ayrıca program kullanımı sırasında ayarları yapılarak kullanacağını internet programlarının kontrolünü kolaylıkla sağlamaktadır.

Antivirüs Yazılımları

Virüs yazılımları bilgisayarımızdaki virüsleri bularan ve bunalı temizleyen güvenlik programlarıdır. Bu programların genel olarak virüsleri inceledikleri programların üzerinde virüs izleri arayarak virüsleri tanırlar. Virüs izleri ise virüslerin kendilerini kopyaladıkları dosyalardaki makine dili algoritması olarak tanımlayabiliriz. Fakat buda yetmemekte ve kendi kodlarını değiştirebilen virüslerde yazılarak antivirüs programlarını yanıltabilirler. Bu tür virüsler için ise farklı teknikler kullanılarak belirlenmektedir. Bir çok firma virüs programları geliştirmiştir. Bu programlardan beklenen genel özellikler ise;

• Güncellenebilir olması: internet üzerinden kendilerini yeni çıkan virüslere karşı yenileyebilmelidir.

• Sürekli güncellenebilir olması.

• Virüsleri aktif hale gelmeden tanıyıp, etkisiz hale getirmesi

• İşlemler sırasında altta çalışarak virüsleri belirleyebilmesi

• İşlemciyi çok yormaması

• Hızlı tarama yapması

• Virüs tanıma kapasitesinin fazla olması

Bu özelliklere sahip bir çok virüs programı bulunmakta bu virüs programlarının en çok bilinen ve kullanılanları ise şunlardır.

• McAfee Associates, Inc: Bu program kendini internet üzerinden update etme özelliği ile yeni geliştirilen virüsleri tanıya bilmektedir. Program, bilgisayar kullanımı sırasında arkada çalışarak aktif hale geleden virüsleri tanıya bilmektedir. Kolay bir kullanıcı arayüzü bulunmakta.

• IBM Anitvirus : Bu program büyük bilgisayar sistemlerinin virüs güvenliğini sağlar. Ağa bağlı sistemler üzerindeki işlemleri kontrol eder. Yoğun işlemci gücü istemekte bu yüzden ev kullanıcıları tarafından pek tercih edilmez.

• Norton Antivirus : Çok kullanılan bu program update özelliği var ve hızlı tarama yapma özelliği ile en çok tercih edilen anti virüs programıdır.

• F-Prot: Bu program internet üzerinden ücretsiz olarak verildiği için sık kullanılan virüs programları arasında dır belli tarihler arasında çalışır. Zamanı geçen programı internetten güncelenmiş olarak indirerek kullanabilirsiniz bilgisayarı kendi boot ederek işletim sistemine bağlanan virüsleride etkisiz hale getirir

0

|

Piêr Dé Sans

Yarbay

9370 Mesaj

11 Mayıs 2006 23:41:09

quote:

Orijinalden alıntı: Hover_Craft

İlgili Link =http://www.av-comparatives.org/

BİLİNEN ZARARLILARA KARŞI ANTİVİRÜS TESTİ SONUÇLARI

TEST SONUÇLARI

a. Windows virüsleri, makro virüsleri, solucanlar, script'ler ve diğer işletim sistemi zararlılarının tesbit oranları.

b. Arkakapı açıkları yaratan zararlılar, truva atları ve diğer zararlı kodların tesbit oranları.

c. DOS ortamında aktif olan zararlılar HARİÇ genel tesbit oranları.

d. DOS ortamında aktif olan zararlılar DAHİL genel tesbit oranları.

Sonunda "*" işareti olanlar Kaspersky çekirdeğini kullanan bir diğer ifade ile Kaspersky klonu antivirüs yazılımlarıdır.

TOPLAM ZARARLI KOD TESBİT ORANLARI

with DOS = DOS ortamı DAHİL

without DOS = DOS ortamı HARİÇ

AĞUSTOS 2005 AYINDAN ŞUBAT 2006 AYINA KADAR OLAN SÜRE İÇİNDE ANTİVİRÜS YAZILIMLARININ TESBİT EDEMEDİKLERİ ZARARLI SAYISININ DEĞİŞİMİ

Yukarıdaki grafikte; antivirüslerin Ağustos 2005 ayında tesbit edemediği zararlı sayısı daha fazla iken, Şubat 2006 ayına doğru azaldığı gözükmektedir. Ağustos 2005 ayında tesbit edemediği zararlı sayısı en az olan ve Şubat 2006 ayında da en aza inmiş olan daha iyidir. Bu grafikte öncelikle KAV (Kaspersky Antivirüs) yazılımının hemen arkasından Symantec Norton ve sonra McAfee yazılımının en iyi sonuçları aldığı gözükmektedir.(ilk üçün değerlendirmesi anlamında) 4. NOD32, 5. F-Prot, 6. BitDefender olmuş.

İLAVE TEST: POLİMORFİK TEST

Tesbit edilmesi diğer zararlı sınıflarına göre çok daha zor olan ve en fazla 1 sene öncesinden bu yana bilgisayar sektöründe görülmeye başlanan; 10 adet yüksek derecede komplex polimorfik (polymorphic) virüsün yüzlerce değişik türevi ile bu test yapılmıştıır.

BİLGİSAYAR VİRÜSLERİ

Günümüzde bilgisayarların yegane düşmanı virüslerdir. 1980'lerin ortalarında Lahor'lu (Pakistan) Basit ve Amjad Alvi, kendi yazılımlarının kopyalandığını farkettiler. Buna tepki olarak ilk bilgisayar virüsünü geliştirdiler. Bu virüs, müşterilerinin kopyaladığı her floppy disket üzerine hem kendi kopyasını hem de telif hakkı (Copyright) mesajını koyan bir programdı. Virüsler böylesine basit bir gelişmeyle başladı,fakat zamanla tam bir virüs kültürü gelişti. Günümüzün virüsleri tüm dünyayı birkaç saat içinde sarabiliyor, manşetlere konu olabiliyor.

Bir bilgisayar virüsü, belleğe yerleşen, çalıştırılabilen programlara kendini ekleyen, yerleştiği programların yapısını değiştiren ve kendi kendini çoğaltabilen kötü amaçlı programlardır.

Teknik olarak bir bilgisayar programının virüs sayılması için kendi benzerini yapıp bunu başka programlara bulaştırması lazımdır

Virüsler bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Tıpkı grip virüsünün insan vücuduna yerleşmesi gibi, bilgisayar virüsleri de kendilerini taşıyıcı bir programa yerleştirir.Böyle virüs bulaşmış bir program bilgisayara transfer edildiğinde,bilgisayardaki diğer programlara da virüs bulaşmaya başlayacaktır.

Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar programına (örneğin, sık kullanılan bir ekran koruyucusuna ya da bir oyun programına) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları, "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya alışverişlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlarını daha da iyi anlayabiliriz.

Virüslenmiş program çalıştırıldığında virüs kodu da, genellikle, bilgisayarın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskin ya da disketlerin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayar her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve Windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.

Virüs bulaşması için önceleri tek yol, floppy disketler idi. Ancak daha sonraları, gelişen bilgisayar ağları ve özellikle internet aracılığıyla da bulaşmaları olanaklı hale geldi. E-posta kullanımının yaygınlaşması ile virüsler artık çok daha hızlı yayılabilmektedirler.

Virüslerin Genel Yapısı

Virüsler baslıca üç bölümden meydana gelmişlerdir.Bunlar sırası ile kopyalama bölümü, gizleyici ve etki bölümüdür.

Kopyalama bölümü ile kendisini çalıştırılabilir dosyalara ilave eder.

Gizleyici bölümü, kendini gizleme görevi yapar. Daha ziyade anti-virüs programlarının gözünden kaçmak ve anti-virüs programını yanıltmak için oluşturulmuştur.

Etki bölümü ile asıl işlem yerine getirilir.Asıl işlemin yaptığı zararlı etkilere; verileri karıştırmak, programın bir kısmını silmek, disk veya disketin çalışmasını engellemek örnek olarak verilebilir.

Virüsler kopyalama bölümü ile bulaşmalarına rağmen bulaştıkları dosyalar farklı olabilir.Virüsler genel olarak EXE, COM, OVL, OBJ, LIB uzantılı dosyalara kendilerini kopyalarlar. Virüs bulaştıktan sonra gizleyici bölümü, program her çalıştığında aktif duruma geçer ve virüs kendini gizlemeye çalışır.Normal çalışma süresince etki bölümü pasif durumdadır. Şartlar uygun olduğunda ortaya çıkar ve etkisini gösterir. Bu bölümün şartlarının uygunlaşması; bir tarih olabilir (Örneğin CIH virüsü) , ülke kodu olabilir, kopyalama işlemi olabilir, herhangi bir verinin girilmesi olabilir. Virüs yazan bir insan için mantık geliştirme bölümü bu bölümdür. Virüs yazmanın ayrıcalığı da bu bölümde gizlidir. Çünkü diğer bölümler hemen hemen aynıdır. Yukarıda uzantıları verilmiş olan dosyaların dışında ayrıca bir program için yazılmış özel virüsler de vardır.

Virüsler Neler Yapabilir? Bilgisayar içi yapısı tamamen programlamaya dayılıdır. Hangi donananımın nasıl ve ne şekilde çalışacağını programlanma şekli belirler. Virüs de bir program türü olduğuna göre; bilgisayarda programlamaya dayalı her şeyi yapabilirler. Yapabileceklerini sıralayacak olursak;

• Bilginiz dışında bilgisayarınızın denetimini ele geçirir.

• Bilgisayarınızın garip davranmasına neden olur, örneğin, çeşitli sesler çıkarır veya can sıkıcı iletiler görüntüler.

• Word ve Excel belgelerine bulaşan ve zarar veren makrolara gizlenirler. (Bunlara makro virüsleri denir.)

• Dosyalarınızda ciddi zararlara neden olurlar. Virüsler, verileri bozabilir, dosyaları silebilir, hatta sabit diskinizi tamamıyla silebilir.

• Zarar vermek için önceden tanımlanan tetikleme tarihine kadar (örneğin, 13. Cuma) virüsler etkin olmazlar.

• Donanımlara zarar verebilir.

En iyi huylu virüsler (görünürde zarar vermeyen virüsler) bile önemli zararlar verirler : sabit disk ve/veya bellekte yer kaplarlar, CPU zamanını harcarlar; ortaya çıkarılmaları ve temizlenmeleri için önemli miktarda zaman ve para harcanır.

Değişik Türde Zararlı Programlar

Virüslerle ile zaman zaman karşılaştırılan fakat virüslerden farklı özellikler sahip başka zararlı programlar da vardır. Truva Atları (Trojan Horses) ve Solucanlar (Worms) örnek verilebilir.

Truva Atları(Trojan Horses)

Virüslerin bir alt sınıfları, Truva Atı olarak bilinen, virüslerdir. Esasında Truva Atı teknik olarak bir virüs değildir. Truva Atı, ki bu adı tarihte Truva Savaşları olarak bilinen ve Yunanların uyguladıkları ve kazandıkları bir taktikten alır (Truvalılar'ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve eğlenceye dalmış olan Truvalılar’ı öldürürler. Günümüzde de aynı işi programcılar yapıyor. Tahta at yerine, bilgisayarlarımıza çeşitli programlar yolluyorlar. Bir tür programdır. Bu program aslında kullanışlı ve cazip gelen şeyler vaat eder yada yapıyor izlenimi verir (oyunlar veya kullanışlı kaçak dosyalar arkasında gelebilir). Fakat içinde kötü niyetli şeyler ihtiva eder ve sinsice bunları arka tarafta kullanıcının haberi olmadan uygular (Bilgisayardaki şifreleri çalmak gibi). Truva Atları asla başka programlara bulaşmazlar.

Çoğu Truva Atı, oturumu açma kimliği ve parolasını çalmak ve sonra da onları ödeme yaparken kullanılan hesabı kullanabilecek bir başkasına e-posta ile göndermek üzere tasarlanmıştır.Bazı Truva Atları da müstehcen iletiler görüntüler veya sabit sürücünün içeriğini siler. Örneğin güvenli görünen veya ücretsiz çevrimiçi bağlanma gibi öneriler sunan bir programı yüklerken Truva Atları alınabilir. Program bir kere yüklendiğinde ve çalıştırıldığında, kötü amaçlı kodlar çalışmaya başlar. Truva Atları ile virüsler arasındaki fark, Truva Atlarının kendiliklerinden bulaşmamaları veya yinelenmemeleridir. Yalnızca kasıtlı olarak; e-posta ile ,disket yolu ile veya bir bilgisayara doğrudan yüklenerek yayılabilirler. Bunun anlamı, virüsten farklı olarak, yalnızca bir kere belli Truva Atı tarafından etkilenilir.

Solucanlar(Worms)

Genellikle ağ bağlantılarını kullanarak yayılan, solucan olarak tanımlanan kodlar, yayılmak için her zaman taşıyıcı bir programa ihtiyaç duyarlar.Solucanlar dosyadan dosyaya yayılma yerine tüm sisteme zarar vererek bilgisayardan bilgisayara yayılırlar. Solucanlar, e-postayı kullanarak ağ üzerindeki bir bilgisayardan diğer bilgisayarlara kendilerini kopyalarlar. Solucanlar, çoğalmak için insan müdahalesine gereksinim duymadıklarından bilgisayar virüslerinden daha hızlı yayılabilirler.

Virüs Çeşitleri

• Yazılımlarına Göre Virüsler

Virusleri yazılım yöntemlerine göre iki grubu ayrılırlar. Buna göre yazılımlarına göre virüs çeşitleri :

o Resident Virüsler

Bu virüsler adından da anlaşılacağı gibi yerleşik (resident) olarak her an bellekte kalan ve her an aktif olan virüslerdir.Yazılımı biraz daha karışık ve detaylıdır.Gizleyici bölümü daha fazla emek isteyen virüslerdir.Örneğin virüs bulaşmış bir dosyanın uzunluğu değişmesine rağmen , gizleyici bölüm bu dosyanın orijinal uzunluğunu vererek kullanıcıyı yanıltır.Genellikle INT 20h,21h,41h gibi kesme sinyalleri sırasında dosyalara bulaşırlar.

Bellekte bulunup bulunmadıkları çok çeşitli yöntemlerle ve anti virüs programları ile anlaşılabilir.Tespit edilip edilememesi virüsün kalitesine bağlıdır.Kalitesi iyi olmayan bir virüs bellek hartalarını veren programlarla rahatlıkla tespit edilebilir.

o Nonresident Virüsler

Bu tip virüsler bellekte yerleşik kalmayan virüslerdir.Ancak bulaştıkları program çalıştığında aktif hale geçerler.Aktif hale geçer geçmez kendilerini bir veya daha fazla dosyaya kopyalarlar.dosya tipi virüs ise bulaştıktan sonra kontrolü asıl programa bırakır. Eğer boot virüs ise bulaştıktan sonra kontrolü işletim sistemine bırakır.Resident virüslere oranla daha iyi ve sinsi bir şekilde korunabilirler.Çünkü bulaştığı program çalıştığı esnada ve kısa bir sürede tahribatını yapıp geri çekilirler.Bellek haritaları ile tespit etmek oldukça zordur.

Nonresident olarak yazılmış boot sektör virüsü pek etkili değildir.Çünkü bir disketten diğerine bulaşabilmesi için bellekte sürekli aktif olması gerekir.Bu yüzden bu tip yazılan virüsler genellikle dosya virüsleridir.

• Etkilerine Göre Virüsler

Etkilerine göre virüsleri iki ana başlık altında toplamak mümkündür.Bunlar:

1-Boot Sektör Virüsleri :

A-Master Boot Record

B-Normal Boot Sektör Virüsleri

2-Program (Dosya) Virüsleri:

A-COM dosya Virüsleri

B-EXE dosya Virüsleri

C-Diğer Virüsler

o Boot Sektör Virüsleri

 Master Boot Record (MBR/Partition Table) Virüsleri :

Boot sektör virüsleri hard diskin veya floppy disketin ilk sektörlerine bulaşır.Dosya viruslerinden farklılıkları dosya çalıştırılmadan aktif hale geçmeleridir. Bilindiği gibi bilgisayar açıldığı zaman ilk devreye giren ünitesi BIOS’ tur.BIOS harddisk'in boot sektöründen geçerli partition table(reverse Word format) imzasını arar.Eğer bu imzayı bulabilirse bu bloktaki bilgileri RAM belleğe okur.Virüs kendisini bu imza yerine veya okunacak bloğa yazdığı taktirde problem burada ortaya çıkar.BIOS'un okuması sırasında partition imzasını gizleyebilir.BIOS görevini tamamlayamayacağı için , bilgisayar açılmaz.Bloğun okunması sırasında virüs yazıcısının belirlediği bir kesme çağırılabilir.Bu durumda bilgisayarın açılması kesintiye uğrar.Blok okunup, Ram belleğe aktarıldıktan sonra ,virüsün etki kısmı çalışarak bilgisayarı reset edebilir veya bir jump komutu ile okunması gerekli olan bazı dosyaları okutturmadan sistemin yanlış yüklenmesini sağlayabilir.İşte bu türlü işlemler virüs yazmanın mantığını oluşturur.

 Normal Boot Sektör Virüsleri :

Floppy disketlerinde partition table bulunmaz.Aslında harddiskteki partition table'de boot sektördür.Fakat birden fazla işletim sistemi yükleyebilmek için bölümlendirilmişlerdir.Yukarıda hard disk için açıklanan imzalara benzer.İmzalar disketin sıfırıncı sektöründe de vardır.Virüs bilgisayarın hard diskten açılması sırasında yaptığı işlemleri floppy disketten açılma yapıldığında da yapar.

İster hard diskten , İster floppy disketten boot yapılsın daha işletim sistemi yüklenmeden virüs yüklenmiş olur.İşletim sisteminden önce yüklenmesinden dolayı işletim sistemini istediği gibi yönetebilir.Yani kaleyi içten kuşatmıştır ve savunmayı yenmiştir.

Virüs kendisini partition sektöre veya boot sektöre yazabileceği gibi FAT'a (dosya yerleşim tablosuna)veya partition bölümleri arasına da yazabilir.Buradaki yapacağı işlemlere dosya yerleşim tablosunu bozmak aranılan kütüğü gizlemek gibi örnekler verilebilir.

Her iki çeşit virüsünde çalışma algoritmasının aşağıdaki gibi olduğu söylenebilir.

1-Belirtilen yere bulaşmak için kendini gizle

2-Orijinal boot/MBR sektörünü kontrol altında tut

3-Kendi virüs imzanı ara ve daha önce bulaşıp bulaşmadığını denetle

4-Bulaşılmış ise hareketsiz kal ve boot sektörü terk et

5-Bulaşılmamış ise Kendi kodlarını belirtilen şartlarda boot sektöre yaz

6-Duruma göre hareket et.Gerekiyorsa Resident olarak yerini al

7-Birinci basamaktan itibaren görevine devam et

o Program (Dosya) Virüsleri

Program virüsleri çalıştırılabilir dosyalara bulaşabilen virüslerdir.Programların tanımlanan yerlerine kendilerini kaydederek onlarla beraber çalışırlar.Bu yüzden programın çalıştığı her bilgisayara kolayca bulaşırlar.

Program virüslerinin DOS'un kullanılma özelliklerine göre birkaç tipi vardır.Hangi tip olursa olsun çalışma algoritması hemen hemen aynıdır.Değişik olan kısımları ; gizleyici ve bomba bölümleridir.Kopyalama bölümleri genellikle aynı mantığa dayanır.

o COM Dosya Virüsleri :

Daha önceki bölümlerde açıklandığı gibi DOS ortamından uzantıları COM ,EXE ve BAT olan dosyalar doğrudan çalıştırılabilirler.Bu tur virüslerin yazılımında temel mantık budur. COM uzantılı dosyalar 64 KB 'lık bir segment üzerindedir.COM uzantılı bir program çalıştırıldığı zaman ,DOS tüm bellek alnını bu dosyanın kontrolüne birakır.COM dosya virüsü en kolay ve en hızla yayılan bir virüstür.Virüsün kopyalama kısmı , virüslü bir dosyadan diğerine kopyalama yapar.Kendisine zarar gelmemesi için ,com dosyanın başlangıcını saklar ve kendisinin bir kısmını buraya , bir kısmını da dosyanın sonuna yazar.Virüs yazarının tanımladığı işlemleri ise program çalıştığı sürece yerine getirir.

o EXE Dosya Virüsleri :

EXE dosya virüsleri COM dosya virüslerinden biraz daha farklıdır.EXE dosya virüsü COM dosya virüsü gibi kendisini dosyanın başlangıcına yazmaz.EXE programın başlığında ufak tefek değişiklikler yapmak onun için yeterlidir.Kendisini büyük oranla programın en sonuna yazar.EXE bir dosyaya virüsün kendisini yazması COM dosyaya oranla daha zordur.Genelde minimum bellek ihtiyacını yükselterek etkilerini gösterirler.

• Platformlara göre virüsler

o PC Virüsleri

PC virüsleri kişisel bilgisayarlar(PC’ler) ve DOS ortamı için yazılmış virüslerdir.Bu tür virüsler daha çok DOS ortamında çalışmaları için yapılmalarına rağmen Windows 95 Windows 98,Windows ME,Windows NT ve OS/2 işletim sistemlerinde de çalışabilmektedirler.

o Macintosh Virüsleri

Macintosh virüsleri PC virüsleri kadar problemler çıkarmazlar. Macintosh işletim sisteminde çalışabilecek virüs sayısı gerçekten çok azdır.Bu tür virüsler daha çok okullardan temin edilmektedir. Microsoft ürünü olan işletim sistemlerinin(DOS, Windows...) yaygınlığı göz önüne alındığında,Macintosh işletim sistemi için yazılmış virüslerin azlığı doğaldır.

• Diğer Platformlar

Virüsler hemen hemen her tür bilgisayarda bulunabilirler.Örneğin;gelişmiş hesap makinaları,eskiden var olan Commodore 64 ve Unix bilgisayarları gibi sistemler.

• Diğer Virüsler

Yukarıda bahsedilen virüslerin dışında bilinen BAT ve SYS dosya virüslerde vardır.Bunlara da kısaca değinelim.

o BAT Dosya Virüsleri

DOS ortamından çalıştırılan 3. dosya ,BAT uzantılı dosyalardır.Bu dosyalar binary komut düzeninde olmayıp ASCII komut düzenindedir.

Önceki konulardan hatırlanacağı gibi uzantısı BAT olan dosyalar toplu işlem dosyalarıdır ve kapsamlarında birçok toplu işlem komutlarını içerirler.BAT dosya virüsleri toplu işlem dosyası içerisinde kullanılan emirleri birer COM uzantılı dosyaya çevirirler.Bu durumda sanki bir COM uzantılı dosya çağrılmış gibi çalıştırılmak istenir.Örneğin “CALL” emri karşısında CPU ne yapacağına karar veremediği için sistem ya kilitlenir veya bir interrupt ile kesintiye uğrar.Kullanıcıyı hayret içinde bırakan ilginç virüs tipleridir.

Bazı BAT dosya virüsleri DIR komutunun işlevlerinden yararlanır.DIR komutu çalıştırıldığında , değişik isimli yeni bir dosya oluştururlar.Oluşturulan bu dosya ile debug programını çalıştırır.Kendisini çalıştırmakta olan BAT uzantılı dosyaya adapte edecek yeni program yazar.BAT uzantılı dosya çalıştırıldığında bu dosya içerisinde kendi dosyasını da çalıştırır.

o SYS Dosya Virüsleri

SYS virüsleri oldukça zor yazılan virüslerdendir.SYS dosyalarının başlığını değiştirerek kendilerini kopyalarlar.Resident olarak anti-virüslerden önce yüklenirler.Bu yüzden anti-virüs programı tarafından görülemezler.

Genellikle kurulabilir ünite sürücülerinin işlevlerini engelleyecek şekilde görev yaparlar.Bellek haritasını veren programlarla yakalanması oldukça zordur.

Virüslerin Adlandırılması

Bir virüs adı üç kısımdan oluşur : önek (prefix), ad ve sonek (suffix). Norton Anti-virüs yazılımı virüsleri bu şekilde adlandırmaktadır.

• Önek, virüsün çoğaldığı platformu veya virüs türünü belirtir. DOS virüsleri genelde önek içermezler.

• Ad, virüsün aile adıdır.

• Sonek her zaman olmayabilir. Sonekler aynı ailenin varyantlarını ayırdetmek için kullanılır. Genellikle virüsün boyutunu belirten bir numara ya da bir harftir.

Bu üçü şu biçimde yazılır : Önek.Ad.Sonek.

Örnek olarak WM.Cap.A Cap ailesinin A varyantıdır. WM ise bir Word Makro virüsü olduğunu belirtir. Şu önekler öngörülmüştür :

Önekler

WM Word6.0 and Word95 (Word7.0) altında çoğalan Word Makro virüsleri. Word97 (Word8.0) altında da çoğalabilirler ancak aslen Word97 virüsü değildirler

W97M Word97 Makro virüsleri. Bunlar Word97 için yazılmışlardır ve sadece Word97 altında çoğalırlar.

XM Excel5.0 ve Excel95 için yazılan Excel Makro virüsleri. Bu virüsler Excel97 içinde de çoğalabilirler.

X97M Excel97 için yazılan Excel Makro virüsleri. Bu virüsler Excel5.0 ve Excel95'de de yayılabilirler.

XF Excel Formula virüsleri. Daha yeni Excel belgeleri içine gömülü (embedded) eski Excel4.0 gömülü çalışma sayfalarını kullanırlar.

AM Access95 için yazılan Access Makro virüsleri. A97M: Access97 içinde çoğalabilen Access Makro virüsleri.

W95 Windows95 işletim sistemindeki dosyalara bulaşan Windows95 virüsleri. Windows95 virüsleri çoğunlukla Windows98'i de etkilerler.

Win Windows3.x işletim sistemi altındaki dosyalara bulaşan Windows3.x virüsleri.

W32 Tüm 32-bit Windows platformlarında etkili 32-bit Windows virüsleri.

WNT Windows NT işletim sistemlerinde etkili 32-bit Windows virüsleri

HLLC High Level Language Companion virus. Bunlar genellikle yayılmak için ek bir dosya yaratan DOS virüsleridir.

HLLP High Level Language Parisitic virus. Bunlar genellikle kendilerini bir başka dosyaya iliştiren DOS virüsleridir.

HLLO High Level Language Overwriting virus. Bunlar genellikle host (ev sahibi) dosyaların üzerine kendi bulaşıcı kodlarını yazan DOS virüsleridir.

Trojan/Troj Bunlara virüs değil, Trojan Horse (Truva Atı) denir. Kendilerini faydalı programlarmış gibi gösterirler ancak zarar verici programlardır. Çoğalmazlar.

VBS Visual Basic Script programlama diliyle yazılan virüslerdir.

AOL America Online (Amerika Birleşik Devletlerinde bir internet servis sağlayıcı şirket) ortamına özgü Trojanlardır ve genellikle AOL parola bilgilerini çalmak için yazılmışlardır.

PWSTEAL Parola çalan Trojan programlardır

Java JAVA programlama diliyle yazılan virüsler.

MAKRO VİRÜSLER

Word Makro Virüsleri Nedir?

Makrolar, kullanıcıların işlerini kolaylaştırmanın yanında,kullanıcının bilgisi dışında yazılmış makrolarda kullanıcıların bilgisayarlarına büyük zararlar verebilir.

Kendini kopyalama özelliği olan ve kullanıcının izni olmadan çeşitli görevleri yerine getiren makrolara “Makro Virüs” denilmektedir.Makro virüsler geniş uygulama alanına sahip Word, Excel,Access,PowerPoint,Project,Corel Draw...vs. gibi programların içinde bulunabilir.

Makro Virüslerin yapabileceği görevler,makronun yazıldığı programlama dilinin özellikleriyle sınırlandırılmıştır.Programlama dili,makronun yenilenmesine ,yayılmasına ve bilgisayarı etkilemesine olanak sağlar.En çok kullanılan makro dili olan Visual Basic for Applications (VBA) virüslerin yazımı için geniş özellikler sağlar.VBA gibi makro dillerinin gelişimiyle birlikte Makro Virüslerinde etkinliklerinin artacağı unutulmaması gereken bir gerçektir.Daha komplike bir makro diliyle yazılmış Makro virüsler çok daha zararlı sonuçlar ortaya çıkarabilirler.Bu gelişmiş makro dillerinin uygulamalarda daha sık kullanılmaya başlanmasıyla makro virüsler için olan potansiyel artmıştır.Geçmişte virüs yazan kişiler,virüs yazmak için makro dillerini pek tercih etmemişlerdir.Muhtemelen bunun nedeni ise geleneksel şekilde makro yazımının pek ilgi çekici olmaması yada virüs yazan kişilerin makro dillerindeki potansiyeli keşf edememelerindendir.

Makro virüslerin ortaya çıkmasından önce ,bilgisayar virüsleri çalıştıkları platformlara mahsuslar idi.Örneğin; PC virüslerinin sadece PC’lerde ,Unix virüslerinin sadece Unix makinalarında çalışması gibi.Bilindiği gibi programlar,bilgisayarın kullandığı işletim sistemine göre değişiklik gösterir.Öyle ki,Microsoft Office gibi,hem Macintosh’ larda hem de PC’lerde çalışabilen uygulamalar bile,temelde ,işletim sisteminden dolayı değişiklikler gösterir (Office’in Macintosh versiyonu Windows95 işletim sistemi ile çalışan bir bilgisayarda çalışmaz.).Word’ün yeni versiyonlarında kullanılan VBA’ya ekstra özellikler eklenerek oluşturulan WordBasic makro dili uygulamada özel,fakat platformda özel değildir,yani başka bir deyişle platformdan bağımsızdır.Bunun anlamı;virüs yazan kişilerin hem PC’lerde hem de Macintosh’larda çalışabilen virüsler yazabilecek durumda olmalarıdır.

Makro Virüs yazmak için kullanılan tek program MS Word’ün makro dili, WordBasic değildir.MS Excel ve Lotus Ami Pro gibi programlar içinde yazılmış makro virüsler mevcuttur.Fakat Word’ün kullanım alanının diğer programlara göre daha yaygın olmasından dolayı,Word ile birlikte aktif olan makro virüsler bir hayli fazladır.

Makrolar,dokümanlar içlerinde metin ve metin formatı bilgileri taşımaktan ziyade,grafik dosyaları,video dosyaları gibi şeyleri “taşıyıcı” bir hale gelmişlerdir.Eskiden WordPerfect’te yazılmış olan makrolar,WordPerfect’in dışında,dokümandan bağımsız bir DOS dosyası olarak kayd edilmekteydi.Word’ün yeni versiyonlarında ise makro,Word dokümanının içine yerleştirilmektedir.Bunun sonucu olarak Word dokümanı,makro virüsün bilgisayardan bilgisayara yayılmasında aracılık etmektedir.

Peki virüs nasıl bir dokümandan diğerine geçebiliyor?Buna cevap olarak Normal Şablonu üzerinden diyebiliriz.Normal Şablonu, otomatik makroların ve Word biçimlerinin kodlarının bulunduğu belgedir.Normal Şablonda bulunan makrolar,güvenlik düzeyi sorgulanmadan,tüm dokümanlar için gerçeklenir.

Biçimler yada stiller ,emirleri formatlama koleksiyonlarına verilen isimlerdir.Mesela bölüm başlıklarındaki,yazı biçimini, büyüklüğünü ve özelliklerini belirlemek için “Bölüm Başlığı” adlı bir stil oluşturulabilir (Arial,24pt,Bold gibi) ve “Bölüm Başlığı” adlı stil uygun menüden seçildiğinde,yazılan metne stil otomatik olarak uygulanmış olacaktır.Eğer bu stili,yazılan tüm dokümanlarda kullanmak isteniliyorsa ,stilin adını “Normal” olarak değiştirmek yeterli olacaktır. ”Normal” stili Word’ün başlangıçta dokümanlar için varsaydığı stildir.Bu varsayılan stil Normal.dot (Normal Şablonu) adında bir dosyada saklar. Normal.dot dosyası da diğer dokümanlar gibi makro virüs taşıyabilir.Bütün yeni oluşturulan dokümanların Normal.dot dosyasının üzerine kurulmasından beri,eğer Normal.dot virüslenmişse,daha sonra oluşturulan bütün yeni dokümanlarında virüslendiği görülebilir.

Makro Virüs Tehlikesi Nasıl Başladı?

Makro Virüs terimi beş yıldan daha uzun bir süredir kullanılmaktadır.Makro virüs yayılımına karşı geliştirilen pek çok güvenlik önlemine rağmen hâlâ makro virüsler milyonlarca bilgisayar kullanıcısında korku yaratmaya devam etmektedirler.

İlk MS Word makro virüsü ”Concept” Ağustos 1995’te,Windows 95 ve MS Office’in yeni versiyonunun çıkması ile birlikte ortaya çıktı.Birkaç gün içinde bu virüs, dünya çapında on binlerce bilgisayara bulaşarak büyük bir salgına yol açtı ve tüm dünyada büyük bir yankı uyandırdı.Burada belirtilmesi gereken bir noktada,anti-virüs şirketlerinin bu yeni virüs çeşidine hazır olmamalarıydı.Bu yüzden anti-virüs şirketleri, anti virüs yazılım motorlarını değiştirmek yada yeni anti-virüs motorları üretmek zorunda kalmışlardır.

İlk MS Excel makro virüsü olan “Laroux” ’da Temmuz 1996’da ortaya çıkmıştır.Bu virüs aynı anda ,dünyanın farklı bölgelerinde bulunan (Güney Afrika ve Alaska) iki petrol şirketinin faaliyetlerini felce uğratmıştır.

Mart 1997’ye meşhur Melissa virüsünün yazarı David Smith’in yazdığı “ShareFun” adlı virüs damgasını vurmuştur.

Mart 1998’de,başka bir Office uygulaması olan MS Access , “AccessiV” adında bir virüse karşı kurban durumuna düşmüştür.yaklaşık bir yıl sonrada MS PowerPoint makro virüsü olan “Attach” adlı virüsün saldırıları başlamıştır.

1999’da makro virüslerin sayısı ,virüslerin başka programlarda da çalışmaya başlamasıyla hızla artmıştır.Mayıs ayında Corel Draw grafik editörü makro virüsü olan “Gala” ve Ekim ayının sonuna doğru ortaya çıkan MS Project görev zamanlayıcısı makro virüsü olan “The Corner” virüsü ve Mart ayının sonunda çıkan “Melissa” virüsü 1999 yılında çıkan virüslere örneklerdir.

1999’da ortaya çıkan ve “Multi-platform makro virüsleri” olarak tanımlanan çeşitli virüsleri de görmekteyiz.Bu virüslerin özelliği,birkaç Office uygulamasında birden çalışabilmeleridir.Aynı anda Word,Excel ve PowerPoint dosyalarının üçünü birden etkileyebilen,bilinen ilk virüs olan “Triplicate” bu tür virüslere örnek olarak gösterilebilir.Bu tür virüsler bilinen virüsler içinde en komplike olanlarıdır.Bu virüslerin kullandığı Stealth tekniği (virüsü,doküman içinde görünmez yapar) ve Polymorphism (virüsün zaman zaman kodunu değiştirmesi,şifrelemesi) nedeni ile tespit etmek ve yok etmek çok zordur.

2000 Love Bug (diğer adıyla LoveLetter) bugüne kadarki en başarılı e-posta virüsü oldu. Palm işletim sistemi için de ilk virüs boy gösterdi, ancak hiçbir kullanıcıya bulaşmadı.

Niçin Makro Virüsler Bu Kadar Yaygındır?

Geçmiş yıllar boyunca makro virüsler listelerde sürekli zirvede kalmışlardır.Uluslar arası Bilgisayar Güvenliği Birliği’ne göre makro virüsler,virüsler içinde üçte ikilik bir yere sahiptirler.Kapersky Laboratuarlarına göre de bu oran yaklaşık olarak %55 civarındadır.Bu oran bile makro virüslerin yaygınlığını göstermeye yeterlidir.Makro virüslerin bu kadar yaygın olması şu faktörlere bağlanabilir.

• Makro virüslere karşı savunmasız olan Office uygulamaları,kullanıcılar arasında son derece yaygın olarak kullanılmaktadır.Günümüzde,tüm bilgisayar kullanıcıları Office yada Office’e benzer uygulamaları günlük çalışmalarında kullanmaktadırlar.

• Bu uygulamalar için geliştirilmiş anti-virüs sistemlerinin sağladığı güvenlik derecesi çok düşüktür.Microsoft uzmanlarının MS Office 2000’de güvenlik probleminin çözüleceğini söylemelerine rağmen ,Office uygulamaları geçmişte olduğu gibi makro virüslere karşı savunmasız kalmıştır.

• Bir makro virüs yazmak çok basittir.Mesela MS Word için bir virüs yazmak isteyen birinin ihtiyacı olan sadece VBA Programlama dilinin temellerini öğrenmektir.Diğer programlama dilleri ile karşılaştırıldığında VBA,içlerinde en basit ve öğrenilmesi en kolay olanıdır.Aynı zamanda VBA sahip olduğu özellikler ile de virüs yazan kişiye bilgisayardaki bilgilere zarar verme ve bilgisayarı uzun süre kullanılmaz hale getirme imkanı verir.

• Çoğu Office uygulaması MS Outlook yada MS Exchange gibi posta programlarıyla uyumlu olarak çalışmaktadır.Bu,makro virüslere posta programlarına erişme imkanı sağlar.Böylece makro virüs kendini çok hızlı bir şekilde milyonlarca bilgisayara yayabilir.

• Bilgisayar kullanıcıları arasında en çok paylaşılan dosya türleri Word dokümanlarıdır.İnsanlar,arkadaşları ve tanıdıkları ile hiç şüphe duymadan dokümanları değiş tokuş ettikleri için makro virüsler şüphe duyulmadan çalıştırılabilmektedir.

HACKER TARİHİ

1969 Öncesi. Önce bir telefon şirketi vardı Bell Telephone, Ve zamane hacker’ları Tabii, 1878’de onlara hacker denmiyordu henüz. Telefon santrallerine operatör olarak alınmış, onun telefonunu buna, bununkini ona bağlayan şakacı birkaç genç idi.

ABD’nin dahiler çıkaran ünlü üniversitesi MIT’de (Massachusetts Institute of Technology) bilgisayarlar kullanılmaya başlandığında, bazı öğrenci ve asistanlar, bu makinelerin nasıl çalıştığını çok merak ettiler, bu yeni teknoloji hakkında ne varsa öğrenmeye çalıştılar. O günlerde bilgisayarlar, ısı kontrollü cam odalarda kilitli olan devasa makinelerdi.

Bu ağır metal yığınlarını çalıştırmak binlerce dolara mal oluyordu. Programcılar bu dinozorları pek de kolay kullanamıyordu. Bu yüzden, zeki olanlar, hesaplama işlemlerini daha çabuk yapabilmek için “hack” dedikleri programlama kısa yolları yarattılar. Bazen bu kısa yollar orijinal programdan daha iyi tasarlanmış oluyordu.

Belki de bütün zamanların en iyi hack’lerinden biri, 1969’da, Bell laboratuarlarındaki iki çalışanın, Dennis Ritchie ve Ken Thompson’un bilgisayarların artık açık kurallarla çalıştırılması gerektiğini düşünmesiyle yaratıldı. İkili, geliştirdikleri bu yeni standart işletim sistemine UNIX ismini verdiler.

1970-1979. 1970’lerde siber cephe alabildiğine açıldı. Bu işle ilgilenen herkes, kablolarla bağlanmış bir dünyanın nasıl çalıştığını araştırmaya ve bulmaya çalışıyordu. 1971’de, John Draper isimli bir Vietnam gazisi, Cap’n’Crunch (mısır gevreği markası) kutusundan çıkan promosyon düdüklerin 2600 MHz tonda ses çıkarttığını fark etti. Bedava telefon görüşmesi yapmak için düdüğü telefonun alıcısına üflemek yeterliydi.

O zamanın hacker’ları, “phreaking” adı verilen bu tür yöntemlerin kimseyi incitmediğini, telefon hizmetinin sınırsız bir kaynak olduğunu ileri sürüyorlardı. Hackerlar dünyasında tek eksik sanal bir kulüp binası idi. Dünyanın en iyi hacker’ları nasıl tanışacaklardı 1978 de, Chicago’lu iki genç, Randy Seuss ve Ward Christiansen, ilk kişisel BBS’i (Bulletin Board System - Yılan Tahtası Sistemi) kurdular. BBS’ler günümüzde halen çalışıyor.

1980-1986. Bildiğiniz gibi IBM firması, 1981’de bağımsız işlemcisi, yazılımı, belleği ve depolama birimleri olan yeni bir bilgisayarı duyurdu. Bu modele PC (Personal Computer-Kişisel bilgisayar) adını verdiler. Bu makinelerden biriyle istediğinizi yapabilirdiniz. Gençlerin Chevrolet’lerini bırakıp PC’lere, “Commie 64” (Commodore64) ve “Trash-80”lere (TRS80-Tandy) düştükleri zamanlardı bunlar.

1983 yılında çevrilen War Games (Savaş Oyunlary) adlı film, hacker’lıgı farklı bir cepheden ele aldı: Bu film izleyicileri hacker’ların her bilgisayar sistemine girebileceği konusunda uyarıyordu.

Her geçen gün daha fazla kişi online dünya ile tanışıyordu. Askeri amaçlarla kurulan, sonradan üniversiteler arasında bir ağ haline gelen ARPANET, artık Internet’e dönüşüyordu; BBS’lere karşı tam bir ilgi patlaması yaşanıyordu. Milwaukee’de kendilerine The 414’s diyen bir hacker grubu, Los Alamos Laboratuarlaryndan Manhattan’daki Sloan-Kettering Kanser Merkezi’ne kadar değişen pek çok kurumun sistemine girdiler. Artık polisin işe karışma zamanı gelmişti.

Büyük Hacker Savaşı. 1984’e, kendine Lex Luthor adını veren bir kişi Legion Of Doom (LOD - Kıyamet Lejyonu) adlı hacker grubunu kurdu. Adını bir çizgi filmden alan LOD, en iyi hackerlara sahip siber-çete olarak ün saldı. Ta ki grubun en parlak üyelerinden Phiber Optik isimli gencin, grubun bir diger üyesi Erik Bloodaxe ile kavga edip kulüpten atılmasına kadar. Phiber’in arkadaşları rakip bir grup kurdular: Masters Of Deception (MOD). 1990’den itibaren, LOD ve MOD, iki yıl boyunca online savaşlar sürdürdüler, telefon hatlarını kilitlediler, telefon görüşmelerini dinlediler, birbirlerinin özel bilgisayarlarına girdiler. Sonra Federaller (FBI) olaya el attı, Phiber ve arkadaşları tutuklandı. Bu olay, bir dönemin sonunun geldiğini haber veriyordu.

Yasaklar (1986-1994). Devlet de online olunca, eğlence bitti. Kongre, ciddi olduklarını göstermek için, 1986’da Federal Computer Fraud and Abuse Act (Federal Bilgisayar Sahtekarlıgı ve Kötüye Kullanma) adı altında bir yasa çıkardı. Bu boyutta hacker’lık ağır bir suç oldu.

1988’de Robert Morris Internet worm (Internet solucan’ı) adını verdiği bir hack yöntemi ile ortaya çıktı. Net’e bağlı 6000 bilgisayarı göçerterek, yeni yasayla yargılanan ilk kişi oldu. Sonuç: 10.000 dolar para cezası ve çok fazla saat toplum hizmeti.

Bir süre sonra, tutuklananları saymak için parmaklar yetmemeye başladı. Aynı yıl Condor takma adıyla tanınan ünlü hacker Kevin Mitnick, Digital Equipment Company şirketinin bilgisayar ağına girdi. Yakalandı ve 1 yıl hapis cezasına mahkum oldu. Sonra adaşı Kevin Poulsen telefon hatlarına girmekle suçlandı. Kevin hemen ortadan kaybolarak 17 ay boyunca saklandı.

Sundevil Operasyonu, ABD hükümetinin ülkedeki tüm hacker’ları (LOD dahil) ele geçirmek için 1990’da başlattıgı bir operasyondur. Bu girişim bir işe yaramadı; ancak bir yıl sonraki Credux operasyonun MOD’ın 4 üyesinin hapisle cezalandırılmasıyla sonuçlandı. Phiber Optik federal hapishanede bir yıl geçirdi.

1994’den Bugüne. 1994 yazında, Rus mafyasının eline düştügü ileri sürülen Vladimir Levin adlı bir genç, Citibank’ın bilgisayarlarına girerek müşterilerin hesaplarından, bir söylentiye göre 10 milyon dolardan fazla parayı (resmi açıklamaya göre 2.5 milyon dolar) İsrail’deki banka hesaplarına transfer etti. Levin, 95 yılında Interpol tarafından Heatrow Havaalanında tutuklandı; Citibank yaklaşık 400.000 dolar haricinde tüm parasını geri aldı. Hackerların ard arda tutuklanması siber ortamda ani bir dolandırıcılık azalmasına neden oldu.

Bunu ister anarşinin sonu, ister serbestliğin ölümü olarak adlandırın, artık hacker’lar romantik anti-kahramanlar, sadece bir şeyler öğrenmek isteyen farklı (tuhaf) insanlar olarak kabul edilmiyorlardı. Dünya piyasasını Net üzerinden yönetme vaadiyle filizlenen online ticaret, korunmaya ihtiyaç duyuyordu. Hacker’lar birden dolandırıcı niteligi kazandılar.

Peki şimdilerde neler oluyor? Internet dünyasında yasadığı yöntemlere sıkça başvuruluyor, ancak eskisi gibi efsaneleşmiş isimler çıkmıyor.

Yine de Aldous Huxley’in bir zamanlar söylediği gibi, olaylar görmezlikten gelinmekle yok olmazlar. Bilgisayar yer altı dünyasında hep söylenen şu sözü de unutmayın: iyi bir hacker’san, ismini herkes bilir. Ama büyük bir hacker’san kimse kim olduğunu bilmez.

HACKER VE LAMER

Lamer : 14 ile 50 yaş arası bir kitledir, fazla bir bilgiye sahip olmaksızın ve fazla bir emek harcamadan site kırmak veya başkalarının bilgisayarlarına girmek gibi işlerden haz duyarlar, %100 oraninda hazır bilgiye bağımlı oldukları için bu camiadan pek fazla yeni fikir çıkmaz. Hacker : 17-25 yas arası bir kesimdir, bu yaş gurubundakiler bilgisayarın Türkiye’de yeni yeşerdiği zamanlardan beri bilgisayar kullandıklarından oldukça maharetlidirler tabi olarak. Çoğunlukla en az bir bilgisayar dili veya işletim sistemi üzerine yoğun bilgi sahiptirler, bilgisayar hayatlarının önemli bir kısmını meşgul eder. Bilgi paylaşımı esas teşkil ettiği için bir bilgiyi alır geliştirir ve diğer hackerlar ile paylaşırlar. Hackerlık ile lamerlik farklı şeylerdir, ancak biri diğerinden kötü falan değildir. Bu daha çok fotograf makinesi olan bir insanla, fotoğrafçılık yapan bir insanı karşılaştırmak gibi bir durum olur.

HACKERLERİN KULLANDIKLARI YÖNTEM VE PROGRAMLAR

• TROJANLER

Hackerlar trojan (diğer adı ile RAT=Remote Access Tools) adı verilen programları kullanırlar.Peki trojan nedir? Adını Truva Atı'ndan alan programcıklar olan trojanların ikiyüze yakın çeşidi mevcut ve her gün yenileri çıkmakta.Hepsinin çalışma yöntemi aşagı-yukarı aynı.Server,client ve editör denen üç parçadan oluşuyorlar.En sık kullanılanlardan bazılarının adlarını söylemek gerekirse ; Bladerunner, Deepthroat, Girlfriend, Schoolbus, Netbus, Subseven, Striker, Doly, Wincrasher, Voodoo, Netsphere .Dediğimiz gibi sayıları iki yüze yakın, ancak hit olan sadece iki tane.Tüm dünya ile birlikte Türk hackerlarının gözdesi olan bu programlar Subseven ve Netbus trojanlardır.Bunlar arasından da en genel hatta Türk hackerlarının kullandığı program Subseven‘dır.

o SERVER'LAR

Trojan denilen programların ilk parçalarına server denilir.Hacklenecek bilgisayarda bir kez çalıştırılması yeterlidir.Çalıştığı bilgisayar net'e her bağlandığında,kullanıcının haberi olmadan,"ben buradayım ve bu bilgisayarın arka kapısını açtım,haydi bağlan" mesajını verecektir.Bilindiği gibi bir bilgisayarda yaklaşık 40000 kapı yani port vardır.Bunların ilk 1000 adedini bilgisayarınız kullanır.Kalan 39000 kapı normalde kilitlidir.İşte bu server adı verilen programlar, hırsızlar tarafından bu kapılardan birini açsın diye yazılırlar.Her trojanın açtığı bir kapı vardır. Subseven trojan en çok 1243 no'lu kapıyı açsın diye yazılır. Peki server denen bu ajan parça bilgisayarınıza nasıl girer.Bu işin en kolay yolu, server'ı masum bir programa yapıştırmaktır.Bu işi sağ mouse darbesi ile açılan kes-yapıştır modu ile yapamazsınız.Genellikle joiner, silkrope gibi programlar bu iş için yazılmışlardır.Nasıl kullanacağınızı ilerde anlatacağız.Serverları bir bilgisayarda çalıştırmanın diğer yolu icq, irc gibi sohbet programlarında güveni kazanılmış kişilere yollamaktır. Kullanıcı programa clikler ve artık bilgisayar işgale açıktır.Serverla enfekte hale gelmenin ülkemizdeki en sık nedeni net'ten bilinçsiz program indirmektir.Güvenilir bir siteden indirdiğiniz programları bile,açmadan önce kesinlikle iyi bir antivirus ve antitrojan programından geçirmek şarttır.Trojanları tanıyan antivirus programlarına AVP,antitrojan programlara da cleaner'ı ve Norton,McAfee,F-Prot gibi ünlü antivirus programlarını örnek verebiliriz.Subseven trojan üçlü bir pakettir.Piyasadaki son versiyonları 2.0 ve 2.1 Gold adlarını taşıyor.

o EDİTÖR

Server'ı islediğimiz şekilde kurmaya yarayan parçadır.Operasyonun en hassas bölgesi diyebiliriz.Önce EditServer yazan yeni dosya açılır.Açılan alttaki pencereden "next"e cliklenir.Burada size server'a nasıl ulaşabileceğini soran cümle ile karşılaşırsınız.Eğer server'ı A: disketine kaydedilmişse “a:server.exe” yazılır.Belgeler bölümüne kaydedilmişse “c:Belgelerimserver.exe” yazılır. Adresi yazıp alttaki next'e clicklenir yeni sayfaya geçilir.Bu sayfada server'ın hangi porttan yayın yapacağını sorar.1243 en iyisidir.Solundaki minik kutuyu işaretlenir.Altta pasaport yerleştirmek isteyenlere hitap eden satır vardır.Soldaki minik kutuyu işaretleyip iki kez pasaport girilir.En alttaki minik kutuyu işaretlenmez yoksa asla geri dönemezsiniz. Şimdi "server'ın adını koyun" sorusu çıkmaktadır.Default tuşu en iyisidir.Altta yerleştikten sonra izini kaybettir anlamına gelen küçük kutu var,işaretlenir.Beşinci aşama,server'ın ilk çalışması ile sahte bir hata mesajı verme opsiyonudur.Configure tuşu ile bir mesaj beğenilir.Bu bölüm opsiyoneldir.Yedinci bölümde kullanıcıya ad verilmesi istenir. Sekizinci bölümde,server nereye yerleşeceğini sorar.Less known ve unknown metotları seçilir.Eğer hata ile server'ı kendi aletinizde çalıştırırsanız, bir daha zor kurtulursunuz.Şimdi ki aşamada server'ı sonu exe ile biten bir programa yapıştırma şansı verilmekte.C: driver taranıp,istediğiniz bir programa yapıştırılarak kullanıcılara gönderilir.Alttaki soruda,başkalarının server'ınızı açmaması için pasaport sorulmaktadır.Sadece,save a new copy bölümünü tıklayıp yeni server'ımızın kaydı alınır.Sol en alttaki kutuyu işaretlenerek işlem bitirilir.

• KARŞI KULLANICIYI HACKLEME

Subseven programını açınca karşımıza çıkan programda öncelikle soldaki sıralı kutucuklardan "connection"ı seçilir.Beş bölümden ilk olarak ip scanner'ı seçin.Bildiğiniz gibi internete bağlandığında şirket tarafından bir numara verilir.Bu no'lar veezy'de 212.29 ile,turknet'te 212.57 ile, superonline'da 212.252 ile başlar.Sağda açılan start ip kutucuklarını doldurulur. Veezy kullanıcısını haclemek için 212.29.60.2 yazılır. end ip numaralarına 212.29.233.255 yazılır. Port kutusuna 1243, delay kutusuna 4 yazılır.Sağ üstteki scan tuşuna basınca,tüm bu numaralar aralığında bilgisayarında server olan şahısları arar.Bulduğu numaraları ortadaki büyük kutuda sıralar.Oltaya takılan bu no'yu enüstteki ip: yazan yere koyun.Sağdaki port no hala 1243 olmalı. Şimdi sağ en üstteki connect yazısına tıklanır.Bağlantı kurulunca en altta connected yazısı görülür.Eğer kurbandaki server pasaportla korunuyorsa members.xoom.com/netvampiri/files/subpass.exe dosyası çekilir.Bunu açıp,kurbanın ip numarasını yazılır ve change(değiştir)tuşuna basılırsa, pasaport predatox olarak değişir.Tekrar subseven'la kullanıcıya bağlanıp yeni pasaportu girilir.Connection bölümünde diğer bir şık,server options bölümüdür.Buradan kullanıcının server'ına yeni pasaport koyma, portunu değiştirme gibi olanaklara kavuşulur.İkinci bölüm keys/messages bölümüdür.Burada klavye girilirse, kullanıcının klavyede bastığı her tuş görülebilir. Get cache ve get recorded tuşları ile net şifrelerine el koyarsınız. Files / windows ana şıkkında file manager'a girerseniz kullanıcının tüm dosyalarına ulaşılır .İstediğiniz çekebilir hatta silinebilir.

Bir sonraki sayfada bazı trojan programı isimleri ve bunların bilgisayarlarımızda kullandığı portların numaraları verilmiştir.

PORT Trojan'ın ismi

21 - Fore, Invisible FTP,FTP, WebEx,WinCrash

23 - Tiny Telnet Server, Telnet, Wingate

25 - Antigen, Email Password Sender,Haebu Coceda, Shtrilitz Stealth, Terminator

31 - Hackers Paradise

80 - Executor

456 - Hackers Paradise

555 - Ini-Killer, Phase Zero, Stealth Spy

666 - Satanz Backdoor

1001 - Silencer, WebEx

1011 - Doly Trojan

1170 - Psyber Stream Server, Voice

1234 - Ultors Trojan

1243 - SubSeven Default Port

1245 - VooDoo Doll

1492 - FTP99CMP

1600 - Shivka-Burka

1807 - SpySender

1981 - Shockrave

1999 - BackDoor

2001 - Trojan Cow

2023 - Ripper

7301 - NetMonitor

7306 - NetMonitor

7307 - NetMonitor

7308 - NetMonitor

7789 - ICKiller

9872 - Portal of Doom

9873 - Portal of Doom

9874 - Portal of Doom

9875 - Portal of Doom

9989 - iNi-Killer

10067 - Portal of Doom

10167 - Portal of Doom

11000 - Senna Spy

11223 - Progenic trojan

12223 - Hack´99 KeyLogger

12345 - GabanBus, NetBus

12346 - GabanBus, NetBus

12361 - Whack-a-mole

12362 - Whack-a-mole

16969 - Priority

17000 - Kuang2

20001 - Millennium

20034 - NetBus 2 Pro

21544 - GirlFriend

22222 - Prosiak

23456 - Evil FTP, Ugly FTP

26274 - Delta

31337 - Back Orifice

ESSENTİAL PROGRAMI

Essential net tools (gerekli internet araçları) bu program bilgisayarlar arası dosya alışverişi sağlayan ve internet üzerinden paylaşımı açık insanların bilgisayarlarına girebilmenizi sağlar

Programı indirdikten sonra bilmemiz gerek ilk şey ip numarasının ilk iki epizotunun değişmedigi son 2 epizotunun değiştiğidir ve buna göre ip numarasının son epizotu 1 ile 255 arasında olduğundan biz bir ip numarası alındığında Starting IP yerine yazınca sonunu 1 Ending IP bölümüne yazınca da sonunu 255 yapılır.

Bulduğuz ip numarasını yazdıktan sonra Go tuşuna basılır ve o ip numarası arasındaki bütün bilgisayarlar çıkacak ondan sonra b RS bölümde YES yazan bilgisayarlara sağ tuş ile tıklayıp Open Computer denilir. Genelde ise C ve D gözükür öyle bilgisayarlara girip istenilen her şey yapılır.Unutulmaması gereken tek şey var oda paylaşımı açık bir bilgisayara girmek için bilgisayarımızın paylaşıma açık olması gerekir.

EXPLOİT PROGRAMLARI

Exploitler,bir sisteme erişim almak ya da sahip olduğunuz erişimi arttırmak için yazılmış küçük programcıklardır.Ayrıca exploitlerin işlevine göre serveri crash etme özellikleri de olabilir.Çeşitleri ;

Local Exploit :Local exploitler,sisteme erişimi olan kullanıcılar tarafından çalıştırılabilir.Bu tip exploitler sayesinde basit bir kullanıcı,sistemde yönetici hakkına bile kavuşabilir.

Remote Exploit : Remote exploitler, sisteme hiç bir giriş izni olmadan çalıştırılabilir.Bu tip exploitler sayesinde kendi bilgisayarınızda çalıştırdığınız bir script ile hiç bir erişiminiz olmayan bir bilgisayarı ele geçirebilirsiniz.

Cgi Exploitleri :Bu tip exploitler cgi scriptlerinde bulunan açıklardan yararlanırlar. Güvenlik sitelerinde yüzlerce cgi exploitlerine rastlayabilirsiniz.Günümüzdeki en popüler hacking yöntemlerinden biridir.Özellikle web üzerinde çalıştırılan scriptlerde programcının yaptığı hatalardan yararlanan kullanıcılar,önemli dosyalara ulaşarak sisteme zarar verebiliyorlar.

NUKE

Windows 3.1x, Windows 95 ve Windows NT de "Microsoft Network Client" vardır. Dosya ve yazıcı paylaşımı için geliştirilmiş bir teknik. Önceleri sadece NetBEUI protokolünü desteklerken bu gün TCP/IP veya IPX/SPX protokolü ile de bu client çeşidini kullanabilirsiniz. Nuke olayı bir bug'dan kaynaklanmaktadır. Eğer "Microsoft Network Client" i kullanıyorsanız bilgisayarınızda 137,138 ve 139 nolu portlar aktif demektir. Bilgisayarlar bu portlardan haberleşir. Ne yazık ki burada bulunan bir bug, başkalarının sizin bilgisayarınızı çökertmesine neden olmaktadır. Hatta yine aynı portlardan bilgisayarınıza girip şifrelerinizi çalabilir, dosyalarınıza erişebilirler.139 nolu porttan özel bir kod gönderilirse bilgisayarınız kesin çöker. Eğer bir patch uygulanmamışsa.Çözüm olarak Windows'unuzun ağ ayarlarından "Microsoft Network Client" i ve "NetBEUI" i kaldırılır. Eğer kullanmak zorunda olunursa Microsoft'dan patch alınır. Eğer işe yaramazsa "Microsoft Network Client" i TCP/IP ile kullanılır. Ayrıca nukler MIRC ,ICQ gibi sohbet programlarının bug (hata) larında dan yaralanılarak kullanıcı bilgisayara zara verilebilir. Aslında bu tür nukler işletim sistemine değil bu programların çalışmasını etkiler buda işletim sistemini etkileyerek dolaylı olarak sistemin durmasına yol açar.

Hackerlardan korunma yöntemleri

1)Tanımadığınız kişilerin yolladığı dosyaları almayın.Tanıdığınız kişilerin hatta arkadaşlarınızın da sizi hacklemeye çalışabileceğini de unutmayın!

2)Sürekli bir Antivirüs programı bulundurun ve sürekli internetten update (yani yeni virüsleri tanıması için) edin!(Antivirüs bölümünde gerekli programları bulabilirsiniz.)

3)İnternetten çektiğiniz veya başkalarından aldığınız dosyaları antivirüs kontrolünden geçirmeden açmayın!

4)Ara sıra hard diskinizin tamamını virüs taramasından geçirin.

5)İnternetten çektiğiniz ve bilmediğiniz programları sakın açmayın.Eğer güvenilir bir kaynaktan çektiyseniz ne olduğunu görmek için açabilirsiniz ama bir virüsse bilgisayarınızı bile çökertebilir.

6)E-Mail , İcq , vb. hesaplarınızda '111111' , 'asdf' , doğum tarihiniz , hayvanınızın ismi gibi şifreler kullanmayın.Bunları genelde tahmin etmesi kolaydır ve çabuk hack edilir.

7)E-Maillerinize gelen 'şifreniz kayboldu , hemen bilgilerinizi şu adrese bildirin' gibi mesajlarda bir hackerdan gelmiş olabilir.Bu hatta tanıdığınızdan gelen bir e-mailde olabilir..Ama bilen birinin istediği adresi göstermesi hiçte zor değil!Yani isterse size beyaz saraydan e-mail yollanmış gibi bile yapabilir...

Firewall ve Anti Virüs Programları

Firewall

Firewall diye bilinen programlar, bilgisayarınızın portları ile internet arasına yerleşerek yapancı veya sizin onaylamadığınız girişimlere mani olurlar. Özellikle bilgisayarınızda bir trojan var ise bile firewall sayesinde, trojan ile başkalarının size ulaşmasını önler. Firewall virüs veya trojan bulmaz sadece internete giriş kapılarınız olan portları kontrol altına alarak istemediğiniz bilgi giriş çıkışlarına mani olur. Bu programlar sık binen trojanların kullandıkları portları kontrol ederler veya bilgisayarınızda sizin kontrolünüz haricinde işlem yapıldığında sizi uyarırlar.

Ayrıca Firewall yerel ağın internete bağlı olduğu sitemlerde internet üzerinden gelen diğer istenmeyen kullanıcıların yerel ağa girmelerini önler bunun için firewall programının yerel ağı internete bağlayan ana bilgisayarlara veya sistemlere kurulur.

Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde firewall bulunması o networklerin güvenliği açısından bir gerekliliktir.

Firewall’ ların genel mantığı sisteminize onay verilmeden (authorization) kullanıcıların girmemesini sağlayarak sisteminizi teorik olarak dışarıdan görünmez hale getirmektir.

Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna adres filtreleme(Address Filtering) denir.

İki firewall bir arada düşünürsek; gateway’den ve ya gateway’e gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi oluştururlar.

Global Ağdaki bir makineye bağlanmak için, ilk önce gateway a bağlanmanız gerekir. Bunun ardından global networke geçebilirsiniz.

Nuke Nabber 2.9: IRC Kullanıcıları arasında en çok tercih edilen programdır. mIRC programının DDE adı verilen özelliği sayesinde Nuke adi ile genellenen ICMP saldırılarına karşı sizi korur. Programı kurduğunuz zaman dikkat etmeniz gereken nokta IRC’nin içerisindeki DDE Server ile Nuke Nabber 'in ayarlarındaki DDE Server’ın ayni ayarlara sahip olmasıdır, eğer bu ayarı doğru yapmazsanız programın hiç bir etkisi kalmaz. Ayarları yapmak için önce mIRC programında Options (Alt+O) mönüsüne girin. Ekrana gelen pencerenin solundaki bölmede General özelliğinin altında Servers bölümü bulunmaktadır. Servers özelliğini seçtiğiniz zaman pencerenin sağ kısmında açılan DDE Server kısmında “Enable DDE Server” seçeneğinin yanına işaret koyun ve Service Name kısmına mIRC ya da dilediğiniz bir isim yazın. Şimdi aynı ayarı Nuke Nabber programını açarak yapalım. Options mönüsünde General bölümünü seçin ve karşınıza gelen IRC client kısmından mIRC’yi seçin ve hemen altındaki DDE Services kısmında yer alan mirc ibaresini Del seçeneğiyle silin ve yerine Add diyerek mIRC programına eklediğiniz DDE Server adini girin ve pencerenin sağ kısmındaki Enable DDE Link seçeneğini aktif hale getirin. Artık program kurulumda gelen portlara karşı olan saldırıları engelleyecektir ve saldırının yapıldığı Internet adresini (IP) size bildirecektir. Programda daha gelişmiş ayarlar da yapılması mümkün. Örneğin Advanced mönüsü içerisinde ekli olan portlara yabancı bir paket geldiği zaman sizi bir sesle uyarmasını isterseniz General mönüsünde Play Sound seçeneğini aktif hale getirip Browse ile sisteminizdeki bir sesi bu özellik için tanımlayabilirsiniz. Herhangi bir porta yapılan saldırıyı, o portu yoğun paket trafiğinden korumak amacıyla (0-60) saniye süresiyle kapatarak etkisiz hale getirebilirsiniz. Bunun için ise Disable Port for 60 se conds seçeneğini aktif hale getirmelisiniz. Port tarayıcı programlar ile o an listen (dinleme) halinde olan yani potansiyel saldırıya açık port'larınızın bulunmasını istemiyorsanız Block Port Scanners seçeneğini aktif hale getirmelisiniz. Belirli bir adresten yoğun bir saldırı altındaysanız bu adresten gelen paketleri sonsuza dek reddetmeniz gerekebilir. Reddetmek için Ignore mönüsünden adresi yazabilir ve Add diyerek red listenize ekleyebilirsiniz. Artık yanlış nick şifresi girmek yada IRC sunucularının birbirlerinden kopmaları (split) dışında sizi hiç bir güç IRC sunucusundan düşüremez.

Conseal PC Firewall: Hem ev hem ofisinizi korur. Aslında büyük sistemleri korumak amacıyla hazırlanmış bu program ev kullanıcılarına da hitap ediyor, bildiğiniz gibi günümüzde Internet üzerinde AltaVista, Yahoo gibi büyük siteleri günlerce ulaşılamaz hale getirmiş saldırı programlarına erişmek mümkün, dolayısıyla evinizdeki bilgisayarı da nispeten büyük saldırılara karsı korumak için firewall kullanmak iyi bir çözüm olacaktır.

Lockdown 2000: Hem Firewall hem Trojan temizleyici, firewall olarak pek fazla özelliği bulunmayan bu program trojan temizleyici ve network koruyucu özellikleri de taşıyor. Programın içerisinde whois, traceroute gibi tarama yapabileceğiniz özelliklerin yanında, yeni bir versiyon çıktığı anda Internet site sine bağlanarak kendi kendisini yenileme özelliği de bulunuyor. Programın koruyucu özelliğini harekete geçirmek için uygulama penceresinde sol alt kısımda bulunan icq/nukes/troj yazısının yanındaki Options düğmesine tıklayın ve karsınıza gelecek ekranda 3 seçeneği de işaretleyin. Program ilk seçeneklerim ile bilgisayarınız açıldığı anda çalışmaya başlıyor ve trojanlara karsı sizi uyarabiliyor. ICQ programına yapılan saldırıları da engelleyen program tek basına yetersiz kalabilir ancak diğer programlarla birleştiği zaman etkisi artacaktır.

Zone Alarm: Yerel ağıda kontrol edin İşte gerçekten protokolleri ayırt edebilen ve sizi uyaran bir firewall programı. Bu program evinizdeki sisteminizi yardımcı programa ihtiyaç duymadan koruyacaktır. Programı çalıştırdığınızda dikkat etmeniz gereken noktalar pencerenin üst kısmındaki kilit işaretinin "Unlocked" olması, eğer bu yazı "Locked" ise firewall tüm internete çıkışınızı kilitler. Bu işaretin hemen altındaki mönüde 5 seçenek bulunuyor. Alerts: Programı çalıştırdığınız andan itibaren programın size yaptığı tüm uyarıları burada tek tek görebilir ve gözden kaçan uyarıları okuyabilirsiniz. Aşağıdaki Log Alerts to a txt file seçeneğinden bu uyarıları bir dosyaya kaydetmek de mümkün. Lock: Yukarıda anlattığımız Internet’i kitleme ve açma opsiyonu daha detaylı bir şekilde bu mönüde mevcut. İsterseniz bu meniden internete erişecek programları şifre ile çalıştırmanız mümkün. Security: Bu mönüde ise sisteminizde çalışan sunucuları ve yerel ağ korumasını ayarlayan Local ile Internet bağlantısını ayarlayan Internet seçeneği mevcut. Her ikisine de 3'er koruma seviyesi mevcut. Programs: Programlarınızın internette ve yerel ağa/sistem içine olan paket çıkışlarını şifrelemeniz yada açmanız mümkün. Configure: Programı nerede yer alacağını belirlemek, açılışta başlamasını ayarlamak, yada kendi sitesinden yeni versiyonlara yükseltme yapmak bu mönüden ayarlanabiliyor.

Black Ice Defender: Saldırıları grafiğe dönüştürün LockDown 2000'e benzer olarak koruma anlamında önünüze fazla seçenek sunmayan Black Ice Defender'in en büyük özelliği makinenize gelen paketlerin listesini önünüze sunması ve bu saldırıları seçerek hakkında bilgi sahibi olabilmeniz. Firewall’a çalıştırdığınızda karsınıza gelen ekrandaki Attacks seçeneğinden saldırıyı yapan adres, saldırı türü,boyutu ve zamanını görebilirsiniz. Intruders seçeneğinden saldırı yapan kısının adresine tıkladığınızda o makineden size gönderilen tüm paketleri görebilirsiniz. History seçeneğinde makinenize gelen paketleri zamana göre grafik haline getirebilirsiniz. Information mönüsü ise program hakkında bilgi sahibi olmanızı ve Buy seçeneği ile lisanslı kullanıcı olmanızı sağlar. Programı ayarlamak için Tools mönüsünden Edit Blackice Settings seçeneğine tıklayın ve karsınıza gelen yeni bir ekran ve mönüler olacak. Protection seçeneğinde 4 değişik seviye mevcut bulunuyor. Packet Logging seçeneğinde yapılan saldırıları bir log dosyasında saklamak ve sisteminizin basında olmadığınız anlarda yapılan saldırıları incelemeniz mümkün kilinmiş. Blocked Adresses ve Trusted Adresses seçeneklerinden istediğiniz IP adreslerini engellemeniz yada kısıtlamasız paket kabul etmeniz mümkün.

AT Guard: Firewall programı sizi internetten gelen tehlikelere karsı esnek ayarları ile koruyacaktır. Programı kurduktan sonra Settings özelliğini açın ve karsınıza gelen meniden ayarlamaları yapmaya başlayalım, Ad Blocker mönüsünde çeşitli kısaltmaları içeren web adreslerini blok etmeye ayarlayabiliriz. Bu kısaltmalar içerisinde örneğin "/ad/" geçenleri blok ediyorsak birçok sitede karsımıza çıkan reklam pencereleri gelmeyecektir. Privacy menusunda zararlı olabilecek çerezleri belirli kurallar ekleyerek zararsız hale getirebiliriz. Firewall menusu ise adından da anlaşıldığı gibi bizi en çok ilgilendiren kısım. Enable firewall seçeneğini işaretleyerek altta kullanıma açılacak kısımda kurallar eklememize olanak verecektir. General mönüsünde firewall’ın çalışıp çalışmamasını belirleyebilir ve programa bir şifre atayabiliriz. About mönüsünde ise programın kullandığı kaynakları, versiyon bilgisini bulabilir ve üreticinin sayfasını ziyaret edebilirsiniz .

Norton Personal Firewall: Symantec firmasının geliştirdiği bu firewall kişisel bilgisayarların internette güvenliği için hazırlanmıştır. Kullanımı kolay ve Symantec firmasının geliştirdiği norton antivisüs programıyla birlikte çalışarak sistem güvenliğini artırmaktadır. Ayrıca program kullanımı sırasında ayarları yapılarak kullanacağını internet programlarının kontrolünü kolaylıkla sağlamaktadır.

Antivirüs Yazılımları

Virüs yazılımları bilgisayarımızdaki virüsleri bularan ve bunalı temizleyen güvenlik programlarıdır. Bu programların genel olarak virüsleri inceledikleri programların üzerinde virüs izleri arayarak virüsleri tanırlar. Virüs izleri ise virüslerin kendilerini kopyaladıkları dosyalardaki makine dili algoritması olarak tanımlayabiliriz. Fakat buda yetmemekte ve kendi kodlarını değiştirebilen virüslerde yazılarak antivirüs programlarını yanıltabilirler. Bu tür virüsler için ise farklı teknikler kullanılarak belirlenmektedir. Bir çok firma virüs programları geliştirmiştir. Bu programlardan beklenen genel özellikler ise;

• Güncellenebilir olması: internet üzerinden kendilerini yeni çıkan virüslere karşı yenileyebilmelidir.

• Sürekli güncellenebilir olması.

• Virüsleri aktif hale gelmeden tanıyıp, etkisiz hale getirmesi

• İşlemler sırasında altta çalışarak virüsleri belirleyebilmesi

• İşlemciyi çok yormaması

• Hızlı tarama yapması

• Virüs tanıma kapasitesinin fazla olması

Bu özelliklere sahip bir çok virüs programı bulunmakta bu virüs programlarının en çok bilinen ve kullanılanları ise şunlardır.

• McAfee Associates, Inc: Bu program kendini internet üzerinden update etme özelliği ile yeni geliştirilen virüsleri tanıya bilmektedir. Program, bilgisayar kullanımı sırasında arkada çalışarak aktif hale geleden virüsleri tanıya bilmektedir. Kolay bir kullanıcı arayüzü bulunmakta.

• IBM Anitvirus : Bu program büyük bilgisayar sistemlerinin virüs güvenliğini sağlar. Ağa bağlı sistemler üzerindeki işlemleri kontrol eder. Yoğun işlemci gücü istemekte bu yüzden ev kullanıcıları tarafından pek tercih edilmez.

• Norton Antivirus : Çok kullanılan bu program update özelliği var ve hızlı tarama yapma özelliği ile en çok tercih edilen anti virüs programıdır.

• F-Prot: Bu program internet üzerinden ücretsiz olarak verildiği için sık kullanılan virüs programları arasında dır belli tarihler arasında çalışır. Zamanı geçen programı internetten güncelenmiş olarak indirerek kullanabilirsiniz bilgisayarı kendi boot ederek işletim sistemine bağlanan virüsleride etkisiz hale getirir

bunları okumaya kalksan baston alcak yaşa gelirsin anıl boşuna kasmışsın

0

|

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:44:31 Konu Sahibi

quote:

Orijinalden alıntı: Hover_Craft

İlgili Link =http://www.av-comparatives.org/

BİLİNEN ZARARLILARA KARŞI ANTİVİRÜS TESTİ SONUÇLARI

TEST SONUÇLARI

a. Windows virüsleri, makro virüsleri, solucanlar, script'ler ve diğer işletim sistemi zararlılarının tesbit oranları.

b. Arkakapı açıkları yaratan zararlılar, truva atları ve diğer zararlı kodların tesbit oranları.

c. DOS ortamında aktif olan zararlılar HARİÇ genel tesbit oranları.

d. DOS ortamında aktif olan zararlılar DAHİL genel tesbit oranları.

Sonunda "*" işareti olanlar Kaspersky çekirdeğini kullanan bir diğer ifade ile Kaspersky klonu antivirüs yazılımlarıdır.

TOPLAM ZARARLI KOD TESBİT ORANLARI

with DOS = DOS ortamı DAHİL

without DOS = DOS ortamı HARİÇ

AĞUSTOS 2005 AYINDAN ŞUBAT 2006 AYINA KADAR OLAN SÜRE İÇİNDE ANTİVİRÜS YAZILIMLARININ TESBİT EDEMEDİKLERİ ZARARLI SAYISININ DEĞİŞİMİ

Yukarıdaki grafikte; antivirüslerin Ağustos 2005 ayında tesbit edemediği zararlı sayısı daha fazla iken, Şubat 2006 ayına doğru azaldığı gözükmektedir. Ağustos 2005 ayında tesbit edemediği zararlı sayısı en az olan ve Şubat 2006 ayında da en aza inmiş olan daha iyidir. Bu grafikte öncelikle KAV (Kaspersky Antivirüs) yazılımının hemen arkasından Symantec Norton ve sonra McAfee yazılımının en iyi sonuçları aldığı gözükmektedir.(ilk üçün değerlendirmesi anlamında) 4. NOD32, 5. F-Prot, 6. BitDefender olmuş.

İLAVE TEST: POLİMORFİK TEST

Tesbit edilmesi diğer zararlı sınıflarına göre çok daha zor olan ve en fazla 1 sene öncesinden bu yana bilgisayar sektöründe görülmeye başlanan; 10 adet yüksek derecede komplex polimorfik (polymorphic) virüsün yüzlerce değişik türevi ile bu test yapılmıştıır.

BİLGİSAYAR VİRÜSLERİ

Günümüzde bilgisayarların yegane düşmanı virüslerdir. 1980'lerin ortalarında Lahor'lu (Pakistan) Basit ve Amjad Alvi, kendi yazılımlarının kopyalandığını farkettiler. Buna tepki olarak ilk bilgisayar virüsünü geliştirdiler. Bu virüs, müşterilerinin kopyaladığı her floppy disket üzerine hem kendi kopyasını hem de telif hakkı (Copyright) mesajını koyan bir programdı. Virüsler böylesine basit bir gelişmeyle başladı,fakat zamanla tam bir virüs kültürü gelişti. Günümüzün virüsleri tüm dünyayı birkaç saat içinde sarabiliyor, manşetlere konu olabiliyor.

Bir bilgisayar virüsü, belleğe yerleşen, çalıştırılabilen programlara kendini ekleyen, yerleştiği programların yapısını değiştiren ve kendi kendini çoğaltabilen kötü amaçlı programlardır.

Teknik olarak bir bilgisayar programının virüs sayılması için kendi benzerini yapıp bunu başka programlara bulaştırması lazımdır

Virüsler bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Tıpkı grip virüsünün insan vücuduna yerleşmesi gibi, bilgisayar virüsleri de kendilerini taşıyıcı bir programa yerleştirir.Böyle virüs bulaşmış bir program bilgisayara transfer edildiğinde,bilgisayardaki diğer programlara da virüs bulaşmaya başlayacaktır.

Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar programına (örneğin, sık kullanılan bir ekran koruyucusuna ya da bir oyun programına) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları, "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya alışverişlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlarını daha da iyi anlayabiliriz.

Virüslenmiş program çalıştırıldığında virüs kodu da, genellikle, bilgisayarın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskin ya da disketlerin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayar her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve Windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.

Virüs bulaşması için önceleri tek yol, floppy disketler idi. Ancak daha sonraları, gelişen bilgisayar ağları ve özellikle internet aracılığıyla da bulaşmaları olanaklı hale geldi. E-posta kullanımının yaygınlaşması ile virüsler artık çok daha hızlı yayılabilmektedirler.

Virüslerin Genel Yapısı

Virüsler baslıca üç bölümden meydana gelmişlerdir.Bunlar sırası ile kopyalama bölümü, gizleyici ve etki bölümüdür.

Kopyalama bölümü ile kendisini çalıştırılabilir dosyalara ilave eder.

Gizleyici bölümü, kendini gizleme görevi yapar. Daha ziyade anti-virüs programlarının gözünden kaçmak ve anti-virüs programını yanıltmak için oluşturulmuştur.

Etki bölümü ile asıl işlem yerine getirilir.Asıl işlemin yaptığı zararlı etkilere; verileri karıştırmak, programın bir kısmını silmek, disk veya disketin çalışmasını engellemek örnek olarak verilebilir.

Virüsler kopyalama bölümü ile bulaşmalarına rağmen bulaştıkları dosyalar farklı olabilir.Virüsler genel olarak EXE, COM, OVL, OBJ, LIB uzantılı dosyalara kendilerini kopyalarlar. Virüs bulaştıktan sonra gizleyici bölümü, program her çalıştığında aktif duruma geçer ve virüs kendini gizlemeye çalışır.Normal çalışma süresince etki bölümü pasif durumdadır. Şartlar uygun olduğunda ortaya çıkar ve etkisini gösterir. Bu bölümün şartlarının uygunlaşması; bir tarih olabilir (Örneğin CIH virüsü) , ülke kodu olabilir, kopyalama işlemi olabilir, herhangi bir verinin girilmesi olabilir. Virüs yazan bir insan için mantık geliştirme bölümü bu bölümdür. Virüs yazmanın ayrıcalığı da bu bölümde gizlidir. Çünkü diğer bölümler hemen hemen aynıdır. Yukarıda uzantıları verilmiş olan dosyaların dışında ayrıca bir program için yazılmış özel virüsler de vardır.

Virüsler Neler Yapabilir? Bilgisayar içi yapısı tamamen programlamaya dayılıdır. Hangi donananımın nasıl ve ne şekilde çalışacağını programlanma şekli belirler. Virüs de bir program türü olduğuna göre; bilgisayarda programlamaya dayalı her şeyi yapabilirler. Yapabileceklerini sıralayacak olursak;

• Bilginiz dışında bilgisayarınızın denetimini ele geçirir.

• Bilgisayarınızın garip davranmasına neden olur, örneğin, çeşitli sesler çıkarır veya can sıkıcı iletiler görüntüler.

• Word ve Excel belgelerine bulaşan ve zarar veren makrolara gizlenirler. (Bunlara makro virüsleri denir.)

• Dosyalarınızda ciddi zararlara neden olurlar. Virüsler, verileri bozabilir, dosyaları silebilir, hatta sabit diskinizi tamamıyla silebilir.

• Zarar vermek için önceden tanımlanan tetikleme tarihine kadar (örneğin, 13. Cuma) virüsler etkin olmazlar.

• Donanımlara zarar verebilir.

En iyi huylu virüsler (görünürde zarar vermeyen virüsler) bile önemli zararlar verirler : sabit disk ve/veya bellekte yer kaplarlar, CPU zamanını harcarlar; ortaya çıkarılmaları ve temizlenmeleri için önemli miktarda zaman ve para harcanır.

Değişik Türde Zararlı Programlar

Virüslerle ile zaman zaman karşılaştırılan fakat virüslerden farklı özellikler sahip başka zararlı programlar da vardır. Truva Atları (Trojan Horses) ve Solucanlar (Worms) örnek verilebilir.

Truva Atları(Trojan Horses)

Virüslerin bir alt sınıfları, Truva Atı olarak bilinen, virüslerdir. Esasında Truva Atı teknik olarak bir virüs değildir. Truva Atı, ki bu adı tarihte Truva Savaşları olarak bilinen ve Yunanların uyguladıkları ve kazandıkları bir taktikten alır (Truvalılar'ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve eğlenceye dalmış olan Truvalılar’ı öldürürler. Günümüzde de aynı işi programcılar yapıyor. Tahta at yerine, bilgisayarlarımıza çeşitli programlar yolluyorlar. Bir tür programdır. Bu program aslında kullanışlı ve cazip gelen şeyler vaat eder yada yapıyor izlenimi verir (oyunlar veya kullanışlı kaçak dosyalar arkasında gelebilir). Fakat içinde kötü niyetli şeyler ihtiva eder ve sinsice bunları arka tarafta kullanıcının haberi olmadan uygular (Bilgisayardaki şifreleri çalmak gibi). Truva Atları asla başka programlara bulaşmazlar.

Çoğu Truva Atı, oturumu açma kimliği ve parolasını çalmak ve sonra da onları ödeme yaparken kullanılan hesabı kullanabilecek bir başkasına e-posta ile göndermek üzere tasarlanmıştır.Bazı Truva Atları da müstehcen iletiler görüntüler veya sabit sürücünün içeriğini siler. Örneğin güvenli görünen veya ücretsiz çevrimiçi bağlanma gibi öneriler sunan bir programı yüklerken Truva Atları alınabilir. Program bir kere yüklendiğinde ve çalıştırıldığında, kötü amaçlı kodlar çalışmaya başlar. Truva Atları ile virüsler arasındaki fark, Truva Atlarının kendiliklerinden bulaşmamaları veya yinelenmemeleridir. Yalnızca kasıtlı olarak; e-posta ile ,disket yolu ile veya bir bilgisayara doğrudan yüklenerek yayılabilirler. Bunun anlamı, virüsten farklı olarak, yalnızca bir kere belli Truva Atı tarafından etkilenilir.

Solucanlar(Worms)

Genellikle ağ bağlantılarını kullanarak yayılan, solucan olarak tanımlanan kodlar, yayılmak için her zaman taşıyıcı bir programa ihtiyaç duyarlar.Solucanlar dosyadan dosyaya yayılma yerine tüm sisteme zarar vererek bilgisayardan bilgisayara yayılırlar. Solucanlar, e-postayı kullanarak ağ üzerindeki bir bilgisayardan diğer bilgisayarlara kendilerini kopyalarlar. Solucanlar, çoğalmak için insan müdahalesine gereksinim duymadıklarından bilgisayar virüslerinden daha hızlı yayılabilirler.

Virüs Çeşitleri

• Yazılımlarına Göre Virüsler

Virusleri yazılım yöntemlerine göre iki grubu ayrılırlar. Buna göre yazılımlarına göre virüs çeşitleri :

o Resident Virüsler

Bu virüsler adından da anlaşılacağı gibi yerleşik (resident) olarak her an bellekte kalan ve her an aktif olan virüslerdir.Yazılımı biraz daha karışık ve detaylıdır.Gizleyici bölümü daha fazla emek isteyen virüslerdir.Örneğin virüs bulaşmış bir dosyanın uzunluğu değişmesine rağmen , gizleyici bölüm bu dosyanın orijinal uzunluğunu vererek kullanıcıyı yanıltır.Genellikle INT 20h,21h,41h gibi kesme sinyalleri sırasında dosyalara bulaşırlar.

Bellekte bulunup bulunmadıkları çok çeşitli yöntemlerle ve anti virüs programları ile anlaşılabilir.Tespit edilip edilememesi virüsün kalitesine bağlıdır.Kalitesi iyi olmayan bir virüs bellek hartalarını veren programlarla rahatlıkla tespit edilebilir.

o Nonresident Virüsler

Bu tip virüsler bellekte yerleşik kalmayan virüslerdir.Ancak bulaştıkları program çalıştığında aktif hale geçerler.Aktif hale geçer geçmez kendilerini bir veya daha fazla dosyaya kopyalarlar.dosya tipi virüs ise bulaştıktan sonra kontrolü asıl programa bırakır. Eğer boot virüs ise bulaştıktan sonra kontrolü işletim sistemine bırakır.Resident virüslere oranla daha iyi ve sinsi bir şekilde korunabilirler.Çünkü bulaştığı program çalıştığı esnada ve kısa bir sürede tahribatını yapıp geri çekilirler.Bellek haritaları ile tespit etmek oldukça zordur.

Nonresident olarak yazılmış boot sektör virüsü pek etkili değildir.Çünkü bir disketten diğerine bulaşabilmesi için bellekte sürekli aktif olması gerekir.Bu yüzden bu tip yazılan virüsler genellikle dosya virüsleridir.

• Etkilerine Göre Virüsler

Etkilerine göre virüsleri iki ana başlık altında toplamak mümkündür.Bunlar:

1-Boot Sektör Virüsleri :

A-Master Boot Record

B-Normal Boot Sektör Virüsleri

2-Program (Dosya) Virüsleri:

A-COM dosya Virüsleri

B-EXE dosya Virüsleri

C-Diğer Virüsler

o Boot Sektör Virüsleri

 Master Boot Record (MBR/Partition Table) Virüsleri :

Boot sektör virüsleri hard diskin veya floppy disketin ilk sektörlerine bulaşır.Dosya viruslerinden farklılıkları dosya çalıştırılmadan aktif hale geçmeleridir. Bilindiği gibi bilgisayar açıldığı zaman ilk devreye giren ünitesi BIOS’ tur.BIOS harddisk'in boot sektöründen geçerli partition table(reverse Word format) imzasını arar.Eğer bu imzayı bulabilirse bu bloktaki bilgileri RAM belleğe okur.Virüs kendisini bu imza yerine veya okunacak bloğa yazdığı taktirde problem burada ortaya çıkar.BIOS'un okuması sırasında partition imzasını gizleyebilir.BIOS görevini tamamlayamayacağı için , bilgisayar açılmaz.Bloğun okunması sırasında virüs yazıcısının belirlediği bir kesme çağırılabilir.Bu durumda bilgisayarın açılması kesintiye uğrar.Blok okunup, Ram belleğe aktarıldıktan sonra ,virüsün etki kısmı çalışarak bilgisayarı reset edebilir veya bir jump komutu ile okunması gerekli olan bazı dosyaları okutturmadan sistemin yanlış yüklenmesini sağlayabilir.İşte bu türlü işlemler virüs yazmanın mantığını oluşturur.

 Normal Boot Sektör Virüsleri :

Floppy disketlerinde partition table bulunmaz.Aslında harddiskteki partition table'de boot sektördür.Fakat birden fazla işletim sistemi yükleyebilmek için bölümlendirilmişlerdir.Yukarıda hard disk için açıklanan imzalara benzer.İmzalar disketin sıfırıncı sektöründe de vardır.Virüs bilgisayarın hard diskten açılması sırasında yaptığı işlemleri floppy disketten açılma yapıldığında da yapar.

İster hard diskten , İster floppy disketten boot yapılsın daha işletim sistemi yüklenmeden virüs yüklenmiş olur.İşletim sisteminden önce yüklenmesinden dolayı işletim sistemini istediği gibi yönetebilir.Yani kaleyi içten kuşatmıştır ve savunmayı yenmiştir.

Virüs kendisini partition sektöre veya boot sektöre yazabileceği gibi FAT'a (dosya yerleşim tablosuna)veya partition bölümleri arasına da yazabilir.Buradaki yapacağı işlemlere dosya yerleşim tablosunu bozmak aranılan kütüğü gizlemek gibi örnekler verilebilir.

Her iki çeşit virüsünde çalışma algoritmasının aşağıdaki gibi olduğu söylenebilir.

1-Belirtilen yere bulaşmak için kendini gizle

2-Orijinal boot/MBR sektörünü kontrol altında tut

3-Kendi virüs imzanı ara ve daha önce bulaşıp bulaşmadığını denetle

4-Bulaşılmış ise hareketsiz kal ve boot sektörü terk et

5-Bulaşılmamış ise Kendi kodlarını belirtilen şartlarda boot sektöre yaz

6-Duruma göre hareket et.Gerekiyorsa Resident olarak yerini al

7-Birinci basamaktan itibaren görevine devam et

o Program (Dosya) Virüsleri

Program virüsleri çalıştırılabilir dosyalara bulaşabilen virüslerdir.Programların tanımlanan yerlerine kendilerini kaydederek onlarla beraber çalışırlar.Bu yüzden programın çalıştığı her bilgisayara kolayca bulaşırlar.

Program virüslerinin DOS'un kullanılma özelliklerine göre birkaç tipi vardır.Hangi tip olursa olsun çalışma algoritması hemen hemen aynıdır.Değişik olan kısımları ; gizleyici ve bomba bölümleridir.Kopyalama bölümleri genellikle aynı mantığa dayanır.

o COM Dosya Virüsleri :

Daha önceki bölümlerde açıklandığı gibi DOS ortamından uzantıları COM ,EXE ve BAT olan dosyalar doğrudan çalıştırılabilirler.Bu tur virüslerin yazılımında temel mantık budur. COM uzantılı dosyalar 64 KB 'lık bir segment üzerindedir.COM uzantılı bir program çalıştırıldığı zaman ,DOS tüm bellek alnını bu dosyanın kontrolüne birakır.COM dosya virüsü en kolay ve en hızla yayılan bir virüstür.Virüsün kopyalama kısmı , virüslü bir dosyadan diğerine kopyalama yapar.Kendisine zarar gelmemesi için ,com dosyanın başlangıcını saklar ve kendisinin bir kısmını buraya , bir kısmını da dosyanın sonuna yazar.Virüs yazarının tanımladığı işlemleri ise program çalıştığı sürece yerine getirir.

o EXE Dosya Virüsleri :

EXE dosya virüsleri COM dosya virüslerinden biraz daha farklıdır.EXE dosya virüsü COM dosya virüsü gibi kendisini dosyanın başlangıcına yazmaz.EXE programın başlığında ufak tefek değişiklikler yapmak onun için yeterlidir.Kendisini büyük oranla programın en sonuna yazar.EXE bir dosyaya virüsün kendisini yazması COM dosyaya oranla daha zordur.Genelde minimum bellek ihtiyacını yükselterek etkilerini gösterirler.

• Platformlara göre virüsler

o PC Virüsleri

PC virüsleri kişisel bilgisayarlar(PC’ler) ve DOS ortamı için yazılmış virüslerdir.Bu tür virüsler daha çok DOS ortamında çalışmaları için yapılmalarına rağmen Windows 95 Windows 98,Windows ME,Windows NT ve OS/2 işletim sistemlerinde de çalışabilmektedirler.

o Macintosh Virüsleri

Macintosh virüsleri PC virüsleri kadar problemler çıkarmazlar. Macintosh işletim sisteminde çalışabilecek virüs sayısı gerçekten çok azdır.Bu tür virüsler daha çok okullardan temin edilmektedir. Microsoft ürünü olan işletim sistemlerinin(DOS, Windows...) yaygınlığı göz önüne alındığında,Macintosh işletim sistemi için yazılmış virüslerin azlığı doğaldır.

• Diğer Platformlar

Virüsler hemen hemen her tür bilgisayarda bulunabilirler.Örneğin;gelişmiş hesap makinaları,eskiden var olan Commodore 64 ve Unix bilgisayarları gibi sistemler.

• Diğer Virüsler

Yukarıda bahsedilen virüslerin dışında bilinen BAT ve SYS dosya virüslerde vardır.Bunlara da kısaca değinelim.

o BAT Dosya Virüsleri

DOS ortamından çalıştırılan 3. dosya ,BAT uzantılı dosyalardır.Bu dosyalar binary komut düzeninde olmayıp ASCII komut düzenindedir.

Önceki konulardan hatırlanacağı gibi uzantısı BAT olan dosyalar toplu işlem dosyalarıdır ve kapsamlarında birçok toplu işlem komutlarını içerirler.BAT dosya virüsleri toplu işlem dosyası içerisinde kullanılan emirleri birer COM uzantılı dosyaya çevirirler.Bu durumda sanki bir COM uzantılı dosya çağrılmış gibi çalıştırılmak istenir.Örneğin “CALL” emri karşısında CPU ne yapacağına karar veremediği için sistem ya kilitlenir veya bir interrupt ile kesintiye uğrar.Kullanıcıyı hayret içinde bırakan ilginç virüs tipleridir.

Bazı BAT dosya virüsleri DIR komutunun işlevlerinden yararlanır.DIR komutu çalıştırıldığında , değişik isimli yeni bir dosya oluştururlar.Oluşturulan bu dosya ile debug programını çalıştırır.Kendisini çalıştırmakta olan BAT uzantılı dosyaya adapte edecek yeni program yazar.BAT uzantılı dosya çalıştırıldığında bu dosya içerisinde kendi dosyasını da çalıştırır.

o SYS Dosya Virüsleri

SYS virüsleri oldukça zor yazılan virüslerdendir.SYS dosyalarının başlığını değiştirerek kendilerini kopyalarlar.Resident olarak anti-virüslerden önce yüklenirler.Bu yüzden anti-virüs programı tarafından görülemezler.

Genellikle kurulabilir ünite sürücülerinin işlevlerini engelleyecek şekilde görev yaparlar.Bellek haritasını veren programlarla yakalanması oldukça zordur.

Virüslerin Adlandırılması

Bir virüs adı üç kısımdan oluşur : önek (prefix), ad ve sonek (suffix). Norton Anti-virüs yazılımı virüsleri bu şekilde adlandırmaktadır.

• Önek, virüsün çoğaldığı platformu veya virüs türünü belirtir. DOS virüsleri genelde önek içermezler.

• Ad, virüsün aile adıdır.

• Sonek her zaman olmayabilir. Sonekler aynı ailenin varyantlarını ayırdetmek için kullanılır. Genellikle virüsün boyutunu belirten bir numara ya da bir harftir.

Bu üçü şu biçimde yazılır : Önek.Ad.Sonek.

Örnek olarak WM.Cap.A Cap ailesinin A varyantıdır. WM ise bir Word Makro virüsü olduğunu belirtir. Şu önekler öngörülmüştür :

Önekler

WM Word6.0 and Word95 (Word7.0) altında çoğalan Word Makro virüsleri. Word97 (Word8.0) altında da çoğalabilirler ancak aslen Word97 virüsü değildirler

W97M Word97 Makro virüsleri. Bunlar Word97 için yazılmışlardır ve sadece Word97 altında çoğalırlar.

XM Excel5.0 ve Excel95 için yazılan Excel Makro virüsleri. Bu virüsler Excel97 içinde de çoğalabilirler.

X97M Excel97 için yazılan Excel Makro virüsleri. Bu virüsler Excel5.0 ve Excel95'de de yayılabilirler.

XF Excel Formula virüsleri. Daha yeni Excel belgeleri içine gömülü (embedded) eski Excel4.0 gömülü çalışma sayfalarını kullanırlar.

AM Access95 için yazılan Access Makro virüsleri. A97M: Access97 içinde çoğalabilen Access Makro virüsleri.

W95 Windows95 işletim sistemindeki dosyalara bulaşan Windows95 virüsleri. Windows95 virüsleri çoğunlukla Windows98'i de etkilerler.

Win Windows3.x işletim sistemi altındaki dosyalara bulaşan Windows3.x virüsleri.

W32 Tüm 32-bit Windows platformlarında etkili 32-bit Windows virüsleri.

WNT Windows NT işletim sistemlerinde etkili 32-bit Windows virüsleri

HLLC High Level Language Companion virus. Bunlar genellikle yayılmak için ek bir dosya yaratan DOS virüsleridir.

HLLP High Level Language Parisitic virus. Bunlar genellikle kendilerini bir başka dosyaya iliştiren DOS virüsleridir.

HLLO High Level Language Overwriting virus. Bunlar genellikle host (ev sahibi) dosyaların üzerine kendi bulaşıcı kodlarını yazan DOS virüsleridir.

Trojan/Troj Bunlara virüs değil, Trojan Horse (Truva Atı) denir. Kendilerini faydalı programlarmış gibi gösterirler ancak zarar verici programlardır. Çoğalmazlar.

VBS Visual Basic Script programlama diliyle yazılan virüslerdir.

AOL America Online (Amerika Birleşik Devletlerinde bir internet servis sağlayıcı şirket) ortamına özgü Trojanlardır ve genellikle AOL parola bilgilerini çalmak için yazılmışlardır.

PWSTEAL Parola çalan Trojan programlardır

Java JAVA programlama diliyle yazılan virüsler.

MAKRO VİRÜSLER

Word Makro Virüsleri Nedir?

Makrolar, kullanıcıların işlerini kolaylaştırmanın yanında,kullanıcının bilgisi dışında yazılmış makrolarda kullanıcıların bilgisayarlarına büyük zararlar verebilir.

Kendini kopyalama özelliği olan ve kullanıcının izni olmadan çeşitli görevleri yerine getiren makrolara “Makro Virüs” denilmektedir.Makro virüsler geniş uygulama alanına sahip Word, Excel,Access,PowerPoint,Project,Corel Draw...vs. gibi programların içinde bulunabilir.

Makro Virüslerin yapabileceği görevler,makronun yazıldığı programlama dilinin özellikleriyle sınırlandırılmıştır.Programlama dili,makronun yenilenmesine ,yayılmasına ve bilgisayarı etkilemesine olanak sağlar.En çok kullanılan makro dili olan Visual Basic for Applications (VBA) virüslerin yazımı için geniş özellikler sağlar.VBA gibi makro dillerinin gelişimiyle birlikte Makro Virüslerinde etkinliklerinin artacağı unutulmaması gereken bir gerçektir.Daha komplike bir makro diliyle yazılmış Makro virüsler çok daha zararlı sonuçlar ortaya çıkarabilirler.Bu gelişmiş makro dillerinin uygulamalarda daha sık kullanılmaya başlanmasıyla makro virüsler için olan potansiyel artmıştır.Geçmişte virüs yazan kişiler,virüs yazmak için makro dillerini pek tercih etmemişlerdir.Muhtemelen bunun nedeni ise geleneksel şekilde makro yazımının pek ilgi çekici olmaması yada virüs yazan kişilerin makro dillerindeki potansiyeli keşf edememelerindendir.

Makro virüslerin ortaya çıkmasından önce ,bilgisayar virüsleri çalıştıkları platformlara mahsuslar idi.Örneğin; PC virüslerinin sadece PC’lerde ,Unix virüslerinin sadece Unix makinalarında çalışması gibi.Bilindiği gibi programlar,bilgisayarın kullandığı işletim sistemine göre değişiklik gösterir.Öyle ki,Microsoft Office gibi,hem Macintosh’ larda hem de PC’lerde çalışabilen uygulamalar bile,temelde ,işletim sisteminden dolayı değişiklikler gösterir (Office’in Macintosh versiyonu Windows95 işletim sistemi ile çalışan bir bilgisayarda çalışmaz.).Word’ün yeni versiyonlarında kullanılan VBA’ya ekstra özellikler eklenerek oluşturulan WordBasic makro dili uygulamada özel,fakat platformda özel değildir,yani başka bir deyişle platformdan bağımsızdır.Bunun anlamı;virüs yazan kişilerin hem PC’lerde hem de Macintosh’larda çalışabilen virüsler yazabilecek durumda olmalarıdır.

Makro Virüs yazmak için kullanılan tek program MS Word’ün makro dili, WordBasic değildir.MS Excel ve Lotus Ami Pro gibi programlar içinde yazılmış makro virüsler mevcuttur.Fakat Word’ün kullanım alanının diğer programlara göre daha yaygın olmasından dolayı,Word ile birlikte aktif olan makro virüsler bir hayli fazladır.

Makrolar,dokümanlar içlerinde metin ve metin formatı bilgileri taşımaktan ziyade,grafik dosyaları,video dosyaları gibi şeyleri “taşıyıcı” bir hale gelmişlerdir.Eskiden WordPerfect’te yazılmış olan makrolar,WordPerfect’in dışında,dokümandan bağımsız bir DOS dosyası olarak kayd edilmekteydi.Word’ün yeni versiyonlarında ise makro,Word dokümanının içine yerleştirilmektedir.Bunun sonucu olarak Word dokümanı,makro virüsün bilgisayardan bilgisayara yayılmasında aracılık etmektedir.

Peki virüs nasıl bir dokümandan diğerine geçebiliyor?Buna cevap olarak Normal Şablonu üzerinden diyebiliriz.Normal Şablonu, otomatik makroların ve Word biçimlerinin kodlarının bulunduğu belgedir.Normal Şablonda bulunan makrolar,güvenlik düzeyi sorgulanmadan,tüm dokümanlar için gerçeklenir.

Biçimler yada stiller ,emirleri formatlama koleksiyonlarına verilen isimlerdir.Mesela bölüm başlıklarındaki,yazı biçimini, büyüklüğünü ve özelliklerini belirlemek için “Bölüm Başlığı” adlı bir stil oluşturulabilir (Arial,24pt,Bold gibi) ve “Bölüm Başlığı” adlı stil uygun menüden seçildiğinde,yazılan metne stil otomatik olarak uygulanmış olacaktır.Eğer bu stili,yazılan tüm dokümanlarda kullanmak isteniliyorsa ,stilin adını “Normal” olarak değiştirmek yeterli olacaktır. ”Normal” stili Word’ün başlangıçta dokümanlar için varsaydığı stildir.Bu varsayılan stil Normal.dot (Normal Şablonu) adında bir dosyada saklar. Normal.dot dosyası da diğer dokümanlar gibi makro virüs taşıyabilir.Bütün yeni oluşturulan dokümanların Normal.dot dosyasının üzerine kurulmasından beri,eğer Normal.dot virüslenmişse,daha sonra oluşturulan bütün yeni dokümanlarında virüslendiği görülebilir.

Makro Virüs Tehlikesi Nasıl Başladı?

Makro Virüs terimi beş yıldan daha uzun bir süredir kullanılmaktadır.Makro virüs yayılımına karşı geliştirilen pek çok güvenlik önlemine rağmen hâlâ makro virüsler milyonlarca bilgisayar kullanıcısında korku yaratmaya devam etmektedirler.

İlk MS Word makro virüsü ”Concept” Ağustos 1995’te,Windows 95 ve MS Office’in yeni versiyonunun çıkması ile birlikte ortaya çıktı.Birkaç gün içinde bu virüs, dünya çapında on binlerce bilgisayara bulaşarak büyük bir salgına yol açtı ve tüm dünyada büyük bir yankı uyandırdı.Burada belirtilmesi gereken bir noktada,anti-virüs şirketlerinin bu yeni virüs çeşidine hazır olmamalarıydı.Bu yüzden anti-virüs şirketleri, anti virüs yazılım motorlarını değiştirmek yada yeni anti-virüs motorları üretmek zorunda kalmışlardır.

İlk MS Excel makro virüsü olan “Laroux” ’da Temmuz 1996’da ortaya çıkmıştır.Bu virüs aynı anda ,dünyanın farklı bölgelerinde bulunan (Güney Afrika ve Alaska) iki petrol şirketinin faaliyetlerini felce uğratmıştır.

Mart 1997’ye meşhur Melissa virüsünün yazarı David Smith’in yazdığı “ShareFun” adlı virüs damgasını vurmuştur.

Mart 1998’de,başka bir Office uygulaması olan MS Access , “AccessiV” adında bir virüse karşı kurban durumuna düşmüştür.yaklaşık bir yıl sonrada MS PowerPoint makro virüsü olan “Attach” adlı virüsün saldırıları başlamıştır.

1999’da makro virüslerin sayısı ,virüslerin başka programlarda da çalışmaya başlamasıyla hızla artmıştır.Mayıs ayında Corel Draw grafik editörü makro virüsü olan “Gala” ve Ekim ayının sonuna doğru ortaya çıkan MS Project görev zamanlayıcısı makro virüsü olan “The Corner” virüsü ve Mart ayının sonunda çıkan “Melissa” virüsü 1999 yılında çıkan virüslere örneklerdir.

1999’da ortaya çıkan ve “Multi-platform makro virüsleri” olarak tanımlanan çeşitli virüsleri de görmekteyiz.Bu virüslerin özelliği,birkaç Office uygulamasında birden çalışabilmeleridir.Aynı anda Word,Excel ve PowerPoint dosyalarının üçünü birden etkileyebilen,bilinen ilk virüs olan “Triplicate” bu tür virüslere örnek olarak gösterilebilir.Bu tür virüsler bilinen virüsler içinde en komplike olanlarıdır.Bu virüslerin kullandığı Stealth tekniği (virüsü,doküman içinde görünmez yapar) ve Polymorphism (virüsün zaman zaman kodunu değiştirmesi,şifrelemesi) nedeni ile tespit etmek ve yok etmek çok zordur.

2000 Love Bug (diğer adıyla LoveLetter) bugüne kadarki en başarılı e-posta virüsü oldu. Palm işletim sistemi için de ilk virüs boy gösterdi, ancak hiçbir kullanıcıya bulaşmadı.

Niçin Makro Virüsler Bu Kadar Yaygındır?

Geçmiş yıllar boyunca makro virüsler listelerde sürekli zirvede kalmışlardır.Uluslar arası Bilgisayar Güvenliği Birliği’ne göre makro virüsler,virüsler içinde üçte ikilik bir yere sahiptirler.Kapersky Laboratuarlarına göre de bu oran yaklaşık olarak %55 civarındadır.Bu oran bile makro virüslerin yaygınlığını göstermeye yeterlidir.Makro virüslerin bu kadar yaygın olması şu faktörlere bağlanabilir.

• Makro virüslere karşı savunmasız olan Office uygulamaları,kullanıcılar arasında son derece yaygın olarak kullanılmaktadır.Günümüzde,tüm bilgisayar kullanıcıları Office yada Office’e benzer uygulamaları günlük çalışmalarında kullanmaktadırlar.

• Bu uygulamalar için geliştirilmiş anti-virüs sistemlerinin sağladığı güvenlik derecesi çok düşüktür.Microsoft uzmanlarının MS Office 2000’de güvenlik probleminin çözüleceğini söylemelerine rağmen ,Office uygulamaları geçmişte olduğu gibi makro virüslere karşı savunmasız kalmıştır.

• Bir makro virüs yazmak çok basittir.Mesela MS Word için bir virüs yazmak isteyen birinin ihtiyacı olan sadece VBA Programlama dilinin temellerini öğrenmektir.Diğer programlama dilleri ile karşılaştırıldığında VBA,içlerinde en basit ve öğrenilmesi en kolay olanıdır.Aynı zamanda VBA sahip olduğu özellikler ile de virüs yazan kişiye bilgisayardaki bilgilere zarar verme ve bilgisayarı uzun süre kullanılmaz hale getirme imkanı verir.

• Çoğu Office uygulaması MS Outlook yada MS Exchange gibi posta programlarıyla uyumlu olarak çalışmaktadır.Bu,makro virüslere posta programlarına erişme imkanı sağlar.Böylece makro virüs kendini çok hızlı bir şekilde milyonlarca bilgisayara yayabilir.

• Bilgisayar kullanıcıları arasında en çok paylaşılan dosya türleri Word dokümanlarıdır.İnsanlar,arkadaşları ve tanıdıkları ile hiç şüphe duymadan dokümanları değiş tokuş ettikleri için makro virüsler şüphe duyulmadan çalıştırılabilmektedir.

HACKER TARİHİ

1969 Öncesi. Önce bir telefon şirketi vardı Bell Telephone, Ve zamane hacker’ları Tabii, 1878’de onlara hacker denmiyordu henüz. Telefon santrallerine operatör olarak alınmış, onun telefonunu buna, bununkini ona bağlayan şakacı birkaç genç idi.

ABD’nin dahiler çıkaran ünlü üniversitesi MIT’de (Massachusetts Institute of Technology) bilgisayarlar kullanılmaya başlandığında, bazı öğrenci ve asistanlar, bu makinelerin nasıl çalıştığını çok merak ettiler, bu yeni teknoloji hakkında ne varsa öğrenmeye çalıştılar. O günlerde bilgisayarlar, ısı kontrollü cam odalarda kilitli olan devasa makinelerdi.

Bu ağır metal yığınlarını çalıştırmak binlerce dolara mal oluyordu. Programcılar bu dinozorları pek de kolay kullanamıyordu. Bu yüzden, zeki olanlar, hesaplama işlemlerini daha çabuk yapabilmek için “hack” dedikleri programlama kısa yolları yarattılar. Bazen bu kısa yollar orijinal programdan daha iyi tasarlanmış oluyordu.

Belki de bütün zamanların en iyi hack’lerinden biri, 1969’da, Bell laboratuarlarındaki iki çalışanın, Dennis Ritchie ve Ken Thompson’un bilgisayarların artık açık kurallarla çalıştırılması gerektiğini düşünmesiyle yaratıldı. İkili, geliştirdikleri bu yeni standart işletim sistemine UNIX ismini verdiler.

1970-1979. 1970’lerde siber cephe alabildiğine açıldı. Bu işle ilgilenen herkes, kablolarla bağlanmış bir dünyanın nasıl çalıştığını araştırmaya ve bulmaya çalışıyordu. 1971’de, John Draper isimli bir Vietnam gazisi, Cap’n’Crunch (mısır gevreği markası) kutusundan çıkan promosyon düdüklerin 2600 MHz tonda ses çıkarttığını fark etti. Bedava telefon görüşmesi yapmak için düdüğü telefonun alıcısına üflemek yeterliydi.

O zamanın hacker’ları, “phreaking” adı verilen bu tür yöntemlerin kimseyi incitmediğini, telefon hizmetinin sınırsız bir kaynak olduğunu ileri sürüyorlardı. Hackerlar dünyasında tek eksik sanal bir kulüp binası idi. Dünyanın en iyi hacker’ları nasıl tanışacaklardı 1978 de, Chicago’lu iki genç, Randy Seuss ve Ward Christiansen, ilk kişisel BBS’i (Bulletin Board System - Yılan Tahtası Sistemi) kurdular. BBS’ler günümüzde halen çalışıyor.

1980-1986. Bildiğiniz gibi IBM firması, 1981’de bağımsız işlemcisi, yazılımı, belleği ve depolama birimleri olan yeni bir bilgisayarı duyurdu. Bu modele PC (Personal Computer-Kişisel bilgisayar) adını verdiler. Bu makinelerden biriyle istediğinizi yapabilirdiniz. Gençlerin Chevrolet’lerini bırakıp PC’lere, “Commie 64” (Commodore64) ve “Trash-80”lere (TRS80-Tandy) düştükleri zamanlardı bunlar.

1983 yılında çevrilen War Games (Savaş Oyunlary) adlı film, hacker’lıgı farklı bir cepheden ele aldı: Bu film izleyicileri hacker’ların her bilgisayar sistemine girebileceği konusunda uyarıyordu.

Her geçen gün daha fazla kişi online dünya ile tanışıyordu. Askeri amaçlarla kurulan, sonradan üniversiteler arasında bir ağ haline gelen ARPANET, artık Internet’e dönüşüyordu; BBS’lere karşı tam bir ilgi patlaması yaşanıyordu. Milwaukee’de kendilerine The 414’s diyen bir hacker grubu, Los Alamos Laboratuarlaryndan Manhattan’daki Sloan-Kettering Kanser Merkezi’ne kadar değişen pek çok kurumun sistemine girdiler. Artık polisin işe karışma zamanı gelmişti.

Büyük Hacker Savaşı. 1984’e, kendine Lex Luthor adını veren bir kişi Legion Of Doom (LOD - Kıyamet Lejyonu) adlı hacker grubunu kurdu. Adını bir çizgi filmden alan LOD, en iyi hackerlara sahip siber-çete olarak ün saldı. Ta ki grubun en parlak üyelerinden Phiber Optik isimli gencin, grubun bir diger üyesi Erik Bloodaxe ile kavga edip kulüpten atılmasına kadar. Phiber’in arkadaşları rakip bir grup kurdular: Masters Of Deception (MOD). 1990’den itibaren, LOD ve MOD, iki yıl boyunca online savaşlar sürdürdüler, telefon hatlarını kilitlediler, telefon görüşmelerini dinlediler, birbirlerinin özel bilgisayarlarına girdiler. Sonra Federaller (FBI) olaya el attı, Phiber ve arkadaşları tutuklandı. Bu olay, bir dönemin sonunun geldiğini haber veriyordu.

Yasaklar (1986-1994). Devlet de online olunca, eğlence bitti. Kongre, ciddi olduklarını göstermek için, 1986’da Federal Computer Fraud and Abuse Act (Federal Bilgisayar Sahtekarlıgı ve Kötüye Kullanma) adı altında bir yasa çıkardı. Bu boyutta hacker’lık ağır bir suç oldu.

1988’de Robert Morris Internet worm (Internet solucan’ı) adını verdiği bir hack yöntemi ile ortaya çıktı. Net’e bağlı 6000 bilgisayarı göçerterek, yeni yasayla yargılanan ilk kişi oldu. Sonuç: 10.000 dolar para cezası ve çok fazla saat toplum hizmeti.

Bir süre sonra, tutuklananları saymak için parmaklar yetmemeye başladı. Aynı yıl Condor takma adıyla tanınan ünlü hacker Kevin Mitnick, Digital Equipment Company şirketinin bilgisayar ağına girdi. Yakalandı ve 1 yıl hapis cezasına mahkum oldu. Sonra adaşı Kevin Poulsen telefon hatlarına girmekle suçlandı. Kevin hemen ortadan kaybolarak 17 ay boyunca saklandı.

Sundevil Operasyonu, ABD hükümetinin ülkedeki tüm hacker’ları (LOD dahil) ele geçirmek için 1990’da başlattıgı bir operasyondur. Bu girişim bir işe yaramadı; ancak bir yıl sonraki Credux operasyonun MOD’ın 4 üyesinin hapisle cezalandırılmasıyla sonuçlandı. Phiber Optik federal hapishanede bir yıl geçirdi.

1994’den Bugüne. 1994 yazında, Rus mafyasının eline düştügü ileri sürülen Vladimir Levin adlı bir genç, Citibank’ın bilgisayarlarına girerek müşterilerin hesaplarından, bir söylentiye göre 10 milyon dolardan fazla parayı (resmi açıklamaya göre 2.5 milyon dolar) İsrail’deki banka hesaplarına transfer etti. Levin, 95 yılında Interpol tarafından Heatrow Havaalanında tutuklandı; Citibank yaklaşık 400.000 dolar haricinde tüm parasını geri aldı. Hackerların ard arda tutuklanması siber ortamda ani bir dolandırıcılık azalmasına neden oldu.

Bunu ister anarşinin sonu, ister serbestliğin ölümü olarak adlandırın, artık hacker’lar romantik anti-kahramanlar, sadece bir şeyler öğrenmek isteyen farklı (tuhaf) insanlar olarak kabul edilmiyorlardı. Dünya piyasasını Net üzerinden yönetme vaadiyle filizlenen online ticaret, korunmaya ihtiyaç duyuyordu. Hacker’lar birden dolandırıcı niteligi kazandılar.

Peki şimdilerde neler oluyor? Internet dünyasında yasadığı yöntemlere sıkça başvuruluyor, ancak eskisi gibi efsaneleşmiş isimler çıkmıyor.

Yine de Aldous Huxley’in bir zamanlar söylediği gibi, olaylar görmezlikten gelinmekle yok olmazlar. Bilgisayar yer altı dünyasında hep söylenen şu sözü de unutmayın: iyi bir hacker’san, ismini herkes bilir. Ama büyük bir hacker’san kimse kim olduğunu bilmez.

HACKER VE LAMER

Lamer : 14 ile 50 yaş arası bir kitledir, fazla bir bilgiye sahip olmaksızın ve fazla bir emek harcamadan site kırmak veya başkalarının bilgisayarlarına girmek gibi işlerden haz duyarlar, %100 oraninda hazır bilgiye bağımlı oldukları için bu camiadan pek fazla yeni fikir çıkmaz. Hacker : 17-25 yas arası bir kesimdir, bu yaş gurubundakiler bilgisayarın Türkiye’de yeni yeşerdiği zamanlardan beri bilgisayar kullandıklarından oldukça maharetlidirler tabi olarak. Çoğunlukla en az bir bilgisayar dili veya işletim sistemi üzerine yoğun bilgi sahiptirler, bilgisayar hayatlarının önemli bir kısmını meşgul eder. Bilgi paylaşımı esas teşkil ettiği için bir bilgiyi alır geliştirir ve diğer hackerlar ile paylaşırlar. Hackerlık ile lamerlik farklı şeylerdir, ancak biri diğerinden kötü falan değildir. Bu daha çok fotograf makinesi olan bir insanla, fotoğrafçılık yapan bir insanı karşılaştırmak gibi bir durum olur.

HACKERLERİN KULLANDIKLARI YÖNTEM VE PROGRAMLAR

• TROJANLER

Hackerlar trojan (diğer adı ile RAT=Remote Access Tools) adı verilen programları kullanırlar.Peki trojan nedir? Adını Truva Atı'ndan alan programcıklar olan trojanların ikiyüze yakın çeşidi mevcut ve her gün yenileri çıkmakta.Hepsinin çalışma yöntemi aşagı-yukarı aynı.Server,client ve editör denen üç parçadan oluşuyorlar.En sık kullanılanlardan bazılarının adlarını söylemek gerekirse ; Bladerunner, Deepthroat, Girlfriend, Schoolbus, Netbus, Subseven, Striker, Doly, Wincrasher, Voodoo, Netsphere .Dediğimiz gibi sayıları iki yüze yakın, ancak hit olan sadece iki tane.Tüm dünya ile birlikte Türk hackerlarının gözdesi olan bu programlar Subseven ve Netbus trojanlardır.Bunlar arasından da en genel hatta Türk hackerlarının kullandığı program Subseven‘dır.

o SERVER'LAR

Trojan denilen programların ilk parçalarına server denilir.Hacklenecek bilgisayarda bir kez çalıştırılması yeterlidir.Çalıştığı bilgisayar net'e her bağlandığında,kullanıcının haberi olmadan,"ben buradayım ve bu bilgisayarın arka kapısını açtım,haydi bağlan" mesajını verecektir.Bilindiği gibi bir bilgisayarda yaklaşık 40000 kapı yani port vardır.Bunların ilk 1000 adedini bilgisayarınız kullanır.Kalan 39000 kapı normalde kilitlidir.İşte bu server adı verilen programlar, hırsızlar tarafından bu kapılardan birini açsın diye yazılırlar.Her trojanın açtığı bir kapı vardır. Subseven trojan en çok 1243 no'lu kapıyı açsın diye yazılır. Peki server denen bu ajan parça bilgisayarınıza nasıl girer.Bu işin en kolay yolu, server'ı masum bir programa yapıştırmaktır.Bu işi sağ mouse darbesi ile açılan kes-yapıştır modu ile yapamazsınız.Genellikle joiner, silkrope gibi programlar bu iş için yazılmışlardır.Nasıl kullanacağınızı ilerde anlatacağız.Serverları bir bilgisayarda çalıştırmanın diğer yolu icq, irc gibi sohbet programlarında güveni kazanılmış kişilere yollamaktır. Kullanıcı programa clikler ve artık bilgisayar işgale açıktır.Serverla enfekte hale gelmenin ülkemizdeki en sık nedeni net'ten bilinçsiz program indirmektir.Güvenilir bir siteden indirdiğiniz programları bile,açmadan önce kesinlikle iyi bir antivirus ve antitrojan programından geçirmek şarttır.Trojanları tanıyan antivirus programlarına AVP,antitrojan programlara da cleaner'ı ve Norton,McAfee,F-Prot gibi ünlü antivirus programlarını örnek verebiliriz.Subseven trojan üçlü bir pakettir.Piyasadaki son versiyonları 2.0 ve 2.1 Gold adlarını taşıyor.

o EDİTÖR

Server'ı islediğimiz şekilde kurmaya yarayan parçadır.Operasyonun en hassas bölgesi diyebiliriz.Önce EditServer yazan yeni dosya açılır.Açılan alttaki pencereden "next"e cliklenir.Burada size server'a nasıl ulaşabileceğini soran cümle ile karşılaşırsınız.Eğer server'ı A: disketine kaydedilmişse “a:server.exe” yazılır.Belgeler bölümüne kaydedilmişse “c:Belgelerimserver.exe” yazılır. Adresi yazıp alttaki next'e clicklenir yeni sayfaya geçilir.Bu sayfada server'ın hangi porttan yayın yapacağını sorar.1243 en iyisidir.Solundaki minik kutuyu işaretlenir.Altta pasaport yerleştirmek isteyenlere hitap eden satır vardır.Soldaki minik kutuyu işaretleyip iki kez pasaport girilir.En alttaki minik kutuyu işaretlenmez yoksa asla geri dönemezsiniz. Şimdi "server'ın adını koyun" sorusu çıkmaktadır.Default tuşu en iyisidir.Altta yerleştikten sonra izini kaybettir anlamına gelen küçük kutu var,işaretlenir.Beşinci aşama,server'ın ilk çalışması ile sahte bir hata mesajı verme opsiyonudur.Configure tuşu ile bir mesaj beğenilir.Bu bölüm opsiyoneldir.Yedinci bölümde kullanıcıya ad verilmesi istenir. Sekizinci bölümde,server nereye yerleşeceğini sorar.Less known ve unknown metotları seçilir.Eğer hata ile server'ı kendi aletinizde çalıştırırsanız, bir daha zor kurtulursunuz.Şimdi ki aşamada server'ı sonu exe ile biten bir programa yapıştırma şansı verilmekte.C: driver taranıp,istediğiniz bir programa yapıştırılarak kullanıcılara gönderilir.Alttaki soruda,başkalarının server'ınızı açmaması için pasaport sorulmaktadır.Sadece,save a new copy bölümünü tıklayıp yeni server'ımızın kaydı alınır.Sol en alttaki kutuyu işaretlenerek işlem bitirilir.

• KARŞI KULLANICIYI HACKLEME

Subseven programını açınca karşımıza çıkan programda öncelikle soldaki sıralı kutucuklardan "connection"ı seçilir.Beş bölümden ilk olarak ip scanner'ı seçin.Bildiğiniz gibi internete bağlandığında şirket tarafından bir numara verilir.Bu no'lar veezy'de 212.29 ile,turknet'te 212.57 ile, superonline'da 212.252 ile başlar.Sağda açılan start ip kutucuklarını doldurulur. Veezy kullanıcısını haclemek için 212.29.60.2 yazılır. end ip numaralarına 212.29.233.255 yazılır. Port kutusuna 1243, delay kutusuna 4 yazılır.Sağ üstteki scan tuşuna basınca,tüm bu numaralar aralığında bilgisayarında server olan şahısları arar.Bulduğu numaraları ortadaki büyük kutuda sıralar.Oltaya takılan bu no'yu enüstteki ip: yazan yere koyun.Sağdaki port no hala 1243 olmalı. Şimdi sağ en üstteki connect yazısına tıklanır.Bağlantı kurulunca en altta connected yazısı görülür.Eğer kurbandaki server pasaportla korunuyorsa members.xoom.com/netvampiri/files/subpass.exe dosyası çekilir.Bunu açıp,kurbanın ip numarasını yazılır ve change(değiştir)tuşuna basılırsa, pasaport predatox olarak değişir.Tekrar subseven'la kullanıcıya bağlanıp yeni pasaportu girilir.Connection bölümünde diğer bir şık,server options bölümüdür.Buradan kullanıcının server'ına yeni pasaport koyma, portunu değiştirme gibi olanaklara kavuşulur.İkinci bölüm keys/messages bölümüdür.Burada klavye girilirse, kullanıcının klavyede bastığı her tuş görülebilir. Get cache ve get recorded tuşları ile net şifrelerine el koyarsınız. Files / windows ana şıkkında file manager'a girerseniz kullanıcının tüm dosyalarına ulaşılır .İstediğiniz çekebilir hatta silinebilir.

Bir sonraki sayfada bazı trojan programı isimleri ve bunların bilgisayarlarımızda kullandığı portların numaraları verilmiştir.

PORT Trojan'ın ismi

21 - Fore, Invisible FTP,FTP, WebEx,WinCrash

23 - Tiny Telnet Server, Telnet, Wingate

25 - Antigen, Email Password Sender,Haebu Coceda, Shtrilitz Stealth, Terminator

31 - Hackers Paradise

80 - Executor

456 - Hackers Paradise

555 - Ini-Killer, Phase Zero, Stealth Spy

666 - Satanz Backdoor

1001 - Silencer, WebEx

1011 - Doly Trojan

1170 - Psyber Stream Server, Voice

1234 - Ultors Trojan

1243 - SubSeven Default Port

1245 - VooDoo Doll

1492 - FTP99CMP

1600 - Shivka-Burka

1807 - SpySender

1981 - Shockrave

1999 - BackDoor

2001 - Trojan Cow

2023 - Ripper

7301 - NetMonitor

7306 - NetMonitor

7307 - NetMonitor

7308 - NetMonitor

7789 - ICKiller

9872 - Portal of Doom

9873 - Portal of Doom

9874 - Portal of Doom

9875 - Portal of Doom

9989 - iNi-Killer

10067 - Portal of Doom

10167 - Portal of Doom

11000 - Senna Spy

11223 - Progenic trojan

12223 - Hack´99 KeyLogger

12345 - GabanBus, NetBus

12346 - GabanBus, NetBus

12361 - Whack-a-mole

12362 - Whack-a-mole

16969 - Priority

17000 - Kuang2

20001 - Millennium

20034 - NetBus 2 Pro

21544 - GirlFriend

22222 - Prosiak

23456 - Evil FTP, Ugly FTP

26274 - Delta

31337 - Back Orifice

ESSENTİAL PROGRAMI

Essential net tools (gerekli internet araçları) bu program bilgisayarlar arası dosya alışverişi sağlayan ve internet üzerinden paylaşımı açık insanların bilgisayarlarına girebilmenizi sağlar

Programı indirdikten sonra bilmemiz gerek ilk şey ip numarasının ilk iki epizotunun değişmedigi son 2 epizotunun değiştiğidir ve buna göre ip numarasının son epizotu 1 ile 255 arasında olduğundan biz bir ip numarası alındığında Starting IP yerine yazınca sonunu 1 Ending IP bölümüne yazınca da sonunu 255 yapılır.

Bulduğuz ip numarasını yazdıktan sonra Go tuşuna basılır ve o ip numarası arasındaki bütün bilgisayarlar çıkacak ondan sonra b RS bölümde YES yazan bilgisayarlara sağ tuş ile tıklayıp Open Computer denilir. Genelde ise C ve D gözükür öyle bilgisayarlara girip istenilen her şey yapılır.Unutulmaması gereken tek şey var oda paylaşımı açık bir bilgisayara girmek için bilgisayarımızın paylaşıma açık olması gerekir.

EXPLOİT PROGRAMLARI

Exploitler,bir sisteme erişim almak ya da sahip olduğunuz erişimi arttırmak için yazılmış küçük programcıklardır.Ayrıca exploitlerin işlevine göre serveri crash etme özellikleri de olabilir.Çeşitleri ;

Local Exploit :Local exploitler,sisteme erişimi olan kullanıcılar tarafından çalıştırılabilir.Bu tip exploitler sayesinde basit bir kullanıcı,sistemde yönetici hakkına bile kavuşabilir.

Remote Exploit : Remote exploitler, sisteme hiç bir giriş izni olmadan çalıştırılabilir.Bu tip exploitler sayesinde kendi bilgisayarınızda çalıştırdığınız bir script ile hiç bir erişiminiz olmayan bir bilgisayarı ele geçirebilirsiniz.

Cgi Exploitleri :Bu tip exploitler cgi scriptlerinde bulunan açıklardan yararlanırlar. Güvenlik sitelerinde yüzlerce cgi exploitlerine rastlayabilirsiniz.Günümüzdeki en popüler hacking yöntemlerinden biridir.Özellikle web üzerinde çalıştırılan scriptlerde programcının yaptığı hatalardan yararlanan kullanıcılar,önemli dosyalara ulaşarak sisteme zarar verebiliyorlar.

NUKE

Windows 3.1x, Windows 95 ve Windows NT de "Microsoft Network Client" vardır. Dosya ve yazıcı paylaşımı için geliştirilmiş bir teknik. Önceleri sadece NetBEUI protokolünü desteklerken bu gün TCP/IP veya IPX/SPX protokolü ile de bu client çeşidini kullanabilirsiniz. Nuke olayı bir bug'dan kaynaklanmaktadır. Eğer "Microsoft Network Client" i kullanıyorsanız bilgisayarınızda 137,138 ve 139 nolu portlar aktif demektir. Bilgisayarlar bu portlardan haberleşir. Ne yazık ki burada bulunan bir bug, başkalarının sizin bilgisayarınızı çökertmesine neden olmaktadır. Hatta yine aynı portlardan bilgisayarınıza girip şifrelerinizi çalabilir, dosyalarınıza erişebilirler.139 nolu porttan özel bir kod gönderilirse bilgisayarınız kesin çöker. Eğer bir patch uygulanmamışsa.Çözüm olarak Windows'unuzun ağ ayarlarından "Microsoft Network Client" i ve "NetBEUI" i kaldırılır. Eğer kullanmak zorunda olunursa Microsoft'dan patch alınır. Eğer işe yaramazsa "Microsoft Network Client" i TCP/IP ile kullanılır. Ayrıca nukler MIRC ,ICQ gibi sohbet programlarının bug (hata) larında dan yaralanılarak kullanıcı bilgisayara zara verilebilir. Aslında bu tür nukler işletim sistemine değil bu programların çalışmasını etkiler buda işletim sistemini etkileyerek dolaylı olarak sistemin durmasına yol açar.

Hackerlardan korunma yöntemleri

1)Tanımadığınız kişilerin yolladığı dosyaları almayın.Tanıdığınız kişilerin hatta arkadaşlarınızın da sizi hacklemeye çalışabileceğini de unutmayın!

2)Sürekli bir Antivirüs programı bulundurun ve sürekli internetten update (yani yeni virüsleri tanıması için) edin!(Antivirüs bölümünde gerekli programları bulabilirsiniz.)

3)İnternetten çektiğiniz veya başkalarından aldığınız dosyaları antivirüs kontrolünden geçirmeden açmayın!

4)Ara sıra hard diskinizin tamamını virüs taramasından geçirin.

5)İnternetten çektiğiniz ve bilmediğiniz programları sakın açmayın.Eğer güvenilir bir kaynaktan çektiyseniz ne olduğunu görmek için açabilirsiniz ama bir virüsse bilgisayarınızı bile çökertebilir.

6)E-Mail , İcq , vb. hesaplarınızda '111111' , 'asdf' , doğum tarihiniz , hayvanınızın ismi gibi şifreler kullanmayın.Bunları genelde tahmin etmesi kolaydır ve çabuk hack edilir.

7)E-Maillerinize gelen 'şifreniz kayboldu , hemen bilgilerinizi şu adrese bildirin' gibi mesajlarda bir hackerdan gelmiş olabilir.Bu hatta tanıdığınızdan gelen bir e-mailde olabilir..Ama bilen birinin istediği adresi göstermesi hiçte zor değil!Yani isterse size beyaz saraydan e-mail yollanmış gibi bile yapabilir...

Firewall ve Anti Virüs Programları

Firewall

Firewall diye bilinen programlar, bilgisayarınızın portları ile internet arasına yerleşerek yapancı veya sizin onaylamadığınız girişimlere mani olurlar. Özellikle bilgisayarınızda bir trojan var ise bile firewall sayesinde, trojan ile başkalarının size ulaşmasını önler. Firewall virüs veya trojan bulmaz sadece internete giriş kapılarınız olan portları kontrol altına alarak istemediğiniz bilgi giriş çıkışlarına mani olur. Bu programlar sık binen trojanların kullandıkları portları kontrol ederler veya bilgisayarınızda sizin kontrolünüz haricinde işlem yapıldığında sizi uyarırlar.

Ayrıca Firewall yerel ağın internete bağlı olduğu sitemlerde internet üzerinden gelen diğer istenmeyen kullanıcıların yerel ağa girmelerini önler bunun için firewall programının yerel ağı internete bağlayan ana bilgisayarlara veya sistemlere kurulur.

Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde firewall bulunması o networklerin güvenliği açısından bir gerekliliktir.

Firewall’ ların genel mantığı sisteminize onay verilmeden (authorization) kullanıcıların girmemesini sağlayarak sisteminizi teorik olarak dışarıdan görünmez hale getirmektir.

Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna adres filtreleme(Address Filtering) denir.

İki firewall bir arada düşünürsek; gateway’den ve ya gateway’e gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi oluştururlar.

Global Ağdaki bir makineye bağlanmak için, ilk önce gateway a bağlanmanız gerekir. Bunun ardından global networke geçebilirsiniz.

Nuke Nabber 2.9: IRC Kullanıcıları arasında en çok tercih edilen programdır. mIRC programının DDE adı verilen özelliği sayesinde Nuke adi ile genellenen ICMP saldırılarına karşı sizi korur. Programı kurduğunuz zaman dikkat etmeniz gereken nokta IRC’nin içerisindeki DDE Server ile Nuke Nabber 'in ayarlarındaki DDE Server’ın ayni ayarlara sahip olmasıdır, eğer bu ayarı doğru yapmazsanız programın hiç bir etkisi kalmaz. Ayarları yapmak için önce mIRC programında Options (Alt+O) mönüsüne girin. Ekrana gelen pencerenin solundaki bölmede General özelliğinin altında Servers bölümü bulunmaktadır. Servers özelliğini seçtiğiniz zaman pencerenin sağ kısmında açılan DDE Server kısmında “Enable DDE Server” seçeneğinin yanına işaret koyun ve Service Name kısmına mIRC ya da dilediğiniz bir isim yazın. Şimdi aynı ayarı Nuke Nabber programını açarak yapalım. Options mönüsünde General bölümünü seçin ve karşınıza gelen IRC client kısmından mIRC’yi seçin ve hemen altındaki DDE Services kısmında yer alan mirc ibaresini Del seçeneğiyle silin ve yerine Add diyerek mIRC programına eklediğiniz DDE Server adini girin ve pencerenin sağ kısmındaki Enable DDE Link seçeneğini aktif hale getirin. Artık program kurulumda gelen portlara karşı olan saldırıları engelleyecektir ve saldırının yapıldığı Internet adresini (IP) size bildirecektir. Programda daha gelişmiş ayarlar da yapılması mümkün. Örneğin Advanced mönüsü içerisinde ekli olan portlara yabancı bir paket geldiği zaman sizi bir sesle uyarmasını isterseniz General mönüsünde Play Sound seçeneğini aktif hale getirip Browse ile sisteminizdeki bir sesi bu özellik için tanımlayabilirsiniz. Herhangi bir porta yapılan saldırıyı, o portu yoğun paket trafiğinden korumak amacıyla (0-60) saniye süresiyle kapatarak etkisiz hale getirebilirsiniz. Bunun için ise Disable Port for 60 se conds seçeneğini aktif hale getirmelisiniz. Port tarayıcı programlar ile o an listen (dinleme) halinde olan yani potansiyel saldırıya açık port'larınızın bulunmasını istemiyorsanız Block Port Scanners seçeneğini aktif hale getirmelisiniz. Belirli bir adresten yoğun bir saldırı altındaysanız bu adresten gelen paketleri sonsuza dek reddetmeniz gerekebilir. Reddetmek için Ignore mönüsünden adresi yazabilir ve Add diyerek red listenize ekleyebilirsiniz. Artık yanlış nick şifresi girmek yada IRC sunucularının birbirlerinden kopmaları (split) dışında sizi hiç bir güç IRC sunucusundan düşüremez.

Conseal PC Firewall: Hem ev hem ofisinizi korur. Aslında büyük sistemleri korumak amacıyla hazırlanmış bu program ev kullanıcılarına da hitap ediyor, bildiğiniz gibi günümüzde Internet üzerinde AltaVista, Yahoo gibi büyük siteleri günlerce ulaşılamaz hale getirmiş saldırı programlarına erişmek mümkün, dolayısıyla evinizdeki bilgisayarı da nispeten büyük saldırılara karsı korumak için firewall kullanmak iyi bir çözüm olacaktır.

Lockdown 2000: Hem Firewall hem Trojan temizleyici, firewall olarak pek fazla özelliği bulunmayan bu program trojan temizleyici ve network koruyucu özellikleri de taşıyor. Programın içerisinde whois, traceroute gibi tarama yapabileceğiniz özelliklerin yanında, yeni bir versiyon çıktığı anda Internet site sine bağlanarak kendi kendisini yenileme özelliği de bulunuyor. Programın koruyucu özelliğini harekete geçirmek için uygulama penceresinde sol alt kısımda bulunan icq/nukes/troj yazısının yanındaki Options düğmesine tıklayın ve karsınıza gelecek ekranda 3 seçeneği de işaretleyin. Program ilk seçeneklerim ile bilgisayarınız açıldığı anda çalışmaya başlıyor ve trojanlara karsı sizi uyarabiliyor. ICQ programına yapılan saldırıları da engelleyen program tek basına yetersiz kalabilir ancak diğer programlarla birleştiği zaman etkisi artacaktır.

Zone Alarm: Yerel ağıda kontrol edin İşte gerçekten protokolleri ayırt edebilen ve sizi uyaran bir firewall programı. Bu program evinizdeki sisteminizi yardımcı programa ihtiyaç duymadan koruyacaktır. Programı çalıştırdığınızda dikkat etmeniz gereken noktalar pencerenin üst kısmındaki kilit işaretinin "Unlocked" olması, eğer bu yazı "Locked" ise firewall tüm internete çıkışınızı kilitler. Bu işaretin hemen altındaki mönüde 5 seçenek bulunuyor. Alerts: Programı çalıştırdığınız andan itibaren programın size yaptığı tüm uyarıları burada tek tek görebilir ve gözden kaçan uyarıları okuyabilirsiniz. Aşağıdaki Log Alerts to a txt file seçeneğinden bu uyarıları bir dosyaya kaydetmek de mümkün. Lock: Yukarıda anlattığımız Internet’i kitleme ve açma opsiyonu daha detaylı bir şekilde bu mönüde mevcut. İsterseniz bu meniden internete erişecek programları şifre ile çalıştırmanız mümkün. Security: Bu mönüde ise sisteminizde çalışan sunucuları ve yerel ağ korumasını ayarlayan Local ile Internet bağlantısını ayarlayan Internet seçeneği mevcut. Her ikisine de 3'er koruma seviyesi mevcut. Programs: Programlarınızın internette ve yerel ağa/sistem içine olan paket çıkışlarını şifrelemeniz yada açmanız mümkün. Configure: Programı nerede yer alacağını belirlemek, açılışta başlamasını ayarlamak, yada kendi sitesinden yeni versiyonlara yükseltme yapmak bu mönüden ayarlanabiliyor.

Black Ice Defender: Saldırıları grafiğe dönüştürün LockDown 2000'e benzer olarak koruma anlamında önünüze fazla seçenek sunmayan Black Ice Defender'in en büyük özelliği makinenize gelen paketlerin listesini önünüze sunması ve bu saldırıları seçerek hakkında bilgi sahibi olabilmeniz. Firewall’a çalıştırdığınızda karsınıza gelen ekrandaki Attacks seçeneğinden saldırıyı yapan adres, saldırı türü,boyutu ve zamanını görebilirsiniz. Intruders seçeneğinden saldırı yapan kısının adresine tıkladığınızda o makineden size gönderilen tüm paketleri görebilirsiniz. History seçeneğinde makinenize gelen paketleri zamana göre grafik haline getirebilirsiniz. Information mönüsü ise program hakkında bilgi sahibi olmanızı ve Buy seçeneği ile lisanslı kullanıcı olmanızı sağlar. Programı ayarlamak için Tools mönüsünden Edit Blackice Settings seçeneğine tıklayın ve karsınıza gelen yeni bir ekran ve mönüler olacak. Protection seçeneğinde 4 değişik seviye mevcut bulunuyor. Packet Logging seçeneğinde yapılan saldırıları bir log dosyasında saklamak ve sisteminizin basında olmadığınız anlarda yapılan saldırıları incelemeniz mümkün kilinmiş. Blocked Adresses ve Trusted Adresses seçeneklerinden istediğiniz IP adreslerini engellemeniz yada kısıtlamasız paket kabul etmeniz mümkün.

AT Guard: Firewall programı sizi internetten gelen tehlikelere karsı esnek ayarları ile koruyacaktır. Programı kurduktan sonra Settings özelliğini açın ve karsınıza gelen meniden ayarlamaları yapmaya başlayalım, Ad Blocker mönüsünde çeşitli kısaltmaları içeren web adreslerini blok etmeye ayarlayabiliriz. Bu kısaltmalar içerisinde örneğin "/ad/" geçenleri blok ediyorsak birçok sitede karsımıza çıkan reklam pencereleri gelmeyecektir. Privacy menusunda zararlı olabilecek çerezleri belirli kurallar ekleyerek zararsız hale getirebiliriz. Firewall menusu ise adından da anlaşıldığı gibi bizi en çok ilgilendiren kısım. Enable firewall seçeneğini işaretleyerek altta kullanıma açılacak kısımda kurallar eklememize olanak verecektir. General mönüsünde firewall’ın çalışıp çalışmamasını belirleyebilir ve programa bir şifre atayabiliriz. About mönüsünde ise programın kullandığı kaynakları, versiyon bilgisini bulabilir ve üreticinin sayfasını ziyaret edebilirsiniz .

Norton Personal Firewall: Symantec firmasının geliştirdiği bu firewall kişisel bilgisayarların internette güvenliği için hazırlanmıştır. Kullanımı kolay ve Symantec firmasının geliştirdiği norton antivisüs programıyla birlikte çalışarak sistem güvenliğini artırmaktadır. Ayrıca program kullanımı sırasında ayarları yapılarak kullanacağını internet programlarının kontrolünü kolaylıkla sağlamaktadır.

Antivirüs Yazılımları

Virüs yazılımları bilgisayarımızdaki virüsleri bularan ve bunalı temizleyen güvenlik programlarıdır. Bu programların genel olarak virüsleri inceledikleri programların üzerinde virüs izleri arayarak virüsleri tanırlar. Virüs izleri ise virüslerin kendilerini kopyaladıkları dosyalardaki makine dili algoritması olarak tanımlayabiliriz. Fakat buda yetmemekte ve kendi kodlarını değiştirebilen virüslerde yazılarak antivirüs programlarını yanıltabilirler. Bu tür virüsler için ise farklı teknikler kullanılarak belirlenmektedir. Bir çok firma virüs programları geliştirmiştir. Bu programlardan beklenen genel özellikler ise;

• Güncellenebilir olması: internet üzerinden kendilerini yeni çıkan virüslere karşı yenileyebilmelidir.

• Sürekli güncellenebilir olması.

• Virüsleri aktif hale gelmeden tanıyıp, etkisiz hale getirmesi

• İşlemler sırasında altta çalışarak virüsleri belirleyebilmesi

• İşlemciyi çok yormaması

• Hızlı tarama yapması

• Virüs tanıma kapasitesinin fazla olması

Bu özelliklere sahip bir çok virüs programı bulunmakta bu virüs programlarının en çok bilinen ve kullanılanları ise şunlardır.

• McAfee Associates, Inc: Bu program kendini internet üzerinden update etme özelliği ile yeni geliştirilen virüsleri tanıya bilmektedir. Program, bilgisayar kullanımı sırasında arkada çalışarak aktif hale geleden virüsleri tanıya bilmektedir. Kolay bir kullanıcı arayüzü bulunmakta.

• IBM Anitvirus : Bu program büyük bilgisayar sistemlerinin virüs güvenliğini sağlar. Ağa bağlı sistemler üzerindeki işlemleri kontrol eder. Yoğun işlemci gücü istemekte bu yüzden ev kullanıcıları tarafından pek tercih edilmez.

• Norton Antivirus : Çok kullanılan bu program update özelliği var ve hızlı tarama yapma özelliği ile en çok tercih edilen anti virüs programıdır.

• F-Prot: Bu program internet üzerinden ücretsiz olarak verildiği için sık kullanılan virüs programları arasında dır belli tarihler arasında çalışır. Zamanı geçen programı internetten güncelenmiş olarak indirerek kullanabilirsiniz bilgisayarı kendi boot ederek işletim sistemine bağlanan virüsleride etkisiz hale getirir

ALINTIDIR

--------------------------------------------------------------------------

VIRÜSLER

Bilgisayarlar hızla hayatımızın bir parçası haline gelirken bu sevimli makinalarla birlikte kimi olumsuzluklar da kapımız çalıyor. Bu davetsiz misafirlerin başında ise bilgisayar virüsleri geliyor ; ancak pek çok kişi özellikle de yeni bilgisayar kullanıcıları bu konuda pek bilgili değil. Hatta pek çoğumuz Hollywood yapımı bilimkurgu filmler sonucunda onların canlı organizmalar olduğunu bile düşündük. Fakat bilgisayar virüslerinin canlı olması (ve de kullanıcılara hastalık bulaştırması!) söz konusu değil!! Çünkü onlarda sadece küçük birer yazılımdır. Tabii ki bunlar diğer bilgisayar yazılımlarından biraz farklılar. Bu farkların başında kendilerini kopyalamaları geliyor. Tıpkı biyolojik virüslerin DNA'lar ile çoğalmaları gibi bilgisayar virüsleri de kendilerini başka programlara ya da boot'a kopyalayarak çoğalırlar. Diğer bir özellikleri ise çalışmaları için kullanıcıya bağlı olmamaları yani aktif bir yapıya sahip olmaları. Böylelikle kullanıcının onayını ya da emrini beklemeden hareket ederler. Bilgisayar sistemlerine zarar vermeleri de kullanıcının istemediği zamanlarda istemediği şeyler yapmasıyla olur. Virüsler varlıklarını devam ettirebilmek amacıyla sürekli olarak kendilerini kopyalarlar ve böylelikle tüm dünyadaki bilgisayarlara yayılma şansı bulurlar. Her geçen gün virüslerin sayısı katlanarak artıyor. 1983 yılında bilgisayar virüslerine isim babalığı yapan Friedrich Cohen bile onların gün gelip de onbinlerle ifade edileceğini düşünmemişti herhalde. Ancak bugün sayıları giderek artıyor ve bunun temelinde de psikolojik durumları hala tartılaşılan bilgisayar programcıları geliyor! Kimileri aşklarını duyurmak, kimileri nükleer denemeleri protesto etmek, kimileri ise sadece eğlence amacıyla virüs yazıyor. Bir bilgisayar virüsü programlamak için sanılanın aksine bilgisayar dehası olmaya gerek yok, sıradan bir programcı hatta programcılığa meraklı 9-10 yaşlarında bir velet bile rahatça bir virüs yapabilir. Fakat virüsünün dünyaya yayılp, adını duyurması virüsün kaynak kodununun (source code) kalitesine bağlıdır. Virüsleri kabaca dört grupta inceleyebiliriz. File (Dosya), Trojan (Truva), Makro ve Boot virüsleri.

* Boot virüsleri : Disketlerin Boot Sector ya da sabit disklerin Master Boot Sector denilen ilk sektörlerine kendilerini kopyalarlar. Daha sonra kendilerini yine kopyalayarak diğer bilgisayarlara ulaşırlar. Temizlemesi en kolay virüs türüdür.

* Dosya (File) virüsleri : Bunlar ise çalıştırılabilir programlara (uzantıları . exe, . com gibi olanlar) bulaşırlar ve bunlardan diğer dosyalara kendilerine kopyalarlar. Böylelikle de bulaştıkları dosyanın uzunluğunu artırırlar; ancak günümüzde dosya uzunluğunu artırmadan da bulaşan virüsler var. Virüs eklentisi genellikle dosyanın sonunda ve nadiren de ortasında olur. Virüs hafızada kalabilir (resident virus) ya da doğrudan çalıştırıldığında (direct action virus) etki gösterebilir. Ya da her iki özelliği de kullanabilir.

* Trojan'lar (Truva Atları) : Truva atı olarak nitelendirilen Trojan'lar ise diğer virüslerden farklıdırlar. Aslında bunları virüs kategorisini koymak pek de mantıklı değil. Virüsler yapı itibariyle kendilerini başka yerlere kopyalama, yani "bulaşma" özelliğine sahiptirler. Truva'lar ise genellikle bunu yapmazlar. Son zamanlarda gündemde bir hayli yer edinmeleri ise Internet'in yaygınlaşması ile oldu. Bildiğinizi gibi eski bir öyküye göre Truvalılar'ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve eğlenceye dalmış olan Truvalıları öldürürler. Şimdi tarihi efsanelerin ne ilgisi var virüslerle demeyin!! Modern çağda siz Truvalılar oluyorsunuz ve Yunanlılar bir sürü Truva tı ile sizin bilgisayarınıza musallat oluyorlar. Truva'lar 2 kısımdan oluşur. Birincisi bir şekilde size ulaştırılır ve çalıştırdığınız andan itibaren bilgisayarınız 2. kısmı elinde bulunan kişinin kontrolü altına girer.

* Makro virüsleri : Word, Excel gibi makro kullanıma olanak tanıyan programların dosyalarına bulaşan virüslerdir. Yapılarını makrolardan aldıkları için bu adla anılırlar. Son dönemdeki pek çok "ünlü" virüs makro virüsleridir.

Bilgisayar virüsleri sisteminize bulaştıktan sonra bilgisayarınızda kuluçkaya yatarak zarar verecekleri zamanı beklerler (çoğunun içlerinde "time-bomb" denilen zamanlama ayarları vardır); ancak bu zararlar tamamen programlara yöneliktir. Yani bilgisayar virüsleri donanım (hardware) parçalarına fiziksel zarar veremezler. Size yapabilecekleri en büyük kötülük programlarınızı, verileriniz silmek olacaktır. Bunun dışında geçici olarak klavyenizi kullanmanızı engelleyebilir, ekrana değişik yazılar yazabilir (çok aç olduğu için sürücünüze hamburger koymanuzı istemesi gibi) ya da yazıcınıza sizin istemediğiniz emirler gönderebilirler. Onlardan kurtulmak yerine hiç karşılaşmamayı deneyin!! Bunun için öncelikle sadece orjinal program kullanmaya başlayın yani korsan yazılım (yasadışı programlar) almayın. Çünkü virüslerin büyük bir kısmı bu yasadışı kopyalarla dağılır. Bunun dışında sürücünüzde disket varken bilgisayarınızı reset'lememeniz ya da size ait olmayan disketleri bilgisayarınızda kullanmamanız da bazı önlemler olabilir. Tüm bunları yapmanıza karşın bir gün başınız onlarla derde girerse piyasada rahatlıkla bulabileceğiniz anti-virüs programlarını kullanarak bilgisayarınızı virüsten kurtarabilirisiniz.

MODA VİRÜSLER. . .

MELISSA

* Nedir? İşte en popüler virüsümüz!! Melissa bir Word 97 makro (macro) virüsü. Oldukça tehlikeli bir virüs, çünkü e-mail yoluyla çok hızlı olarak yayılabiliyor. Word 97 dökümanlarına ve Word 97 ile Word 2000'in NORMAL. DOT dosyasına bulaşıyor. Virüsün kodu Melissa isimmli bir makro bulunduğundan bu adla anılıyor.

* Diğer İsimleri? Basında "Porno Virüsü" olarak da tanınmasının nedeni pek çok kişiye pornografik içerikli sitelerden gönderilen e-mail'ler sonucu bulaşmasından kaynaklanıyor. Ayrıca W97M/Melissa, Kwyjibo isimleriyle de tanınıyor.

* Nasıl Bulaşıyor? Melissa virüsü bulaşmış bir Word dökümanını ilk kez çalıştırdığınızda virüs, sistemde MS Outlook olup, olmadığını kontrol ediyor. Eğer varsa adres defterinde (address book) yer alan 50 e-mail hesabına (account) mektup göndererek yayılıyor. Virüs tarafınfan gönderilen mektupların "subject" kısmı şu şekilde oluyor : "Important Message From {virüsün bulunduğu bilgisayarın sahibinin adı}". Mektubun "body" kısmında yani içeriğinde ise "Here is that document you asked for . . . don't

show anyone else :-)" yazılı. Virüslü Word dökümanu bu mektuba iliştiriliyor ve açıldığı zaman yine 50 kişiye kendisine gönderiyor. Bu böyle döngü içinde geliştiğinden çok kısa bir süre içinde inanılmaz bir hızla yayılabiliyor. E-mail metodu ile kendisini klonlamayı sadece virüslü döküman ilk çalıştırıldığında yapıyor. Eğer bilgisayarınızda virüslü bir döküman varsa Windows Registry'e baktığınız zaman şu satırı görebilirsiniz : "HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?". Virüs, e-mail ile başka adreslere ulaştıktan sonra bu anahtar değere ". . . by Kwyjibo" ekleniyor. Eğer virüs registry'de bu ibareye rastlarsa e-mail kullanarak kendisini başkalarına göndermiyor. Bir de eğer sistemde Outlook yoksa virüs yine kopyalama işlemine başlamıyor. Bununla birlikte virüsün bulaştığı bilgisayarda açılan tüm Word dosyalarına bulaşıyor (diğer Word 97 virüsleri gibi).

* Etkileri Neler? Yaptığı en önemli iş e-mail yoluyla çok hızlı bir şekilde yayılması. Bunun dışında ayrıca eğer dakika o günkü tarihle uyuşuyorsa (mesela saat 9:30 ise ve günlerden de ayın 30'u ise) metine şöyle bir tümce ekliyor : "Twenty-two points, plus triple-word-score, plus fifty points for

using all my letters. Game's over. I'm outta here. "

* Ne Zaman Ortaya Çıktı? İlk olarak Mart 1999'ta görüldü.

CIH

* Nedir? 32-bit Winwods 95, 98 ve Windows NT dosyalarına (. EXE uzantılılara) bulaşan bir virüstür.

* Diğer İsimleri? Win95/CIH ve Space Filler.

* Nasıl Bulaşıyor? CIH virüsü bulaşmış bir dosya Windows'ta çalıştırıldığında virüs aktif hale gelip, o bilgisayara bulaşıyor ve hafızada kalıyor (memory resident). Bundan sonra, açılan (yani çalıştırılan) ve kopyalanan tüm 32-bit EXE dosyalarına bulaşıyor. Virüsün boyutu oldukça küçük (1000 byte). Virüsün oldukça ilginç bir özelliği var. Bulaştığı dosyaların uzunluğunu değiştirmiyor. 32-bit EXE dosyalarında bulunan boş alanları (PE Format) kendi kodu için kullanıyor. Böylelikle dosya virüslerinin en büyük belirtisi olan dosya uzunluğunun artması olayını devre dışı bırakabiliyor. Eğer kendisini kopyalamak için tek bir boşluk bulamazsa, küçük parçalara bölünerek dosyadaki mevcut tüm boşluklardan yararlanıyor. Virüsün kod kısmında yer alan "CIH" sözcüğünden dolayı bu adla anılıyor.

* Etkileri Neler? Oldukça tehlikeli bir "time-bomb" (zaman bombası) var. Virüs, her ayın 26'sında (bazı varyasyonları sadece Nisan ayında) BIOS flash memory chip'ne zarar verebiliyor. Böylelikle 486 ve üstü bilgisayarları etkileyebiliyor. Eğer chip yazılabilir (write-enabled) ise virüs buraya alakasız şeyler yazıyor. Eğer böyle bir şey gerçekleşirse bilgisayarınız anakart (motherboard) yenilenene ya da chip'te saklanan bilgiler restore edilene dek kullanılmaz oluyor. Sevgili virüsümuz, her türlü BIOS korumasını da aşıyor! Virüs tüm bu gıcıklıklığı yapmasının yanı sıra sabit disk'teki (harddisk) bilgileri de okunmaz (unreadable) hale getiriyor. Benim bugüne kadar gördüğüm en TEHLİKELİ ve de ZARARLI virüslerden biri, hatta birincisi!!! CIH, bu günlerde en çok dikkat edilmesi gereken virüs!!!!

* Ne Zaman Ortaya Çıktı? Haziran 1998'de camiaya girdi!

* Varyantları neler? CIH'ın varyantlarını anlatmadan önce sanırım "varyant"ın ne olduğundan bahsetmem gerek. Bir virüs yazmanın zor olmadığını söylemiştim. Bir virüsün koduyla oynayıp ona benzer başka bir virüs yaratmak da zor değil!! Bir virüsün koduna sadık kalınarak (bazı küçük değişikler yaparak tabii) yaratılmış virüslere, ilk virüsün varyantları denir. İşte bizim CIH'ın da üç tane varyanı var: 1. 2, 1. 3 ve 1. 4. 1. 2 ve 1. 3 sadece Nisan 26'da zarar verirken 1. 4 çok daha gaddar!! 1. 4 her ayın 26'sında marifetlerini gösteriyor. Ve işin kötüsü varyant 1. 4, bilgisayar kullanıcıları arasında daha yaygın!

NETBUS

* Nedir? Netbus, klasik anlamda bir virüs değil. Aslında bir "Trojan". Win32 tabanlı olan Netbus, Windows 95, Windows 98 ve Windows NT sistemlerinde etkili olabiliyor. Aktif hale geldiği bilgisayarın başkalarınca yönetilebilmesine olanak sağlar.

* Diğer İsimleri? Backdoor. Netbus.

* Nasıl Bulaşıyor? Genellikle Internet kullanıcıları arasında yaygındır. Çünkü Internet üzerinde dosya alış, verişi yapan kişiler rahatlıkça Netbus'lı bir program download edebilir. Netbus'ı sisteminizde çalıştırdığınızda Windows Registry'e bir kayıt ekleyerek sürekli aktif hale gelir. Ancak kullanıcı bunu göremez. Sadece Netbus'ı çekmekle aktif hale getirmezsiniz. Netbus'ın aktif olması için mutlaka çalıştırılması gerekir.

* Etkileri Neler? Netbus, "remote administration trojan" (uzaktan yönetim truvası) denilen sınıfa girmektedir. Yani başka birisinin, sizin bilgisayarınızı kontrol etmesini sağlar. Eğer Netbus aktifse ve Internet'e bağlıysanız "Netbus Client" programına sahip olan kişi bilgisayarınız sanki onun yanındaymış gibi hemen herşeyi yapabilir: İstediği bilgileri okur (şifreniz dahil!), ekrana istediği bir mesajı yazdırabilir, dosyalarınıza canı ne istiyorsa onu yapabilir, CD sürücünüzü açabilir, mouse'unuzu kontrol edebilir. . . Kısacası ne istiyorsa onu yapar. Bir arkadaşımın ricası üzerine (çalışıp, çalışmadığını merak ediyordu!) Netbus'ı kendi bilgisayarımda çalıştırdım. Bir süre sonra arkadaşım sinir krizleri geçirmemi sağlayacak kadar "pislik" yapmıştı!! Bir de Netbus bulaşan kişinin bundan haberi olmadığını hesaba katarsanız, durumu siz düşünün!!

* Ne Zaman Ortaya Çıktı? Ver 1. 5'i Mart 1998'de, Ver 1. 6'sı Ağustos 1998'de ve Ver 1. 7'si ise Kasım 1998'de doğdu!

* Varyantları neler? Bu afacanın 3 tane sevimli varyantı var.

Netbus Ver 1. 5 (473, 088 byte).

Neetbus Ver 1. 6 (472, 576 byte).

Netbus Ver 1. 7 (494, 592 byte).

Uzunlukları illa bu kadar olacak diye bir kural yok tabii! Netbus başka bir programa enjekte de

edilebilir (o programa eklenir, ama siz programı çalıştırdığınızda Netbus'ın da çalıştığına dair bir ipuçu

göremezsiniz). Böylelikle fark etmeniz çok zor olur.

Ş Kendim Nasıl Temizleyebilirim? Aslında her virüsü kendi kendinize temizlemeniz mümkün. Ancak bu sizin bilgisayar bilginizle sınırlıdır!! "Kendim Nasıl Temizleyebilirim?" başlığı altında en acemi kullanıcıların bile temizleyebileceği virüsleri/truvaları anlatacağım. Netbus da kolaylıkla kurtulabileceğiniz bir bela! Eğer Windows Registry'i nasıl değiştirebileceğinizi biliyorsanız, Registry'e girip Netbus'ın ekledi satırları kaldırın. Ardından bilgisayarınızı yeniden çalıştırın ve son olarak Netbus dosyasını silin (yerini Registry'de görebilirsiniz). Ayrıca piyasada pek çok Netbus koruyucusu program var. Netbus Protector bunların başında geliyor.

BACK ORIFICE veya BO TROJAN

* Nedir? Tıpkı Netbus gibi Win32 tabanlı bir Truva'dır. Windows 95 ve Windows 98'de çalışır. Netbus gibi Windows NT'de de çalışmaz. BO'nun kullanıcı tarafından en az bir kez çalıştırılmış olması gerekir.

* Diğer İsimleri? BO, Backdoor. BO.

* Nasıl Bulaşıyor? Çalıştırıldığı zaman Windows Registry'e kayıt yaparak sürekli aktif hale gelir. Uzunluğu 124, 928 byte'tır. Tabii ki boyutu bundan fazla da olabilir. Netbus gibi "remote administration trojan"dır. Aktifse ve Internet üzrindeyseniz Back Orifice Client programı olan kişi kontrolü ele alabilir.

* Etkileri Neler? Netbus için yazdıklarım burada da aynen geçerli.

* Ne Zaman Ortaya Çıktı? Ağustos 1998.

* Kendim Nasıl Temizleyebilirim? Netbus için yazdıklarım burada da aynen geçerli.

CLASS

* Nedir? Word 97 dökümanlarına bulaşır (ayrıca Normal. dot). Virüs kodu 2 makrodan oluşmakta. Bu makrolar, bulaştığı dökümanın "ThisDocument" modülünde bulunur. Makrolarının isimleri ise :

"AutoOpen" ve

"ViewVBCode".

Normal. dot'da bu isimler "AutoClose" ve "ToolsMacro" şeklinde de olabilir.

* Diğer İsimleri? W97M/Class, Word97. Class.

* Nasıl Bulaşıyor? Virüs, C sücüsünün root'unda CLASS. SYS isimli bir dosya yaratır. Makrolar bu dosyada yer almaktadır ve başka bir dosyaya bulaşacağı zaman makroları buradan alır. Virüs kodu her bulaştığı zaman farklıdır; çünkü o an ki tarih, saat, kullanıcı adı, kullanılan yazıcı gibi bilgileri de içerir.

* Etkileri Neler? Her ayın 31'inde şu mesajı görüntüler :

This Is Class

o-o-o-o-o-o-o-o-o-o-o-o-o-o

o VicodinES /CB /TNN o

o o-o-o-o-o-o-o-o-o-o-o-o-o

* Ne Zaman Ortaya Çıktı? 1998 Aralık'ı.

* Varyantları neler? Class D ve Class B olmak üzere 2 varyantı söz konusudur. Class D, Haziran'dan Aralık'a her ayın 14'ünde şu mesajı verir :

I Think XXXXXX is a big stupid jerk!

VicodinES Loves You / Class. Poppy

Buradaki xxxxxx kısmına tahmin edeceğiniz gibi kullanıcının adı yazılır! Ayrıca Windows User (kullanıcı) adını rastgele olarak "Dr. Diet Mountain Dew"e çevirir.

Class B de tıpkı D gibidir; ancak isim değiştirme olayını yapmaz.

ETHAN FROME

* Nedir? Word 97 dökümanlarına ve W97'nin "Normal. dot" dosyasına bulaşır. "Document_Close" isimli tek bir makrodan oluşur. Virüslü dosyanın "ThisDocument" modülündedir. Diğer İsimleri?

* Nasıl Bulaşıyor? Root dizinde ETHAN. ___ isimli bir dosya yaratır. Dosya gizli (hidden) modda yaratılır. Eğer "Class. sys" dosyası varsa siler. Kısacası CLASS virüsüne oldukça benzer ve eğer o varsa çalışmasını engeller.

* Etkileri Neler? Virüs rastgele bir kontur çalıştırır ve belirlediği zaman, bulaştığı dosyanın adını "Ethan

Frome", yazarını da "EW/LN/CB" olarak değiştirir.

* Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.

HAPPY99

* Nedir? Win32 tabanlı bir Truva'dır. Çalıştırıldığı zaman küçük sayılabilecek bir ekran içerisinde havai fişek efekti gösterir. Tarz olarak Netbus ve BO'ya benzese de amacı onlardan farklıdır.

* Diğer İsimleri? win32. ska. a, ska, wsock32. ska ve ska. exe.

* Nasıl Bulaşıyor? Happy99 isimli (başka bir isim altında da olabilir) programı çalıştırdığınız an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli iki dosya yaratır. Orjinal WSOCK32. DLL dosyanızı WSOCK32. SKA adı altında kaydeder ve gerçek WSOCK32. DLL yerine modife edilmiş dosyayı geçirir. Eğer o an Wsock32. dll kullanılıyorsa bu değişiklikleri yapamaz; ama Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların yapılmasını sağlar. Uzunulupu 10. 000 byte'dır.

* Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve newsgroup işlemlerini izleyerek onlara SKA. EXE dosyasının bir kopyasını HAPPY99 adı altında gönderir. Her bir adrese sadece bir kere gönderir. Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani kullanıcının attığı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada kimlere atıldığı tutulur. Herhangi bir zararı yoktur, sadece yayılır.

* Ne Zaman Ortaya Çıktı? Ocak 1999.

* Kendim Nasıl Temizleyebilirim? Öncelikle Windows\System dizinine girin ve şu dosyaların olup, olmadığına bakın :

1. SKA. EXE

2. SKA. DLL

3. WSOCK32. SKA

Eğer bu dosyalar varsa Happy99'unuz hayırlı, uğurlu olsun!! SKA. EXE, SKA. DLL ve WSOCK32. DLL

dosyalarını silin. WSOCK32. SKA dosyasının adını WSOCK32. DLL olarak değiştirin (Internet

programlarını bu işlemi yaparken kapalı olsun -browser, e-mail composer gibi-)ve "Bir zamanlar

Happy99 diye bir Truva'm vardı, ruhuna el fatiha. . . " deyin!.

VIRUSLERDEN NASIL KORUNURSUNUZ?

· Windows için tasarlanmış bir anti-virüs programınız mutlaka olsun; ama en azından bir tane de DOS üzerinde çalışan anti-virüs bulundurun. Düşünün ki bir virüs sonucu Windows'unuza da bulaştı ve Win sürümü anti-virüs programınız sağlıklı olaark çalışmıyor. Böyle bir anda tek kurtuluşunuz DOS anti-virüsü olacaktır.

· Elinizdeki anti-virüs programlarına sonuna dek güvenmeyin. Bugün 23, 000'ün üzerinde virüs var. Sadece 4000 civarında Macro ve Trojan virüsü söz konusu. Anti-virüs üreticilerinin sitelerini gezerek yeni virüsler hakkında bilgi edinin.

· Sisteminizi boot ederken disket sürücüsünde disket olmamasına dikkat edin. Böylelikle çoğunlukla boot virüslerinin önüne geçersiniz. Eğer boot virüsü olan bir disket varken boot ederseniz, virüs aktif hale gelir ve RAM'de saklanır. Genellikle hafızanın üst kısımlarında saklandıkları için DOS'un gördüğü hafıza miktarı düşecektir (Mesela 640K yerine 639K görürsünüz). Bu şekilde boot virüslerinden haberdar olabilirsiniz. Ancak "stealth" virüsleri de hesaba katmak lazım. . .

· Bildiğiniz üzere Nisan sayısındaki CD'imizde ne yazık ki CIH virüsü vardı. Şu an özür dilemekten başka bir şey gelmiyor elimizden! CD'yi hazırlayan Tolga arkadaşımız defalarca kontrol etmesine rağmen CD'lerin basıma hazırlanması sürecinde bir şekilde virüs bulaşmış. Bu daha önce de pek yerli ve yabancı derginin başına geldi. Hatta yazılım devi Microsoft'un dağıttı bazı programlarda bile virüs olduğu ortaya çıkmıştı. Sonuç olarak bilgisayarınızda ilk kez çalıştıracağınız bir programı muhakkak elinizdeki programlarla kontrol edin.

· Eğer tüm çabalarınıza rağmen sisteminize bir virüs bulaşmışsa, yapacağınız ilk şey soğukkanlı olmak! Eğer paniklerseniz muhtemelen virüsten kurtulmak için format atmak gibi gereksiz arayışlara yönelebilirsiniz. Öncelikle virüsün ne tür bir virüs olduğunu, özelliklerinin ne olduğunu bulmaya çalışın. Piyasadaki her virüs zarar verir diye bir kural yok. Belki de tamamen zararsız ya da kolayca temizlenebilecek bir virüs için kıymetli verilerinizi kaybedebilirisiniz!

· Sizin için önemli olan tüm programların ve herşeyden önemlisi verilerin yedeğini MUHAKKAK alın. Haydi programlar neyse; ama kişisel verilerinizi tekrar bulma şansınız yoktur!

· Mutlaka write-protect'i açık olan "temiz" bir sistem disketi bulundurun. Mümkünse virüs taraması yapmadan önce sistemi böyle bir disketle açın.

· Ben yazıyı yazarken, PAPA isimli yeni bir "worm"dan bahsediliyordu; aman dikkat!!

· F-Prot kullanıcısıysanız ve sisteminizde virüs olmamasına rağmen, illa bir "virüs var!" mesajı göreyim, hem de tecrübe kazanmış olurum diyorsanız, alın size bir test virüsü. . . Bir text editörü ile şu satırı yazın:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Dosyaya istediğiniz ismi verin; ama uzantısı COM olsun (ASC-II olarak kaydedin, dosya uzunluğu 68 byte olacaktır). Şimdi taratın bakalım F-Prot ile!

VİRÜS OLDUĞUNU NASIL ANLARIM??. . .

Eğer sisteminiz hiçbir neden yokken yavaşlamaya başlamışsa, anlamsız hata mesajları veriyorsa, disk ışık(lar)ı gereğinden fazla yanıyorsa, bazı dosyalar durup dururken kayboluyorsa sisteminizde muhtemelen bir virüs vardır.

0

|

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:46:50 Konu Sahibi

ALINTIDIR

--------------------------------------------------------------------------------------------------------------------------

Bilgisayar virüsleri insan ve hayvanlarda çeşitli rahatsızlıklara yol açan virüslerden pek farklı olmamala birlikte, aralarındaki en büyük fark, bilgisayar virüslerinin tanınmayacak bir şekilde gizlenebilmesidir. Gizlenir ve sürekli değişik yollarla kendisini olabilidiğince yaymaya çalışır, neredeyse her çeşit dosyaya kendisini ekler, internet bağlantınız varsa yayılmak için çeşitli işletim sistemi açıklarını kullanır. Virüsler birçeşit bilgisayar uygulaması olarakta düşünülebilir, tek farkı kullanıcının isteği veya haberi olmaksınız çalışmasıdır.

1949 yılında, Macar asıllı Amerikalı matematikçi John von Neumann'in bilgisayar uygulamalarının kendi kendilerini kopyalayabileceğini bulması ile başlayan virüs tarihindeki ilk virüsün 1983'te Amerikalı elektronik mühendisi Fred Cohen tarafından yazıldığı iddia ediliyor. Her ne kadar virüs dense de, Cohen'in yazdığı bu uygulama yalnızca kendisini değişik dosyalara kopyalamak sureti ile çoğalan, zararsız, basit bir uygulama olmakla birlikte, bilgisayar kullanıcısının isteği dışında çoğaldığı için bu uygulama virüs olarak anılmaktadır. Bu virüslerin en temel özelliğidir.

CIA enformasyon dairesinin kayıtlarına göre ilk zararlı virüsler 1985 tarihinde ortaya çıkıyor.1983'te Cohen tarafından yazılan, kendi kendini çoğaltan uygulamanın bu temel esasından faydalanır. Hem bilgisayarın işletim sisteminde zararlı değişiklikler yapan, hem de kendini kopyalayabilen uygulamalar yazan bazı geliştiriciler, isimlerini bu şekilde şöhret listelerine yazdırmayı planlayarak, bu uygulamaları değişik yollarla diğer kullanıcılara aldatıcı yöntemler ile ileterek virüslerin yayılması sağlanıyor. Bilgisayar ağları yaygınlaşmadan önce virüsler çeşitli taşınabilir depolama ortamları(disket,CD-ROM vs.) aracılığı ile yayılırdı.

Sonraki yıllarda ise yine ruhsal dengeleri bozuk olan ve bu virüslerden daha tehlikelilerini yazma yarışına giren diğer programcıların yazdıkları virüslerin de ortaya çıkması ile, bilgi işlem dünyasında bir savaş başladı, bu virüslerden kurtulma ve korunma programlarının yazılması ve sonraları satılması da kaçınılmaz bir sektörün ortaya çıkmasına vesile oluyor. Günümüzde dünyanın en zenginleri arasında bulunan Peter Norton bu sayede Symantec firmasını kurarak, Microsoft'tan sonra en çok satış yapan firmaların başını çekiyor. Norton AntiVirus programı günde binlerce kişiye satılıyor.

[değiştir]

NASIL BULAŞIYOR?

Bu virüsler kişilere ya bir disket içerisinde, ya e-mail ile ya da bir programı işlemek için kullanılan dosyalar içerisine konularak iletiliyor. Ayrıca modem üzerinden bağlanan iki bilgisayardan birisinde Virüs var ve hafızasında aktif olarak çalışıyorsa bulaşma ihtimali %99'dur. internetten çekmek istediğiniz bir programın içerisine yerleştirilmiş olabilir.Size gelen bir Microsoft Word mektup dosyasının içerisine yazılmış MACRO Virüs olarak gelebilir ki... Son yıllarda çok moda olan yeni bir virüs yayma yöntemidir. Makro virüslerden korunmamın en iyi yolu MS WORD, MS EXCELL, MS ACCESS programlarındaki OPTIONS kısmından GENERAL içerisindeki Makro Virüs protection kısmini işaretlemektir. Eski MS Word ve diğer yazı programlarında ise yine Option kısmından Disable Makro işaretleyerek korunabilirsiniz. En basit virüs yayma örneği, virüsü yazan programcı, kendisine seçtiği ilk hedef kullanıcıya bir e-mail yolluyor ve bu e-mailin içerisine güzel bir oyun programı yada başka sevilen bir programı ilave ediyor.Bu programının içerisine virüs programını da tek bir dosya olarak, sanki o yolladığı oyun programını yüklemek için bulunan dosyalardan biriymiş gibi içerisine sikiştiriyor.e-maili alan hedef kullanıcı ise kendisine yollanan bu bedava oyuna sevinerek oyunu kendi bilgisayarına yüklemeye başladığında, yükleme işlemleri içerisindeki oyunla alakası olmayan ilave bir komut, virüs dosyasının çalışmaya başlaması için komut veriyor. Ekranda, çalışmaya başladığı belli olmayan virüs programı hemen ilk çalışmalarına başlayarak sisteme ne gibi zararlar vermesi gerekiyorsa bu emirleri yerine getiriyor.Mesela en çok kullanılan ve hemen hemen her bilgisayarda bulunan yazı yazma programının ana dosyasında değişiklik yaparak kullanılmaz hale getiriyor.

Yeni oyunu ile oynamakla meşgul, olan bitenden habersiz kullanıcı mektup yazmak istediğinde ise karşısına çıkan arıza mesajını gördüğünde, bunun herhangi bir sistem arızası zan ederek düzeltmek için bir hayli uğraşırken, virüs diğer taraftan hafızaya yerleşerek hem diğer programlara ayni zararı vermeye, hem de tamir edilen yerlere ayni zararı tekrar vererek kullanıcıyı bir arıza çıkmazına sokuyor.Olanlardan bir şey anlamayan kullanıcıların bazıları ise bu arızalar zincirinden neredeyse deliye dönüyor. Virüs programlarının en büyük özelliklerinden birisi de bu. Sistemi tamimiyle bozmuyor.arızalar veya arızalar zinciri ile kullanıcıyı uğraştırıyor.Günümüzdeki bazı bilgi işlem teröristleri ise bu virüslerin çok daha tehlikelilerini yazarak sistemin bir daha hiç başlamamasını yada tamamen silinmesini sagliyarak kullanıcısına göre çok büyük zararlar verebiliyorlar.

[değiştir]

ÇEŞİTLERİ:

Günümüzde teşhis edilmiş olan yaklaşık 500.000 virüs mevcut. Bunların arasından halen bulunanlar ise yaklaşık 150.000 civarında. Bunların arasında dünyaca en çok yaygın olanları 30.000'i aşmakla birlikte Nisan ayı raporlarında ALARM listesinde yaklaşık 1000 kadar tehlikeli virüs bulunmakta.

Bu virüslerin hepsinin maksadı aynidir. Amaç bilgisayarın kullanım sisteminde karışıklık çıkarmak veya tamamen imha etmektir. Her virüsün yazarı bu amaca kendi hayal gücünün ve bilgisinin oranı ile kendi yazdığı yol ile ulaşmak üzere değişik yöntemler kullanmaktadır.Kimi virüs mektuplarınızın içerisindekine karma karışık eder, kimi virüs bilgisayarınızın sesini keser yada modem ayarını değiştirerek sizi saatlerce, hatta günlerce uğraştırır. Kimi de görüntüyü kökten keser yada hard drive'i çalışmaz hale getirir.

Benim rastladığım en komik virüs BAD BOYS adli bir virüstü. bulaştığı tüm mektupların en sonunaakliniza gelen tüm küfürleri ilave ediyor, zavallı kullanıcı da bunlardan habersiz işi hakkında e-mail çekiyor. Virüslerin içerisindeki en tehlikelileri Bot sector bilgisayarı başlatan ana basamak virüsleridir.Bu virüsler hard drive'in ana başlangıç noktalarına oturarak orada bir nevi ihtilal yaparak bilgisayar çalışmaya başlamak istediğinde ilk olarak bu ana basamağa bakarak kullanım sistemini başlatmak istediğinde, bu virüs kendisini kullanım sisteminin ana basamağı olarak tanıtıyor. Dolayısı ile hem tüm yönetimi eline geçiriyor hem de dilerse (Virüsü yazan ne gibi zarar vermesini yazdı ise) istediği zararı veriyor.

[değiştir]

NASIL KORUNULABİLİR?

Unutmayın! Virüs bir programdır. Yani gözle görülebilen bir dosyadır. bilgisayarınızın ayarında Görülmez olarak kayıtlı dosyalarda göster komutunuzun çalışmasını seçtiyseniz (Windows Explorer’dan "foldur options" "Kiev" "Show system ana hiddet files") mutlaka görebilirsiniz. Fakat eğer çalıştırmamışsanız ve virüsün bulunduğu dosya hiddet (gizli) dosya ise o zaman göremezsiniz. Zaten görseniz bile, sanki diğer dosyalardan biriymiş gibi durur. Ancak kullanım sistemi ve içerisindeki dosyaları çok iyi tanıyan bir kullanıcı bu dosyanın isminin yabancı bir isim olduğunu anlayarak şüphe edebilir.işte bu dosya çalıştırılmadığı müddetçe eğer bootsector virüsü ve disket içerisinde değilse hiç bir zarar veremez.

Size yollanan virüsün önce sizin tarafınızdan çalıştırılması lazım. Yoksa faaliyete başlayamaz.

Virüslerden korunmanın en iyi yolu güncel bir Virüs koruma programını bilgisayara işlemektir.Yalnız buda yetmiyor. Bu programı işledikten sonra programın koruma mekanizmasındaki virüs tanıma bilgi kapasitesini ve temizleme mekanizmasındaki kapasitesini güncelleştirmeniz lazım.

HER GÜN ÜÇ YENİ VİRÜS DÜNYAYA YAYILIYOR! Günümüzde bilgisayar dünyasında günlük olarak hemen hemen 3 yeni virüs yazılıyor ve internet yolu ile ve bulaşan kişi ve kurumların ağları ile de başka ağlara ve dolası ile dünyaya yayılıyor.Virüs koruma programları yazan firmalarda bu yeni yazılan virüsleri teşhis ederek Bunların Panzehir diyebileceğimiz Anti temizleyici programlarını yazarak her ay başında bu panzehir dosyalarını internetteki Monthly Virüs definitions (Aylık - virüs temizleme güncelleştirme dosyaları) adli sayfalarına koyuyorlar. eğer bilgisayarınıza herhangi bir Virüs koruma programını mesela Ocak ayında işlediyseniz bu program sizi en fazla mart ayına kadar koruyabilecektir. programı işledikten en geç iki ay sonra kullandığınız Virüs koruma programının internetteki sayfasına girerek en son Virüs ilaçları dosyalarını her ay başında çekip işleyerek korunmanızı güncelleştirmeniz lazım. Aksi takdirde programınız yeni düşmanları tanımayacak ve tekrar tehlikeye düşeceksiniz. Size tavsiye edebileceğim en iyi program Norton AntiVirus programıdır. Hemen hemen her kullanım sisteminde çalışan bu programı acil korunma için internettenhttp://shop.symantec.com/trialware adresinden deneme versiyonu olarak bedava çekebilirsiniz.

[değiştir]

VİRÜS NASIL ANLAŞILIR?

Bunun en sağlam yolu hard drive'i, Anti-Virüs koruma mekanizması güncelleştirilmiş olan bir Virüs programı ile tüm dosyaları taramaktır.

Eğer böyle bir program elinizde yok ise hemen çekip işlemenizi tavsiye ederim.Virüs belirtilerinin bir çok çeşidi vardır. Bu belirtiler virüsün kişiliğine göre değişmektedir.

Genel olarak ortaya çıkan en belirgin virüs işareti ise bilgisyarin anormal çalışmasıdır.Bunu en iyi anlamanın yolu bilgisayarın çalışmasını izlemektir. Bilgisayar içersinde son günlerde yeni bir ayar değişikliği yapılmadığı, video conferens kıt, modem, ses kartı, yeni bir fare işlenmediği halde bilgisayarda alışıla gelmişin dışında anormallikler var ise bu, virüs aramak için yeterli bir sebeptir.Hemen paniğe kapılmadan önce bu anormalliklere bir göz atılmasını tavsiye ederim.

Eğer bu anormallikler bilgisayarın durup dururken donması, birden kapanması, internetten düşmesi gibi anormallikler ise, öncelikle Scan disk, defrag, registery check, memory check, Cup soğutucusunun pervanesinin çalışıp çalışmadığına bakılması gibi kontrollerin yapılması lazım.eğer bu kontroller ile bir arıza bulunmadıysa ve aşağıdaki arızalar, anormallikler var ise virüs olma ihtimali vardır. Fakat yinede Windows ayarları, yanlışlıkla silinen dosyalar gibi etkenler de bu arızaları oluşturmuş olabilirler.

[değiştir]

TİPİK VİRÜS BELİRTİLERİ:

Bilgisayar her 3-4 başlangıcın birinde yada tamamen kendi kendine başlamaz. Bilhassa iNVALiD MEDYA DRVE mesajı ekranda görülür. Çünkü Virüs bootsector üzerine oturup ihtilal yapmış, sistem ise kendini hard DRVE olarak tanıtan virüsçün kimliğini kabul etmemiştir.kullanım sistemi açılırken bir yerde takılı kalır, birden ekranda binlerce harf yukarıdan aşağıya doğru düşercesine akar.Mouse pointer siz oynatmadığınız halde kendi kendine oynamaya başlar.Bilhassa yazı yazarken siz bir değişiklik yapmadığınız halde kelimeler kendi kendilerine değişir,bazen allak bullak olur, biraz önce yazdığınız ve kaydettiğiniz mektubu tekrar açtığınızda karşınıza bambaşka yazılar çıkar, yada hiç açmaz.Açmak istediğiniz herhangi bir program ve bunu takiben başkaları, her zaman çalıştıkları halde bir türlü açılmaz.Siz istemediğiniz halde Windows kendi kendine kapatıp açar, ekrandan bazı şeyler silinir, dün gördüğünüz dosya siz silmediğiniz halde bugün yoktur.Bilhassa disketlerde, bir türlü disketi açamazsınız yada disketin deliği kapalı olduğu halde içine bir şey yazamazsınız.Siz bir komut vermediğiniz halde bilgisayarın önündeki kırmızı hard DRVE lambası kendi kendine alışıla gelmişin dışında yanıp söner. Sanki birisi bilgisayara sizden habersiz telefonla girmiş gibi çalışır.Windows hemen hemen yaptığınız her işte bir arıza verir.işte bunlar tipik virüs belirtileridir. Böyle bir durumda öncelikle bilgisayarı kullanmasını iyi bilen, deneyimli bir kullanıcının bilgisayara bakması gerekiyor. eğer bu imkanınız yok ise, internetten yada bir arkadaşınızdan bir virüs programı yada güncel bir virüs temizleme disketi alıp, bilgisayarı kapatarak içerisinde virüs olmadığından emin olduğunuz bir Self booting <Başlatma disketi ile(eğer böyle bir disketiniz yok ise, hemen bir tane yapmanızı tavsiye ederim = Y Computer / Control Panel / Ada ana Remote Program ms kısmından Start up disk) başlatarak, başlama işleminden sonra virüs disketini koyup virüs tarama ve temizleme faaliyetlini başlatın.eğer virüs var ve henüz tüm dosyalara yayılmamış ise kurtarabilirsiniz.Aksi takdirde tüm kullanım sistemini ve programları yeniden işlemek zorunda kalabilirsiniz.Bu da en son çaredir ki... Hiç bir şekilde Anti-Virüs programı bulamadıysanız ve Virüs olduğunda ısrarlıysanız o zaman hard drive'in partition'unu silerek bilgisayarı kapatıp tekrardan temiz bir Windows start up disketi ile başlatıp yeni partition açmak ve Windows ve tüm programları (yalnızca Orijinal CD'den - <Kopya CD olursa CD'yi yazanın bilgisayarında virüs varsa o da bulaşmış olabilir> yükleme disketleri kullanmayın virüs bulaşmış olabilir, fakat Orijinal CD'nin virüssüz olduğu kesindir! ama eğer elinizde yükleme CD'si yok ve yalınızca disketler var ise, boşu boşuna yeniden işlemeden önce, işliyeceginiz yükleme disketlerinin virüssüz olduklarına emin olun. Aksi takdirde ayni dertlere mağdur kalırsınız!) yeniden yüklemek suretiyle temiz bir bilgisayara sahip olduğunuzdan emin olabilirsiniz.

[değiştir]

TAVSİYELER:

Bilgisayarınızda Windows (Mac ise Mac OS) başlamadan önce, hatta daha bilgisayarınızı açmadan önce kesinlikle içerisinde disket bırakmayın!Bilgisayarınızda dünyanın en iyi Anti-Virüs programı da işlenmiş olsa eğer bilgisayarınızın Bıos ayarında Virüs guard yok ise ve bilgisayarınızın disket sürücüsü içerisinde bir disket unutarak bu halde sistemi açarsanız ve bu disket eğer virüslü ise %99 bu virüs bilgisayarınıza geçer.

Hiç bir disketi Windows başlamadan önce açmayın Çünkü Anti-Virüs programlarının çoğu Windows açılmadan önce başlamadığından açacağınız disketin içinde virüs varsa Anti-Virüs programı sizi uyaramayacak ve bu virüs eğer bootsector virüsü ise, büyük bir ihtimal daha siz disketi açar açmaz bu virüs sizin bilgisayarinizada bulaşacaktır.Bilhassa okullarda kullanılan disketlerin %25'i virüslü olmaktadır. Okullardan gelen disketleri Anti-Virüs programsız kesinlikle açmayın!Ne olduğunu bilmediğiniz bir dosyayı çalıştırmaya kalkmayın.Size e-mail ile yollanılan bir programı Anti-Virüs programı ile taramadan kesinlikle çalıştırmayın....Hatta, programı yollayan kişiyi tanımıyorsanız, Anti-Virüs programı ile tarasanız ve temiz çıksa da eğer önemli dosyalarınızı Hard drive'iniz dışında başka bir yere kopyalamadıysanız yine çalıştırmayın. Çünkü bazı kişiler size öyle bir program yollayabilir ki, bu programı çalıştırdıktan sonra sisteminizdeki her şey silinebilir! Bilhassa internette Chat yaptığınız kişilerin size yolladıkları dosyaları kabul etmeyin.internette tanınmış firmaların dışında, bulunan her bedava programı çekip çalıştırmayın.Bir arkadaşınıza disket verirseniz, vermeden önce disketin arkasındaki iki delikten kapaklı olan birinin kapağını, tırnağınız ile iterek açın. iki deliğinde arkasını görebilecek şekilde açık olması gerekiyor.Bu şekilde verdiğiniz disketi Silinmez - yazılmaz - yalınızca okunur hale getirerek hem içerisindeki dosyaların yanlışlık ile silinmelerini önlemiş olursunuz, hem de sizden disketi ödünç alan arkadaşınızın bilgisayarında virüs var ise, disketinize bulaştırmasını önlemiş olursunuz.Kaybetmek istemediğiniz önemli dosyalarınızı her zaman için hard DRVE dışında temiz disketlere, zıp kartuşlarına yada başka depolama elemanlarına kopyalayarak saklayın. ilgada virüs olması şart değil, herhangi bir hard DRVE arızası meydana gelip, hard DRVE kullanılmaz hale geldiğinde bu kopyalar size çok faydalı olacaklardır. Ayrıca Anti-Virüs programınızın MAKE RESCUE DISKS kısmından acil kurtarıcı disketleri yapmanızı ve bu disketleri her ay, yeni Anti-virüs güncel dosyalarını işlediğinizde, tekrar yapmanızı tavsiye ederim. Bu şekilde hem bilgisayarınızın sağlıklı çalışmasını sağlamış hem, önemli dosyalarınızı silinme tehlikesinden korumuş olursunuz.

0

|

ssaamm

Binbaşı

1030 Mesaj

11 Mayıs 2006 23:47:50

quote:

Orijinalden alıntı: Hover_Craft

ALINTIDIR

--------------------------------------------------------------------------

VIRÜSLER

Bilgisayarlar hızla hayatımızın bir parçası haline gelirken bu sevimli makinalarla birlikte kimi olumsuzluklar da kapımız çalıyor. Bu davetsiz misafirlerin başında ise bilgisayar virüsleri geliyor ; ancak pek çok kişi özellikle de yeni bilgisayar kullanıcıları bu konuda pek bilgili değil. Hatta pek çoğumuz Hollywood yapımı bilimkurgu filmler sonucunda onların canlı organizmalar olduğunu bile düşündük. Fakat bilgisayar virüslerinin canlı olması (ve de kullanıcılara hastalık bulaştırması!) söz konusu değil!! Çünkü onlarda sadece küçük birer yazılımdır. Tabii ki bunlar diğer bilgisayar yazılımlarından biraz farklılar. Bu farkların başında kendilerini kopyalamaları geliyor. Tıpkı biyolojik virüslerin DNA'lar ile çoğalmaları gibi bilgisayar virüsleri de kendilerini başka programlara ya da boot'a kopyalayarak çoğalırlar. Diğer bir özellikleri ise çalışmaları için kullanıcıya bağlı olmamaları yani aktif bir yapıya sahip olmaları. Böylelikle kullanıcının onayını ya da emrini beklemeden hareket ederler. Bilgisayar sistemlerine zarar vermeleri de kullanıcının istemediği zamanlarda istemediği şeyler yapmasıyla olur. Virüsler varlıklarını devam ettirebilmek amacıyla sürekli olarak kendilerini kopyalarlar ve böylelikle tüm dünyadaki bilgisayarlara yayılma şansı bulurlar. Her geçen gün virüslerin sayısı katlanarak artıyor. 1983 yılında bilgisayar virüslerine isim babalığı yapan Friedrich Cohen bile onların gün gelip de onbinlerle ifade edileceğini düşünmemişti herhalde. Ancak bugün sayıları giderek artıyor ve bunun temelinde de psikolojik durumları hala tartılaşılan bilgisayar programcıları geliyor! Kimileri aşklarını duyurmak, kimileri nükleer denemeleri protesto etmek, kimileri ise sadece eğlence amacıyla virüs yazıyor. Bir bilgisayar virüsü programlamak için sanılanın aksine bilgisayar dehası olmaya gerek yok, sıradan bir programcı hatta programcılığa meraklı 9-10 yaşlarında bir velet bile rahatça bir virüs yapabilir. Fakat virüsünün dünyaya yayılp, adını duyurması virüsün kaynak kodununun (source code) kalitesine bağlıdır. Virüsleri kabaca dört grupta inceleyebiliriz. File (Dosya), Trojan (Truva), Makro ve Boot virüsleri.

* Boot virüsleri : Disketlerin Boot Sector ya da sabit disklerin Master Boot Sector denilen ilk sektörlerine kendilerini kopyalarlar. Daha sonra kendilerini yine kopyalayarak diğer bilgisayarlara ulaşırlar. Temizlemesi en kolay virüs türüdür.

* Dosya (File) virüsleri : Bunlar ise çalıştırılabilir programlara (uzantıları . exe, . com gibi olanlar) bulaşırlar ve bunlardan diğer dosyalara kendilerine kopyalarlar. Böylelikle de bulaştıkları dosyanın uzunluğunu artırırlar; ancak günümüzde dosya uzunluğunu artırmadan da bulaşan virüsler var. Virüs eklentisi genellikle dosyanın sonunda ve nadiren de ortasında olur. Virüs hafızada kalabilir (resident virus) ya da doğrudan çalıştırıldığında (direct action virus) etki gösterebilir. Ya da her iki özelliği de kullanabilir.

* Trojan'lar (Truva Atları) : Truva atı olarak nitelendirilen Trojan'lar ise diğer virüslerden farklıdırlar. Aslında bunları virüs kategorisini koymak pek de mantıklı değil. Virüsler yapı itibariyle kendilerini başka yerlere kopyalama, yani "bulaşma" özelliğine sahiptirler. Truva'lar ise genellikle bunu yapmazlar. Son zamanlarda gündemde bir hayli yer edinmeleri ise Internet'in yaygınlaşması ile oldu. Bildiğinizi gibi eski bir öyküye göre Truvalılar'ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve eğlenceye dalmış olan Truvalıları öldürürler. Şimdi tarihi efsanelerin ne ilgisi var virüslerle demeyin!! Modern çağda siz Truvalılar oluyorsunuz ve Yunanlılar bir sürü Truva tı ile sizin bilgisayarınıza musallat oluyorlar. Truva'lar 2 kısımdan oluşur. Birincisi bir şekilde size ulaştırılır ve çalıştırdığınız andan itibaren bilgisayarınız 2. kısmı elinde bulunan kişinin kontrolü altına girer.

* Makro virüsleri : Word, Excel gibi makro kullanıma olanak tanıyan programların dosyalarına bulaşan virüslerdir. Yapılarını makrolardan aldıkları için bu adla anılırlar. Son dönemdeki pek çok "ünlü" virüs makro virüsleridir.

Bilgisayar virüsleri sisteminize bulaştıktan sonra bilgisayarınızda kuluçkaya yatarak zarar verecekleri zamanı beklerler (çoğunun içlerinde "time-bomb" denilen zamanlama ayarları vardır); ancak bu zararlar tamamen programlara yöneliktir. Yani bilgisayar virüsleri donanım (hardware) parçalarına fiziksel zarar veremezler. Size yapabilecekleri en büyük kötülük programlarınızı, verileriniz silmek olacaktır. Bunun dışında geçici olarak klavyenizi kullanmanızı engelleyebilir, ekrana değişik yazılar yazabilir (çok aç olduğu için sürücünüze hamburger koymanuzı istemesi gibi) ya da yazıcınıza sizin istemediğiniz emirler gönderebilirler. Onlardan kurtulmak yerine hiç karşılaşmamayı deneyin!! Bunun için öncelikle sadece orjinal program kullanmaya başlayın yani korsan yazılım (yasadışı programlar) almayın. Çünkü virüslerin büyük bir kısmı bu yasadışı kopyalarla dağılır. Bunun dışında sürücünüzde disket varken bilgisayarınızı reset'lememeniz ya da size ait olmayan disketleri bilgisayarınızda kullanmamanız da bazı önlemler olabilir. Tüm bunları yapmanıza karşın bir gün başınız onlarla derde girerse piyasada rahatlıkla bulabileceğiniz anti-virüs programlarını kullanarak bilgisayarınızı virüsten kurtarabilirisiniz.

MODA VİRÜSLER. . .

MELISSA

* Nedir? İşte en popüler virüsümüz!! Melissa bir Word 97 makro (macro) virüsü. Oldukça tehlikeli bir virüs, çünkü e-mail yoluyla çok hızlı olarak yayılabiliyor. Word 97 dökümanlarına ve Word 97 ile Word 2000'in NORMAL. DOT dosyasına bulaşıyor. Virüsün kodu Melissa isimmli bir makro bulunduğundan bu adla anılıyor.

* Diğer İsimleri? Basında "Porno Virüsü" olarak da tanınmasının nedeni pek çok kişiye pornografik içerikli sitelerden gönderilen e-mail'ler sonucu bulaşmasından kaynaklanıyor. Ayrıca W97M/Melissa, Kwyjibo isimleriyle de tanınıyor.

* Nasıl Bulaşıyor? Melissa virüsü bulaşmış bir Word dökümanını ilk kez çalıştırdığınızda virüs, sistemde MS Outlook olup, olmadığını kontrol ediyor. Eğer varsa adres defterinde (address book) yer alan 50 e-mail hesabına (account) mektup göndererek yayılıyor. Virüs tarafınfan gönderilen mektupların "subject" kısmı şu şekilde oluyor : "Important Message From {virüsün bulunduğu bilgisayarın sahibinin adı}". Mektubun "body" kısmında yani içeriğinde ise "Here is that document you asked for . . . don't

show anyone else :-)" yazılı. Virüslü Word dökümanu bu mektuba iliştiriliyor ve açıldığı zaman yine 50 kişiye kendisine gönderiyor. Bu böyle döngü içinde geliştiğinden çok kısa bir süre içinde inanılmaz bir hızla yayılabiliyor. E-mail metodu ile kendisini klonlamayı sadece virüslü döküman ilk çalıştırıldığında yapıyor. Eğer bilgisayarınızda virüslü bir döküman varsa Windows Registry'e baktığınız zaman şu satırı görebilirsiniz : "HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?". Virüs, e-mail ile başka adreslere ulaştıktan sonra bu anahtar değere ". . . by Kwyjibo" ekleniyor. Eğer virüs registry'de bu ibareye rastlarsa e-mail kullanarak kendisini başkalarına göndermiyor. Bir de eğer sistemde Outlook yoksa virüs yine kopyalama işlemine başlamıyor. Bununla birlikte virüsün bulaştığı bilgisayarda açılan tüm Word dosyalarına bulaşıyor (diğer Word 97 virüsleri gibi).

* Etkileri Neler? Yaptığı en önemli iş e-mail yoluyla çok hızlı bir şekilde yayılması. Bunun dışında ayrıca eğer dakika o günkü tarihle uyuşuyorsa (mesela saat 9:30 ise ve günlerden de ayın 30'u ise) metine şöyle bir tümce ekliyor : "Twenty-two points, plus triple-word-score, plus fifty points for

using all my letters. Game's over. I'm outta here. "

* Ne Zaman Ortaya Çıktı? İlk olarak Mart 1999'ta görüldü.

CIH

* Nedir? 32-bit Winwods 95, 98 ve Windows NT dosyalarına (. EXE uzantılılara) bulaşan bir virüstür.

* Diğer İsimleri? Win95/CIH ve Space Filler.

* Nasıl Bulaşıyor? CIH virüsü bulaşmış bir dosya Windows'ta çalıştırıldığında virüs aktif hale gelip, o bilgisayara bulaşıyor ve hafızada kalıyor (memory resident). Bundan sonra, açılan (yani çalıştırılan) ve kopyalanan tüm 32-bit EXE dosyalarına bulaşıyor. Virüsün boyutu oldukça küçük (1000 byte). Virüsün oldukça ilginç bir özelliği var. Bulaştığı dosyaların uzunluğunu değiştirmiyor. 32-bit EXE dosyalarında bulunan boş alanları (PE Format) kendi kodu için kullanıyor. Böylelikle dosya virüslerinin en büyük belirtisi olan dosya uzunluğunun artması olayını devre dışı bırakabiliyor. Eğer kendisini kopyalamak için tek bir boşluk bulamazsa, küçük parçalara bölünerek dosyadaki mevcut tüm boşluklardan yararlanıyor. Virüsün kod kısmında yer alan "CIH" sözcüğünden dolayı bu adla anılıyor.

* Etkileri Neler? Oldukça tehlikeli bir "time-bomb" (zaman bombası) var. Virüs, her ayın 26'sında (bazı varyasyonları sadece Nisan ayında) BIOS flash memory chip'ne zarar verebiliyor. Böylelikle 486 ve üstü bilgisayarları etkileyebiliyor. Eğer chip yazılabilir (write-enabled) ise virüs buraya alakasız şeyler yazıyor. Eğer böyle bir şey gerçekleşirse bilgisayarınız anakart (motherboard) yenilenene ya da chip'te saklanan bilgiler restore edilene dek kullanılmaz oluyor. Sevgili virüsümuz, her türlü BIOS korumasını da aşıyor! Virüs tüm bu gıcıklıklığı yapmasının yanı sıra sabit disk'teki (harddisk) bilgileri de okunmaz (unreadable) hale getiriyor. Benim bugüne kadar gördüğüm en TEHLİKELİ ve de ZARARLI virüslerden biri, hatta birincisi!!! CIH, bu günlerde en çok dikkat edilmesi gereken virüs!!!!

* Ne Zaman Ortaya Çıktı? Haziran 1998'de camiaya girdi!

* Varyantları neler? CIH'ın varyantlarını anlatmadan önce sanırım "varyant"ın ne olduğundan bahsetmem gerek. Bir virüs yazmanın zor olmadığını söylemiştim. Bir virüsün koduyla oynayıp ona benzer başka bir virüs yaratmak da zor değil!! Bir virüsün koduna sadık kalınarak (bazı küçük değişikler yaparak tabii) yaratılmış virüslere, ilk virüsün varyantları denir. İşte bizim CIH'ın da üç tane varyanı var: 1. 2, 1. 3 ve 1. 4. 1. 2 ve 1. 3 sadece Nisan 26'da zarar verirken 1. 4 çok daha gaddar!! 1. 4 her ayın 26'sında marifetlerini gösteriyor. Ve işin kötüsü varyant 1. 4, bilgisayar kullanıcıları arasında daha yaygın!

NETBUS

* Nedir? Netbus, klasik anlamda bir virüs değil. Aslında bir "Trojan". Win32 tabanlı olan Netbus, Windows 95, Windows 98 ve Windows NT sistemlerinde etkili olabiliyor. Aktif hale geldiği bilgisayarın başkalarınca yönetilebilmesine olanak sağlar.

* Diğer İsimleri? Backdoor. Netbus.

* Nasıl Bulaşıyor? Genellikle Internet kullanıcıları arasında yaygındır. Çünkü Internet üzerinde dosya alış, verişi yapan kişiler rahatlıkça Netbus'lı bir program download edebilir. Netbus'ı sisteminizde çalıştırdığınızda Windows Registry'e bir kayıt ekleyerek sürekli aktif hale gelir. Ancak kullanıcı bunu göremez. Sadece Netbus'ı çekmekle aktif hale getirmezsiniz. Netbus'ın aktif olması için mutlaka çalıştırılması gerekir.

* Etkileri Neler? Netbus, "remote administration trojan" (uzaktan yönetim truvası) denilen sınıfa girmektedir. Yani başka birisinin, sizin bilgisayarınızı kontrol etmesini sağlar. Eğer Netbus aktifse ve Internet'e bağlıysanız "Netbus Client" programına sahip olan kişi bilgisayarınız sanki onun yanındaymış gibi hemen herşeyi yapabilir: İstediği bilgileri okur (şifreniz dahil!), ekrana istediği bir mesajı yazdırabilir, dosyalarınıza canı ne istiyorsa onu yapabilir, CD sürücünüzü açabilir, mouse'unuzu kontrol edebilir. . . Kısacası ne istiyorsa onu yapar. Bir arkadaşımın ricası üzerine (çalışıp, çalışmadığını merak ediyordu!) Netbus'ı kendi bilgisayarımda çalıştırdım. Bir süre sonra arkadaşım sinir krizleri geçirmemi sağlayacak kadar "pislik" yapmıştı!! Bir de Netbus bulaşan kişinin bundan haberi olmadığını hesaba katarsanız, durumu siz düşünün!!

* Ne Zaman Ortaya Çıktı? Ver 1. 5'i Mart 1998'de, Ver 1. 6'sı Ağustos 1998'de ve Ver 1. 7'si ise Kasım 1998'de doğdu!

* Varyantları neler? Bu afacanın 3 tane sevimli varyantı var.

Netbus Ver 1. 5 (473, 088 byte).

Neetbus Ver 1. 6 (472, 576 byte).

Netbus Ver 1. 7 (494, 592 byte).

Uzunlukları illa bu kadar olacak diye bir kural yok tabii! Netbus başka bir programa enjekte de

edilebilir (o programa eklenir, ama siz programı çalıştırdığınızda Netbus'ın da çalıştığına dair bir ipuçu

göremezsiniz). Böylelikle fark etmeniz çok zor olur.

Ş Kendim Nasıl Temizleyebilirim? Aslında her virüsü kendi kendinize temizlemeniz mümkün. Ancak bu sizin bilgisayar bilginizle sınırlıdır!! "Kendim Nasıl Temizleyebilirim?" başlığı altında en acemi kullanıcıların bile temizleyebileceği virüsleri/truvaları anlatacağım. Netbus da kolaylıkla kurtulabileceğiniz bir bela! Eğer Windows Registry'i nasıl değiştirebileceğinizi biliyorsanız, Registry'e girip Netbus'ın ekledi satırları kaldırın. Ardından bilgisayarınızı yeniden çalıştırın ve son olarak Netbus dosyasını silin (yerini Registry'de görebilirsiniz). Ayrıca piyasada pek çok Netbus koruyucusu program var. Netbus Protector bunların başında geliyor.

BACK ORIFICE veya BO TROJAN

* Nedir? Tıpkı Netbus gibi Win32 tabanlı bir Truva'dır. Windows 95 ve Windows 98'de çalışır. Netbus gibi Windows NT'de de çalışmaz. BO'nun kullanıcı tarafından en az bir kez çalıştırılmış olması gerekir.

* Diğer İsimleri? BO, Backdoor. BO.

* Nasıl Bulaşıyor? Çalıştırıldığı zaman Windows Registry'e kayıt yaparak sürekli aktif hale gelir. Uzunluğu 124, 928 byte'tır. Tabii ki boyutu bundan fazla da olabilir. Netbus gibi "remote administration trojan"dır. Aktifse ve Internet üzrindeyseniz Back Orifice Client programı olan kişi kontrolü ele alabilir.

* Etkileri Neler? Netbus için yazdıklarım burada da aynen geçerli.

* Ne Zaman Ortaya Çıktı? Ağustos 1998.

* Kendim Nasıl Temizleyebilirim? Netbus için yazdıklarım burada da aynen geçerli.

CLASS

* Nedir? Word 97 dökümanlarına bulaşır (ayrıca Normal. dot). Virüs kodu 2 makrodan oluşmakta. Bu makrolar, bulaştığı dökümanın "ThisDocument" modülünde bulunur. Makrolarının isimleri ise :

"AutoOpen" ve

"ViewVBCode".

Normal. dot'da bu isimler "AutoClose" ve "ToolsMacro" şeklinde de olabilir.

* Diğer İsimleri? W97M/Class, Word97. Class.

* Nasıl Bulaşıyor? Virüs, C sücüsünün root'unda CLASS. SYS isimli bir dosya yaratır. Makrolar bu dosyada yer almaktadır ve başka bir dosyaya bulaşacağı zaman makroları buradan alır. Virüs kodu her bulaştığı zaman farklıdır; çünkü o an ki tarih, saat, kullanıcı adı, kullanılan yazıcı gibi bilgileri de içerir.

* Etkileri Neler? Her ayın 31'inde şu mesajı görüntüler :

This Is Class

o-o-o-o-o-o-o-o-o-o-o-o-o-o

o VicodinES /CB /TNN o

o o-o-o-o-o-o-o-o-o-o-o-o-o

* Ne Zaman Ortaya Çıktı? 1998 Aralık'ı.

* Varyantları neler? Class D ve Class B olmak üzere 2 varyantı söz konusudur. Class D, Haziran'dan Aralık'a her ayın 14'ünde şu mesajı verir :

I Think XXXXXX is a big stupid jerk!

VicodinES Loves You / Class. Poppy

Buradaki xxxxxx kısmına tahmin edeceğiniz gibi kullanıcının adı yazılır! Ayrıca Windows User (kullanıcı) adını rastgele olarak "Dr. Diet Mountain Dew"e çevirir.

Class B de tıpkı D gibidir; ancak isim değiştirme olayını yapmaz.

ETHAN FROME

* Nedir? Word 97 dökümanlarına ve W97'nin "Normal. dot" dosyasına bulaşır. "Document_Close" isimli tek bir makrodan oluşur. Virüslü dosyanın "ThisDocument" modülündedir. Diğer İsimleri?

* Nasıl Bulaşıyor? Root dizinde ETHAN. ___ isimli bir dosya yaratır. Dosya gizli (hidden) modda yaratılır. Eğer "Class. sys" dosyası varsa siler. Kısacası CLASS virüsüne oldukça benzer ve eğer o varsa çalışmasını engeller.

* Etkileri Neler? Virüs rastgele bir kontur çalıştırır ve belirlediği zaman, bulaştığı dosyanın adını "Ethan

Frome", yazarını da "EW/LN/CB" olarak değiştirir.

* Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.

HAPPY99

* Nedir? Win32 tabanlı bir Truva'dır. Çalıştırıldığı zaman küçük sayılabilecek bir ekran içerisinde havai fişek efekti gösterir. Tarz olarak Netbus ve BO'ya benzese de amacı onlardan farklıdır.

* Diğer İsimleri? win32. ska. a, ska, wsock32. ska ve ska. exe.

* Nasıl Bulaşıyor? Happy99 isimli (başka bir isim altında da olabilir) programı çalıştırdığınız an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli iki dosya yaratır. Orjinal WSOCK32. DLL dosyanızı WSOCK32. SKA adı altında kaydeder ve gerçek WSOCK32. DLL yerine modife edilmiş dosyayı geçirir. Eğer o an Wsock32. dll kullanılıyorsa bu değişiklikleri yapamaz; ama Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların yapılmasını sağlar. Uzunulupu 10. 000 byte'dır.

* Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve newsgroup işlemlerini izleyerek onlara SKA. EXE dosyasının bir kopyasını HAPPY99 adı altında gönderir. Her bir adrese sadece bir kere gönderir. Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani kullanıcının attığı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada kimlere atıldığı tutulur. Herhangi bir zararı yoktur, sadece yayılır.

* Ne Zaman Ortaya Çıktı? Ocak 1999.

* Kendim Nasıl Temizleyebilirim? Öncelikle Windows\System dizinine girin ve şu dosyaların olup, olmadığına bakın :

1. SKA. EXE

2. SKA. DLL

3. WSOCK32. SKA

Eğer bu dosyalar varsa Happy99'unuz hayırlı, uğurlu olsun!! SKA. EXE, SKA. DLL ve WSOCK32. DLL

dosyalarını silin. WSOCK32. SKA dosyasının adını WSOCK32. DLL olarak değiştirin (Internet

programlarını bu işlemi yaparken kapalı olsun -browser, e-mail composer gibi-)ve "Bir zamanlar

Happy99 diye bir Truva'm vardı, ruhuna el fatiha. . . " deyin!.

VIRUSLERDEN NASIL KORUNURSUNUZ?

· Windows için tasarlanmış bir anti-virüs programınız mutlaka olsun; ama en azından bir tane de DOS üzerinde çalışan anti-virüs bulundurun. Düşünün ki bir virüs sonucu Windows'unuza da bulaştı ve Win sürümü anti-virüs programınız sağlıklı olaark çalışmıyor. Böyle bir anda tek kurtuluşunuz DOS anti-virüsü olacaktır.

· Elinizdeki anti-virüs programlarına sonuna dek güvenmeyin. Bugün 23, 000'ün üzerinde virüs var. Sadece 4000 civarında Macro ve Trojan virüsü söz konusu. Anti-virüs üreticilerinin sitelerini gezerek yeni virüsler hakkında bilgi edinin.

· Sisteminizi boot ederken disket sürücüsünde disket olmamasına dikkat edin. Böylelikle çoğunlukla boot virüslerinin önüne geçersiniz. Eğer boot virüsü olan bir disket varken boot ederseniz, virüs aktif hale gelir ve RAM'de saklanır. Genellikle hafızanın üst kısımlarında saklandıkları için DOS'un gördüğü hafıza miktarı düşecektir (Mesela 640K yerine 639K görürsünüz). Bu şekilde boot virüslerinden haberdar olabilirsiniz. Ancak "stealth" virüsleri de hesaba katmak lazım. . .

· Bildiğiniz üzere Nisan sayısındaki CD'imizde ne yazık ki CIH virüsü vardı. Şu an özür dilemekten başka bir şey gelmiyor elimizden! CD'yi hazırlayan Tolga arkadaşımız defalarca kontrol etmesine rağmen CD'lerin basıma hazırlanması sürecinde bir şekilde virüs bulaşmış. Bu daha önce de pek yerli ve yabancı derginin başına geldi. Hatta yazılım devi Microsoft'un dağıttı bazı programlarda bile virüs olduğu ortaya çıkmıştı. Sonuç olarak bilgisayarınızda ilk kez çalıştıracağınız bir programı muhakkak elinizdeki programlarla kontrol edin.

· Eğer tüm çabalarınıza rağmen sisteminize bir virüs bulaşmışsa, yapacağınız ilk şey soğukkanlı olmak! Eğer paniklerseniz muhtemelen virüsten kurtulmak için format atmak gibi gereksiz arayışlara yönelebilirsiniz. Öncelikle virüsün ne tür bir virüs olduğunu, özelliklerinin ne olduğunu bulmaya çalışın. Piyasadaki her virüs zarar verir diye bir kural yok. Belki de tamamen zararsız ya da kolayca temizlenebilecek bir virüs için kıymetli verilerinizi kaybedebilirisiniz!

· Sizin için önemli olan tüm programların ve herşeyden önemlisi verilerin yedeğini MUHAKKAK alın. Haydi programlar neyse; ama kişisel verilerinizi tekrar bulma şansınız yoktur!

· Mutlaka write-protect'i açık olan "temiz" bir sistem disketi bulundurun. Mümkünse virüs taraması yapmadan önce sistemi böyle bir disketle açın.

· Ben yazıyı yazarken, PAPA isimli yeni bir "worm"dan bahsediliyordu; aman dikkat!!

· F-Prot kullanıcısıysanız ve sisteminizde virüs olmamasına rağmen, illa bir "virüs var!" mesajı göreyim, hem de tecrübe kazanmış olurum diyorsanız, alın size bir test virüsü. . . Bir text editörü ile şu satırı yazın:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Dosyaya istediğiniz ismi verin; ama uzantısı COM olsun (ASC-II olarak kaydedin, dosya uzunluğu 68 byte olacaktır). Şimdi taratın bakalım F-Prot ile!

VİRÜS OLDUĞUNU NASIL ANLARIM??. . .

Eğer sisteminiz hiçbir neden yokken yavaşlamaya başlamışsa, anlamsız hata mesajları veriyorsa, disk ışık(lar)ı gereğinden fazla yanıyorsa, bazı dosyalar durup dururken kayboluyorsa sisteminizde muhtemelen bir virüs vardır.

Alıntıları Göster

Zone Alarm + Ad - Aware bu yazıları alır götürür.

Emeğe saygı + 1 rep benden

0

|

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:48:52 Konu Sahibi

quote:

Orijinalden alıntı: ssaamm

Zone Alarm + Ad - Aware bu yazıları alır götürür.

Emeğe saygı + 1 rep benden

Alıntıları Göster

ALINTIDIR

--------------------------------------------------------------------

VIRUS

Bilgisayarınızın, sizin isteğiniz ve bilginiz dışında zararlı bir işlem yapmasını sağlayan program parçacığına virüs denilmektedir.

İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında telif haklarının değiştirilmesini sağlıyordu (1986 - Brain). Bundan sonra başlıca

Chernobyl (CIH) (1998),

Melissa (1999),

Navidad (2000),

Nimda/Sircam/CodeRed (2001)

gibi virüsler bilgisayar dünyasında aktif halde görülmüştür.

Ocak 2002 tarihinde alınan verilere göre 70.000 adet aktif virüs vardır. Çeşitler arasında en büyük oran macro (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde bulunmakla birlikte, bulaşma oranı açısından bakıldığında sistem tarafından çalıştırılabilir dosyalarla bulaşan virüsler (79%) açık farkla önde yer almakta ve her ay bulunan virüs sayısı sürekli artmaktadır..

Günümüzde virüsler yayılma yolu olarak genelde Windows işletim sistemlerinde otomatik olarak çalıştırılabilen dosya eklentilerini seçiyorlar.

Yazılan her virüs tehlikeli değildir. Bir virüsün etkin halde olduğunu anlamak için bir çok anti-virüs yazılımı sitesini gezip, bu sitelerin notlama sitemine göre yorum yapmak gerekmektedir. Bu siteler arasında:

McAfee àhttp://vil.nai.com

Northonàhttp://www.symantec.com

Trend comàhttp://www.antivirus.com/vinfo/

Sophosàhttp://www.sophos.com/

yer almaktadır.

Virüslerin Bulaşma Yöntemleri:

Geçmişten bu güne en yaygın şekilde virüs bulaşma yöntemleri sırası ile:

Disket, CD

E-posta

Ağ paylaşımı

Internet’ten indirilen programlar

olarak görünmektedir. Bunlar içinde günümüzde en yaygın olan, e-posta ve Internet’ten indirilen dosyalar üzerinden bulaşma yöntemleri üstünde biraz daha durmakta yarar var:

1. E-posta ile Virüs Bulaşması

E-posta ile virüs bulaşması, e-postaların çalıştırılabilir eklentileri sayesinde olur. Virüsün aktif hale gelmesi için eklentileri açmamak her zaman bir koruma sağlamamaktadır. Bazı e-posta okuyucu programlar belli formattaki eklentileri otomatik olarak çalıştırmaktadır. Bu sayede virüs kullanıcıdan habersiz bilgisayara girip programın gereği olan işlemleri yapabilmektedir (örnek: Outlook / Outlook Express – Bubbleboy). Gerekli işletim sistemi güncellemeleri (Windows işletim sistemi içinhttp://windowsupdate.microsoft.com/ adresinden yararlanabilirsiniz) yapıldıktan sonra virüs bu tür açıklardan yararlanıp kullanıcıdan habersiz bulaşma şansını yitirmektedir. Bu habersiz bulaşma yapısı aslında e-posta ile virüs bulaşma konusunun sadece ufak bir bölümüdür. Esas kısmı kullanıcının sistem tarafından çalıştırılabilir dosyaları (.bat, .exe, .scr, .pif, vb) e-posta ile alması ve onu bilgisayarına çekmeden ya da çekerek çalıştırması ile sisteme virüs bulaştırmasıdır. Bu şekilde, kullanıcının bireysel hatasından kaynaklanarak sisteme virüs bulaşması daha sıklıkla karşılaşılan bir durumdur.

2. WWW’den Virüs Bulaşması

WWW’den virüs bulaşması Internetten indirilen dosyalarla olmaktadır. Bu konuyu da yine kullanıcının bilinçli olarak indirdiği dosyalar ve kullandığı web-tarayıcısının (Internet Explorer, Netscape) otomatik olarak indirdiği dosyalar ile virüs bulaşması diye ikiye ayırabiliriz.

Birinci durumda kullanıcı bilinçli olarak Internetten bir dosyayı bilgisayarına çeker ve o dosya içeriğinde virüs varsa çalıştırdığında sisteme virüs bulaşır. Bunu engellemenin yolu kullanıcıların bilinçlenmesidir.

İkinci durum ise biraz daha karmaşık. Bu kısmı da ikiye ayırmak gerekmektedir:

1. Java-Script

2. ActiveX

kullanarak görüntülenen www sayfalarından virüsün bulaşması.

a. Java Script:

Java apletler sayesinde www sayfaları etkileşimli hale gelmiştir (ufak animasyonlar, vb). Günümüzde tüm web tarayıcıları Java’yı desteklemektedir. Burada yaşanan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadır. Bunun için “sandbox” adında bir teknoloji ile güvenlik önlemi alınmıştır. Sandbox tarafından çalıştırılan aplet bilgisayardaki dosyaları ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatılanlar bu sistemin güvenli olduğu izlenimini veriyor. Ama sorun sandbox teknolojisinin karmaşık yapısından dolayı meydana gelmektedir. Bazen gözden kaçırılmış bir açık sayesinde virüsler bilgisayarda kod çalıştırabiliyor. Örnek olarak bir çok gizli pencere açıp sistemin kaynaklarını tüketebiliyor.

b. ActiveX:

Windows apletleridir. “web” sayfalarındaki animasyonları vb. göstermek için kullanılan bir yapıdır. Bilgisayara “.dll” (Dynamic Link Library) uzantısında dosyalar indirirler. Bu dosyaların sistemde her türlü yetkiye sahip olması, virüse en kolay ve en güçlü şekilde sisteme hakim olma şansı tanımaktadır. MS Internet Explorer’ın çok sayıda güvenlik güncellemesi bu nedenle yazılmıştır. Yapıdaki güvenlik sistemi “Authenticode system and Code Signing” olarak adlandırılmaktadır. Web sayfalarından DLL indirirken güvenli olarak tanımlanmış olması esasına dayanıyor. Ancak kullanılan www tarayıcısının ayarları en güvensiz seviyedeyse otomatik olarak sitedeki “.dll” uzantılı dosyayı bilgisayara indirir. Bu dosya “command.com” dahil bir çok komutu çalıştırma yetkisine sahiptir. Tedbir olarak “MS Internet Explorer” ayarlarındaki güvenlik seviyesinin en azından “Medium” olarak ayarlanması gerekmektedir.

Internet Solucanları:

Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak “kendiliğinden” bulaşan virüslerdir ( CodeRed, Nimda).

Bu virüsler aşağıda yer alan sonuçlara yol açabilir:

Web sunucu program zarar görebilir. (Örnek: ISS)

Diskte kayıtlı bilgiler silinebilir.

Web sayfası içeriğini değiştirebilir.

Gereksiz ağ trafiği yaratabilir.

E-posta, tftp, port tarama.

Backdoor / Trojan yerleştirebilir.

En önemli örnekleri arasında milyonlarca dolarlık zarara neden olan Nimda ve Melissa yer almaktadır.

Bu virüslerden Nimda’yı (W32/Nimda@MM) biraz daha ayrıntılı inceleyelim:

2001 yılı Ekim ayında ortaya çıkmıştır.

IIS (Internet Information Server) web sunucularına 2001 Ağustosda bulunan bir açıktan yararlanarak bulaşmaktadır.

“Outlook Express” e-posta istemcisinin güvenlik açığından yararlanarak e-posta eklentisinin isteminiz dışı çalışması ile bulaşmaktadır.

“Internet Explorer”ın virüslü web sayfasından readme.eml dosyasını indirmesi ve çalıştırması ile bulaşmaktadır.

Görüldüğü gibi internet solucanları bir çok programın açıklarından faydalanarak kendiliğinden bulaşmaktadır.

Truva Atları (Trojan)

Kendi kendine yayılmayan, arka planda çalışan program parçacıklarıdır. E-posta ile gelen çalıştırılabilir eklentiler ya da ICQ vb. programlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşmaktadırlar.(Back Orifice, Sub Seven). Program çalışmaya başladıktan sonra bilgisayara uzaktan erişimle kötü niyetli bir kişi istediği programı yüklemek, başka bilgisayarlara saldırmak gibi haklara sahip olabilmektedir.

Virüs Çeşitleri

1. HOAX

Virüs olmadığı halde sisteminizdeki bir dosyanın virüs olduğu bilgisini içeren ve silmeniz gerektiğini söyleyen yanıltıcı mesajlardır (Sulfnbk HOAX, Taliban HOAX).

2. BIOS & CMOS Setting Virus

Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir (Troj/KillCMOS, W95/CIH-10xx).

3. Visual Basic Script (VBS) Virus & Worm

Visual Basic dilinde yazılmış ufak kodlardır. Bir web sayfasına veya e-postanın içine gömülmüş olabilirler. Kullandığınız tarayıcı / e-posta okuyucu programın güvenlik açıklarından yararlanarak bilgisayara bulaşırlar (VBS/Numgame)

4. Windows İşletim Sisteminin Özelliklerine Bağlı Virüsler

a. Win32 Virus & Worm

Windows işletim sistemlerinde çalıştırabilir virüslerdir. Kullanılan programın güvenlik açıklarından yararlanırlar (Web sunucu veya tarayıcı). Örnek olarak W32/Magister, W32/Nimda verilebilir.

b. W95/98/ME Virus

Sadece Windows 95/98/ME işletim sistemlerini etkileyen virüslerdir. BIOS’u değiştirebilir ya da sistemi çalışmaz hale getirebilirler (CIH/10-xx, W95/Babylonia)

c. WinNT/2K/XP Virus

Windows NT/2000/XP işletim sistemlerinin ya da bu işletim sistemlerinde kullanılan diğer programların güvenlik açıklarından yararlanarak bulaşırlar. Dosya sisteminin özelliklerine bağımlı olduklarından sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream, WNT/RemExp).

5. Macro Virus

Makro programlarıdır. Microsoft Office uygulamalarında kullanılan belgelerin içerisine gömülü olan makrolardır. Program veya komut çalıştırma yetkisi olduğundan çok zaralı olabilirler. İsimlendirme olarak

Wm: Windows Macro virüsü

w97m:--> MS Word Macro virüsü

pp97m: MS PowerPoint Macro virüsü

xm97m: MS Excel Macro virüsü

geliştirilmiştir ( örnek: Wm/Nuclear).

Yeni Internet Araçlarında Virüsler

Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi PC dışındaki Internet ulaşım araçlarında da artık virüs korkusu baş göstermektedir. 2000 yılının başında VBS/Timo, Palm/Liberty isimli iki virüs PDA’leri etkilemiştir. Bu araçlar arasında cep telefonları en az tehlikeye sahip olsalar da kullanacakları e-posta okuma programları nedeniyle sorun yaşayabileceklerdir.

Gelecekte bu araçları virüsten koruma yöntemleri arasında, virüs tarama programları en etkili yöntem olarak görünmektedir.

Virüsler Nereye Ne Yazar?

İlk açılışta çalışmak için genellikle “Windows Registry” (kayıt) ayarlarını değiştiriler. Bu bilgilere müdahale ederken iki defa düşünmek gerektiğini unutmamalısınız. Start | Run | regedit yazıp “Enter” tuşuna basılınca aşağıdaki ekran açılır.

Burada, aşağıdaki konumlara kendi program adlarını yazarak açılışta başlamalarını sağlamaktadırlar.

HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\

· RunServices

· RunServicesOnce

· Run

· RunOnce

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\

· Run

· RunOnce

· RunServices

Virüslerden Korunma

Bir antivirüs programı kurun ve güncel tutun. Güncellemesi yapılmamış bir antivirüs programı yeni virüslere karşı etkisiz kalmaktadır.

İşletim sisteminizi güncel tutun. Windows işletim sistemlerinin güncelleştirmeleri için aşağıdaki linkten yararlanabilirsiniz.

http://windowsupdate.microsoft.com

MS Outlook ya da Outlook Express yerine Netscape Messenger, Webmail, Pine gibi programları kullanın.

Gerekmedikçe dosya paylaşımı yapmayın. Paylaştırmanız şart ise şifreli ve “salt okunur” paylaşım kullanın.

Sunucu (server) nitelikli işletim sistemleri kurmayın.

Web sunucusu olarak güncellenmemiş IIS kullanmayın.

“Microsoft Security Bulletin” takibini aşağıdaki adresten yapın:http://www.microsoft.com/security

Boot işleminin kesinlikle sabit diskten olmasına özen gösterin.

Çok önemli bilgilerinizin yedeğini alın.

Ofis programlarında bilmediğiniz makroları çalıştırmayın.

Alternatif Ofis programları kullanın (örneğin OpenOffice):ftp://ftp.metu.edu.tr/pub/mirrors/openoffice/

E-posta ile gelen çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.

Virüslerin Tespiti

Antivirüs programları bilgisayara kurulduktan sonra aktif şekilde düzenli güncellemeleri yapıldığı sürece en etkili virüs tespiti yöntemidir. Ancak günümüzde daha farklı yaklaşımlar da olduğu için onlardan da bahsedilmelidir. Ardından antivirüs programlarının yapısından ve çalışma prensiplerinden bahsedilecektir.

· Online Tarayıcılar:

“Online tarayıcılar” antivirüs programına bütçe ayırmak istemeyen ve sürekli olmasa da bilgisayarında tarama yapmak istiyen kullanıcılar için antivirüs programları yazan şirketlerin sunduğu bir hizmettir. Bilgisayardaki tüm dosyaları uzaktan tarayan bir yapısı vardır. “Bilgisayardan bilgi alıyor mu?” konusunda sorular olsada, sonuçları başarılı sayılmaktadır.

Aşağıdaki bağlantılar izlenerek online virüs taraması yaptırılabilir:

· http/www.symantec.com/avcenter --> Check for Security Risk -->Scan for virus

·http://www.mcafee.com --> VirusScan Online

· Antivirüs Programlarının Yapıları

o Scanners:

Virüsleri izlerine göre arayıp bulurlar ve imha ederler. Güncelleme gerektiren bu tarama sistemi kullanıcı açısından en rahat ve kullanışlı olanıdır.

o Checksummers:

Standart işletim sistemi dosyalarının boyut değişikliklerini virüs olarak yorumlarlar. Sistem dosyalarında yapılacak değişiklikleri iyi bilen bir kullanıcı için faydalı bir yapıdır.

o Heuristics:

Virüslerin karakteristik yapısı bu programlarda genel hatlarıyla tanımlanır. Ancak son nesil virüsler burada kullanılan mantıkları çözerek yazıldığından bazen yetersiz kalmaktadır.

· Antivirüs Programı Çalışma Yöntemi

Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa “binary” koddur. Antivirüs programları bilgisayardaki tüm dosyalarda tarayıcısı yardımıyla virüs örüntüsünü arar. Virüsü bulduğunda; karşılaşılan durum için veritabanında tanımlanmış olan işlemleri yapar. Bu nedenle güncellenmiş bir antivirüs programı yeni çıkan virüslere karşı kullanıcının elindeki tek savunmadır.

0

|

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:50:54 Konu Sahibi

quote:

Orijinalden alıntı: Hover_Craft

ALINTIDIR

--------------------------------------------------------------------

VIRUS

Bilgisayarınızın, sizin isteğiniz ve bilginiz dışında zararlı bir işlem yapmasını sağlayan program parçacığına virüs denilmektedir.

İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında telif haklarının değiştirilmesini sağlıyordu (1986 - Brain). Bundan sonra başlıca

Chernobyl (CIH) (1998),

Melissa (1999),

Navidad (2000),

Nimda/Sircam/CodeRed (2001)

gibi virüsler bilgisayar dünyasında aktif halde görülmüştür.

Ocak 2002 tarihinde alınan verilere göre 70.000 adet aktif virüs vardır. Çeşitler arasında en büyük oran macro (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde bulunmakla birlikte, bulaşma oranı açısından bakıldığında sistem tarafından çalıştırılabilir dosyalarla bulaşan virüsler (79%) açık farkla önde yer almakta ve her ay bulunan virüs sayısı sürekli artmaktadır..

Günümüzde virüsler yayılma yolu olarak genelde Windows işletim sistemlerinde otomatik olarak çalıştırılabilen dosya eklentilerini seçiyorlar.

Yazılan her virüs tehlikeli değildir. Bir virüsün etkin halde olduğunu anlamak için bir çok anti-virüs yazılımı sitesini gezip, bu sitelerin notlama sitemine göre yorum yapmak gerekmektedir. Bu siteler arasında:

McAfee àhttp://vil.nai.com

Northonàhttp://www.symantec.com

Trend comàhttp://www.antivirus.com/vinfo/

Sophosàhttp://www.sophos.com/

yer almaktadır.

Virüslerin Bulaşma Yöntemleri:

Geçmişten bu güne en yaygın şekilde virüs bulaşma yöntemleri sırası ile:

Disket, CD

E-posta

Ağ paylaşımı

Internet’ten indirilen programlar

olarak görünmektedir. Bunlar içinde günümüzde en yaygın olan, e-posta ve Internet’ten indirilen dosyalar üzerinden bulaşma yöntemleri üstünde biraz daha durmakta yarar var:

1. E-posta ile Virüs Bulaşması

E-posta ile virüs bulaşması, e-postaların çalıştırılabilir eklentileri sayesinde olur. Virüsün aktif hale gelmesi için eklentileri açmamak her zaman bir koruma sağlamamaktadır. Bazı e-posta okuyucu programlar belli formattaki eklentileri otomatik olarak çalıştırmaktadır. Bu sayede virüs kullanıcıdan habersiz bilgisayara girip programın gereği olan işlemleri yapabilmektedir (örnek: Outlook / Outlook Express – Bubbleboy). Gerekli işletim sistemi güncellemeleri (Windows işletim sistemi içinhttp://windowsupdate.microsoft.com/ adresinden yararlanabilirsiniz) yapıldıktan sonra virüs bu tür açıklardan yararlanıp kullanıcıdan habersiz bulaşma şansını yitirmektedir. Bu habersiz bulaşma yapısı aslında e-posta ile virüs bulaşma konusunun sadece ufak bir bölümüdür. Esas kısmı kullanıcının sistem tarafından çalıştırılabilir dosyaları (.bat, .exe, .scr, .pif, vb) e-posta ile alması ve onu bilgisayarına çekmeden ya da çekerek çalıştırması ile sisteme virüs bulaştırmasıdır. Bu şekilde, kullanıcının bireysel hatasından kaynaklanarak sisteme virüs bulaşması daha sıklıkla karşılaşılan bir durumdur.

2. WWW’den Virüs Bulaşması

WWW’den virüs bulaşması Internetten indirilen dosyalarla olmaktadır. Bu konuyu da yine kullanıcının bilinçli olarak indirdiği dosyalar ve kullandığı web-tarayıcısının (Internet Explorer, Netscape) otomatik olarak indirdiği dosyalar ile virüs bulaşması diye ikiye ayırabiliriz.

Birinci durumda kullanıcı bilinçli olarak Internetten bir dosyayı bilgisayarına çeker ve o dosya içeriğinde virüs varsa çalıştırdığında sisteme virüs bulaşır. Bunu engellemenin yolu kullanıcıların bilinçlenmesidir.

İkinci durum ise biraz daha karmaşık. Bu kısmı da ikiye ayırmak gerekmektedir:

1. Java-Script

2. ActiveX

kullanarak görüntülenen www sayfalarından virüsün bulaşması.

a. Java Script:

Java apletler sayesinde www sayfaları etkileşimli hale gelmiştir (ufak animasyonlar, vb). Günümüzde tüm web tarayıcıları Java’yı desteklemektedir. Burada yaşanan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadır. Bunun için “sandbox” adında bir teknoloji ile güvenlik önlemi alınmıştır. Sandbox tarafından çalıştırılan aplet bilgisayardaki dosyaları ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatılanlar bu sistemin güvenli olduğu izlenimini veriyor. Ama sorun sandbox teknolojisinin karmaşık yapısından dolayı meydana gelmektedir. Bazen gözden kaçırılmış bir açık sayesinde virüsler bilgisayarda kod çalıştırabiliyor. Örnek olarak bir çok gizli pencere açıp sistemin kaynaklarını tüketebiliyor.

b. ActiveX:

Windows apletleridir. “web” sayfalarındaki animasyonları vb. göstermek için kullanılan bir yapıdır. Bilgisayara “.dll” (Dynamic Link Library) uzantısında dosyalar indirirler. Bu dosyaların sistemde her türlü yetkiye sahip olması, virüse en kolay ve en güçlü şekilde sisteme hakim olma şansı tanımaktadır. MS Internet Explorer’ın çok sayıda güvenlik güncellemesi bu nedenle yazılmıştır. Yapıdaki güvenlik sistemi “Authenticode system and Code Signing” olarak adlandırılmaktadır. Web sayfalarından DLL indirirken güvenli olarak tanımlanmış olması esasına dayanıyor. Ancak kullanılan www tarayıcısının ayarları en güvensiz seviyedeyse otomatik olarak sitedeki “.dll” uzantılı dosyayı bilgisayara indirir. Bu dosya “command.com” dahil bir çok komutu çalıştırma yetkisine sahiptir. Tedbir olarak “MS Internet Explorer” ayarlarındaki güvenlik seviyesinin en azından “Medium” olarak ayarlanması gerekmektedir.

Internet Solucanları:

Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak “kendiliğinden” bulaşan virüslerdir ( CodeRed, Nimda).

Bu virüsler aşağıda yer alan sonuçlara yol açabilir:

Web sunucu program zarar görebilir. (Örnek: ISS)

Diskte kayıtlı bilgiler silinebilir.

Web sayfası içeriğini değiştirebilir.

Gereksiz ağ trafiği yaratabilir.

E-posta, tftp, port tarama.

Backdoor / Trojan yerleştirebilir.

En önemli örnekleri arasında milyonlarca dolarlık zarara neden olan Nimda ve Melissa yer almaktadır.

Bu virüslerden Nimda’yı (W32/Nimda@MM) biraz daha ayrıntılı inceleyelim:

2001 yılı Ekim ayında ortaya çıkmıştır.

IIS (Internet Information Server) web sunucularına 2001 Ağustosda bulunan bir açıktan yararlanarak bulaşmaktadır.

“Outlook Express” e-posta istemcisinin güvenlik açığından yararlanarak e-posta eklentisinin isteminiz dışı çalışması ile bulaşmaktadır.

“Internet Explorer”ın virüslü web sayfasından readme.eml dosyasını indirmesi ve çalıştırması ile bulaşmaktadır.

Görüldüğü gibi internet solucanları bir çok programın açıklarından faydalanarak kendiliğinden bulaşmaktadır.

Truva Atları (Trojan)

Kendi kendine yayılmayan, arka planda çalışan program parçacıklarıdır. E-posta ile gelen çalıştırılabilir eklentiler ya da ICQ vb. programlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşmaktadırlar.(Back Orifice, Sub Seven). Program çalışmaya başladıktan sonra bilgisayara uzaktan erişimle kötü niyetli bir kişi istediği programı yüklemek, başka bilgisayarlara saldırmak gibi haklara sahip olabilmektedir.

Virüs Çeşitleri

1. HOAX

Virüs olmadığı halde sisteminizdeki bir dosyanın virüs olduğu bilgisini içeren ve silmeniz gerektiğini söyleyen yanıltıcı mesajlardır (Sulfnbk HOAX, Taliban HOAX).

2. BIOS & CMOS Setting Virus

Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir (Troj/KillCMOS, W95/CIH-10xx).

3. Visual Basic Script (VBS) Virus & Worm

Visual Basic dilinde yazılmış ufak kodlardır. Bir web sayfasına veya e-postanın içine gömülmüş olabilirler. Kullandığınız tarayıcı / e-posta okuyucu programın güvenlik açıklarından yararlanarak bilgisayara bulaşırlar (VBS/Numgame)

4. Windows İşletim Sisteminin Özelliklerine Bağlı Virüsler

a. Win32 Virus & Worm

Windows işletim sistemlerinde çalıştırabilir virüslerdir. Kullanılan programın güvenlik açıklarından yararlanırlar (Web sunucu veya tarayıcı). Örnek olarak W32/Magister, W32/Nimda verilebilir.

b. W95/98/ME Virus

Sadece Windows 95/98/ME işletim sistemlerini etkileyen virüslerdir. BIOS’u değiştirebilir ya da sistemi çalışmaz hale getirebilirler (CIH/10-xx, W95/Babylonia)

c. WinNT/2K/XP Virus

Windows NT/2000/XP işletim sistemlerinin ya da bu işletim sistemlerinde kullanılan diğer programların güvenlik açıklarından yararlanarak bulaşırlar. Dosya sisteminin özelliklerine bağımlı olduklarından sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream, WNT/RemExp).

5. Macro Virus

Makro programlarıdır. Microsoft Office uygulamalarında kullanılan belgelerin içerisine gömülü olan makrolardır. Program veya komut çalıştırma yetkisi olduğundan çok zaralı olabilirler. İsimlendirme olarak

Wm: Windows Macro virüsü

w97m:--> MS Word Macro virüsü

pp97m: MS PowerPoint Macro virüsü

xm97m: MS Excel Macro virüsü

geliştirilmiştir ( örnek: Wm/Nuclear).

Yeni Internet Araçlarında Virüsler

Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi PC dışındaki Internet ulaşım araçlarında da artık virüs korkusu baş göstermektedir. 2000 yılının başında VBS/Timo, Palm/Liberty isimli iki virüs PDA’leri etkilemiştir. Bu araçlar arasında cep telefonları en az tehlikeye sahip olsalar da kullanacakları e-posta okuma programları nedeniyle sorun yaşayabileceklerdir.

Gelecekte bu araçları virüsten koruma yöntemleri arasında, virüs tarama programları en etkili yöntem olarak görünmektedir.

Virüsler Nereye Ne Yazar?

İlk açılışta çalışmak için genellikle “Windows Registry” (kayıt) ayarlarını değiştiriler. Bu bilgilere müdahale ederken iki defa düşünmek gerektiğini unutmamalısınız. Start | Run | regedit yazıp “Enter” tuşuna basılınca aşağıdaki ekran açılır.

Burada, aşağıdaki konumlara kendi program adlarını yazarak açılışta başlamalarını sağlamaktadırlar.

HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\

· RunServices

· RunServicesOnce

· Run

· RunOnce

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\

· Run

· RunOnce

· RunServices

Virüslerden Korunma

Bir antivirüs programı kurun ve güncel tutun. Güncellemesi yapılmamış bir antivirüs programı yeni virüslere karşı etkisiz kalmaktadır.

İşletim sisteminizi güncel tutun. Windows işletim sistemlerinin güncelleştirmeleri için aşağıdaki linkten yararlanabilirsiniz.

http://windowsupdate.microsoft.com

MS Outlook ya da Outlook Express yerine Netscape Messenger, Webmail, Pine gibi programları kullanın.

Gerekmedikçe dosya paylaşımı yapmayın. Paylaştırmanız şart ise şifreli ve “salt okunur” paylaşım kullanın.

Sunucu (server) nitelikli işletim sistemleri kurmayın.

Web sunucusu olarak güncellenmemiş IIS kullanmayın.

“Microsoft Security Bulletin” takibini aşağıdaki adresten yapın:http://www.microsoft.com/security

Boot işleminin kesinlikle sabit diskten olmasına özen gösterin.

Çok önemli bilgilerinizin yedeğini alın.

Ofis programlarında bilmediğiniz makroları çalıştırmayın.

Alternatif Ofis programları kullanın (örneğin OpenOffice):ftp://ftp.metu.edu.tr/pub/mirrors/openoffice/

E-posta ile gelen çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.

Virüslerin Tespiti

Antivirüs programları bilgisayara kurulduktan sonra aktif şekilde düzenli güncellemeleri yapıldığı sürece en etkili virüs tespiti yöntemidir. Ancak günümüzde daha farklı yaklaşımlar da olduğu için onlardan da bahsedilmelidir. Ardından antivirüs programlarının yapısından ve çalışma prensiplerinden bahsedilecektir.

· Online Tarayıcılar:

“Online tarayıcılar” antivirüs programına bütçe ayırmak istemeyen ve sürekli olmasa da bilgisayarında tarama yapmak istiyen kullanıcılar için antivirüs programları yazan şirketlerin sunduğu bir hizmettir. Bilgisayardaki tüm dosyaları uzaktan tarayan bir yapısı vardır. “Bilgisayardan bilgi alıyor mu?” konusunda sorular olsada, sonuçları başarılı sayılmaktadır.

Aşağıdaki bağlantılar izlenerek online virüs taraması yaptırılabilir:

· http/www.symantec.com/avcenter --> Check for Security Risk -->Scan for virus

·http://www.mcafee.com --> VirusScan Online

· Antivirüs Programlarının Yapıları

o Scanners:

Virüsleri izlerine göre arayıp bulurlar ve imha ederler. Güncelleme gerektiren bu tarama sistemi kullanıcı açısından en rahat ve kullanışlı olanıdır.

o Checksummers:

Standart işletim sistemi dosyalarının boyut değişikliklerini virüs olarak yorumlarlar. Sistem dosyalarında yapılacak değişiklikleri iyi bilen bir kullanıcı için faydalı bir yapıdır.

o Heuristics:

Virüslerin karakteristik yapısı bu programlarda genel hatlarıyla tanımlanır. Ancak son nesil virüsler burada kullanılan mantıkları çözerek yazıldığından bazen yetersiz kalmaktadır.

· Antivirüs Programı Çalışma Yöntemi

Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa “binary” koddur. Antivirüs programları bilgisayardaki tüm dosyalarda tarayıcısı yardımıyla virüs örüntüsünü arar. Virüsü bulduğunda; karşılaşılan durum için veritabanında tanımlanmış olan işlemleri yapar. Bu nedenle güncellenmiş bir antivirüs programı yeni çıkan virüslere karşı kullanıcının elindeki tek savunmadır.

Alıntıları Göster

Mutlaka okunmasi gerekn bir yazi arkadaslar ALINTIDIR

BOOT/MBR Virüslerin Tespit Edilmesi

Şimdi bilgisayarı resetleyin.Starting MS-DOS, Starting Windows türünden bir mesaj aldıktan sonra F5 tuşunu veya klavyedeki sol shift tuşunu basılı tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyaları işlenmeden çalışacaktır. Şimdi DEBUG adlı programı çalıştırın.Ekranda - işareti görüyor olmalısınız.Şimdi a komutunu verip enter tuşuna basın.(a komutu assembly dilinde program girileceğini belirtir).Ekranda 6750:0100 gibi bir adres değeri göreceksiniz.INT 13 yazıp enter tuşuna basın.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çıkın.Tekrar - işaretini göreceksiniz.Şimdi t (trace-adım adım çalıştır) komutunu verin.Hemen ardından da u komutunu girerek INT 13'ün yönlendirildiği adresteki assembly kodlarını ekrana getirin.Eğer ekranda DB komutları görüyorsanız bilgisayarınızda herhangi bir TSR virüs yok demektir.(Debug, unasseble işlemi yaparken çevirdiği kodu 16 bitlik olarak çevirir.Bu yüzden herhangi bir 386 komutu debug tarafından önce bir DB komutu ve ardından da 16 bitlik bir komut şeklinde çevirilmektedir.Mesela 32 bitlik MOV EAX,C0310102h komutu debug tarafından DB 66h / MOV AX,0102h / XOR AX,AX şeklinde çevirilecektir.Virüslerin eski işlemcilerde dahi çalışacak şekilde yazıldıklarını gözönünde tutarak DB komutu görüldüğünde sistemde kesinlikle bir virüs yoktur diyebiliriz)

INT 13 bir BIOS interruptıdır.Bu yüzden adresi de F000:0000 adresinden daha yukarıda bir bölgede olmalıdır.Eğer Int 13 kodu 9C00:0000-A000:0000 arasında bir bölgeye denk geliyorsa sizin için virüs taramasının vakti gelmiştir.Aşağıda virüssüz bir bilgisayardan alınmış INT 13 kodu görülmektedir.Siz aşağıdaki çıktının aynısını göremeyebilirsiniz.

DEBUG (Enter)

-

a (Enter)

xxxx:0100 INT 13 (Enter)

xxxx:0102 (Enter)

-

-t (Enter)

FD60:2517 63 DB 63

-u (Enter)

FD60:2517 63 DB 63

FD60:2518 38 6C 6C CMP [SI+6C],CH

.........

nonTSR (ve TSR) Virüslerin Tespit Edilmesi

nonTSR (bellekte sürekli kalmayan) programlar oldukça basit bir şekilde incelenebilir.Bunun için Norton Commander türÃ¼ bir programa ihtiyacınız var.Norton Commander'ı çalıştırın ve çok kullandığınız COM ve EXE uzantılı dosyaların içlerine F3-View'a basarak Text View modunda bakın.Programın başında veya sonunda bir yerlerde (EXE dosyalar için sadece dosya sonuna bakmak yeterli) *.COM, *.EXE, ????????.EXE, ????????.COM türünden yazılar veya anormal olarak nitelendirilebilecek mesajlar görüyorsanız (İngilizce esas alınarak yazılmış bir program içinde Türkçe mesajlar veya tuvalete gidince sifonu çekin gibi alakasız mesajlar gibi) bu mesajları, eğer mesaj yok ise baktığınız kısımlardan seçeceğiniz bir kısım kodu bir yere not edin.Aynı türden birkaç dosyaya daha bakın.Not ettiklerinizi her baktığınız dosyada görüyorsanız bilgisayarınızı bir sistem disketi ile açın ve sistemi virüs taramasından geçirin.

TSR Virüslerin Tespit Edilmesi

İlk önce DOS'un MEM, CHKDSK gibi komutları ile konvansiyonel belleği (640Kb'lık bellek bloğunu) kontrol edin.TSR virüsler belleğe yerleşebilemek için bilgisayarın belleğinden ihtiyaç duyduğu kadarlık bir bölümünü ayırmak zorundadır.Bunu yerlerini garanti altına almak için yaparlar.Eğer bellek 640Kdan (655360 byte) az görünüyorsa virüsten şüphelenmeye başlayabiliriz.Yalnız bazı makinalarda BIOS ayarlarından dolayı ana bellek 639K görünebilir.TSR bir virüsler genelde 2Kb veya daha fazla bellek ayırırlar.Eğer konvansiyonel bellek 640 Kb'dan az görünüyorsa bilgisayarda TSR bir virüs olduğundan şüphelenmek için ilk sinyali almış oluruz.Eğer konvalsiyonel bellek 640Kb görünüyorsa incelememize devam edelim.

Şimdi bilgisayarı resetleyin.Starting MS-DOS, Starting Windows türünden bir mesaj aldıktan sonra F5 tuşunu veya klavyedeki sol shift tuşunu basılı tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyaları işlenmeden çalışacaktır. AUTOEXEC.BAT dosyasında bulunduğu için her açılışta otomatik çalışan bir programı çalıştırın (Mesela ses kartının DOS sürücüsü, Türkçe karakter seti programı, Türkçe klavye programı gibi.Autoexec.Bat kütüğünün içini görmek için TYPE C:AUTOEXEC.BAT komutunu kullanın).Çalıştırdığımız program ile virüsün hafızaya yüklenmesini sağlamış olduk.TSR virüsler bulaşmak için DOS'un program çalıştırma, dosya açma, dosya kapama gibi servislerini kontrol ederler.Tüm bu servisler INT 21 altında toplanmıştır.

Şimdi DEBUG adlı programı çalıştırın.Ekranda - işareti görüyor olmalısınız.Şimdi a komutunu verip enter tuşuna basın.(a komutu assembly dilinde program girileceğini belirtir).Ekranda 6750:0100 gibi bir adres değeri göreceksiniz.INT 21 yazıp enter tuşuna basın.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çıkın.Tekrar - işaretini göreceksiniz.Şimdi t (trace-adım adım çalıştır) komutunu verin.Hemen ardından da u komutunu girerek INT 21'in yönlendirildiği adresteki assembly kodlarını ekrana getirin.

u komutunu verdikten sonra gelen çıktıda ;

PUSHF

CMP AX,4B00 veya CMP AH,4B satırlarını görüyorsanız sisteminizde kesinlikle bir TSR virüs var diyebiliriz.

PUSHF komutu DOS'un işaret yazmacını stack alanına sürerek saklamak amacıyla kullanılır.TSR rutinlerin başında mutlaka yer alır. Virüs işaret yazmacının değerinin değişmesine sebep olursa , virüsün işi bittiğinde servisi çağıran programın hatalı çalışmasına sebep olacaktır.Bu yüzden virüs ele geçirdiği interrupta atadığı rutinin başına bir PUSHF komutu koyacaktır.

CMP AX,4B00 veya CMP AH,4B komutları (INT 21/AH=4B servisi) Int 21'in bir programı yüklemek veya çalıştırmak amacıyla çağırılıp çağırılmadığını kontrol etmek için kullanılmaktadır.Int 21'in 4B servisi program yükle/çalıştır anlamına gelen bir servistir ve DS:DX yazmaclarında yüklenecek/çalıştırılacak programın ASCIIZ olarak ismi yer alır.Virüs bu servisi kullanarak DS:DX adresindeki programı kontrol edecek, temiz bir program ise ona bulaşacaktır.

Spyware nedir?

yararli, sevimli, sempatik, vs... program maskesi altinda, registry bilgileriniz, ziyaret ettiginiz web site'lar, cache edilmis passwordler basta olmak uzere her bi halti kendi bilgisayarlarina gonderen casus* programlar diyebiliriz.

Peki Ad-ware nedir?

Ad-Aware internet'inizi yavaşlatan sinirlerimizi bozan spyware'ler için ideal çözüm. zaten 4 kb olan zavallı internet genişliğinizin yarısından fazlasını sömüren iğrenç dll'ler. onlarsız yaşam daha bir güzel.Bilgisayarınızda sizden habersiz çalışan reklam amaçlı Adware, Alexa (through 5.0), Aureate (1.0, 2.0, and 3.0), Comet Cursor (through 3.0), Cydoor, Doubleclick, DSSAgent, EverAd, Flyswat, Gator, Gratisware, HotBar, NewDotNet, OnFlow, TimeSink (through 5.0), Web3000 ve Webhancer gibi programları sabit diskinizde ve registry'de tarayan Ad-aware ile bu programları kaldırabiliyorsunuz

Nerden temin edebiliriz?

Boyutu: 1.7 mb

http://www.lavasoft.de/support/download/

türkce yama var (7kb)

http://www.sorunne.net/uploads/3BEA5_Turkce.zip

Download sonrası İnternetteyken Uptade edip oyle deneyin.

Eğer Ad-ware çözüm olmaz ise

http://download.com.com/3000-2144-10194058.html?tag=lst-0-1

adresinden SPYbot u yüklemeli ve gerekli uptade'leri yaptıktan sonra denemelisiniz

Yine çok konuşulan ve işe yaradığı söylenen bir program daha

http://www.merijn.org/files/CWShredder.exe

vehttp://www.pcwelt.de/public/yaw35setup.exe 75000 civarı dialer tanıyormus.

Ad-ware ile iligli Ek bilgiler:

Bazı arkadaşlar ad-aware iyi bulamıyor demiş ad-awareden en iyi sonucu almak için settings ayarlaması yapmanız gerekli.Yani full scan ayarlaması ve mutlaka adawareyi update yapmanız gerekli.Full scan için gerekli ayarlar aşağıda verilmiştir.NOT: Bu ayarlar kendi ayarlarınız yani custom scan ayarlarınız olacaktır.smart scan ayarı değil buna dikkat edin.

CUSTOM SCAN SETUP:

Ad-Aware 6 comes pre-configured with default options that are already ON (green checkmark) ... do not change them. The following are changes that you will need to make to prepare the "Full" custom scan that is recommended for the first look into your computer (instead of a red "x", you will make them a green "checkmark"):

Launch the program, and click on the Gear at the top of the start screen to access the preferences/setting window.

Click the "Scanning" button.

Under Drives & Folders, select "Scan within Archives".

Click "Click here to select Drives + folders" and select your installed hard drives.

Under Memory & Registry, select all options.

Click the "Advanced" button.

Under "Log-file detail", select all options.

Click the "Tweaks" button.

Under "Scanning Engine", select the following:

"Include additional Ad-aware settings in logfile" and

"Unload recognized processes during scanning."

Under "Cleaning Engine", select the following:

"Let Windows remove files in use after reboot."

Click on 'Proceed' to save these Preferences.

When you are finished, you will be using the Custom Scan with Memory and Both registry scans ON. Please make sure that you activate IN-DEPTH scanning before you proceed.

After you have set up these options, be sure to choose "Custom Scan" not "Smart Scan" and choose next

Ayrıca Bilgisayarınıza bulaşan casus yazılımlar ve bunları temizlemekle uğraşan Ad-Aware uygulaması arasındaki savaş sürüyor. Sisteme kurulurken sistemde eğer sistemde Ad-Aware varsa, kurulum sırasında Ad-Aware'i diskten silen ve çalışmasını engelleyen Programlardan kurtulmak için LavaSoft Ad-aware Cloak isimli minik bir araç kullanıma sundu. Ad-Aware'i çalıştırmadan önce bu uygulamayı çalıştırırsanız programlar Ad-Aware'i farkedemiyor.

Ad-Aware Cloak'ı download etmek için Link'ten programı indirebilirsiniz.

0

|

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:53:20 Konu Sahibi

Virusler Hakkında Genel Bilgi

Bir virus bilgisayarda gelistirilmis bir program parcasidir. Bir bordro programi gibi, bir bilgisayar komutu gibi, o da bir programdir. Disk ve disket uzerinde bulunur. Ana bellege yuklenir ve calisir. Bir amac icin gerceklestirilmistir. Onu diger programlardan ayiran bazi ozellikleri vardir. Bunlari tanimak, genel bir bilgi almak, gerek mucadele etmek gerektiginde viruslerle beraber yasamak icin gereklidir.

Biyolojik bir virusun ozellikleri, bilgisayar viruslerinin anlasilmasi icin sembol olarak dusunulmelidir. Bir program parcasi ne zaman virus olarak tarif edilir?

Taninmasinin zor olmasi icin cok kucuk olmalidir. Bu amacla makina diliyle (Assembler) yazilirlar.

Normal program veya bilgisayar komutu gibi, ekrandan kod girerek calistirilmasi yerine, kendi kendine calisabilir ve bir baska ortama (disket veya komut dosyasina) kendini transfer ederek cogalabilmelidir.

Belli bir zaman veya olay gerceklestiginde mantik bombasini patlatabilmelidir. (Dosyalari bozmak, zarar vermek, gorsel veya isitsel davranislari sergilemek).

Viruslerle mucadele etmenin en onemli yolu onlari tanimaktir. Disket alisverisini kisitlamak veya anti-virus programına güven ile yetinmek değildir..

Viruslerin Tanınması

Her zaman kolay olmayan bu is icin bazilari genel bazilari ise bir viruse ozel olan asagidaki hususlar bilinmeli ve denenmelidir.

Viruslerin gerek taninmasina gerekse de temizlenmesinde ilk ve en onemli adim bilgisayarin TEMIZ DOS DISKETI ile acilmis olmasidir.

Daha sonra SCAN, F-PROT, FINDVIRU, IBM-anti virus gibi yaygin olarak kullanilan virus tarayicilarinin en son versiyonlari ile disk ve disketler virus taramasindan gecirilmelidir. Eger bulunamadiysa elde edilen sonuc her zaman bilgisayarinizin temiz oldugu anlamina gelmemektedir. Sadece tarama isleminde kullanilan anti virus programlarinin tanidigi bir virus yok demektir.

Diger yandan elinizde hicbir yazilim bulunmasa bile asagida sozu edilen bazi gozlemler virusler icin tesbit edilmesi icin tecrube niteliginde kullanilabilir.

Bilgisayarda anormal bir yavaslama ortaya cikti ise Rostow(Cansu) virusu olabilir.

Bilgisayar c: surucunde acilabiliyor, fakat A: surucusunden temiz dos

disketi ile acildiginda c: surucusunu tanimiyor,

'invalid drive specification' mesaji aliniyor ise

Crazy virusu olabilir

c: surucunde a: surucusune geciste uzun sure bekliyorsa ( 3-4 saniye )

Dozer virusu olabilir.

Windows uygulamalarinda Application error, system fault gibi hatalar

aliniyorsa, rasgele durumlarda dos'a donuyorsa

Memmaker ile yap�lan memory optimizasyon islemleri sonuclanamiyorsa

,

Windows, network baglanti yazilimlarinin install/setup edilmesinde

anlamsiz hatalar aliniyorsa.

Disket yazma-korumali iken diskete yazma islemi olmadigi halde

'write error' aliniyorsa

Viruslerin Temizlenmesi

Viruslerin taninmasi asamasinda anlatilanlar uygulandiginda bir virus bulunmus ise temizlenmesi icin onay istenecektir. Eger temizleme islemi henuz pakete eklenmedi ise virusten kurtulmak icin silinmesi icin onay istenebilir. Karar paketi kullanan kisi olarak size ait olacaktir. Temizleme islemi oncesi unutulmamasi gereken hususlar asagidadir.

Bilgisayari temiz dos ile acmayi unutmayin.

File virusleri, calistirilan her programa kendilerini bulastirdiklari hard disk uzerinden virus temizleme programlarini calistirdiginizda, temizleme programlarina da bulasacagindan, temizleme programlarini mutlaka disketler uzerinde saklayin.

Anti-virus yazilimlarinin yeni versiyonlarini izleyen kurum, universitelerle surekli temas halinda bulunun. Her yeni cikan viruse karsi gelistirilen anti virus programlari bu paketlerin yeni versiyonlarina eklenirler. Ortalama ayda bir kez kullandiginiz anti-virus paketinin son versiyonlarini temin edin.

l PC'yi MS-DOS Kipinde Başlatma: Bunun için görev çubuğunuzdan Başlat*Bilgisayarı Kapat komutuna tıklayın; ve karşınıza çıkacak menüde "MS-DOS Kipinde Başlat" seçeneğini işaretleyerek Tamam tuşuna basın.

l MS-DOS Komut İstemi Penceresi Açma: Yine görev çubuğunuzdan Başlat*Çalıştır komutuna tıklayın; ve açılan pencereye COMMAND yazın.

l DOS Ortamında Dosya Silme: Komut satırındayken,

DEL "SilinecekDosyanınAdı"

komutunu kullanmalısınız. Örnek olarak, Acid Shivers trojan dosyasını silerken

DEL "C:Windowsmsgsvr16.exe"

komutunu kullanıyoruz. Tırnak işaretlerini koymayı unutmayın; bu şekilde DOS'un desteklemediği uzun dosya isimleriyle karşı karşıya kaldığınızda başınız derde girmez.

l Windows Ortamında Dosya Silme: Bunu yapmak, DOS ortamında komut yazmaktan daha kolaydır. Windows Gezgini'nde silmek istediğimiz dosyayı işaretleyerek sağ fare tuşuna tıklayın ve SİL komutunu seçin. PC'miz bize gerçekten silmek isteyip istemediğimizi sorduğunda ise olumlu cevap verin.

l Registry Değeri Silme: Öncelikle Başlat*Çalıştır komutunu çalıştırarak REGEDIT yazın. Karşınıza çıkacak pencerenin sol tarafında silinecek değerin adresini bulun ve sağ tarafta söz konusu değeri işaretleyip klavyedeki DELETE tuşuna basın. Mesela BackDoor trojanı için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun adresini açıp, sağ tarafta belirecek olan "icqnuke.exe" değerinden kurtulmanız gerekiyor.

DİKKAT EDİLMESİ

GEREKEN NOKTALAR

l Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin. Bunun için Windows Gezgini'nde Görünüm*Klasör Seçenekleri (View*Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Files) kutucuğunun işaretli olduğuna emin olun. Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.

l Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır. Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.

l Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir. Burada verdiklerimiz, taşıdıkları orijinal özelliklerdir. Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.

l Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun. Özellikle Registry, Windows için hayati önem taşır. Yanlış bir şey silmeniz sisteminizde aksaklıklara yol açabilir.

TEMİZLİK ZAMANI!

ACID SHIVERS

Port Numarası: 10520

Dosya Adı: "msgsvr16.exe"

Boyutu: 186 Kb

Dizini: C:Windows

1. Registy'nizdeki HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer | msgsvr16.

exe" kaydını silin.

2. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "Explorer | msgsvr16.exe" kaydını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:Windowsmsgsvr16.exe" dosyasını silin.

5. PC'nizi yeniden başlatın.

BACK ORIFICE

Port Numarası: 31337

Dosya Adı: ".exe"

Boyutu: 122 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.

3. "C:WindowsSystem.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

BACKDOOR

Port Numarası: 1999

Dosya Adı: "icqnuke.exe"

Boyutu: 102 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "icqnuke.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BIG GLUCK

Port Numarası: 34324

Dosya Adı: "bg10.exe"

Boyutu: 100 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "bg10.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsbg10.exe" ve "C:

WindowsSystembg10.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BLADE RUNNER

Port Numarası: 21, 5400, 5401, 5402

Dosya Adı: "server.exe"

Boyutu: 323 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "server.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsserver.exe" ve "C:

WindowsSystemserver.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BUGS

Port Numarası: 2115

Dosya Adı: "bugs.exe"

Boyutu: 78 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "bugs.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsbugs.exe" ve "C:

WindowsSystembugs.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

DEEP BACK ORIFICE

Port Numarası: 31338

Dosya Adı: ".exe"

Boyutu: 122 Kb

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.

4. "C:WindowsSystem.exe" dosyasını silin.

5. PC'nizi yeniden başlatın.

DEEP THROAT

Port Numarası: 2140, 3150

Dosya Adı: "systempatch.exe"

Boyutu: 255 Kb

Dizini: ?

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını silin. MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız. Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.

4. PC'nizi yeniden başlatın.

DOLY TROJAN

Port Numarası: 1011, 21

Dosya Adı: "tesk.exe"

Boyutu: 169 Kb

Dizini: C:Wİndows , C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "tesk.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowstesk.exe" ve "C:WindowsSystemtesk.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

GIRLFRIEND

Port Numarası: 21554

Dosya Adı: "windll.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windll.exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowswindll.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

HACK A TACK

Port Numarası: 31785, 31787

Dosya Adı: "expl32.exe"

Boyutu: 236 Kb

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 | C:Windowsexpl32.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsexpl32.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

INIKILLER

Port Numarası: 9989

Dosya Adı: "bad.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowsbad.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

MASTERS PARADISE

Port Numarası: 3129, 40421, 40422,40423,

40426

Dosya Adı: "sysedit.exe", "keyhook.dll"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowssysedit.exe" ve "C:

Windowskeyhook.dll" dosyalarını silin.

4. PC'nizi yeniden başlatın.

5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin

NETBUS PRO

Port Numarası: 20034

Dosya Adı: "NBSvr.exe"

Boyutu: 599 Kb

Dizini: C:Windows , C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "NetBus Server Pro | nbsvr.exe" kaydını silin.

2. Registry'nizdeki HKEY_CURRENT_

USERNetBus Server anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsNBSvr.exe" , "C:WindowsNBHelp.dll" , "C:WindowsLog.txt" dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)

5. PC'nizi yeniden başlatın.

NETBUS

Port Numarası: 12345, 12346

Dosya Adı: "patch.exe"

Boyutu: 470 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "patch.exe" kaydını arayın. Söz konusu kaydı bulamazsanız trojan'ın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın. 470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır. Registry kaydını silin.

2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.

exe /remove" komutunu kullanın. (Trojanın adı değiştirilmişse, patch.exe yerine PC'nizdeki adını yazın.)

3. "C:WindowsSystempatch.exe" dosyasını silin.

NETSPHERE

Port Numarası: 30100, 30101, 30102

Dosya Adı: "nssx.exe"

Boyutu: 640 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsnssx.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

RAT

Port Numarası: 1095, 1097, 1098, 1099

Dosya Adı: " .exe", "mswinsck.ocx",

"wavestream.dll", "regsvr32.exe"

Boyutu: 298 KB, 99 Kb, 35 Kb, 20 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki şu anahtarları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Implemented Categories

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStream

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid

2) Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} @="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} InprocServer32@="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} ProgID@="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Version@="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} @="WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLibVersion="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 @="MS Internet Audio Streaming Support"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32 @="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS @="0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 HELPDIR@="C:WINDOWSSYSTEM"

HKEY_LOCAL_MACHINESOFTWAREClassesWa...eStreaming.W aveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid @="{925B0F6C-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun Explorer="C:WINDOWSsystem

MSGSVR16.EXE"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesDefault=" "

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesExplorer=" "

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsSystem .exe" , "C:WindowsSystemMSGSVR16.EXE" , "C:WindowsSystemwaveStream.dll" dosyalarını silin.

5. PC'nizi yeniden başlatın.

SUBSEVEN

Port Numarası: 1243, 1999, 6711, 6776

Dosya Adı:

1. Dosya: "server.exe", "rundll16.exe",

"systray.dl", "Task_bar.exe"

2. Dosya: "FAVPNMCFEE.dll",

""MVOKH_32.dll", "nodll.exe",

"watching.dll"

Boyutu: 328 Kb, 35 Kb

Dizini: C:Windows, C:WindowsSystem

1. "C:WindowsSystemSysEdit.exe" dosyasını çalıştırın. SYSTEM.INI dosyasının [boot] bölümündeki "shell=Explorer.exe" satırını inceleyin. Satırın sağına yukarıda adı geçen dosya adlarından biri eklenmişse, dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.

2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde "run=" ve "load=" diye başlayan satırları inceleyin. Söz konusu satırlardan biri yukarıda adı geçen dosyalardan birine işaret ediyorsa, dosya adını not edin ve satırı silin.

3. Yapmış olduğunuz değişiklikleri kaydedip SysEdit penceresini kapatın.

4. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda adı geçen dosyalara işaret eden kayıtları silin. Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın. 328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır. Registry kaydını silin.

5. PC'nizi yeniden başlatın.

6. C:Windows dizinindeki trojan dosyasını silin.

WHACK A MOLE

Port Numarası: 12361, 12362

Dosya Adı: "whack.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NetBuster"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "SysCopy"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll32"

2. Registry'nizdeki HKEY_CLASSES_

ROOT.dl_ anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. C:Windows dizini altındaki Şu dosyaları silin:

keyhook.dll

keyhook.dl_

nbsetup.reg

nb2setup.reg

ntsetup.reg

nt2setup.reg

rundll.dl_

whack.exe

5. PC'nizi yeniden başlatın.

WINCRASH

Port Numarası: 5742

Dosya Adı: "server.exe"

Boyutu: 290 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager | SERVER.EXE" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:\Windows\System\server.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

0

|

Hover_Craft

Binbaşı

1927 Mesaj

Konu Sahibine Özel

Konuya en son 15 yıl önce yazdı.
Konudaki 20 mesajının tamamını gör
Diğer Popüler Konuları Tüm Konuları
Resimlere bak hele [Eski resimler) [:@]
14 yıl önce açıldı, 473 yorum yazıldı.
Üsttekine Şarkı Armagan Edin :)
15 yıl önce açıldı, 464 yorum yazıldı.
Sigara satmıyorlar
11 yıl önce açıldı, 123 yorum yazıldı.

11 Mayıs 2006 23:55:49 Konu Sahibi

quote:

Orijinalden alıntı: Hover_Craft

Virusler Hakkında Genel Bilgi

Bir virus bilgisayarda gelistirilmis bir program parcasidir. Bir bordro programi gibi, bir bilgisayar komutu gibi, o da bir programdir. Disk ve disket uzerinde bulunur. Ana bellege yuklenir ve calisir. Bir amac icin gerceklestirilmistir. Onu diger programlardan ayiran bazi ozellikleri vardir. Bunlari tanimak, genel bir bilgi almak, gerek mucadele etmek gerektiginde viruslerle beraber yasamak icin gereklidir.

Biyolojik bir virusun ozellikleri, bilgisayar viruslerinin anlasilmasi icin sembol olarak dusunulmelidir. Bir program parcasi ne zaman virus olarak tarif edilir?

Taninmasinin zor olmasi icin cok kucuk olmalidir. Bu amacla makina diliyle (Assembler) yazilirlar.

Normal program veya bilgisayar komutu gibi, ekrandan kod girerek calistirilmasi yerine, kendi kendine calisabilir ve bir baska ortama (disket veya komut dosyasina) kendini transfer ederek cogalabilmelidir.

Belli bir zaman veya olay gerceklestiginde mantik bombasini patlatabilmelidir. (Dosyalari bozmak, zarar vermek, gorsel veya isitsel davranislari sergilemek).

Viruslerle mucadele etmenin en onemli yolu onlari tanimaktir. Disket alisverisini kisitlamak veya anti-virus programına güven ile yetinmek değildir..

Viruslerin Tanınması

Her zaman kolay olmayan bu is icin bazilari genel bazilari ise bir viruse ozel olan asagidaki hususlar bilinmeli ve denenmelidir.

Viruslerin gerek taninmasina gerekse de temizlenmesinde ilk ve en onemli adim bilgisayarin TEMIZ DOS DISKETI ile acilmis olmasidir.

Daha sonra SCAN, F-PROT, FINDVIRU, IBM-anti virus gibi yaygin olarak kullanilan virus tarayicilarinin en son versiyonlari ile disk ve disketler virus taramasindan gecirilmelidir. Eger bulunamadiysa elde edilen sonuc her zaman bilgisayarinizin temiz oldugu anlamina gelmemektedir. Sadece tarama isleminde kullanilan anti virus programlarinin tanidigi bir virus yok demektir.

Diger yandan elinizde hicbir yazilim bulunmasa bile asagida sozu edilen bazi gozlemler virusler icin tesbit edilmesi icin tecrube niteliginde kullanilabilir.

Bilgisayarda anormal bir yavaslama ortaya cikti ise Rostow(Cansu) virusu olabilir.

Bilgisayar c: surucunde acilabiliyor, fakat A: surucusunden temiz dos

disketi ile acildiginda c: surucusunu tanimiyor,

'invalid drive specification' mesaji aliniyor ise

Crazy virusu olabilir

c: surucunde a: surucusune geciste uzun sure bekliyorsa ( 3-4 saniye )

Dozer virusu olabilir.

Windows uygulamalarinda Application error, system fault gibi hatalar

aliniyorsa, rasgele durumlarda dos'a donuyorsa

Memmaker ile yap�lan memory optimizasyon islemleri sonuclanamiyorsa

,

Windows, network baglanti yazilimlarinin install/setup edilmesinde

anlamsiz hatalar aliniyorsa.

Disket yazma-korumali iken diskete yazma islemi olmadigi halde

'write error' aliniyorsa

Viruslerin Temizlenmesi

Viruslerin taninmasi asamasinda anlatilanlar uygulandiginda bir virus bulunmus ise temizlenmesi icin onay istenecektir. Eger temizleme islemi henuz pakete eklenmedi ise virusten kurtulmak icin silinmesi icin onay istenebilir. Karar paketi kullanan kisi olarak size ait olacaktir. Temizleme islemi oncesi unutulmamasi gereken hususlar asagidadir.

Bilgisayari temiz dos ile acmayi unutmayin.

File virusleri, calistirilan her programa kendilerini bulastirdiklari hard disk uzerinden virus temizleme programlarini calistirdiginizda, temizleme programlarina da bulasacagindan, temizleme programlarini mutlaka disketler uzerinde saklayin.

Anti-virus yazilimlarinin yeni versiyonlarini izleyen kurum, universitelerle surekli temas halinda bulunun. Her yeni cikan viruse karsi gelistirilen anti virus programlari bu paketlerin yeni versiyonlarina eklenirler. Ortalama ayda bir kez kullandiginiz anti-virus paketinin son versiyonlarini temin edin.

l PC'yi MS-DOS Kipinde Başlatma: Bunun için görev çubuğunuzdan Başlat*Bilgisayarı Kapat komutuna tıklayın; ve karşınıza çıkacak menüde "MS-DOS Kipinde Başlat" seçeneğini işaretleyerek Tamam tuşuna basın.

l MS-DOS Komut İstemi Penceresi Açma: Yine görev çubuğunuzdan Başlat*Çalıştır komutuna tıklayın; ve açılan pencereye COMMAND yazın.

l DOS Ortamında Dosya Silme: Komut satırındayken,

DEL "SilinecekDosyanınAdı"

komutunu kullanmalısınız. Örnek olarak, Acid Shivers trojan dosyasını silerken

DEL "C:Windowsmsgsvr16.exe"

komutunu kullanıyoruz. Tırnak işaretlerini koymayı unutmayın; bu şekilde DOS'un desteklemediği uzun dosya isimleriyle karşı karşıya kaldığınızda başınız derde girmez.

l Windows Ortamında Dosya Silme: Bunu yapmak, DOS ortamında komut yazmaktan daha kolaydır. Windows Gezgini'nde silmek istediğimiz dosyayı işaretleyerek sağ fare tuşuna tıklayın ve SİL komutunu seçin. PC'miz bize gerçekten silmek isteyip istemediğimizi sorduğunda ise olumlu cevap verin.

l Registry Değeri Silme: Öncelikle Başlat*Çalıştır komutunu çalıştırarak REGEDIT yazın. Karşınıza çıkacak pencerenin sol tarafında silinecek değerin adresini bulun ve sağ tarafta söz konusu değeri işaretleyip klavyedeki DELETE tuşuna basın. Mesela BackDoor trojanı için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun adresini açıp, sağ tarafta belirecek olan "icqnuke.exe" değerinden kurtulmanız gerekiyor.

DİKKAT EDİLMESİ

GEREKEN NOKTALAR

l Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin. Bunun için Windows Gezgini'nde Görünüm*Klasör Seçenekleri (View*Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Files) kutucuğunun işaretli olduğuna emin olun. Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.

l Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır. Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.

l Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir. Burada verdiklerimiz, taşıdıkları orijinal özelliklerdir. Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.

l Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun. Özellikle Registry, Windows için hayati önem taşır. Yanlış bir şey silmeniz sisteminizde aksaklıklara yol açabilir.

TEMİZLİK ZAMANI!

ACID SHIVERS

Port Numarası: 10520

Dosya Adı: "msgsvr16.exe"

Boyutu: 186 Kb

Dizini: C:Windows

1. Registy'nizdeki HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer | msgsvr16.

exe" kaydını silin.

2. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "Explorer | msgsvr16.exe" kaydını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:Windowsmsgsvr16.exe" dosyasını silin.

5. PC'nizi yeniden başlatın.

BACK ORIFICE

Port Numarası: 31337

Dosya Adı: ".exe"

Boyutu: 122 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.

3. "C:WindowsSystem.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

BACKDOOR

Port Numarası: 1999

Dosya Adı: "icqnuke.exe"

Boyutu: 102 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "icqnuke.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BIG GLUCK

Port Numarası: 34324

Dosya Adı: "bg10.exe"

Boyutu: 100 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "bg10.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsbg10.exe" ve "C:

WindowsSystembg10.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BLADE RUNNER

Port Numarası: 21, 5400, 5401, 5402

Dosya Adı: "server.exe"

Boyutu: 323 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "server.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsserver.exe" ve "C:

WindowsSystemserver.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BUGS

Port Numarası: 2115

Dosya Adı: "bugs.exe"

Boyutu: 78 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "bugs.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsbugs.exe" ve "C:

WindowsSystembugs.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

DEEP BACK ORIFICE

Port Numarası: 31338

Dosya Adı: ".exe"

Boyutu: 122 Kb

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.

4. "C:WindowsSystem.exe" dosyasını silin.

5. PC'nizi yeniden başlatın.

DEEP THROAT

Port Numarası: 2140, 3150

Dosya Adı: "systempatch.exe"

Boyutu: 255 Kb

Dizini: ?

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını silin. MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız. Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.

4. PC'nizi yeniden başlatın.

DOLY TROJAN

Port Numarası: 1011, 21

Dosya Adı: "tesk.exe"

Boyutu: 169 Kb

Dizini: C:Wİndows , C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "tesk.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowstesk.exe" ve "C:WindowsSystemtesk.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

GIRLFRIEND

Port Numarası: 21554

Dosya Adı: "windll.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windll.exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowswindll.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

HACK A TACK

Port Numarası: 31785, 31787

Dosya Adı: "expl32.exe"

Boyutu: 236 Kb

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 | C:Windowsexpl32.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsexpl32.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

INIKILLER

Port Numarası: 9989

Dosya Adı: "bad.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowsbad.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

MASTERS PARADISE

Port Numarası: 3129, 40421, 40422,40423,

40426

Dosya Adı: "sysedit.exe", "keyhook.dll"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowssysedit.exe" ve "C:

Windowskeyhook.dll" dosyalarını silin.

4. PC'nizi yeniden başlatın.

5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin

NETBUS PRO

Port Numarası: 20034

Dosya Adı: "NBSvr.exe"

Boyutu: 599 Kb

Dizini: C:Windows , C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "NetBus Server Pro | nbsvr.exe" kaydını silin.

2. Registry'nizdeki HKEY_CURRENT_

USERNetBus Server anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsNBSvr.exe" , "C:WindowsNBHelp.dll" , "C:WindowsLog.txt" dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)

5. PC'nizi yeniden başlatın.

NETBUS

Port Numarası: 12345, 12346

Dosya Adı: "patch.exe"

Boyutu: 470 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "patch.exe" kaydını arayın. Söz konusu kaydı bulamazsanız trojan'ın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın. 470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır. Registry kaydını silin.

2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.

exe /remove" komutunu kullanın. (Trojanın adı değiştirilmişse, patch.exe yerine PC'nizdeki adını yazın.)

3. "C:WindowsSystempatch.exe" dosyasını silin.

NETSPHERE

Port Numarası: 30100, 30101, 30102

Dosya Adı: "nssx.exe"

Boyutu: 640 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsnssx.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

RAT

Port Numarası: 1095, 1097, 1098, 1099

Dosya Adı: " .exe", "mswinsck.ocx",

"wavestream.dll", "regsvr32.exe"

Boyutu: 298 KB, 99 Kb, 35 Kb, 20 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki şu anahtarları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Implemented Categories

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStream

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid

2) Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} @="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} InprocServer32@="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} ProgID@="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Version@="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} @="WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLibVersion="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 @="MS Internet Audio Streaming Support"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32 @="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS @="0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 HELPDIR@="C:WINDOWSSYSTEM"

HKEY_LOCAL_MACHINESOFTWAREClassesWa...eStreaming.W aveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid @="{925B0F6C-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun Explorer="C:WINDOWSsystem

MSGSVR16.EXE"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesDefault=" "

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesExplorer=" "

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsSystem .exe" , "C:WindowsSystemMSGSVR16.EXE" , "C:WindowsSystemwaveStream.dll" dosyalarını silin.

5. PC'nizi yeniden başlatın.

SUBSEVEN

Port Numarası: 1243, 1999, 6711, 6776

Dosya Adı:

1. Dosya: "server.exe", "rundll16.exe",

"systray.dl", "Task_bar.exe"

2. Dosya: "FAVPNMCFEE.dll",

""MVOKH_32.dll", "nodll.exe",

"watching.dll"

Boyutu: 328 Kb, 35 Kb

Dizini: C:Windows, C:WindowsSystem

1. "C:WindowsSystemSysEdit.exe" dosyasını çalıştırın. SYSTEM.INI dosyasının [boot] bölümündeki "shell=Explorer.exe" satırını inceleyin. Satırın sağına yukarıda adı geçen dosya adlarından biri eklenmişse, dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.

2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde "run=" ve "load=" diye başlayan satırları inceleyin. Söz konusu satırlardan biri yukarıda adı geçen dosyalardan birine işaret ediyorsa, dosya adını not edin ve satırı silin.

3. Yapmış olduğunuz değişiklikleri kaydedip SysEdit penceresini kapatın.

4. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda adı geçen dosyalara işaret eden kayıtları silin. Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın. 328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır. Registry kaydını silin.

5. PC'nizi yeniden başlatın.

6. C:Windows dizinindeki trojan dosyasını silin.

WHACK A MOLE

Port Numarası: 12361, 12362

Dosya Adı: "whack.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NetBuster"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "SysCopy"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll32"

2. Registry'nizdeki HKEY_CLASSES_

ROOT.dl_ anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. C:Windows dizini altındaki Şu dosyaları silin:

keyhook.dll

keyhook.dl_

nbsetup.reg

nb2setup.reg

ntsetup.reg

nt2setup.reg

rundll.dl_

whack.exe

5. PC'nizi yeniden başlatın.

WINCRASH

Port Numarası: 5742

Dosya Adı: "server.exe"

Boyutu: 290 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager | SERVER.EXE" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:\Windows\System\server.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

---hangi sisteme hangi antivirus----

bu konuyu 3 secenekte inceleyecegiz

1.yavas sistem(1 ghz islem 256 mb ram ve bundan asagisi)

2.orta seviye sistem(1-3 ghz islemci 512 ram)

3.guclu sistem(3ghz islemci 1gb ram ve ustu)

-----1.yavas sistem(1 ghz islem 256 mb ram ve bundan asagisi)-----

windows xp isletim sistemi ram canavari oldugu icin 256 mb ram cogu zaman yetersiz gelebiliyor.Hele birde antivirus, firewall , anti spyware gibi guvelik yazilimlari arka planda calisirsa internette dolasmak iskence haline geliyor.

burdaki amacimiz en az sistem kaynagi tuketen programlari kullanmak, 2 sinif olarak oneri yapacagim ;ucretli ve ucretsiz programlar.

ucretli programlar: kerio firewall(ucretsiz ama ucretlilerden iyi sayilir;) , antivir PersonalEdition Premium ve

spyware doctor

ucretsiz programlar; kerio firewall, avast home edition, adware s.e..

alternetif: bitdefender security suit

bu programlar kendi tecrubelerime dayanarak size tavsiyelerimdir.

---------2.orta seviye sistem(1-3 ghz islemci 512 ram)----------

bir onceki sistemden daha hizli ve ram olarak yeterli olabilecek seviyede bir sistemimiz var.Yani burdaki amacimiz elimizdeki ile en iyi korumayi yapmak,

ucretli; zone alarm pro+avast pro+ adwatch(adware pro)

ucretsiz: zone alarm free+ avast home + microsoft antispy

alternetif: zone alarm security suit+antivir free edition.

-------3.guclu sistem(3ghz islemci 1gb ram ve ustu)--------

guclu bir sistemimiz var ve bunda istedigimizi yapabiliriz Guclu sisteme guclu koruma yakisir deyip tavsiyelere geciyoruz.

ucretli ; kaspersky pro+ zone alarm pro+ adwatch

alternatif ; nod32 +zone alarm security suit

alternatif; f-secure security suit

ucretsiz: zone alarm free + avast home edition+ microsoft antispy

---guvenligi tamamen ele almanin yollari---

aslinda guvenlik yazilimlari ne kadar bizi korurlarsa korusunlar bize de is dusuyor,warez icerikli gibi sitelere girmezsek , bilmedigimiz e-postalari acmazsak pek de sorun olmaz.birde internetten guvenlik konusunda bilgiler edinirsek daha bilincli bir pc kullanicisi oluruz

asagidaki yazilar cesitli sitelerden alintidir

Bilgisayar Güvenliği

1. Giriş

2. Güvenlik

2.1. İnternet Güvenliğine Bir Bakış

2.1.1. Genel Çerçeve

2.1.2. Şifreleme

2.1.2.a. Şifrelemenin Yeri

2.1.2.b. Şifreleme Yöntemi

2.1.2.c. Private Key Ve Public Key Kavramları

2.1.2.d. Neler Şifrelenmeli?

2.1.2.e. Kullanıcı Belirleme

3. Windows NT'de Güvenlik

3.1. İnternet Protokolünün Zayıf Noktaları

3.2. Network Topolojisinin Zayıf Noktaları

3.2.1. Hacker

3.2.2. Hackerlar Sisteme Nasıl Zarar Verebilirler?

3.3. DNS ve IP nedir?

3.4. Firewall

4. Saldırı Türleri

4.1. Nuke

4.1.1. Nuke Nedir?

4.1.2. Çeşitleri

4.1.3. Nuke Programları

4.1.4. Nuke'tan Nasıl Korunulur?

4.2. Exploitler

4.3. Trojanlar

4.3.1. Trojan Nedir?

4.3.2. Neler Yapabilir?

4.3.3. Nasıl Korunulur?

4.3.4. Anti-Trojan Programları

5. Windows NT İçin Diğer Güvenlik Programları

5.1. Desktop Sentury

5.2. Kremlin Encryption Ve Security Suite 2.21

5.3. Secure4U

5.4. NTSec 4.9.1

5.5. Security Explorer TM v3.20

5.6. Advanced Security Control Manager

5.7. Quicklook

5.8. NTO Scanner

5.9. Service Pack

6. Windows NT İle İlgili Web Siteleri

1. Giriş

Kitlesel iletişim araçlarının önemini daha çok arttırdığı günümüz dünyasında bilgiye hızlı bir şekilde ulaşmak gelişmiş toplumların temel ihtiyaçlarından birisi olmuştur. Bu ihtiyaç sayesinde bu toplumlarda 1980'li yıllardan itibaren bilgisayar ağları konusunda önemli gelişmeler sağlanmıştır. Internet te, bu çalışmalar neticesinde ortaya çıkan ve yaygın olarak kullanılan bir bilgisayar ağıdır.

Bütün bilgileri hızlı bir şekilde elde etmek için ilk önce kuruluşlar kendi yerel ağlarını kurmuş ve daha geniş bir etkinlik alanına sahip olabilmek için yerel ağlarını dünyaya entegre etmek ihtiyacını hissetmişlerdir. NetWork teknolojisi de bununla birlikte gelişmiş ve değişik protokollerin ortaya çıkması kaçınılmaz olmuştur.

Internet sınırsız bir bilgi ortamı olmasına rağmen yasalarla tam anlamıyla denetlenememektedir. Kusursuz olmayan NetWork ağlarında güvenlik açıkları bulunmaktadır. Bazı kullanıcılar bu güvenlik açıklarından faydalanarak bazı sistemlere girip onlara zarar verebilirler. Bu da NetWork ortamında güvenliği sağlamak amacına yönelik yazılımların ve sistemlerin ortaya çıkmasına sebep olmuştur.

2. Güvenlik

2.1. İnternet Güvenliğine Bir Bakış

2.1.1. Genel Çerçeve

Firewall' lar güvenlik mekanizmalarının ilk aşamalarıdır, ancak bilgilerimizin duyarlılığı arttıkça bununla beraber şifreleme ve kullanıcı doğrulama (authentication) tekniklerinden de yararlanmak gerekmektedir.

Ağ yöneticileri için ağın güvenliği, başkaları tarafından - özellikle dışarıdan ağa dahil olacaklar tarafından- zarara uğratılmaması, her zaman için en önemli, en zor ve en çok sıkıntı yaratan konulardan biri olmuştur. Bir yolunu bulup ağa dahil olmuş kişiler tarafından ağa zarar verilmesi, belki bundan daha da önemli olmak üzere, gizli bilgilere ulaşması, ağ yöneticileri için korkuların başında gelmekte idi. Bu gün için ise durum daha da kötüdür. Bahsetmiş olduğumuz korkular, internet kavramı bu kadar yaygın değilken ve kuruluşlar bu ortama dahil olmak konusunda bu kadar istekli değilken yaşanan korkulardı. Oysa internet denilen ve çok güçlü olması gerekmeyen bir bilgisayar ile basit bir programdan başka bir şey istemeyen ortamın insanların kullanımına açılması, bunun kuruluşlar tarafından da çok cazip bir ortam olarak görülmesi, ağ yöneticileri için yeni kaygıların başlangıcı olmuştur. Bu gün dünyanın hemen her tarafındaki şirketler internete dahil olmak Web sayfaları arasında kendilerine ait olanı da görmek istemektedir. Bazıları ise şirket için bir intranet kurulması isteniyorken bu ortamdan yararlanmak istemektedir. Bu da tabi gizliliği yüksek olan bilgilerin, genel kullanıma açık bir ağ ortamına çıkarılması manasına gelmektedir ki ağ yöneticileri için yeni zorlukların da başlangıcının işaretçileridir.

Tabi bu durumlar karşısında, ağ güvenliğini sağlayacak ürünler devreye girmiş, bu konuda değişik teknolojiler geliştirilmiştir. Bu çalışmalardan biri de firewall' lardır. Yalnız maalesef bunlar da ağ yöneticilerinin beklentilerini tam olarak karşılayamamışlardır. Computer Security Institute (Bilgisayar Güvenliği Enstitüsü)' ün açıklamalarına göre internet üzerindeki şirketlerin beşte biri istenmeyen dış müdahalelere uğramıştır. Bunların da üçte biri kurulu bir firewall' a sahipti. Yani firewall' lar, ağ yöneticilerinin beklediği güvenliği sağlayamamıştır.

Internet üzerinden dünyanın dört bir tarafından erişilebilir hale gelmiş şirketler için böyle tehlikeler söz konusu iken, bazı ağ yöneticileri bu tehlikelerden habersizdir. Bu konuda çalışmalarda bulunmuş bazı uzmanların belirttiğine göre, ağ yöneticilerinin bir kısmı, internet ortamında veri çalmanın ne kadar kolay olduğunu bilmemektedir ve aslında gerçek tehlikeyi oluşturan da budur.

Güvenliği sağlama konusunda yararlanılabilecek bir başka araç da 'Şifreleme' dir. Pek çok firewall üreticisi, şifreleme araçlari ile çalişmayi desteklemektedir. Yönlendirici (router) üreticileri de bu konuda çalişmakta olup, şifrelenmiş bilgileri yönlendirebilen routerlar da üretilmiştir.

Uygun bir güvenlik sistemi oluşturmak için, aga ve iletilecek bilgilere ilişkin bazi unsurlarin göz önüne alinmasi gerekmektedir. Karar verilmesi gereken konulardan ilki, şifreleme işleminin nerede yapilacagidir. Bazi çözümler uygulama seviyesinde bu işi yapiyorken bazilari IP yigininda yapmaktadir. Uygulama seviyesinde yapilan şifrelemede ag yöneticilerine şifrelemeyi istedikleri şeyleri seçme şansi da verilmektedir.

Cevaplanmasi gereken ikinci soru, verilerin nasil şifrelenecegidir. Şu anda en çok kullanilan iki yöntemden biri 56 bitlik şifreleme anahtari, digeri ise 128 bitlik şifreleme anahtari kullanmaktadir. Güvenlik danişmanlarinin kanul edebildigi, yeterli olabilecek minimum anahtar uzunlugu 56 bittir. Burada üzerinde durulmasi gereken bir diger konu da, paketin nerelerinin şifrelenmesinin yeterli olacagidir. Bazi ürünler, tüm paketi, başlik kismi da dahil olmak üzere şifrelerler. Digerleri ise sadece bilgi kismini şifrelerler.

Genel Çerçeve paragrafinda da belirtildigi gibi, iyi bir güvenlik saglamak için kullanici dogrulama (authentication) mekanizmasinin da kurulmasi gerekmektedir. Bunun manasi, internet üzerinden birisi ile baglanti kuruldugunda, irtibat halinde bulunulanin kimliginin tam olarak belirlenmesidir. Bunun için üreticiler degişik çalişmalarda bulunmaktadirlar.

Bu noktada, güvenlik konusu ile ilgili yapilan çalişmalarda sikça karşilaşilan ve hala daha yeterli düzeye gelinemeyen bir konudan bahsetmek gerekir ; Standart. Internet güvenligi ile ilgili pek çok çalişma yapilmasina ragmen, bu alandaki hizli gelişmeler, hala daha bir standardin oturtulamamasina sebep olmuştur.

Günümüzde, internet ortamina açilma konusunda hemen hemen tüm şirketler isteklidir. Her ne kadar bu ag yöneticileri için çözümü çok zor sorunlari beraberinde getirse de kaçinilmaz olarak bu yöne dogru hizli bir yönlenme olmaktadir. Ancak bu demek degildir ki internet ortaminda güvenlik saglanmiştir ve kuruluşlar ayni mantik ve rahatlikta davranmaktadir. Bu konudaki rahatlik derecesi dogal olarak yapilan işin ve bununla da baglantili olarak taşinmasi gereken bilginin mahiyeti ile ilgilidir. Örnegin bir banka için bilgilerini internet ortaminda gezdirmek, şu an için çok akillica bir işlem degildir. Internet ortamindan müşterilere sunulan ev bankaciligi hizmetleri de, alt düzeylerde kalmaktadir. Önemli verilerin aktarilmasi işlemi için bankalar genellikle özel hatlari tercih etmektedirler. Internet ortaminin sagladigi güvenlik ortamina inançlari, şu an için bu bilgilerin bu ortama aktarilmasi için yeterli olamamaktadir.

Bunun yaninda, bu konularda biraz daha rahat davranabilen kuruluşlar da vardir. Bunlar belki biraz da kendi geliştirdikleri güvenlik mekanizmasinin da yardimiyla, internet ortamindan veri aktariminda yararlanmaktadirlar. Bununla ilgili olarak söylenen, kuruluşlarin ihtiyaçlari dogrultusunda, degişik ürünlerin degişik modüllerinden yararlanmak suretiyle, kabul edilebilir bir güvenligin saglanabilecegidir. Fakat her şeye ragmen şu an için internet ortaminin güvenligi konusu üzerinde daha çok düşünmek gerekmektedir. Mevcut hali ile pek çok tehlikeye açik durumdadir.

2.1.2. Şifreleme

2.1.2.a. Şifrelemenin Yeri

Daha önceden de degindigimiz gibi, şifreleme konusunda karar verilmesi gereken bazi hususlar vardir. Bunlardan ilki de, şifrelemenin nerede yapilacagidir. Bu konuda iki alternatif mevcuttur. Bunlardan biri IP yigininda şifreleme yapmak, digeri ise uygulama yazilimi seviyesinde şifreleme yapmak. Şu anda piyasada mevcut ürünlerin % 70' ten fazlası, IP yığınınında şifreleme işlemini yapmaktadır. Bu yöntemdeki yaklaşım, kurulmuş olan bir bağlantı üzerindeki bütün verilerin şifrelenmesine dayanır. Güvenlik konusunda titiz davrananlar için (örneğin bankalar) oldukça iyi bir yaklaşımdır. Yerel ağdan dışarı giden herşey şifrelenir. Böylece mümkün olan en üst düzeyde güvenlik sağlanmaya çalışılır.

Bu yaklaşımın dezavantajı, fazla CPU zamanı almasıdır. Şifrelemeye ilişkin işlemler, karmaşık hesaplamaya dayalı işlemlerdir. Dolayısıyla, gelen ve giden her şeyin şifrelenmesi, çok fazla CPU zamanı alacaktır. Bu ağın transfer hızına da yansıyacak, birim zamanda aktarılan veri miktarını düşürecektir.

Bu olumsuzlukları minimuma indirmek için üreticiler değişik yollara başvurmuşlardır. Router' ın veya ayrı bir cihaz olarak gerçeklenen şifreleyicinin ayrı işlemcilere sahip olması bu yöntemlerden biridir.

Şifrelemenin yapılacağı yer konusundaki diğer alternatifin uygulama seviyesindeki şifreleme olduğunu söylemiştik. Bu yaklaşımın avantajı, ağ yöneticisinin, neyin şifrelenip neyin şifrelenmeyeceğine karar verebilmesidir. Böylece ağ yöneticisi, şifrelenmesine ihtiyaç olmadığını düşündüğü şeylerle ilgili zaman kaybının önüne geçebilecek, bu da CPU zamanını kazanmamızı sağlayacaktır. Ancak böyle bir çalışma düzeninde, veriyi alacak olan tarafın, nelerin şifrelenip nelerin şifrelenmediğini bilmesi gerekmektedir. Bu da, ilgili bazı parametrelerin uygun değerlere getirilmesini gerekmektedir. Bu işlem de, ağ yöneticisinin zamanını alacaktır.

2.1.2.b. Şifreleme Yöntemi

Ağ yöneticisi şifrelemenin nerede yapılacağına karar verdikten sonra, düşünmesi gereken ikinci şey, şifrelemenin nasıl yapılacağı, hangi tekniğin kullanılacağıdır. Şu an için en iyi bilinen ve en çok kullanılan yöntem Veri Şifreleme Standardı (Data Encryption Standard - DAS)' dır. İlk olarak 1970' lerin başlarinda geliştirilmiş, Amerika Birleşik Devletleri tarafindan 1977' de son hali verilmiştir. Bu teknikte, 64 bitlik text bloklari 56 bitlik anahtarlar kullanilarak şifrelenir. Bu bize trilyonlarca farkli anahtar sunar. Dolayisiyla ilk bakişta çözülmesi imkansiz bir şifre gibi gözükse de aslinda günümüzün güçlü bir makinasi bunu çözebilir. Dolayisiyla yakin bir gelecekte 56 bitlik şifrelemenin yetersiz kalacagini söyleyebiliriz.

Bu yetersizlik karşisinda "üçlü DES" denilen bir teknik geliştirilmiştir. Burada yapilan, yukarida bahsedilen her bir blogun şifrelenmesinde üç ayri anahtarin kullanilmasidir. Bu teknik günümüzde yavaş yavaş kullanilmaya başlanmiştir. Degişik üreticiler, bu teknigi kullanan ürünlerini piyasaya sumuşlardir. Bunlara örnek olarak IBM' in Securenet Gateway 2.1 firewall' unu verebiliriz. NEC, NSC ve Western Datacom da bu tekniği kullanan ürünler piyasaya sürmüşlerdir.

Şifreleme yöntemi olarak DES' ten başka algoritmalar da piyasada bulunmakta ve kullanilmaktadir. Bunlar; Checkpoint tarafindan üretilen FWZ1, IRE tarafindan üretilen Atlas ve IBM tarafindan üretilen Command Masking Data Facility (CMDF) dir. Bunlarin tamami 40 bitlik algoritmalardir. Northern Telecom Ltd. tarafindan geliştirilen CAST, 40 ila 64 bit araliginda degişen uzunlukta anahtar kullanmaktadir.

2.1.2.c. Private Key Ve Public Key Kavramlari

Şifreleme mekanizmasi için karar verilmesi gereken bir nokta da, private-key mi yoksa public-key mi kullanilacagidir. (Aslinda public-key ile anlatilan bir public-key ve bir private-key içerir. Karişikligi önlemek ve yöntemleri bir birinden ayirmak için böyle bir isimlendirme yapilmiştir.)

Esas olarak bir anahtar, aktarilacak verinin kodlanmasi ve kodlanmiş verinin çözülmesi için kullanilan bir algoritmadir. Private-key şifreleme yaklaşiminda, her iki işlem için de ayni anahtar kullanilir. Public-key şifreleme yaklaşiminda ise public-key ve private-key birlikte kullanilirlar.

Private-key yaklaşimi kullanilarak geliştirilmiş ürünlerde, ag üzerinde çalişmakta olan herkese bir anahtar verilir. Buradaki önemli nokta, bu anahtarlarin, istenmeyen ellere geçmesine mani olmaktir. Burada da, private-key' lerin kullanıcılara nasıl dağıtılacağı konusu gündeme gelmektedir. Çünkü bu dağıtım işlemi esnasında da anahtarlar istenmeyen ellere geçebilir. Bu iş için e-mail'den yararlanılabileceği gibi ( gerekli güvenlik önlemleri alınmak kaydıyla), telefonla da bu anahtarlar sahiplerine aktarılabilir. Tabi tüm bu işlemler sırasında güvenliğe azami derecede dikkat etmek gerekmektedir.

Şifreleri kişilere atamanın bir başka yolu da, bir sunucu vasıtasıyla dağıtma işlemini yapmaktır. Bu durumda, şifreleri ele geçirmek isteyenlere direkt bir hedef sunulmakta, burada sağlanacak yeterli bir güvenlik mekanizması ile, bu tehlike de önlenebilmektedir.

Private-key yaklaşımı ile ilgili olarak yaşanabilecek bir başka sorun da, ortak kullanılacak bir bilginin karşılıklı olarak paylaşıma açılması esnasında yaşanabilecektir. Bunun için öncelikle private-key' lerin değiş-tokuş edilmesi gerekmektedir. Bunun için e-mail sisteminin kullanıldığını düşünürsek, bu zaman alabilecek,bu gecikmeler de sorunlara sebep olabilecektir.

Public-key yaklaşımında ise, ağ üzerinde yer alan her kullanıcıya iki anahtar atanır : private-key ve public-key. Private-key' ler, yukarıda anlatıldığı gibi kullanıcılara dağıtılır. Burada gizlilik yine esastır. Bütün kullanıcılara ait public-key' ler ise, herkesin erişimine ve kullanimina açiktir.

Bu şekilde her kullaniciya iki ayri anahtar atamanin temel sebebi, private-key ile yaşanan, verilerin karşilikli olarak aktarilmasi esnasinda zorunlu olan, private-key' lerin değiş-tokuşu işleminden kurtulmak, dolayısıyla bunun getirdiği zorlukları bertaraf etmektir. Yöntemin nasıl çalıştığını anlatarak, mekanizmayı daha iyi anlayabiliriz;

Farklı yerlerde bulunan iki kullanıcıdan birinin diğerine bilgi aktarmak istediğini düşünelim. Bu durumda şifrelemede ihtiyaç duyacağı anahtarlar, göndereceği kişinin public-key'i ve kendisinin private-key' idir. Bu iki anahtarı kullanarak şifreleme işlemini yapar ve verileri karşı tarafa gönderir. Şifrelenmiş verileri almış olan kişi ise, şifreyi çözmek için, göndericinin public-key' ini ve kendisinin private-key' ini kullanır. Dolayısıyla bir kişinin public-key' ini bilmek, ancak private-key' ini de bilmekle anlamlıdır, aksi taktirde hiç bir işe yaramaz. Ayrıca bu yöntem private-key' lerin karşilikli aktarilmasini da gerektirmez.

Görüldügü gibi public-key yaklaşimi bize büyük bir avantaj getirmiştir. Ancak bunun da dezavantajlari vardir. Bunlarin başinda da, birbirlerine şifrelenmiş veri gönderecek bilgisayarlarin her defa yürütmeleri gereken el sikişma protokolleri, ilgili anahtarlari kullanarak bilgileri çözme işlemlerinin CPU zamanindan çok fazla almasidir. Bu işlemler, hesap yogunlugu olan işlemler oldugundan sistemi oldukça yavaşlatacak, ag performansinin %20 azalmasina sebep olabilecektir.

Şu an için private-key yaklaşimi ile ilgili olarak üzerinde çalişilan konularin başinda, anahtar degiştirme işlemini otomatik yaparak, zaman kaybini en aza indirmektir.

Sun Microsystems Inc. tarafindan geliştirilmiş olan Skip (Simple Key Exchange Internet Protocol) yaklaşimi ile de, public-key yönteminin getirdigi her seferinde güvenli erişim için el sikişma protokollerinin koşturulmasi ve dolayisiyla işlemciye fazladan yük getirilmesi durumundan kurtulunmaktadir. Bunun yerine yapilan işlem şöyledir; Bir kere güvenli haberleşme oturumu başlayinca, Skip tarafindan bir oturum anahtari oluşturulur. Bu anahtar geçici bir anahtar olup, bu oturum süresince ilgili kaynaktan veri aktarimi için kullanilir.

Skip ilk bakişta gerçekten çok güzel bir yaklaşim olarak gözükmektedir. Ne yazik ki burada da güvenlik açisindan bazi sorunlar vardir, şöyle ki; Oturum anahtari kullanici tarafindan belirlenen bir periyod boyunca geçerlidir. Bu periyod bir saat oldugu gibi, bir kaç gün de olabilir. Anahtar, network ortaminda bir yerde tutuldugundan, buna ulaşacak kişiler, bu anahtarin geçerli oldugu süre zarfinda, istedikleri verilere ulaşabilirler.

Skip yaklaşimindan yola çikilarak, degişik yöntemler geliştirilmiştir. Skip' in güvenlik konusundaki açığını kapatmak ve daha güvenli bir iletişim sağlamak amacıyla Photuris Session Key Management Protocol (PSKMP) geliştirilmiştir. Burada yapılan, bir kere güvenli oturum başlatıldıktan sonra oturum anahtarını sabit tutmamak, bazı rastgele sayılar, haberleşen bilgisayarların IP bilgilerinden oluşan değerlerin bir karışımını kullanarak, her yeni veri transferinde bunların belirlediği bir oturum anahtarını kullanmaktır. Bunun sayesinde de güvenlik Skip' e göre daha iyi bir düzeye getirilmiş olur, hiz olarak da pek çok public-key ürününden daha iyi bir seviyeye ulaşilir.

2.1.2.d. Neler Şifrelenmeli?

Şifreleme konusunda karar verilmesi gereken konulardan biri de, nelerin şifrelenecegidir; Sadece bilgi içeren kisimlar mi şifrelenecektir yoksa bunlarin yaninda kaynak ve hedef IP' lerini içeren başlik kisimlari da şifrelenecek midir? Eger sadece veri içeren kisimlar şifrelenirse - Cisco, Cylink ve NEC tarafınfan bu yaklaşım kullanılmaktadır - kaynak ve hedef IP adresleri değişmeden internet ortamına çıkarılacaktır. Bu paketlerden birini ele geçirecek kişi, adres bilgilerini elde edebilecektir. Bu bilgilerin başkaları tarafından ele geçirilmesi sorun yaratmayacakmış gibi gözükse de, bu bilgilerden yararlanılarak, firewall' un diğer tarafında yer alan routerlara veya başka cihazlara ilişkin bilgiler elde edilebilinir. Bu bilgiler de kullanılarak firewall' u kandırmak, sanki şirket içinden bir makineymiş gibi ağa ulaşmak mümkün olabilecektir.

Tüm paketlerin şifrelenmesi durumunda böyle bir olasılık olmayacaktır. Şu an için bu işi yapan bir ürün IP Encapsulating Security Payload (ESP)' dir. Kısaca buradaki yaklaşım; Bir güvenlik aygıtı vasıtasıyla IP adres paketlerine yeni kaynak ve hedef adreslerinin eklenmesidir. Yalnız bu adresler, sadece firewall' ları adreslerler. Dolayısıyla dışarıdan birisinin, firewall' un arkasında yer alan herhangi bir cihaza ilişkin bilgileri elde edebilmesi mümkün değildir. ESP yaklaşımını destekleyen şirketler; Border, Checkpoint, IBM, Raptor, V_One ve Western Datacom' dur.

Fakat bu yaklaşim için de bir problem mevcuttur. IP paketine sürekli yeni adreslerin eklenmesi, bu paketin oldukça fazla büyümesine, hatta müsaade edilen siniri aşmasina sebep olabilecektir. Böyle bir durumda da bu paketi bölmek gerekecektir.Bölmelenmiş paketlerin hedefe ulaştiginda kodlarinin çözülmesi biraz daha zor olacaktir. Ayrica bölünmüş paketler hedefe uygun sirada gelmeyebileceklerinden bunlar da sorunlara sebebiyet verebilecektir.

IP şifrelemesi yukarida bahsedilen sorunu önlerken ayni zamanda çalma (hijacking) olaylarinin da önüne geçecektir. Burada yapilan işlem şudur; Dişaridan aga müdahale etmek isteyen kişi, dügümler arasinda giden paketleri takip ederek, amacina uygun bir dügüme ilişkin bir paket yakalamaya çalişir. Böyle bir paket yakaladiginda da, haberleşen iki dügümün arasina girip, hedef dügüm ile konuşmaya başlar. Hedeflenen dügüm hala daha kendi agindan bir makine ile haberleştigini sanarak, veri aliş - verişini sürdürür. Bu sayede de bu dügüm tarafindan üretilen paketler alinirken, hedef dügüme de kendi kodlarini göndererek, bunlarin burada koşmasi, dolayisiyla buraya zarar verilmesine sebep olunabilir. IP şifrelemesi vasitasiyla, bu sorunlarin da önüne geçilmiş olunur.

2.1.2.e. Kullanici Belirleme

Güvenli bir iletişim için sadece şifreleme yeterli olmayacaktir. Şifrelenmiş veriler gönderilmeden önce, kiminle irtibat halinde olundugu bilinmeli, bunun için de karşi taraftaki kişinin kendini tanitici bilgileri göndermesi istenmelidir. Bu işlem güvenlik mekanizmasinin önemli aşamalarindan biri olup Kullanici Belirleme (authentication) olarak bilinir. Şu an için en yaygin kullanilan Kullanici Belirleme araci Security Dynamics Inc. tarafindan geliştirilmiş olan SecurID' dir.

3. Windows NT'de Güvenlik

Nt kaynaklarını (yazıcı,dosya yada uygulama) korumak için onlara erişimi kontrol eder. Buradan kaynakların yetkili kullanıcılar tarafından kullanılabileceği ve yetkisiz kullanıcılar tarafından kullanılamayacağı durumu ortaya çıkar. Windows NT de güvenlik sistemi, kaynakların belli kısıtlamalara (izinlere )sahip olmasıyla sağlanır.

NT işletim sistemi düzenlediği sabit disk, sürücü ve diğer birimlerin korunması için değişik güvenlik yöntemlerine sahiptir.NTFS dosya sistemi, dosya ve dizinlere kullanıcı bazında izinler vererek NT sisteminin ana izin sistemini oluşturur.

Yerel (lokal) bilgisayarların sabit diski ve diğer birimlerin korunması yanısıra network üzerinden sisteme erişecek kullanıcıların da kontrol edilmesi NT koruma sisteminin bir bölümünü oluşturur. NT işletim sistemi bu işlemler için çok sayıda araca sahiptir.

Yönetim araçları:

· NT Explorer

· My Computer

· Server Management

· Command Prompt

NT Kaynaklarına Başvuran bir kullanıcı için tesis edilen kontrol üç ayrı düzeyde düzenlenir:

· Share-level (paylaşım düzeyi)

· Directory-level(dizin düzeyi)

· File-level(dosya düzeyi)

Share-level paylaşım bir dizinin genel olarak network'e (diğer kullanıcılara)paylaştırılmasındır. Dosya ve dizin düzeyindeki paylaşımlar ise yerel bir kullanıcı yada grup için özel izinlerin düzenlenmesidir. Sabit diskteki dizinler ve dosyalar için yapılacak izin düzenlemeleri için My Computer yada NT Explorer kullanılabilir.

İzinler/İşlemler Read Execute Write Delete Set Permission

Take Ownership

No Access - - - - - -

Read x x

Change x x x x

Full Control x x x x x x

Special Address x x x x x x

· Bir disk bölümü NTFS ile formatlandığında 'everyone' grubuna 'full control' olarak açılır. Buna varsayım izin denir.

· Bir grup içinde tanımlı olan kullanıcının bir kaynağa ulaşmasındaki izinleri kullanıcı izinleri + grup izinleri birleşerek kullanıcıyı temsil eder. Grup yada kullanıcı izinlerinden birisinin No Access olması durumunda birleşik (kümülatif) izin No Access olacaktır.

· Çalışan bir NT Server üzerindeki dosya ve dizinlere kimse ulaşamaz. Diğer bir değişle Nt server üzerindeki dosya ve dizinlere network üzerinden diğer kullanıcıların ulaşabilmesi için dosya ve dizinlerin paylaştırılması gerekir.

· Bir dizini paylaştırmak için, Administrators grubunda yada Server Operators grubunda olmak gerekir. Bir dizin yerel yada uzaktan paylaştırılabilir. Yerel yönetim için NT server' a giriş yapilmalidir. Uzaktan paylaşimlar için Server Manager programi çaliştirilmalidir.

Denetim(auditing) bir bilgisayar için, dosya ve dizinler üzerinde belli kullanici yada gruplar tarafindan yapilacak işlemlerin takip edilmesini saglar. Bu işlem için yine My Computer yada NT Explorer ile seçilen dizin yada dosyanin üzerinde farenin sag tuşuna basilarak Properties iletişim kutusu elde edilir. Bundan 'Auditing' düğmesine basılır.

Denetim seçenekleri dizin ve dosya üzerindeki işlemleri belirtir. Bu işlemlerin başarılı yada başarısız şeklinde tamamlanmasına göre işlemler takip edilir. Daha sonra yine Administrative Tools program grubunda yer alan Event Viewer programı ile işlemler takip edilir.

3.1. İnternet Protokolünün Zayıf Noktaları

Internet Protokolünün en zayıf tarafı gelen ve giden bilginin kaynağının ve içeriğinin doğruluğunun kontrol edilememesidir. İstenirse sanki başka bir kaynaktan geliyormuş gibi istenen her hangi bir adrese herhangi bir paket gönderilebilir. Sahte bağlantılar bile kurulabilir. Ayrıca bazı "Yanlış" paketler göndererek işletim sistemleri şaşırtılabilir, hatta kilitlenmeleri sağlanabilir.(Nuke)

3.2. Network Topolojisinin Zayıf Noktaları

Eğer switch kullanılmıyorsa gönderilen bir bilgi ağdaki bütün makinelere uğrar. Sniff olarak adlandırılan bir işlem sayesinde ağda oluşan ya da gelen giden bütün paketlerin içeriklerini izlemek mümkündür. Network'deki yada ISS'lerdeki kötü niyetli kişiler şifrelenmemiş Internet işlemlerinizi izleyebilirler. Mesela e-maillerinizi okumak, chatte konuştuklarınızı görmek, hangi sayfalara bağlandığınızı loglamak vs.

Fakat bu tür işlemleri yapabilmek için çok fazla şey bilmek yada ağ yöneticisi durumunda olmak gereklidir. Ayrıca Linux kullanarak lokal ağda her hangi bir hakka sahip olmadan bu işlemleri yapmak mümkündür. Windows NT bu tür işlemleri yapabilmek için özel sürücüler yüklenmesini gerektirir, bunu da sadece sistem yöneticileri(administrator) yapabilir. Fakat ne yazık ki çoğu şirkette Administration hakkı bir çok kullanıcıda bulunabilmektedir.

3.2.1. Hacker

Hackerları; kendilerini her türlü bilgiye ücretsiz erişmek isteyen insanlar olarak tanımlayabiliriz. Hackerlar bilgisayar hakkında çok bilgilidirler ve bu bilgiyi çoğu zaman bir şirketi zengin etmek için değil de kendileri için kullanmayı tercih ederler. Sistemlerin zayıf noktalarını bulmak ve onları açığa çıkartmak onlara büyük bir zevk verir.

Bir genelleme yapmak gerekirse 2 tip hacker vardir

Siyah Hackerlar (Malicious Hackers) : Hacker olmanın en önemli kurallarından biri olan karşı sisteme zarar vermeme kuralı onlar için pek bir şey ifade etmeyebilir. Açığını buldukları herhangi bir sistemin içeriğini silebilir yada web sayfalarının içeriğini HACKED BY XXX yada OWNED türünden kelimelerle değiştirirler, belirli bir guruba üyelerdir. Çoğu zaman bu guruplar arası savaşlar yüzünden bir çok sayfa yada hükümet sistemleri zarar görür. Bu kişiler kredi kartı ile alış-veriş yapılan sistemleri hack ettikten sonra oradan alış-veriş yapmış olan kişilerin kart numaralarını kullanarak o kişilere büyük ölçüde zarar verebilirler.

Beyaz Hackerlar : Sistemleri sadece bilgiye (daha sonraları da rahatlıkla) erişebilmek için hack ederler. Girdikleri sisteme zarar vermez ve sistem dosyalarını modifiye etmezler.(varlıklarını gizlemek için bir iki log dosyası silmek ya da daha sonrada tekrar girebilmek için kendilerine account açmak haricinde) Aslında son derece tehlikeli işler yapabilecek olmalarına rağmen sadece güvenliğinin zayıflığını ispatlamak amacıyla sayfalarda yada sistemlerde ufak notlar bırakırlar. Diğer bir deyişle sistemi kuran kişilerle dalga geçerler. Genelde iş güç sahibi insanlar olan beyaz hackerlar bir anlamda bedava güvenlik hizmeti verirler .

3.2.2. Hackerlar Sisteme Nasıl Zarar Verebilirler?

Eğer bir şirket Network ile herhangi bir ağa bağlı ise kötü niyetli kişiler sisteminizdeki verilere erişebilirler, verileri değiştirebilirler ve hatta silebilirler. Daha da açarsak şirketinizin müşteri kayıtlarını alabilir, muhasebe kayıtlarını değiştirebilir yada bozabilir veya sisteminizde kayıtlı bulunan tekliflerinizi okuyabilirler. Sistem kalıcı olarak işlem dışı bırakılabilir. Internet bağlantısını bozabilirler, Trojanları sisteminize yerleştirerek sanki makinenin başında oturuyorlarmış gibi her ne isterlerse yapabilirler. Hatta hardware spesifik yazılımlar kullanarak makinenizdeki görüntü kartını olduğundan yüksek bir frekansta çalıştırarak monitörünüzü çalışamaz duruma getirebilirler!

Eğer ev kullanıcısı iseniz, yine yukarıda anlatıldığı gibi sisteminizdeki özel bilgilere erişilmesi silinmesi ve sisteminizin devre dışı kalması mümkündür.

Spoofing : Spoof'un kelime anlamı oyun/parodi/kandırmaktır. Internet ortamında ise Spoofing birkaç alanda karşımıza çıkar. Spoof genel olarak IP'deki (Internet Protokolü) değerlerin olduğundan farklı olarak gösterilmesi demektir.

DNS (Domain Name Service) Spoofing : IRC (Internet Relay Chat) kullanıcıları IP spoofing dedikleri ama aslında gerçek ismi DNS spoofing (address resolution spoofing) olan, DNS Server'ların sahte ARP'lerle kandırılıp istenilen IP'nin olması gerektiğinden farklı bir şekilde çözülmesi demektir. Eğer bir DNS Server'a bir IP adresinin resolve edilmesi için query açtıktan sonra, hemen arkasından çeşitli sahte paketlerle o IP'nin spoofing.is.fun hostuna karşilik oldugu şeklinde bilgiler gönderip DNS Server'ı kandırıp aşağıdaki sonucu elde etmek mümkündür.

Blackwind is aggressor@spoofing.is.fun * The Myth

Blackwind on @#Aggressor

Blackwind using irc.aggressor.net

End of /WHOIS list.

Aslında yukarıdaki örnekteki gerçek host name aggressor@195.174.89.63 idi. Fakat IRC Server'a DNS spoofing yaparak Hostname'i olduğundan farklı bir şekilde gösterdik.

Birçok IRC Server; kendi çapında spoofing protection olarak IP'yi HOST'a daha sonra da aynı HOST'u IP'ye çevirip bilgileri karşilaştirir. Eger karşilaştirmada eşleşme saglanamazsa baglanmaya çalişan hostla baglantiyi keser. Eger DNS Server IP>HOST>IP eşleşmesini dogruluyorsa IRC Server da bu eşleşmeyi kullanir.

IP Spoofing : IP paketlerinin source (kaynak) IP'sini degiştirmek demektir. Böylece paketi alan hostun, paketin geldigi kaynak adresini bilmesini engellenmiş olur. Host gelen paketin sizden degil de başka bir yerden geldigini sanir .

ICQ Spoofing : ICQ Protokolünün spooflanmasi(alaya alinmasi) demektir, başkalarinin yerine başkalarina mesaj atmak için kullanilir.

3.3. DNS Ve IP Nedir?

DNS(Domain Name Services) : DNS, Internet host adlarinin yer aldigi hiyerarşik bir veritabanidir. Internet üzerinde hizla artan host'lara erişimi kolaylaştirmayi saglar. DNS, internet yada UNIX bilgisayar adlarinin çözülmesi için kullanilir. DNS'in düzenlenmesi için TCP/IP'nin kurulu olması gerekir.

Network yöneticisi DNS'i kullanarak domain ve bilgisayar adlarının çözümlenmesini sağlar. HOSTS dosyaları ile bir subnet içindeki ip adresleri bulunur. Birden çok subnet arasında , diğer bir deyişle domainler arsında IP adreslerinin bulunması için DNS' e gereksinim vardır.

IP(INTERNET PROTOCOL) : Internetin önemli bir bölümü IP' ye dayanır. Internet üzerinden yollanan bilgiler bir Internet paketi olarak paketlenir. Paket, Internetin bir kısmından diğerine yönlendirilebilir.

Bir kullanıcı IP numarasını kolaylıkla değiştirebilir. Kullanıcı eğer aynı adres te biri varsa beklemede kalır(ping). Eğer yoksa IP adresini değiştirebilir.

Örneğin :

Ping 155.223.5.8

Pinging 155.223.5.8 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Şimdi kullanıcı IP adresini değiştirme işlemini yapabilir.

Bu sebepten dolayı, yani , IP adreslerinin bu kadar kolay değiştirilebilmesi bir network ün güvenliğinide olumsuz yönde etkilemektedir. Denetlenemeyen IP ler, sistemlerin güvenliğinin zayıf bir noktalarıdır. Bu yüzden saldırı yaptığı belirlenen bir kullanıcı IP sini değiştirerek elinizden kaçmış olabilir.

3.4. Firewall

Yerel ağ ile global ağ arasında bulunan ve giden gelen berileri tarafınızdan belirlenmiş kriterlere göre filtre eden bir bilgisayardır.

Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde firewall bulunması o networklerin güvenliği açısından bir gerekliliktir.

Firewall' ların genel mantığı sisteminize onay verilmeden(authorization) kullanıcıların girmemesini sağlayarak sisteminizi teorik olarak dışarıdan görünmez hale getirmektir.

Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna adres filtreleme(Address Filtering) denir.

İki firewall birarada düşünürsek; gateway'den ve ya gateway'e gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi oluştururlar.

Global Ag daki bir makinaya baglanmak için, ilk önce gateway a baglanmaniz gerekir. Bunun ardindan global networke geçebilirsiniz.

4. Saldiri Türleri

Belli başli saldiri türlerini Dos (nuke), Remote Exploits ve trojanlar olarak ayirabiliriz.

4.1. Nuke

4.1.1. Nuke Nedir?

Nuke siz internete bagliyken ISS nizce size verilen bir ip numarasi yardimi ile bir başka kişinin özel programlar yardimi ile bilgisayariniza paketler gönderilmesi ve bu paketlerin bilgisayariniza zarar vermesidir.

4.1.2. Çeşitleri

OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve Windows 95'in bir bug olan OOB Nuke, işletim sistemi Windows olan bir makinenin 139. portuna (Netbios Session Port) MSG_OOB tipi bir baglanti (connection) yapilmasiyla gerçekleşir.(Service Pack ile halledildi)

Eger Windows 95 kullaniyorsaniz sisteminize mavi ekran vererek Internet baglantisinin kopmasina, Windows NT kullaniyorsaniz sistemin durmasina yol açar.

Land : Bilgisayari kendi kendine senkronize ettirerek Winsock'un sonsuz döngüye girmesini saglar böylece mouse'un bile hareket etmemesine yol açar.

Source IP-Source Port ve Destination IP-Destination Port'un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.

Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir.

Boink; teardrop saldırısının ters olarak çalışan halidir.

Nestea; teardrop saldırısının minör değişimlere uğramış halidir. Aynı zamanda teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.

Brkill : Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paket gönderilirse Windows o anki son bağlantı seri numarasını gönderir. Buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmek mümkün olur.

ICMP Nuke : Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar . Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.

Jolt / Ssping : Windows 95 ve NT'nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür. 65535 + 5 bytelık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.

Smurf : Networklerde Broadcast Address olarak tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerinde çalışan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir. Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse, değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılar kesilir.

Suffer3 : Suffer saldırısı karşı bilgisayara sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.

4.1.3. Nuke Programları

İnternet üzerinden de temin edilebilen,ve sıkça karşımıza çıkabilecek belli başlı nuke programları şöyle sıralanabilir:

Winpack 1.0 , The aggressor , Nuke v3.2, Winnuke...

4.1.4. Nuke'tan Nasıl Korunulur?

NUKENABBER:

NukeNabber kimin size Nuke veya daha farklı yollarla saldırı düzenlediğini öğrenmeniz için tasarlanmış bir güvenlik programıdır. ISP adminlerinin bu hacker'ları belirleyip etkisiz hale getirmeleri için kolaylıklar sağlar.

Birden fazla port u kullanıma sokarak sizin birtek port ile tuzağa düşmemenizi sağlar . Böylece karşıdaki insan sizin hangi portu kullandığınızı kestirmesi çok güç olacağından yoluna oldukça önemli bir engel de koymuş olursunuz.

TCP ve UDP kullanarak yapılan saldırıları tespit etmek için 50 ye kadar port kullanılabilir. TCP ve UDP'nin yanısıra ICMP dest_unreach portlarınıda denetleyebilir.

Bir Saldırı Nasıl Rapor Edilir ?

· Saldırı amacıyla sizin portunuza bağlanan kişinin adres raporunu gözden geçirin.(Bu dosyalara view menüsünden ulaşabilirsiniz.)

· Mümkünse Admin bağlantısı için e-mailleri alın.

Eğer raporlardan bir şey elde edemediyseniz, log dosyasını root@isp e

gönderin.

· E-mail programınızı çalıştırın.

· En son yapılan logonların listesini emailinize geçirin.

· Kısaca başınıza ne geldiğini mesaja ekleyin

· Mesaja gerçek isminizi ve yetkilinin sizinle irtibat kurabileceği bir adres veya telefon bırakmayı ihmal etmeyin.

4.2. Exploitler

Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix'e ait bir exploit Windows için çalışmaz. Bu güne kadar bulunan yaklaşık olarak 1000'in üzerinde exploit vardır.

Windows Null Session Exploit : Windows işletim sistemi, dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip olmadan session, user ve share information'ı verir. Kötü niyetli birisi bu exploiti kullanarak sistem hakkında çok kritik bilgiler sahibi olabilir.

Örnek :

Agis NT Peek utility V0.5 , (C) Copyright by Agis Corp 1998. All rights reserved.

Connecting to : \\194.***.**.**

connection established

Processing..

\\194.***.***.***\NETLOGON (disk) Logon server share

\\194.***.***.***\i386 (disk)

\\194.***.***.***\IE4.3000 (disk)

Getting Session information ..

Server name : TiN User name : (None)

Login Time : 154461 secs (2574 mins) IIdle Time : 559 secs (9 mins)

-----------------------

Server name : MiP Usern name : (None)

Login Time : 573 secs (9 mins) Idle Time : 573 secs (9 mins)

-----------------------

[lord*****]

Password : **********

Account : (lord*****)

Full name : (Lord zerg ******)

Comment : (Administration account)

User Comment : (Dark throne)

Password age : (0) hours

Privledge : Administrator

Home Dir : ()

Script path : ()

Spec Params : ()

Workstations : ()

Logon Hours : (1349551)

# of badpass : (0)

Logon count : (2896)

Logon Server : (\\*)

Country Code : (0)

Code Page : (0)

User ID : (500)

Group ID : (512)

Profile : ()

Home drive : ()

Password Exp : (0)

Auth Flags :

-No auth flags

Flags :

- The logon script executed

- This account is normal

- password doesn't expire

- user can change password

PHF Exploit : Bu exploit oldukça eski olmasına rağmen halen karşılaşabilecek bir güvenlik açığıdır, PHF CGI yardımı ile sistemdeki dosyalara admin olarak erişilebilinir.

GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd

http://www.phfcalistiranserver.com/cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd

Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir makineden User bilgilerinin ve de şifrelerinin bulunduğu Password dosyasının görülmesini sağlar.

ASP Exploit : Active Server Page özelliği kullanan WebServer'larda URL' nin sonuna bir nokta(.) yada ::şDATA yazilarak ASP'nin içeriği (source code) görülebilir. Eğer ASP'nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli olabilir.

http://www.aspkullananserver.com/default.asp.

ya da

http://www.aspkullananserver.com/default.asp::$DATA

Sendmail Exploit : Eski Sendmail versiyonlarında birkaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı çekmek mümkün olabilir. Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) yada bir Username'in o Server'da olup olmadığını öğrenmek de mümkündür. (VRFY)

telnet mail.server.com:25

ICQ Tabanlı Exploitler : Son derece zayıf bir mimariye sahip olan ICQ sistemi, kolayca taklit edilebilen, hatta gerçek spoofing bile yapılmasına gerek kalmayan bir sistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, passwordleri değiştirilebilir, onaya gerek kalmadan listeye alınabilir. IP'sini kullanıcı gösterme dese bile görülebilir yada ICQ chat yaparken mesaj taşması (flooding) yapılabilir.

Dosya ve yazıcı paylaşımı :

Windows 95 yada NT'de paylaşima açilan disk ya da klasörlerin okuma-yazma izinlerine çok dikkat edilmelidir. Şifresiz (Şu birçok ISP'nin Inetpub Directory'sini tüm dünyaya yazma izni vererek paylaşima açmasi gibi) ya da kolay tahmin edilebilecek (username ile ayni) bir şifre ile paylaşima açilan disk yada klasörlerin her türlü saldiriya açik olmasi gibi durumlar istenmeyen durumlara yol açabilir.

Windows Start menüsünde Run seçenegi tiklatildiktan sonra \\IP yazip Enter tuşuna basilirsa, IP'si yazilan makinede paylaşima açik olan yerler görülebilir. Windows'un içinde var olan NET komutunu kullanarak (NET VIEW \\IP) yine paylaşima açik yerleri görebilir ve yine ayni komutla onlara baglanilabilir.

(NET USE J: \\IP\paylaşimismi) Ayrica linux yüklü bir makineden, smbclient programi ile ayni işlemleri yapilabilir.

Bu tip tehlikelerden korunmak için paylaşimlara saglam bir şifre zorunludur. (anlamsiz kelime+ rakamlar+hem büyük hem küçük harf kullanimasi vs.)

Diger Araçlar : Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit, dip3.3.7overflow-exploit, coke ve daha bir çok exploit bulunuyor.

4.3. Trojanlar ( Truva Ati)

4.3.1. Trojan Nedir?

Trojan bir sisteme girmek için arka kapi açan bir programdir.

4.3.2. Trojan Neler Yapabilir?

Trojan, internet baglanti şifreniz dahil bilgisayarinizdaki bütün şifrelerin ele geçirilmesini saglayabilen bir saldiri programidir. Bilgisayarinizin sistem ayarlariyla oynanmasini, cpu nun, monitörün ve hatta ekran kartinin yakalamsini saglayabilir. Dosyalariniz kariştirilabilir, silinebilir veya degiştirilebilir. Bilgisayariniz formatlanabilir veya restart edilebilir. Mesajlariniz okunabilir, sizin yerinize mesaj yazilabilir, aktif programlarin listesi çikarilabilir...vs. Bunlar trojan programının yapabileceği şeylerin sadece birkaçı.

Başlıca bilinen trojan programları Netbus ve Backorifice dir.

BACKORIFICE :

BackOrifice ve BackOrifice2000 adı altında 2 tane sürümü vardır. Bu Trojan programı bir Microsoft Windows üzerinde kurulduğu zaman kullanıcının sistem üzerinde tam yetkili(full access) olmasını sağlar. Bu program firawall tarafından engellenebilmektedir. Henüz firewall'I aşabildigi tespit edilmemiştir.

4.3.3. Nasil Korunulur?

1. Güvenmediginiz kişilerden exe veya com dosyalari almayiniz.

2. Eger bilgisayaranizda trojan oldugundan şüpheleniyorsaniz bilgisayarinizdaki giriş ve çikişlari kontrol eden firewall* gibi bir prgram kullanin ve en kisa zamanda cleaner programini çekip bilgisayarinizdaki trojanlardan kurtulun.

3. Norton anti-virüs gibi, bir dosyayi çaliştirmadan kontrol eden bir anti virüs programi kullanin ki dosyalara trojan bulaşmişsa çaliştirmadan uyari alin.

4. Anti-trojan programlari kullanin.

* Firewallar güvenlik mekanizmalarinin ilk aşamalaridir.

4.3.4. Anti-Trojan Programlari

NETBUSTER:

Netbuster programi netbus(trojan) kullanicilarina karşi sistemi koruma amaçli bir programdir.

Netbus ile sizin bilgisayariniza baglanan kullanicilari tespit edip onlardan korunmak için geliştirilmiş bir programdir. Bu program yardimiyla o anda bilgisayariniza baglanmiş olan hackerlara mesajlar gönderebilir ve onlarla oyun oynayabilirsiniz. .Bu programin asil amaci tam olarak bir güvenlik saglamak degildir. Netbus kullanarak bilgisayarinizin portlarina baglanan başka kullanicilari o portlardan uzak tutmak amaçlidir.

Netbuster' in genel olarak iki kullanım amacı vardır. Birincisi bilgisayarınız da bulunabilecek trojanları temizleyerek bilgisayarınızı olası hackerlardan kurtarmak, ikincisi ise, bilgisayarınıza netbus kullanarak bağlanmaya çalışan kişilerin ip adreslerini tarihleri(gün--saat) ile birlikte kaydederek, karşıdakinin size ne yapmak istediğini ve onun bilgisayarı hakkındaki bilgileri öğrenebilirsiniz böylece sizde ona karşı bir oyun oynayabilirsiniz. Çoğu kullanıcı netbus SERVER ile Netbus Client arasındaki farkı bilemezler . ikisini birden çalıştırırlar ve farkında olmadan kendilerinede trojan bulaştırmış olurlar.Böylece sizde onun bilgisayarı üzerinde hüküm kurabilirsiniz.

NETBUSTER NASIL ÇALIŞIR?

Net buster I çalıştırdığınızda hafızanızdaki kayıtlı Netbus SERVER lerini tarar. Bulunduğu takdirde bunlar silinecektir ve program size kendiliğinden çalışan dosyaların olup olmadığını soracaktır. Eğer yoksa muhtemelen netbus server sisteminizde kayıtlı değildir ve ya tanınmayan bir versiyonudur. Aksi takdirde portlarınız netbus server'a bağlı veya kullanılıyor demektir.

Netbuster 1.31 programında VARIOUS seçeneğini kullanarak programın kullanımında değişiklik yapabilirsiniz . Mesela şekilde görüldüğü gibi, biri sizin makinanıza bağlandığında don't disconnect seçeneği var: Bu demektir ki bir kişi bilgisayarınıza bağlandığında onu disconnect etmiycektir. Seçenekleri değiştirerek 60 saniye içinde bağlantıyı kesmesini yada bir mesaj gönderip öyle disconnect olmasını da sağlayabilirsiniz.

NETBUSTER HAKKINDA BİLGİ ALABİLECEĞİNİZ VE DOWNLOAD EDEBİLECEĞİNİZ BAZI SİTELER:

http://surfto.netbuster.com/

http://www.nttoolbox.com/netbus.htm

http://www.davidm.8m.com/netbus.html

http://www.kdrserve.com/support/netbus.html

http://net-security.org/sw/arhatroj.htm

Saldırı türleri, bunların korunma yolları,çeşitli güvenlik programları hakkında merak ettiklerinizihttp://indigo.ie/~lmf/home.htm adresinden öğrenebilirsiniz. Burada ekranın sol tarafındaki menüden hakkında bilgi edinmek istediğiniz konuyu seçin ve dilediğiniz programı download edin.

PROTECTOR PLUS:

Bilgisayarınızda bulunan trojan türü programları bularak bunları etkisiz hale getirmeye yarayan bir programdır.

Protector plus programını çalıştırdığınız da Sizin seçtiğiniz bir alanı tarayarak herhangi bir trojan bulduğunda bunu bilgisayarınız dan siler ve işlem bittiğinde de raporu size gösterir. Bu rapora göre bilgisayarınızda trojan bulunmuşsa bunları listeleyerek üzerinde yapılan işlemleri listeler.

THE AGGRESSOR

The Aggressor NEDİR ?

The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için geliştirilmiş bir network yönetim ve korunma programıdır. Türkiye' de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir. Henüz program çıkmadan bile programın Web Sitesine günlük ortalama 54.000'in üzerinde ziyaret yapılmaktaydı. Son derece modüler olan programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile ekleyebilir, hatta SDK'sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur. Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir. Bu komut arabirimi (CLI) sayesinde Aggressor'ın GUI'si ile yapabildiği herşeyi komut satırları ile yapmak mümkündür.Crashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır!

5. Windows NT İçin Diğer Güvenlik Programları

5.1. Desktop Sentry

Bu program bilgisayarınız internete bağlıyken başka biri tarafından bilgisayarınıza sızılmışsa bunu size bildirir ve önlemini almanızı sağlar.

Sizin dışınızda herhangi bir logon aktivitesinin olup olmadığını kontrol eder. Eğer biri sizin bilgisayarınıza bağlanmışsa taskbardaki ikon yanıp sönerek sizi uyarır. O anda ikona tıklayarak kimin ve nereden bağlandığını öğrenebilirsiniz. Örneğin "Gezgin from baum" yazıyorsa bu gezgin isminde bir kullanıcının baum dan sizin bilgisayarınıza bağlandığını gösterir. Bu kullanıcıyı menüdeki disconnect seçeneğini kullanarak disconnect edebilirsiniz.

http://www.ntobjectives.com/desktop.htm

download:http://www.ntobjectives.com/dsinstall.exe

5.2. Kremlin Encryption And Security Suite 2.21

Şifreleme programı. Özel dosyalarınızı şifreliyerek koruma altına alabilirsiniz.

http://www.mach5.com/kremlin

download:http://www.mach5.com/download/krem221.exe

5.3. Secure4U

İlk MS Windows tabanlı firewall'dur. Sendbox teknolojisini kullanır. Bu teknoloji dışarıdan gelen herhangi güvenilmeyen veya bilinmeyen dosyalara karşı bilgisayarınızdaki dosyaların etrafında bir kalkan oluşturarak sisteminizi koruma şeklindedir.

http://www.Secure4U.com

download :http://www.secure4u.com/

5.4. NTSec 4.9.1

Nt dosyalarının korunumunu ve kullanımını kontrol eder.

Program bazı konutlardan oluşuyor. Bu komutları kullanarak birçok işlem gerçekleştirilebilir.

Komutların açıklamaları:

SAVEACL.EXE: Dosyaları ,dizinleri ve kullanıcıların haklarını bir dosyaya kaydeder.

RESTACL.EXE: Kullanıcı haklarını dosyaları ve dizinleri saveacl dosyasından alır.

LISTACL.EXE: Aynı dosyadaki bilgileri listeler.

SWAPACL.EXE: Aynı bilgileri bir başka kullanıcıya aktarır.

GRANT.EXE: Kullanıcının dosya üzerindeki haklarını başka kullanıcılara aktarır.

.. vb gibi işlemleri bu komutlarla yapabilmeniz mümkün.

http://www.pedestalsoftware.com/ntsec

download:http://www.pedestalsoftware.com/ntsec

5.5. Security Explorer TM v3.20

Windows NT adminlerinin NTFS sürücülerini, paylaşımları kontrol etmelerini ve üzerinde değişiklik yapmalarını sağlar.

Seçilen dizinlerde ve dosyalarda hakların denetlenmesi ile ilgili bir pencere. Seçilen dosyalar everyone olarak gözüküyor. Yani bu dosyaları sisteme giren herkes kullanabiliyor . Bu menü de oynamalar yaparak istenilmeyen kullanıcıların bu dosyalara ulaşmaları engellenebilir.

Bu programla dosyalar üstünde hüküm kurabilirsiniz. Örneğin bir dosyanın ve ya dizinin kullanım haklarını tamamen kısıtlayabilir ve ya tümüyle serbest bırakabilirsiniz. Bu program ile kullanıcının ulaşabileceği şeyler konusunda çok daha fazla yetkiye sahipsiniz.

Örneğin saha dizininin haklarını everyone için yani tüm kullanıcılar için 'full control'olması sağlanabilir veya çeşitli opsiyonların bulunduğu 'Modify Permissions' penceresinden istenen özellikleride ayarlayabilirsiniz.

http://www.smallwonders.com

download:http://www.smallwonders.com/index.asp?BODY=/download.asp

5.6. Advanced Security Control Manager

Windows NT yöneticilerinin dosya paylaşimlarini her kullanici için ayri ayri ayarlamasini kolaylaştirir. Bu program ile hangi kullanicinin hangi programlari ne zaman kullanabilecegi ayarlanabilir.

Yapilmasi gereken tek şey bir program seçip kullaniciyi belirtmeniz ve hangi zamanlar arasinda kullanicinin bu programi kullanmasini istemiyorsaniz ayarlamaktir. Eger kullanici programi istenilen saatlerin dişinda kullaniyorsa bir "ACCESS DENIED" mesajı ile karşılaşacaktır.

http://www.protect-me.com/asc/

download:http://www.protect-me.com/asc.zip

5.7. Quicklook 1.0

NT için hızlı bir güvenlik taraması.

http://www.shavlik.com/products

download:http://ftp.shavlik.com/

5.8. NTO Scanner

TCP/IP portlarını tarayarak ayrıntılarıyla kullanıcıya gösterir.

Windows nt için yazılmış oldukça hızlı bir TCP/IP port tarayıcısıdır. Network adminleri ve güvenlik uzmanları için tasarlanmış olup, daha çok zaman kazanmak açısından karmaşık işlemleri eleyerek network kullanıcılarını doğrudan karşısına alır. Bu program hızlı bir network de 65.000 port u 5 dakika içinde tarayabilir.

Programın çalışması için gerekenler: WİN NT 4.0 Service Pack 3

800*600 Ekran çözünürlüğü 32 MB ram'larda garanti edilmiyor. TCP/IP networklerde en iyi 96 MB ram ile çalışıyor.

http://www.ntobjectives.com/prod02.htm

download:http://www.ntobjectives.com/NTOScanner126.exe

5.9. Service Pack

Service Pack Windows NT için bir arka kapı(bug) giderme programıdır. En son sürümü olan SP5 daha öncekileri ile aynı içerikli olup performans açısından artıları bulunmaktadır. Service Packin NT için giderdiği buglardan biri OOB Nuke dir. Makinanın 139. Portuna bağlantı yapılmasıyla gerçekleşen bu bug I denetim altına almıştır. Ayrıca bir hack programı olan Getadmin programını da engelleyebilmektedir. Service Pack in giderdiği bugların daha ayrıntılı bilgilerini internetten elde edebilirsiniz. Ayrıca SP5 de ek olarak 2000 yılı sorunu için Y2K update diye bir yazılım da eklenmiştir. Bu yazılım çalıştırılarak tarihlerin yaratacağı sorunda NT clientler için çözümlenebilir.

Service Pack Hakkında daha fazla bilgi için önerebileceğimiz bazı adresler şunlardır:

http://freehosting2.at.webjump.com/311c8803d/eh/eh-security/index.html

http://www.eh-securitycom/index3.html

http://support.microsoft.com/support/kb/articles/Q225/0/37.asp

http://www.microsoft.com/security/default.asp (microsoft security advisor)

diger bir kaynak;

Bilgisayar güvenliği için 4 zorunluluk.

Bilgisayarınızın güvenliği sağlayabilmek için dikkat etmeniz gereken konuları genel de askıya alıyor ya da hiç bilmezden geliyoruz aslında bu iş çok, basit son zamanlar birçok güvenlik yazlımı firması artık tüm servisleri bir arada sunuyor. Bilgisayarınız tam anlamıyla güvenli olması için dört kriteri eksiksiz uygulamanız gerekiyor.

# İşletim sistemi güncellemeleri ****

(Windows için otomatik güncellemeleri açık tutun ve her zaman yükleme seçeneğinde bulunsun.)

# Firewall ***

( Firewallar; trojan ve virüs aktivitelerini engelleyebldği gibi port scannerla açık portlarınızı arayanlara karşı koruma sağlıyor, siz izin vermedikçe hiç bir program bilgisayarınız dan hiçbir bilgiyi kötü niyetli kişilere gönderemez.)

# Anti Virüs **

(Anti Virüsler bilindiği gibi tüm virüs, solucan ve varyantlarına ayrıca reklam bot ve trojanlarına karşı koruma sağlıyor, bunların bilgisayarınıza bulaşmasını engelliyor ve siliyor Bu programların işlemini yapabilmesi için mutlaka otomatik güncellemelerini açınız/yapınız)

# Anti Spyware *

(Casus programlar, reklam botları yanı sıra kayıt çeşitli web sitelerinden bulaşmış toolbar aslında zararlı olan programcıkları engelliyor / sistemiz den siliyor )

İşletim sisteminizin güncellemelerini otomatik yapabileceğiniz gibi Microsoft Update sitesinden yapabilirsiniz.

Anti Virüs, Spyware ve Firewall için tercih edebileceğiniz yazılımların en iyini sizler için yazalım. Artık bu üç hizmeti birçok firma birlikte sunuyor.

# Zane Alarm Internet Security Suite

( Firewallar olarak çok güçlü ve güvenilir bir yazılım anacak anti virüs olarak kişisel tecrübelerim aynı şeyi söyleyemiyor

# Kaspersky Personal Security Suite & Kaspersky Internet Security 2006

( Anti virüs ve Anti hacker firewall olarak çok güçlü bir yazılım, kesinlikle tavsiye edebileceğim güvenlik paketidir.

# Norton Internet Security 2006

( Norton dünyaca ünlü bir marka ancak kişisel fikrim anti virüs özelliğinin çabucak aldatılabilmesidir.

# McAfee Internet Security Suite

( Anti virüs ve firewall olarak başarılı bir program ve oldukça iddalı

# MKS 2005

( Anti virüs programı ve geçen ve bu yılın en iyi anti virüsü olduğunu testlerce ispatladı.

Daha bir çok yazılım mevcut, eğer anti virüs programınız memnun ve yeterli görüyorsanız mutlaka işletim sistemi güncellemelerinizi yapmalı ve ZoneAlarm Pro (Sadece Firewall) �ı mutlaka yüklemenizi tavsiye ederim.

Ücretsiz anti virüsler yazılımları

# Antivir PersonalEdition

( Dünyaca ünlü ücretsiz anti virüs programı

# Avast Home Edition

( Ev kullanıcıları için ücretsiz anti virüs programı

==================================================================

programlari google gibi bir arama motorunda rahatlikla bulabilirsiniz.

guvenli gunler.

not: kelime hatalari icin ozur dilerim, dikkat ettim ama mutlaka olmustur. ALINT

0

|

ImAgiNaRY

Yüzbaşı

480 Mesaj

12 Mayıs 2006 00:02:26

quote:

Orijinalden alıntı: Hover_Craft

---hangi sisteme hangi antivirus----

bu konuyu 3 secenekte inceleyecegiz

1.yavas sistem(1 ghz islem 256 mb ram ve bundan asagisi)

2.orta seviye sistem(1-3 ghz islemci 512 ram)

3.guclu sistem(3ghz islemci 1gb ram ve ustu)

-----1.yavas sistem(1 ghz islem 256 mb ram ve bundan asagisi)-----

windows xp isletim sistemi ram canavari oldugu icin 256 mb ram cogu zaman yetersiz gelebiliyor.Hele birde antivirus, firewall , anti spyware gibi guvelik yazilimlari arka planda calisirsa internette dolasmak iskence haline geliyor.

burdaki amacimiz en az sistem kaynagi tuketen programlari kullanmak, 2 sinif olarak oneri yapacagim ;ucretli ve ucretsiz programlar.

ucretli programlar: kerio firewall(ucretsiz ama ucretlilerden iyi sayilir;) , antivir PersonalEdition Premium ve

spyware doctor

ucretsiz programlar; kerio firewall, avast home edition, adware s.e..

alternetif: bitdefender security suit

bu programlar kendi tecrubelerime dayanarak size tavsiyelerimdir.

---------2.orta seviye sistem(1-3 ghz islemci 512 ram)----------

bir onceki sistemden daha hizli ve ram olarak yeterli olabilecek seviyede bir sistemimiz var.Yani burdaki amacimiz elimizdeki ile en iyi korumayi yapmak,

ucretli; zone alarm pro+avast pro+ adwatch(adware pro)

ucretsiz: zone alarm free+ avast home + microsoft antispy

alternetif: zone alarm security suit+antivir free edition.

-------3.guclu sistem(3ghz islemci 1gb ram ve ustu)--------

guclu bir sistemimiz var ve bunda istedigimizi yapabiliriz Guclu sisteme guclu koruma yakisir deyip tavsiyelere geciyoruz.

ucretli ; kaspersky pro+ zone alarm pro+ adwatch

alternatif ; nod32 +zone alarm security suit

alternatif; f-secure security suit

ucretsiz: zone alarm free + avast home edition+ microsoft antispy

---guvenligi tamamen ele almanin yollari---

aslinda guvenlik yazilimlari ne kadar bizi korurlarsa korusunlar bize de is dusuyor,warez icerikli gibi sitelere girmezsek , bilmedigimiz e-postalari acmazsak pek de sorun olmaz.birde internetten guvenlik konusunda bilgiler edinirsek daha bilincli bir pc kullanicisi oluruz

asagidaki yazilar cesitli sitelerden alintidir

Bilgisayar Güvenliği

1. Giriş

2. Güvenlik

2.1. İnternet Güvenliğine Bir Bakış

2.1.1. Genel Çerçeve

2.1.2. Şifreleme

2.1.2.a. Şifrelemenin Yeri

2.1.2.b. Şifreleme Yöntemi

2.1.2.c. Private Key Ve Public Key Kavramları

2.1.2.d. Neler Şifrelenmeli?

2.1.2.e. Kullanıcı Belirleme

3. Windows NT'de Güvenlik

3.1. İnternet Protokolünün Zayıf Noktaları

3.2. Network Topolojisinin Zayıf Noktaları

3.2.1. Hacker

3.2.2. Hackerlar Sisteme Nasıl Zarar Verebilirler?

3.3. DNS ve IP nedir?

3.4. Firewall

4. Saldırı Türleri

4.1. Nuke

4.1.1. Nuke Nedir?

4.1.2. Çeşitleri

4.1.3. Nuke Programları

4.1.4. Nuke'tan Nasıl Korunulur?

4.2. Exploitler

4.3. Trojanlar

4.3.1. Trojan Nedir?

4.3.2. Neler Yapabilir?

4.3.3. Nasıl Korunulur?

4.3.4. Anti-Trojan Programları

5. Windows NT İçin Diğer Güvenlik Programları

5.1. Desktop Sentury

5.2. Kremlin Encryption Ve Security Suite 2.21

5.3. Secure4U

5.4. NTSec 4.9.1

5.5. Security Explorer TM v3.20

5.6. Advanced Security Control Manager

5.7. Quicklook

5.8. NTO Scanner

5.9. Service Pack

6. Windows NT İle İlgili Web Siteleri

1. Giriş

Kitlesel iletişim araçlarının önemini daha çok arttırdığı günümüz dünyasında bilgiye hızlı bir şekilde ulaşmak gelişmiş toplumların temel ihtiyaçlarından birisi olmuştur. Bu ihtiyaç sayesinde bu toplumlarda 1980'li yıllardan itibaren bilgisayar ağları konusunda önemli gelişmeler sağlanmıştır. Internet te, bu çalışmalar neticesinde ortaya çıkan ve yaygın olarak kullanılan bir bilgisayar ağıdır.

Bütün bilgileri hızlı bir şekilde elde etmek için ilk önce kuruluşlar kendi yerel ağlarını kurmuş ve daha geniş bir etkinlik alanına sahip olabilmek için yerel ağlarını dünyaya entegre etmek ihtiyacını hissetmişlerdir. NetWork teknolojisi de bununla birlikte gelişmiş ve değişik protokollerin ortaya çıkması kaçınılmaz olmuştur.

Internet sınırsız bir bilgi ortamı olmasına rağmen yasalarla tam anlamıyla denetlenememektedir. Kusursuz olmayan NetWork ağlarında güvenlik açıkları bulunmaktadır. Bazı kullanıcılar bu güvenlik açıklarından faydalanarak bazı sistemlere girip onlara zarar verebilirler. Bu da NetWork ortamında güvenliği sağlamak amacına yönelik yazılımların ve sistemlerin ortaya çıkmasına sebep olmuştur.

2. Güvenlik

2.1. İnternet Güvenliğine Bir Bakış

2.1.1. Genel Çerçeve

Firewall' lar güvenlik mekanizmalarının ilk aşamalarıdır, ancak bilgilerimizin duyarlılığı arttıkça bununla beraber şifreleme ve kullanıcı doğrulama (authentication) tekniklerinden de yararlanmak gerekmektedir.

Ağ yöneticileri için ağın güvenliği, başkaları tarafından - özellikle dışarıdan ağa dahil olacaklar tarafından- zarara uğratılmaması, her zaman için en önemli, en zor ve en çok sıkıntı yaratan konulardan biri olmuştur. Bir yolunu bulup ağa dahil olmuş kişiler tarafından ağa zarar verilmesi, belki bundan daha da önemli olmak üzere, gizli bilgilere ulaşması, ağ yöneticileri için korkuların başında gelmekte idi. Bu gün için ise durum daha da kötüdür. Bahsetmiş olduğumuz korkular, internet kavramı bu kadar yaygın değilken ve kuruluşlar bu ortama dahil olmak konusunda bu kadar istekli değilken yaşanan korkulardı. Oysa internet denilen ve çok güçlü olması gerekmeyen bir bilgisayar ile basit bir programdan başka bir şey istemeyen ortamın insanların kullanımına açılması, bunun kuruluşlar tarafından da çok cazip bir ortam olarak görülmesi, ağ yöneticileri için yeni kaygıların başlangıcı olmuştur. Bu gün dünyanın hemen her tarafındaki şirketler internete dahil olmak Web sayfaları arasında kendilerine ait olanı da görmek istemektedir. Bazıları ise şirket için bir intranet kurulması isteniyorken bu ortamdan yararlanmak istemektedir. Bu da tabi gizliliği yüksek olan bilgilerin, genel kullanıma açık bir ağ ortamına çıkarılması manasına gelmektedir ki ağ yöneticileri için yeni zorlukların da başlangıcının işaretçileridir.

Tabi bu durumlar karşısında, ağ güvenliğini sağlayacak ürünler devreye girmiş, bu konuda değişik teknolojiler geliştirilmiştir. Bu çalışmalardan biri de firewall' lardır. Yalnız maalesef bunlar da ağ yöneticilerinin beklentilerini tam olarak karşılayamamışlardır. Computer Security Institute (Bilgisayar Güvenliği Enstitüsü)' ün açıklamalarına göre internet üzerindeki şirketlerin beşte biri istenmeyen dış müdahalelere uğramıştır. Bunların da üçte biri kurulu bir firewall' a sahipti. Yani firewall' lar, ağ yöneticilerinin beklediği güvenliği sağlayamamıştır.

Internet üzerinden dünyanın dört bir tarafından erişilebilir hale gelmiş şirketler için böyle tehlikeler söz konusu iken, bazı ağ yöneticileri bu tehlikelerden habersizdir. Bu konuda çalışmalarda bulunmuş bazı uzmanların belirttiğine göre, ağ yöneticilerinin bir kısmı, internet ortamında veri çalmanın ne kadar kolay olduğunu bilmemektedir ve aslında gerçek tehlikeyi oluşturan da budur.

Güvenliği sağlama konusunda yararlanılabilecek bir başka araç da 'Şifreleme' dir. Pek çok firewall üreticisi, şifreleme araçlari ile çalişmayi desteklemektedir. Yönlendirici (router) üreticileri de bu konuda çalişmakta olup, şifrelenmiş bilgileri yönlendirebilen routerlar da üretilmiştir.

Uygun bir güvenlik sistemi oluşturmak için, aga ve iletilecek bilgilere ilişkin bazi unsurlarin göz önüne alinmasi gerekmektedir. Karar verilmesi gereken konulardan ilki, şifreleme işleminin nerede yapilacagidir. Bazi çözümler uygulama seviyesinde bu işi yapiyorken bazilari IP yigininda yapmaktadir. Uygulama seviyesinde yapilan şifrelemede ag yöneticilerine şifrelemeyi istedikleri şeyleri seçme şansi da verilmektedir.

Cevaplanmasi gereken ikinci soru, verilerin nasil şifrelenecegidir. Şu anda en çok kullanilan iki yöntemden biri 56 bitlik şifreleme anahtari, digeri ise 128 bitlik şifreleme anahtari kullanmaktadir. Güvenlik danişmanlarinin kanul edebildigi, yeterli olabilecek minimum anahtar uzunlugu 56 bittir. Burada üzerinde durulmasi gereken bir diger konu da, paketin nerelerinin şifrelenmesinin yeterli olacagidir. Bazi ürünler, tüm paketi, başlik kismi da dahil olmak üzere şifrelerler. Digerleri ise sadece bilgi kismini şifrelerler.

Genel Çerçeve paragrafinda da belirtildigi gibi, iyi bir güvenlik saglamak için kullanici dogrulama (authentication) mekanizmasinin da kurulmasi gerekmektedir. Bunun manasi, internet üzerinden birisi ile baglanti kuruldugunda, irtibat halinde bulunulanin kimliginin tam olarak belirlenmesidir. Bunun için üreticiler degişik çalişmalarda bulunmaktadirlar.

Bu noktada, güvenlik konusu ile ilgili yapilan çalişmalarda sikça karşilaşilan ve hala daha yeterli düzeye gelinemeyen bir konudan bahsetmek gerekir ; Standart. Internet güvenligi ile ilgili pek çok çalişma yapilmasina ragmen, bu alandaki hizli gelişmeler, hala daha bir standardin oturtulamamasina sebep olmuştur.

Günümüzde, internet ortamina açilma konusunda hemen hemen tüm şirketler isteklidir. Her ne kadar bu ag yöneticileri için çözümü çok zor sorunlari beraberinde getirse de kaçinilmaz olarak bu yöne dogru hizli bir yönlenme olmaktadir. Ancak bu demek degildir ki internet ortaminda güvenlik saglanmiştir ve kuruluşlar ayni mantik ve rahatlikta davranmaktadir. Bu konudaki rahatlik derecesi dogal olarak yapilan işin ve bununla da baglantili olarak taşinmasi gereken bilginin mahiyeti ile ilgilidir. Örnegin bir banka için bilgilerini internet ortaminda gezdirmek, şu an için çok akillica bir işlem degildir. Internet ortamindan müşterilere sunulan ev bankaciligi hizmetleri de, alt düzeylerde kalmaktadir. Önemli verilerin aktarilmasi işlemi için bankalar genellikle özel hatlari tercih etmektedirler. Internet ortaminin sagladigi güvenlik ortamina inançlari, şu an için bu bilgilerin bu ortama aktarilmasi için yeterli olamamaktadir.

Bunun yaninda, bu konularda biraz daha rahat davranabilen kuruluşlar da vardir. Bunlar belki biraz da kendi geliştirdikleri güvenlik mekanizmasinin da yardimiyla, internet ortamindan veri aktariminda yararlanmaktadirlar. Bununla ilgili olarak söylenen, kuruluşlarin ihtiyaçlari dogrultusunda, degişik ürünlerin degişik modüllerinden yararlanmak suretiyle, kabul edilebilir bir güvenligin saglanabilecegidir. Fakat her şeye ragmen şu an için internet ortaminin güvenligi konusu üzerinde daha çok düşünmek gerekmektedir. Mevcut hali ile pek çok tehlikeye açik durumdadir.

2.1.2. Şifreleme

2.1.2.a. Şifrelemenin Yeri

Daha önceden de degindigimiz gibi, şifreleme konusunda karar verilmesi gereken bazi hususlar vardir. Bunlardan ilki de, şifrelemenin nerede yapilacagidir. Bu konuda iki alternatif mevcuttur. Bunlardan biri IP yigininda şifreleme yapmak, digeri ise uygulama yazilimi seviyesinde şifreleme yapmak. Şu anda piyasada mevcut ürünlerin % 70' ten fazlası, IP yığınınında şifreleme işlemini yapmaktadır. Bu yöntemdeki yaklaşım, kurulmuş olan bir bağlantı üzerindeki bütün verilerin şifrelenmesine dayanır. Güvenlik konusunda titiz davrananlar için (örneğin bankalar) oldukça iyi bir yaklaşımdır. Yerel ağdan dışarı giden herşey şifrelenir. Böylece mümkün olan en üst düzeyde güvenlik sağlanmaya çalışılır.

Bu yaklaşımın dezavantajı, fazla CPU zamanı almasıdır. Şifrelemeye ilişkin işlemler, karmaşık hesaplamaya dayalı işlemlerdir. Dolayısıyla, gelen ve giden her şeyin şifrelenmesi, çok fazla CPU zamanı alacaktır. Bu ağın transfer hızına da yansıyacak, birim zamanda aktarılan veri miktarını düşürecektir.

Bu olumsuzlukları minimuma indirmek için üreticiler değişik yollara başvurmuşlardır. Router' ın veya ayrı bir cihaz olarak gerçeklenen şifreleyicinin ayrı işlemcilere sahip olması bu yöntemlerden biridir.

Şifrelemenin yapılacağı yer konusundaki diğer alternatifin uygulama seviyesindeki şifreleme olduğunu söylemiştik. Bu yaklaşımın avantajı, ağ yöneticisinin, neyin şifrelenip neyin şifrelenmeyeceğine karar verebilmesidir. Böylece ağ yöneticisi, şifrelenmesine ihtiyaç olmadığını düşündüğü şeylerle ilgili zaman kaybının önüne geçebilecek, bu da CPU zamanını kazanmamızı sağlayacaktır. Ancak böyle bir çalışma düzeninde, veriyi alacak olan tarafın, nelerin şifrelenip nelerin şifrelenmediğini bilmesi gerekmektedir. Bu da, ilgili bazı parametrelerin uygun değerlere getirilmesini gerekmektedir. Bu işlem de, ağ yöneticisinin zamanını alacaktır.

2.1.2.b. Şifreleme Yöntemi

Ağ yöneticisi şifrelemenin nerede yapılacağına karar verdikten sonra, düşünmesi gereken ikinci şey, şifrelemenin nasıl yapılacağı, hangi tekniğin kullanılacağıdır. Şu an için en iyi bilinen ve en çok kullanılan yöntem Veri Şifreleme Standardı (Data Encryption Standard - DAS)' dır. İlk olarak 1970' lerin başlarinda geliştirilmiş, Amerika Birleşik Devletleri tarafindan 1977' de son hali verilmiştir. Bu teknikte, 64 bitlik text bloklari 56 bitlik anahtarlar kullanilarak şifrelenir. Bu bize trilyonlarca farkli anahtar sunar. Dolayisiyla ilk bakişta çözülmesi imkansiz bir şifre gibi gözükse de aslinda günümüzün güçlü bir makinasi bunu çözebilir. Dolayisiyla yakin bir gelecekte 56 bitlik şifrelemenin yetersiz kalacagini söyleyebiliriz.

Bu yetersizlik karşisinda "üçlü DES" denilen bir teknik geliştirilmiştir. Burada yapilan, yukarida bahsedilen her bir blogun şifrelenmesinde üç ayri anahtarin kullanilmasidir. Bu teknik günümüzde yavaş yavaş kullanilmaya başlanmiştir. Degişik üreticiler, bu teknigi kullanan ürünlerini piyasaya sumuşlardir. Bunlara örnek olarak IBM' in Securenet Gateway 2.1 firewall' unu verebiliriz. NEC, NSC ve Western Datacom da bu tekniği kullanan ürünler piyasaya sürmüşlerdir.

Şifreleme yöntemi olarak DES' ten başka algoritmalar da piyasada bulunmakta ve kullanilmaktadir. Bunlar; Checkpoint tarafindan üretilen FWZ1, IRE tarafindan üretilen Atlas ve IBM tarafindan üretilen Command Masking Data Facility (CMDF) dir. Bunlarin tamami 40 bitlik algoritmalardir. Northern Telecom Ltd. tarafindan geliştirilen CAST, 40 ila 64 bit araliginda degişen uzunlukta anahtar kullanmaktadir.

2.1.2.c. Private Key Ve Public Key Kavramlari

Şifreleme mekanizmasi için karar verilmesi gereken bir nokta da, private-key mi yoksa public-key mi kullanilacagidir. (Aslinda public-key ile anlatilan bir public-key ve bir private-key içerir. Karişikligi önlemek ve yöntemleri bir birinden ayirmak için böyle bir isimlendirme yapilmiştir.)

Esas olarak bir anahtar, aktarilacak verinin kodlanmasi ve kodlanmiş verinin çözülmesi için kullanilan bir algoritmadir. Private-key şifreleme yaklaşiminda, her iki işlem için de ayni anahtar kullanilir. Public-key şifreleme yaklaşiminda ise public-key ve private-key birlikte kullanilirlar.

Private-key yaklaşimi kullanilarak geliştirilmiş ürünlerde, ag üzerinde çalişmakta olan herkese bir anahtar verilir. Buradaki önemli nokta, bu anahtarlarin, istenmeyen ellere geçmesine mani olmaktir. Burada da, private-key' lerin kullanıcılara nasıl dağıtılacağı konusu gündeme gelmektedir. Çünkü bu dağıtım işlemi esnasında da anahtarlar istenmeyen ellere geçebilir. Bu iş için e-mail'den yararlanılabileceği gibi ( gerekli güvenlik önlemleri alınmak kaydıyla), telefonla da bu anahtarlar sahiplerine aktarılabilir. Tabi tüm bu işlemler sırasında güvenliğe azami derecede dikkat etmek gerekmektedir.

Şifreleri kişilere atamanın bir başka yolu da, bir sunucu vasıtasıyla dağıtma işlemini yapmaktır. Bu durumda, şifreleri ele geçirmek isteyenlere direkt bir hedef sunulmakta, burada sağlanacak yeterli bir güvenlik mekanizması ile, bu tehlike de önlenebilmektedir.

Private-key yaklaşımı ile ilgili olarak yaşanabilecek bir başka sorun da, ortak kullanılacak bir bilginin karşılıklı olarak paylaşıma açılması esnasında yaşanabilecektir. Bunun için öncelikle private-key' lerin değiş-tokuş edilmesi gerekmektedir. Bunun için e-mail sisteminin kullanıldığını düşünürsek, bu zaman alabilecek,bu gecikmeler de sorunlara sebep olabilecektir.

Public-key yaklaşımında ise, ağ üzerinde yer alan her kullanıcıya iki anahtar atanır : private-key ve public-key. Private-key' ler, yukarıda anlatıldığı gibi kullanıcılara dağıtılır. Burada gizlilik yine esastır. Bütün kullanıcılara ait public-key' ler ise, herkesin erişimine ve kullanimina açiktir.

Bu şekilde her kullaniciya iki ayri anahtar atamanin temel sebebi, private-key ile yaşanan, verilerin karşilikli olarak aktarilmasi esnasinda zorunlu olan, private-key' lerin değiş-tokuşu işleminden kurtulmak, dolayısıyla bunun getirdiği zorlukları bertaraf etmektir. Yöntemin nasıl çalıştığını anlatarak, mekanizmayı daha iyi anlayabiliriz;

Farklı yerlerde bulunan iki kullanıcıdan birinin diğerine bilgi aktarmak istediğini düşünelim. Bu durumda şifrelemede ihtiyaç duyacağı anahtarlar, göndereceği kişinin public-key'i ve kendisinin private-key' idir. Bu iki anahtarı kullanarak şifreleme işlemini yapar ve verileri karşı tarafa gönderir. Şifrelenmiş verileri almış olan kişi ise, şifreyi çözmek için, göndericinin public-key' ini ve kendisinin private-key' ini kullanır. Dolayısıyla bir kişinin public-key' ini bilmek, ancak private-key' ini de bilmekle anlamlıdır, aksi taktirde hiç bir işe yaramaz. Ayrıca bu yöntem private-key' lerin karşilikli aktarilmasini da gerektirmez.

Görüldügü gibi public-key yaklaşimi bize büyük bir avantaj getirmiştir. Ancak bunun da dezavantajlari vardir. Bunlarin başinda da, birbirlerine şifrelenmiş veri gönderecek bilgisayarlarin her defa yürütmeleri gereken el sikişma protokolleri, ilgili anahtarlari kullanarak bilgileri çözme işlemlerinin CPU zamanindan çok fazla almasidir. Bu işlemler, hesap yogunlugu olan işlemler oldugundan sistemi oldukça yavaşlatacak, ag performansinin %20 azalmasina sebep olabilecektir.

Şu an için private-key yaklaşimi ile ilgili olarak üzerinde çalişilan konularin başinda, anahtar degiştirme işlemini otomatik yaparak, zaman kaybini en aza indirmektir.

Sun Microsystems Inc. tarafindan geliştirilmiş olan Skip (Simple Key Exchange Internet Protocol) yaklaşimi ile de, public-key yönteminin getirdigi her seferinde güvenli erişim için el sikişma protokollerinin koşturulmasi ve dolayisiyla işlemciye fazladan yük getirilmesi durumundan kurtulunmaktadir. Bunun yerine yapilan işlem şöyledir; Bir kere güvenli haberleşme oturumu başlayinca, Skip tarafindan bir oturum anahtari oluşturulur. Bu anahtar geçici bir anahtar olup, bu oturum süresince ilgili kaynaktan veri aktarimi için kullanilir.

Skip ilk bakişta gerçekten çok güzel bir yaklaşim olarak gözükmektedir. Ne yazik ki burada da güvenlik açisindan bazi sorunlar vardir, şöyle ki; Oturum anahtari kullanici tarafindan belirlenen bir periyod boyunca geçerlidir. Bu periyod bir saat oldugu gibi, bir kaç gün de olabilir. Anahtar, network ortaminda bir yerde tutuldugundan, buna ulaşacak kişiler, bu anahtarin geçerli oldugu süre zarfinda, istedikleri verilere ulaşabilirler.

Skip yaklaşimindan yola çikilarak, degişik yöntemler geliştirilmiştir. Skip' in güvenlik konusundaki açığını kapatmak ve daha güvenli bir iletişim sağlamak amacıyla Photuris Session Key Management Protocol (PSKMP) geliştirilmiştir. Burada yapılan, bir kere güvenli oturum başlatıldıktan sonra oturum anahtarını sabit tutmamak, bazı rastgele sayılar, haberleşen bilgisayarların IP bilgilerinden oluşan değerlerin bir karışımını kullanarak, her yeni veri transferinde bunların belirlediği bir oturum anahtarını kullanmaktır. Bunun sayesinde de güvenlik Skip' e göre daha iyi bir düzeye getirilmiş olur, hiz olarak da pek çok public-key ürününden daha iyi bir seviyeye ulaşilir.

2.1.2.d. Neler Şifrelenmeli?

Şifreleme konusunda karar verilmesi gereken konulardan biri de, nelerin şifrelenecegidir; Sadece bilgi içeren kisimlar mi şifrelenecektir yoksa bunlarin yaninda kaynak ve hedef IP' lerini içeren başlik kisimlari da şifrelenecek midir? Eger sadece veri içeren kisimlar şifrelenirse - Cisco, Cylink ve NEC tarafınfan bu yaklaşım kullanılmaktadır - kaynak ve hedef IP adresleri değişmeden internet ortamına çıkarılacaktır. Bu paketlerden birini ele geçirecek kişi, adres bilgilerini elde edebilecektir. Bu bilgilerin başkaları tarafından ele geçirilmesi sorun yaratmayacakmış gibi gözükse de, bu bilgilerden yararlanılarak, firewall' un diğer tarafında yer alan routerlara veya başka cihazlara ilişkin bilgiler elde edilebilinir. Bu bilgiler de kullanılarak firewall' u kandırmak, sanki şirket içinden bir makineymiş gibi ağa ulaşmak mümkün olabilecektir.

Tüm paketlerin şifrelenmesi durumunda böyle bir olasılık olmayacaktır. Şu an için bu işi yapan bir ürün IP Encapsulating Security Payload (ESP)' dir. Kısaca buradaki yaklaşım; Bir güvenlik aygıtı vasıtasıyla IP adres paketlerine yeni kaynak ve hedef adreslerinin eklenmesidir. Yalnız bu adresler, sadece firewall' ları adreslerler. Dolayısıyla dışarıdan birisinin, firewall' un arkasında yer alan herhangi bir cihaza ilişkin bilgileri elde edebilmesi mümkün değildir. ESP yaklaşımını destekleyen şirketler; Border, Checkpoint, IBM, Raptor, V_One ve Western Datacom' dur.

Fakat bu yaklaşim için de bir problem mevcuttur. IP paketine sürekli yeni adreslerin eklenmesi, bu paketin oldukça fazla büyümesine, hatta müsaade edilen siniri aşmasina sebep olabilecektir. Böyle bir durumda da bu paketi bölmek gerekecektir.Bölmelenmiş paketlerin hedefe ulaştiginda kodlarinin çözülmesi biraz daha zor olacaktir. Ayrica bölünmüş paketler hedefe uygun sirada gelmeyebileceklerinden bunlar da sorunlara sebebiyet verebilecektir.

IP şifrelemesi yukarida bahsedilen sorunu önlerken ayni zamanda çalma (hijacking) olaylarinin da önüne geçecektir. Burada yapilan işlem şudur; Dişaridan aga müdahale etmek isteyen kişi, dügümler arasinda giden paketleri takip ederek, amacina uygun bir dügüme ilişkin bir paket yakalamaya çalişir. Böyle bir paket yakaladiginda da, haberleşen iki dügümün arasina girip, hedef dügüm ile konuşmaya başlar. Hedeflenen dügüm hala daha kendi agindan bir makine ile haberleştigini sanarak, veri aliş - verişini sürdürür. Bu sayede de bu dügüm tarafindan üretilen paketler alinirken, hedef dügüme de kendi kodlarini göndererek, bunlarin burada koşmasi, dolayisiyla buraya zarar verilmesine sebep olunabilir. IP şifrelemesi vasitasiyla, bu sorunlarin da önüne geçilmiş olunur.

2.1.2.e. Kullanici Belirleme

Güvenli bir iletişim için sadece şifreleme yeterli olmayacaktir. Şifrelenmiş veriler gönderilmeden önce, kiminle irtibat halinde olundugu bilinmeli, bunun için de karşi taraftaki kişinin kendini tanitici bilgileri göndermesi istenmelidir. Bu işlem güvenlik mekanizmasinin önemli aşamalarindan biri olup Kullanici Belirleme (authentication) olarak bilinir. Şu an için en yaygin kullanilan Kullanici Belirleme araci Security Dynamics Inc. tarafindan geliştirilmiş olan SecurID' dir.

3. Windows NT'de Güvenlik

Nt kaynaklarını (yazıcı,dosya yada uygulama) korumak için onlara erişimi kontrol eder. Buradan kaynakların yetkili kullanıcılar tarafından kullanılabileceği ve yetkisiz kullanıcılar tarafından kullanılamayacağı durumu ortaya çıkar. Windows NT de güvenlik sistemi, kaynakların belli kısıtlamalara (izinlere )sahip olmasıyla sağlanır.

NT işletim sistemi düzenlediği sabit disk, sürücü ve diğer birimlerin korunması için değişik güvenlik yöntemlerine sahiptir.NTFS dosya sistemi, dosya ve dizinlere kullanıcı bazında izinler vererek NT sisteminin ana izin sistemini oluşturur.

Yerel (lokal) bilgisayarların sabit diski ve diğer birimlerin korunması yanısıra network üzerinden sisteme erişecek kullanıcıların da kontrol edilmesi NT koruma sisteminin bir bölümünü oluşturur. NT işletim sistemi bu işlemler için çok sayıda araca sahiptir.

Yönetim araçları:

· NT Explorer

· My Computer

· Server Management

· Command Prompt

NT Kaynaklarına Başvuran bir kullanıcı için tesis edilen kontrol üç ayrı düzeyde düzenlenir:

· Share-level (paylaşım düzeyi)

· Directory-level(dizin düzeyi)

· File-level(dosya düzeyi)

Share-level paylaşım bir dizinin genel olarak network'e (diğer kullanıcılara)paylaştırılmasındır. Dosya ve dizin düzeyindeki paylaşımlar ise yerel bir kullanıcı yada grup için özel izinlerin düzenlenmesidir. Sabit diskteki dizinler ve dosyalar için yapılacak izin düzenlemeleri için My Computer yada NT Explorer kullanılabilir.

İzinler/İşlemler Read Execute Write Delete Set Permission

Take Ownership

No Access - - - - - -

Read x x

Change x x x x

Full Control x x x x x x

Special Address x x x x x x

· Bir disk bölümü NTFS ile formatlandığında 'everyone' grubuna 'full control' olarak açılır. Buna varsayım izin denir.

· Bir grup içinde tanımlı olan kullanıcının bir kaynağa ulaşmasındaki izinleri kullanıcı izinleri + grup izinleri birleşerek kullanıcıyı temsil eder. Grup yada kullanıcı izinlerinden birisinin No Access olması durumunda birleşik (kümülatif) izin No Access olacaktır.

· Çalışan bir NT Server üzerindeki dosya ve dizinlere kimse ulaşamaz. Diğer bir değişle Nt server üzerindeki dosya ve dizinlere network üzerinden diğer kullanıcıların ulaşabilmesi için dosya ve dizinlerin paylaştırılması gerekir.

· Bir dizini paylaştırmak için, Administrators grubunda yada Server Operators grubunda olmak gerekir. Bir dizin yerel yada uzaktan paylaştırılabilir. Yerel yönetim için NT server' a giriş yapilmalidir. Uzaktan paylaşimlar için Server Manager programi çaliştirilmalidir.

Denetim(auditing) bir bilgisayar için, dosya ve dizinler üzerinde belli kullanici yada gruplar tarafindan yapilacak işlemlerin takip edilmesini saglar. Bu işlem için yine My Computer yada NT Explorer ile seçilen dizin yada dosyanin üzerinde farenin sag tuşuna basilarak Properties iletişim kutusu elde edilir. Bundan 'Auditing' düğmesine basılır.

Denetim seçenekleri dizin ve dosya üzerindeki işlemleri belirtir. Bu işlemlerin başarılı yada başarısız şeklinde tamamlanmasına göre işlemler takip edilir. Daha sonra yine Administrative Tools program grubunda yer alan Event Viewer programı ile işlemler takip edilir.

3.1. İnternet Protokolünün Zayıf Noktaları

Internet Protokolünün en zayıf tarafı gelen ve giden bilginin kaynağının ve içeriğinin doğruluğunun kontrol edilememesidir. İstenirse sanki başka bir kaynaktan geliyormuş gibi istenen her hangi bir adrese herhangi bir paket gönderilebilir. Sahte bağlantılar bile kurulabilir. Ayrıca bazı "Yanlış" paketler göndererek işletim sistemleri şaşırtılabilir, hatta kilitlenmeleri sağlanabilir.(Nuke)

3.2. Network Topolojisinin Zayıf Noktaları

Eğer switch kullanılmıyorsa gönderilen bir bilgi ağdaki bütün makinelere uğrar. Sniff olarak adlandırılan bir işlem sayesinde ağda oluşan ya da gelen giden bütün paketlerin içeriklerini izlemek mümkündür. Network'deki yada ISS'lerdeki kötü niyetli kişiler şifrelenmemiş Internet işlemlerinizi izleyebilirler. Mesela e-maillerinizi okumak, chatte konuştuklarınızı görmek, hangi sayfalara bağlandığınızı loglamak vs.

Fakat bu tür işlemleri yapabilmek için çok fazla şey bilmek yada ağ yöneticisi durumunda olmak gereklidir. Ayrıca Linux kullanarak lokal ağda her hangi bir hakka sahip olmadan bu işlemleri yapmak mümkündür. Windows NT bu tür işlemleri yapabilmek için özel sürücüler yüklenmesini gerektirir, bunu da sadece sistem yöneticileri(administrator) yapabilir. Fakat ne yazık ki çoğu şirkette Administration hakkı bir çok kullanıcıda bulunabilmektedir.

3.2.1. Hacker

Hackerları; kendilerini her türlü bilgiye ücretsiz erişmek isteyen insanlar olarak tanımlayabiliriz. Hackerlar bilgisayar hakkında çok bilgilidirler ve bu bilgiyi çoğu zaman bir şirketi zengin etmek için değil de kendileri için kullanmayı tercih ederler. Sistemlerin zayıf noktalarını bulmak ve onları açığa çıkartmak onlara büyük bir zevk verir.

Bir genelleme yapmak gerekirse 2 tip hacker vardir

Siyah Hackerlar (Malicious Hackers) : Hacker olmanın en önemli kurallarından biri olan karşı sisteme zarar vermeme kuralı onlar için pek bir şey ifade etmeyebilir. Açığını buldukları herhangi bir sistemin içeriğini silebilir yada web sayfalarının içeriğini HACKED BY XXX yada OWNED türünden kelimelerle değiştirirler, belirli bir guruba üyelerdir. Çoğu zaman bu guruplar arası savaşlar yüzünden bir çok sayfa yada hükümet sistemleri zarar görür. Bu kişiler kredi kartı ile alış-veriş yapılan sistemleri hack ettikten sonra oradan alış-veriş yapmış olan kişilerin kart numaralarını kullanarak o kişilere büyük ölçüde zarar verebilirler.

Beyaz Hackerlar : Sistemleri sadece bilgiye (daha sonraları da rahatlıkla) erişebilmek için hack ederler. Girdikleri sisteme zarar vermez ve sistem dosyalarını modifiye etmezler.(varlıklarını gizlemek için bir iki log dosyası silmek ya da daha sonrada tekrar girebilmek için kendilerine account açmak haricinde) Aslında son derece tehlikeli işler yapabilecek olmalarına rağmen sadece güvenliğinin zayıflığını ispatlamak amacıyla sayfalarda yada sistemlerde ufak notlar bırakırlar. Diğer bir deyişle sistemi kuran kişilerle dalga geçerler. Genelde iş güç sahibi insanlar olan beyaz hackerlar bir anlamda bedava güvenlik hizmeti verirler .

3.2.2. Hackerlar Sisteme Nasıl Zarar Verebilirler?

Eğer bir şirket Network ile herhangi bir ağa bağlı ise kötü niyetli kişiler sisteminizdeki verilere erişebilirler, verileri değiştirebilirler ve hatta silebilirler. Daha da açarsak şirketinizin müşteri kayıtlarını alabilir, muhasebe kayıtlarını değiştirebilir yada bozabilir veya sisteminizde kayıtlı bulunan tekliflerinizi okuyabilirler. Sistem kalıcı olarak işlem dışı bırakılabilir. Internet bağlantısını bozabilirler, Trojanları sisteminize yerleştirerek sanki makinenin başında oturuyorlarmış gibi her ne isterlerse yapabilirler. Hatta hardware spesifik yazılımlar kullanarak makinenizdeki görüntü kartını olduğundan yüksek bir frekansta çalıştırarak monitörünüzü çalışamaz duruma getirebilirler!

Eğer ev kullanıcısı iseniz, yine yukarıda anlatıldığı gibi sisteminizdeki özel bilgilere erişilmesi silinmesi ve sisteminizin devre dışı kalması mümkündür.

Spoofing : Spoof'un kelime anlamı oyun/parodi/kandırmaktır. Internet ortamında ise Spoofing birkaç alanda karşımıza çıkar. Spoof genel olarak IP'deki (Internet Protokolü) değerlerin olduğundan farklı olarak gösterilmesi demektir.

DNS (Domain Name Service) Spoofing : IRC (Internet Relay Chat) kullanıcıları IP spoofing dedikleri ama aslında gerçek ismi DNS spoofing (address resolution spoofing) olan, DNS Server'ların sahte ARP'lerle kandırılıp istenilen IP'nin olması gerektiğinden farklı bir şekilde çözülmesi demektir. Eğer bir DNS Server'a bir IP adresinin resolve edilmesi için query açtıktan sonra, hemen arkasından çeşitli sahte paketlerle o IP'nin spoofing.is.fun hostuna karşilik oldugu şeklinde bilgiler gönderip DNS Server'ı kandırıp aşağıdaki sonucu elde etmek mümkündür.

Blackwind is aggressor@spoofing.is.fun * The Myth

Blackwind on @#Aggressor

Blackwind using irc.aggressor.net

End of /WHOIS list.

Aslında yukarıdaki örnekteki gerçek host name aggressor@195.174.89.63 idi. Fakat IRC Server'a DNS spoofing yaparak Hostname'i olduğundan farklı bir şekilde gösterdik.

Birçok IRC Server; kendi çapında spoofing protection olarak IP'yi HOST'a daha sonra da aynı HOST'u IP'ye çevirip bilgileri karşilaştirir. Eger karşilaştirmada eşleşme saglanamazsa baglanmaya çalişan hostla baglantiyi keser. Eger DNS Server IP>HOST>IP eşleşmesini dogruluyorsa IRC Server da bu eşleşmeyi kullanir.

IP Spoofing : IP paketlerinin source (kaynak) IP'sini degiştirmek demektir. Böylece paketi alan hostun, paketin geldigi kaynak adresini bilmesini engellenmiş olur. Host gelen paketin sizden degil de başka bir yerden geldigini sanir .

ICQ Spoofing : ICQ Protokolünün spooflanmasi(alaya alinmasi) demektir, başkalarinin yerine başkalarina mesaj atmak için kullanilir.

3.3. DNS Ve IP Nedir?

DNS(Domain Name Services) : DNS, Internet host adlarinin yer aldigi hiyerarşik bir veritabanidir. Internet üzerinde hizla artan host'lara erişimi kolaylaştirmayi saglar. DNS, internet yada UNIX bilgisayar adlarinin çözülmesi için kullanilir. DNS'in düzenlenmesi için TCP/IP'nin kurulu olması gerekir.

Network yöneticisi DNS'i kullanarak domain ve bilgisayar adlarının çözümlenmesini sağlar. HOSTS dosyaları ile bir subnet içindeki ip adresleri bulunur. Birden çok subnet arasında , diğer bir deyişle domainler arsında IP adreslerinin bulunması için DNS' e gereksinim vardır.

IP(INTERNET PROTOCOL) : Internetin önemli bir bölümü IP' ye dayanır. Internet üzerinden yollanan bilgiler bir Internet paketi olarak paketlenir. Paket, Internetin bir kısmından diğerine yönlendirilebilir.

Bir kullanıcı IP numarasını kolaylıkla değiştirebilir. Kullanıcı eğer aynı adres te biri varsa beklemede kalır(ping). Eğer yoksa IP adresini değiştirebilir.

Örneğin :

Ping 155.223.5.8

Pinging 155.223.5.8 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Şimdi kullanıcı IP adresini değiştirme işlemini yapabilir.

Bu sebepten dolayı, yani , IP adreslerinin bu kadar kolay değiştirilebilmesi bir network ün güvenliğinide olumsuz yönde etkilemektedir. Denetlenemeyen IP ler, sistemlerin güvenliğinin zayıf bir noktalarıdır. Bu yüzden saldırı yaptığı belirlenen bir kullanıcı IP sini değiştirerek elinizden kaçmış olabilir.

3.4. Firewall

Yerel ağ ile global ağ arasında bulunan ve giden gelen berileri tarafınızdan belirlenmiş kriterlere göre filtre eden bir bilgisayardır.

Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde firewall bulunması o networklerin güvenliği açısından bir gerekliliktir.

Firewall' ların genel mantığı sisteminize onay verilmeden(authorization) kullanıcıların girmemesini sağlayarak sisteminizi teorik olarak dışarıdan görünmez hale getirmektir.

Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna adres filtreleme(Address Filtering) denir.

İki firewall birarada düşünürsek; gateway'den ve ya gateway'e gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi oluştururlar.

Global Ag daki bir makinaya baglanmak için, ilk önce gateway a baglanmaniz gerekir. Bunun ardindan global networke geçebilirsiniz.

4. Saldiri Türleri

Belli başli saldiri türlerini Dos (nuke), Remote Exploits ve trojanlar olarak ayirabiliriz.

4.1. Nuke

4.1.1. Nuke Nedir?

Nuke siz internete bagliyken ISS nizce size verilen bir ip numarasi yardimi ile bir başka kişinin özel programlar yardimi ile bilgisayariniza paketler gönderilmesi ve bu paketlerin bilgisayariniza zarar vermesidir.

4.1.2. Çeşitleri

OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve Windows 95'in bir bug olan OOB Nuke, işletim sistemi Windows olan bir makinenin 139. portuna (Netbios Session Port) MSG_OOB tipi bir baglanti (connection) yapilmasiyla gerçekleşir.(Service Pack ile halledildi)

Eger Windows 95 kullaniyorsaniz sisteminize mavi ekran vererek Internet baglantisinin kopmasina, Windows NT kullaniyorsaniz sistemin durmasina yol açar.

Land : Bilgisayari kendi kendine senkronize ettirerek Winsock'un sonsuz döngüye girmesini saglar böylece mouse'un bile hareket etmemesine yol açar.

Source IP-Source Port ve Destination IP-Destination Port'un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.

Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir.

Boink; teardrop saldırısının ters olarak çalışan halidir.

Nestea; teardrop saldırısının minör değişimlere uğramış halidir. Aynı zamanda teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.

Brkill : Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paket gönderilirse Windows o anki son bağlantı seri numarasını gönderir. Buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmek mümkün olur.

ICMP Nuke : Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar . Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.

Jolt / Ssping : Windows 95 ve NT'nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür. 65535 + 5 bytelık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.

Smurf : Networklerde Broadcast Address olarak tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerinde çalışan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir. Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse, değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılar kesilir.

Suffer3 : Suffer saldırısı karşı bilgisayara sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.

4.1.3. Nuke Programları

İnternet üzerinden de temin edilebilen,ve sıkça karşımıza çıkabilecek belli başlı nuke programları şöyle sıralanabilir:

Winpack 1.0 , The aggressor , Nuke v3.2, Winnuke...

4.1.4. Nuke'tan Nasıl Korunulur?

NUKENABBER:

NukeNabber kimin size Nuke veya daha farklı yollarla saldırı düzenlediğini öğrenmeniz için tasarlanmış bir güvenlik programıdır. ISP adminlerinin bu hacker'ları belirleyip etkisiz hale getirmeleri için kolaylıklar sağlar.

Birden fazla port u kullanıma sokarak sizin birtek port ile tuzağa düşmemenizi sağlar . Böylece karşıdaki insan sizin hangi portu kullandığınızı kestirmesi çok güç olacağından yoluna oldukça önemli bir engel de koymuş olursunuz.

TCP ve UDP kullanarak yapılan saldırıları tespit etmek için 50 ye kadar port kullanılabilir. TCP ve UDP'nin yanısıra ICMP dest_unreach portlarınıda denetleyebilir.

Bir Saldırı Nasıl Rapor Edilir ?

· Saldırı amacıyla sizin portunuza bağlanan kişinin adres raporunu gözden geçirin.(Bu dosyalara view menüsünden ulaşabilirsiniz.)

· Mümkünse Admin bağlantısı için e-mailleri alın.

Eğer raporlardan bir şey elde edemediyseniz, log dosyasını root@isp e

gönderin.

· E-mail programınızı çalıştırın.

· En son yapılan logonların listesini emailinize geçirin.

· Kısaca başınıza ne geldiğini mesaja ekleyin

· Mesaja gerçek isminizi ve yetkilinin sizinle irtibat kurabileceği bir adres veya telefon bırakmayı ihmal etmeyin.

4.2. Exploitler

Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix'e ait bir exploit Windows için çalışmaz. Bu güne kadar bulunan yaklaşık olarak 1000'in üzerinde exploit vardır.

Windows Null Session Exploit : Windows işletim sistemi, dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip olmadan session, user ve share information'ı verir. Kötü niyetli birisi bu exploiti kullanarak sistem hakkında çok kritik bilgiler sahibi olabilir.

Örnek :

Agis NT Peek utility V0.5 , (C) Copyright by Agis Corp 1998. All rights reserved.

Connecting to : \\194.***.**.**

connection established

Processing..

\\194.***.***.***\NETLOGON (disk) Logon server share

\\194.***.***.***\i386 (disk)

\\194.***.***.***\IE4.3000 (disk)

Getting Session information ..

Server name : TiN User name : (None)

Login Time : 154461 secs (2574 mins) IIdle Time : 559 secs (9 mins)

-----------------------

Server name : MiP Usern name : (None)

Login Time : 573 secs (9 mins) Idle Time : 573 secs (9 mins)

-----------------------

[lord*****]

Password : **********

Account : (lord*****)

Full name : (Lord zerg ******)

Comment : (Administration account)

User Comment : (Dark throne)

Password age : (0) hours

Privledge : Administrator

Home Dir : ()

Script path : ()

Spec Params : ()

Workstations : ()

Logon Hours : (1349551)

# of badpass : (0)

Logon count : (2896)

Logon Server : (\\*)

Country Code : (0)

Code Page : (0)

User ID : (500)

Group ID : (512)

Profile : ()

Home drive : ()

Password Exp : (0)

Auth Flags :

-No auth flags

Flags :

- The logon script executed

- This account is normal

- password doesn't expire

- user can change password

PHF Exploit : Bu exploit oldukça eski olmasına rağmen halen karşılaşabilecek bir güvenlik açığıdır, PHF CGI yardımı ile sistemdeki dosyalara admin olarak erişilebilinir.

GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd

http://www.phfcalistiranserver.com/cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd

Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir makineden User bilgilerinin ve de şifrelerinin bulunduğu Password dosyasının görülmesini sağlar.

ASP Exploit : Active Server Page özelliği kullanan WebServer'larda URL' nin sonuna bir nokta(.) yada ::şDATA yazilarak ASP'nin içeriği (source code) görülebilir. Eğer ASP'nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli olabilir.

http://www.aspkullananserver.com/default.asp.

ya da

http://www.aspkullananserver.com/default.asp::$DATA

Sendmail Exploit : Eski Sendmail versiyonlarında birkaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı çekmek mümkün olabilir. Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) yada bir Username'in o Server'da olup olmadığını öğrenmek de mümkündür. (VRFY)

telnet mail.server.com:25

ICQ Tabanlı Exploitler : Son derece zayıf bir mimariye sahip olan ICQ sistemi, kolayca taklit edilebilen, hatta gerçek spoofing bile yapılmasına gerek kalmayan bir sistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, passwordleri değiştirilebilir, onaya gerek kalmadan listeye alınabilir. IP'sini kullanıcı gösterme dese bile görülebilir yada ICQ chat yaparken mesaj taşması (flooding) yapılabilir.

Dosya ve yazıcı paylaşımı :

Windows 95 yada NT'de paylaşima açilan disk ya da klasörlerin okuma-yazma izinlerine çok dikkat edilmelidir. Şifresiz (Şu birçok ISP'nin Inetpub Directory'sini tüm dünyaya yazma izni vererek paylaşima açmasi gibi) ya da kolay tahmin edilebilecek (username ile ayni) bir şifre ile paylaşima açilan disk yada klasörlerin her türlü saldiriya açik olmasi gibi durumlar istenmeyen durumlara yol açabilir.

Windows Start menüsünde Run seçenegi tiklatildiktan sonra \\IP yazip Enter tuşuna basilirsa, IP'si yazilan makinede paylaşima açik olan yerler görülebilir. Windows'un içinde var olan NET komutunu kullanarak (NET VIEW \\IP) yine paylaşima açik yerleri görebilir ve yine ayni komutla onlara baglanilabilir.

(NET USE J: \\IP\paylaşimismi) Ayrica linux yüklü bir makineden, smbclient programi ile ayni işlemleri yapilabilir.

Bu tip tehlikelerden korunmak için paylaşimlara saglam bir şifre zorunludur. (anlamsiz kelime+ rakamlar+hem büyük hem küçük harf kullanimasi vs.)

Diger Araçlar : Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit, dip3.3.7overflow-exploit, coke ve daha bir çok exploit bulunuyor.

4.3. Trojanlar ( Truva Ati)

4.3.1. Trojan Nedir?

Trojan bir sisteme girmek için arka kapi açan bir programdir.

4.3.2. Trojan Neler Yapabilir?

Trojan, internet baglanti şifreniz dahil bilgisayarinizdaki bütün şifrelerin ele geçirilmesini saglayabilen bir saldiri programidir. Bilgisayarinizin sistem ayarlariyla oynanmasini, cpu nun, monitörün ve hatta ekran kartinin yakalamsini saglayabilir. Dosyalariniz kariştirilabilir, silinebilir veya degiştirilebilir. Bilgisayariniz formatlanabilir veya restart edilebilir. Mesajlariniz okunabilir, sizin yerinize mesaj yazilabilir, aktif programlarin listesi çikarilabilir...vs. Bunlar trojan programının yapabileceği şeylerin sadece birkaçı.

Başlıca bilinen trojan programları Netbus ve Backorifice dir.

BACKORIFICE :

BackOrifice ve BackOrifice2000 adı altında 2 tane sürümü vardır. Bu Trojan programı bir Microsoft Windows üzerinde kurulduğu zaman kullanıcının sistem üzerinde tam yetkili(full access) olmasını sağlar. Bu program firawall tarafından engellenebilmektedir. Henüz firewall'I aşabildigi tespit edilmemiştir.

4.3.3. Nasil Korunulur?

1. Güvenmediginiz kişilerden exe veya com dosyalari almayiniz.

2. Eger bilgisayaranizda trojan oldugundan şüpheleniyorsaniz bilgisayarinizdaki giriş ve çikişlari kontrol eden firewall* gibi bir prgram kullanin ve en kisa zamanda cleaner programini çekip bilgisayarinizdaki trojanlardan kurtulun.

3. Norton anti-virüs gibi, bir dosyayi çaliştirmadan kontrol eden bir anti virüs programi kullanin ki dosyalara trojan bulaşmişsa çaliştirmadan uyari alin.

4. Anti-trojan programlari kullanin.

* Firewallar güvenlik mekanizmalarinin ilk aşamalaridir.

4.3.4. Anti-Trojan Programlari

NETBUSTER:

Netbuster programi netbus(trojan) kullanicilarina karşi sistemi koruma amaçli bir programdir.

Netbus ile sizin bilgisayariniza baglanan kullanicilari tespit edip onlardan korunmak için geliştirilmiş bir programdir. Bu program yardimiyla o anda bilgisayariniza baglanmiş olan hackerlara mesajlar gönderebilir ve onlarla oyun oynayabilirsiniz. .Bu programin asil amaci tam olarak bir güvenlik saglamak degildir. Netbus kullanarak bilgisayarinizin portlarina baglanan başka kullanicilari o portlardan uzak tutmak amaçlidir.

Netbuster' in genel olarak iki kullanım amacı vardır. Birincisi bilgisayarınız da bulunabilecek trojanları temizleyerek bilgisayarınızı olası hackerlardan kurtarmak, ikincisi ise, bilgisayarınıza netbus kullanarak bağlanmaya çalışan kişilerin ip adreslerini tarihleri(gün--saat) ile birlikte kaydederek, karşıdakinin size ne yapmak istediğini ve onun bilgisayarı hakkındaki bilgileri öğrenebilirsiniz böylece sizde ona karşı bir oyun oynayabilirsiniz. Çoğu kullanıcı netbus SERVER ile Netbus Client arasındaki farkı bilemezler . ikisini birden çalıştırırlar ve farkında olmadan kendilerinede trojan bulaştırmış olurlar.Böylece sizde onun bilgisayarı üzerinde hüküm kurabilirsiniz.

NETBUSTER NASIL ÇALIŞIR?

Net buster I çalıştırdığınızda hafızanızdaki kayıtlı Netbus SERVER lerini tarar. Bulunduğu takdirde bunlar silinecektir ve program size kendiliğinden çalışan dosyaların olup olmadığını soracaktır. Eğer yoksa muhtemelen netbus server sisteminizde kayıtlı değildir ve ya tanınmayan bir versiyonudur. Aksi takdirde portlarınız netbus server'a bağlı veya kullanılıyor demektir.

Netbuster 1.31 programında VARIOUS seçeneğini kullanarak programın kullanımında değişiklik yapabilirsiniz . Mesela şekilde görüldüğü gibi, biri sizin makinanıza bağlandığında don't disconnect seçeneği var: Bu demektir ki bir kişi bilgisayarınıza bağlandığında onu disconnect etmiycektir. Seçenekleri değiştirerek 60 saniye içinde bağlantıyı kesmesini yada bir mesaj gönderip öyle disconnect olmasını da sağlayabilirsiniz.

NETBUSTER HAKKINDA BİLGİ ALABİLECEĞİNİZ VE DOWNLOAD EDEBİLECEĞİNİZ BAZI SİTELER:

http://surfto.netbuster.com/

http://www.nttoolbox.com/netbus.htm

http://www.davidm.8m.com/netbus.html

http://www.kdrserve.com/support/netbus.html

http://net-security.org/sw/arhatroj.htm

Saldırı türleri, bunların korunma yolları,çeşitli güvenlik programları hakkında merak ettiklerinizihttp://indigo.ie/~lmf/home.htm adresinden öğrenebilirsiniz. Burada ekranın sol tarafındaki menüden hakkında bilgi edinmek istediğiniz konuyu seçin ve dilediğiniz programı download edin.

PROTECTOR PLUS:

Bilgisayarınızda bulunan trojan türü programları bularak bunları etkisiz hale getirmeye yarayan bir programdır.

Protector plus programını çalıştırdığınız da Sizin seçtiğiniz bir alanı tarayarak herhangi bir trojan bulduğunda bunu bilgisayarınız dan siler ve işlem bittiğinde de raporu size gösterir. Bu rapora göre bilgisayarınızda trojan bulunmuşsa bunları listeleyerek üzerinde yapılan işlemleri listeler.

THE AGGRESSOR

The Aggressor NEDİR ?

The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için geliştirilmiş bir network yönetim ve korunma programıdır. Türkiye' de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir. Henüz program çıkmadan bile programın Web Sitesine günlük ortalama 54.000'in üzerinde ziyaret yapılmaktaydı. Son derece modüler olan programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile ekleyebilir, hatta SDK'sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur. Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir. Bu komut arabirimi (CLI) sayesinde Aggressor'ın GUI'si ile yapabildiği herşeyi komut satırları ile yapmak mümkündür.Crashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır!

5. Windows NT İçin Diğer Güvenlik Programları

5.1. Desktop Sentry

Bu program bilgisayarınız internete bağlıyken başka biri tarafından bilgisayarınıza sızılmışsa bunu size bildirir ve önlemini almanızı sağlar.

Sizin dışınızda herhangi bir logon aktivitesinin olup olmadığını kontrol eder. Eğer biri sizin bilgisayarınıza bağlanmışsa taskbardaki ikon yanıp sönerek sizi uyarır. O anda ikona tıklayarak kimin ve nereden bağlandığını öğrenebilirsiniz. Örneğin "Gezgin from baum" yazıyorsa bu gezgin isminde bir kullanıcının baum dan sizin bilgisayarınıza bağlandığını gösterir. Bu kullanıcıyı menüdeki disconnect seçeneğini kullanarak disconnect edebilirsiniz.

http://www.ntobjectives.com/desktop.htm

download:http://www.ntobjectives.com/dsinstall.exe

5.2. Kremlin Encryption And Security Suite 2.21

Şifreleme programı. Özel dosyalarınızı şifreliyerek koruma altına alabilirsiniz.

http://www.mach5.com/kremlin

download:http://www.mach5.com/download/krem221.exe

5.3. Secure4U

İlk MS Windows tabanlı firewall'dur. Sendbox teknolojisini kullanır. Bu teknoloji dışarıdan gelen herhangi güvenilmeyen veya bilinmeyen dosyalara karşı bilgisayarınızdaki dosyaların etrafında bir kalkan oluşturarak sisteminizi koruma şeklindedir.

http://www.Secure4U.com

download :http://www.secure4u.com/

5.4. NTSec 4.9.1

Nt dosyalarının korunumunu ve kullanımını kontrol eder.

Program bazı konutlardan oluşuyor. Bu komutları kullanarak birçok işlem gerçekleştirilebilir.

Komutların açıklamaları:

SAVEACL.EXE: Dosyaları ,dizinleri ve kullanıcıların haklarını bir dosyaya kaydeder.

RESTACL.EXE: Kullanıcı haklarını dosyaları ve dizinleri saveacl dosyasından alır.

LISTACL.EXE: Aynı dosyadaki bilgileri listeler.

SWAPACL.EXE: Aynı bilgileri bir başka kullanıcıya aktarır.

GRANT.EXE: Kullanıcının dosya üzerindeki haklarını başka kullanıcılara aktarır.

.. vb gibi işlemleri bu komutlarla yapabilmeniz mümkün.

http://www.pedestalsoftware.com/ntsec

download:http://www.pedestalsoftware.com/ntsec

5.5. Security Explorer TM v3.20

Windows NT adminlerinin NTFS sürücülerini, paylaşımları kontrol etmelerini ve üzerinde değişiklik yapmalarını sağlar.

Seçilen dizinlerde ve dosyalarda hakların denetlenmesi ile ilgili bir pencere. Seçilen dosyalar everyone olarak gözüküyor. Yani bu dosyaları sisteme giren herkes kullanabiliyor . Bu menü de oynamalar yaparak istenilmeyen kullanıcıların bu dosyalara ulaşmaları engellenebilir.

Bu programla dosyalar üstünde hüküm kurabilirsiniz. Örneğin bir dosyanın ve ya dizinin kullanım haklarını tamamen kısıtlayabilir ve ya tümüyle serbest bırakabilirsiniz. Bu program ile kullanıcının ulaşabileceği şeyler konusunda çok daha fazla yetkiye sahipsiniz.

Örneğin saha dizininin haklarını everyone için yani tüm kullanıcılar için 'full control'olması sağlanabilir veya çeşitli opsiyonların bulunduğu 'Modify Permissions' penceresinden istenen özellikleride ayarlayabilirsiniz.

http://www.smallwonders.com

download:http://www.smallwonders.com/index.asp?BODY=/download.asp

5.6. Advanced Security Control Manager

Windows NT yöneticilerinin dosya paylaşimlarini her kullanici için ayri ayri ayarlamasini kolaylaştirir. Bu program ile hangi kullanicinin hangi programlari ne zaman kullanabilecegi ayarlanabilir.

Yapilmasi gereken tek şey bir program seçip kullaniciyi belirtmeniz ve hangi zamanlar arasinda kullanicinin bu programi kullanmasini istemiyorsaniz ayarlamaktir. Eger kullanici programi istenilen saatlerin dişinda kullaniyorsa bir "ACCESS DENIED" mesajı ile karşılaşacaktır.

http://www.protect-me.com/asc/

download:http://www.protect-me.com/asc.zip

5.7. Quicklook 1.0

NT için hızlı bir güvenlik taraması.

http://www.shavlik.com/products

download:http://ftp.shavlik.com/

5.8. NTO Scanner

TCP/IP portlarını tarayarak ayrıntılarıyla kullanıcıya gösterir.

Windows nt için yazılmış oldukça hızlı bir TCP/IP port tarayıcısıdır. Network adminleri ve güvenlik uzmanları için tasarlanmış olup, daha çok zaman kazanmak açısından karmaşık işlemleri eleyerek network kullanıcılarını doğrudan karşısına alır. Bu program hızlı bir network de 65.000 port u 5 dakika içinde tarayabilir.

Programın çalışması için gerekenler: WİN NT 4.0 Service Pack 3

800*600 Ekran çözünürlüğü 32 MB ram'larda garanti edilmiyor. TCP/IP networklerde en iyi 96 MB ram ile çalışıyor.

http://www.ntobjectives.com/prod02.htm

download:http://www.ntobjectives.com/NTOScanner126.exe

5.9. Service Pack

Service Pack Windows NT için bir arka kapı(bug) giderme programıdır. En son sürümü olan SP5 daha öncekileri ile aynı içerikli olup performans açısından artıları bulunmaktadır. Service Packin NT için giderdiği buglardan biri OOB Nuke dir. Makinanın 139. Portuna bağlantı yapılmasıyla gerçekleşen bu bug I denetim altına almıştır. Ayrıca bir hack programı olan Getadmin programını da engelleyebilmektedir. Service Pack in giderdiği bugların daha ayrıntılı bilgilerini internetten elde edebilirsiniz. Ayrıca SP5 de ek olarak 2000 yılı sorunu için Y2K update diye bir yazılım da eklenmiştir. Bu yazılım çalıştırılarak tarihlerin yaratacağı sorunda NT clientler için çözümlenebilir.

Service Pack Hakkında daha fazla bilgi için önerebileceğimiz bazı adresler şunlardır:

http://freehosting2.at.webjump.com/311c8803d/eh/eh-security/index.html

http://www.eh-securitycom/index3.html

http://support.microsoft.com/support/kb/articles/Q225/0/37.asp

http://www.microsoft.com/security/default.asp (microsoft security advisor)

diger bir kaynak;

Bilgisayar güvenliği için 4 zorunluluk.

Bilgisayarınızın güvenliği sağlayabilmek için dikkat etmeniz gereken konuları genel de askıya alıyor ya da hiç bilmezden geliyoruz aslında bu iş çok, basit son zamanlar birçok güvenlik yazlımı firması artık tüm servisleri bir arada sunuyor. Bilgisayarınız tam anlamıyla güvenli olması için dört kriteri eksiksiz uygulamanız gerekiyor.

# İşletim sistemi güncellemeleri ****

(Windows için otomatik güncellemeleri açık tutun ve her zaman yükleme seçeneğinde bulunsun.)

# Firewall ***

( Firewallar; trojan ve virüs aktivitelerini engelleyebldği gibi port scannerla açık portlarınızı arayanlara karşı koruma sağlıyor, siz izin vermedikçe hiç bir program bilgisayarınız dan hiçbir bilgiyi kötü niyetli kişilere gönderemez.)

# Anti Virüs **

(Anti Virüsler bilindiği gibi tüm virüs, solucan ve varyantlarına ayrıca reklam bot ve trojanlarına karşı koruma sağlıyor, bunların bilgisayarınıza bulaşmasını engelliyor ve siliyor Bu programların işlemini yapabilmesi için mutlaka otomatik güncellemelerini açınız/yapınız)

# Anti Spyware *

(Casus programlar, reklam botları yanı sıra kayıt çeşitli web sitelerinden bulaşmış toolbar aslında zararlı olan programcıkları engelliyor / sistemiz den siliyor )

İşletim sisteminizin güncellemelerini otomatik yapabileceğiniz gibi Microsoft Update sitesinden yapabilirsiniz.

Anti Virüs, Spyware ve Firewall için tercih edebileceğiniz yazılımların en iyini sizler için yazalım. Artık bu üç hizmeti birçok firma birlikte sunuyor.

# Zane Alarm Internet Security Suite

( Firewallar olarak çok güçlü ve güvenilir bir yazılım anacak anti virüs olarak kişisel tecrübelerim aynı şeyi söyleyemiyor

# Kaspersky Personal Security Suite & Kaspersky Internet Security 2006

( Anti virüs ve Anti hacker firewall olarak çok güçlü bir yazılım, kesinlikle tavsiye edebileceğim güvenlik paketidir.

# Norton Internet Security 2006

( Norton dünyaca ünlü bir marka ancak kişisel fikrim anti virüs özelliğinin çabucak aldatılabilmesidir.

# McAfee Internet Security Suite

( Anti virüs ve firewall olarak başarılı bir program ve oldukça iddalı

# MKS 2005

( Anti virüs programı ve geçen ve bu yılın en iyi anti virüsü olduğunu testlerce ispatladı.

Daha bir çok yazılım mevcut, eğer anti virüs programınız memnun ve yeterli görüyorsanız mutlaka işletim sistemi güncellemelerinizi yapmalı ve ZoneAlarm Pro (Sadece Firewall) �ı mutlaka yüklemenizi tavsiye ederim.

Ücretsiz anti virüsler yazılımları

# Antivir PersonalEdition

( Dünyaca ünlü ücretsiz anti virüs programı

# Avast Home Edition

( Ev kullanıcıları için ücretsiz anti virüs programı

==================================================================

programlari google gibi bir arama motorunda rahatlikla bulabilirsiniz.

guvenli gunler.

not: kelime hatalari icin ozur dilerim, dikkat ettim ama mutlaka olmustur. ALINT

Alıntıları Göster