Malware Analiz Yöntemleri

Malware Analizi Neden Yapılır ?

Antivirüs programları zararlı yazılımların imzalarını (signature) veritabanında tutup karşılaştırma yapma yöntemiyle çalışırlar ve bir zararlı yazılımı bu şekilde tespit ederler. Fakat bazı gelişmiş zararlı yazılım türleri antivirüsleri atlatabilir ve tespit edilemeyebilirler. Nedeni ise bir zararlının sürekli farklı versiyonlarının çıkıp imzasının değişiyor olması ve farklı yöntemlerle imzanın değiştirilebilmesidir.

Malware analizi aynı zamanda adli bilişim amaçlı , çalıştırıldığında sistemde neler yaptığının belirlenmesi için de kullanılır.

Malware analiz yöntemlerini statik ve dinamik analiz olarak ikiye ayırabiliriz.

 

Statik Analiz Yöntemi

Zararlı yazılımı çalıştırmadan yapılan analiz yönetimidir. Uygulamanın kodlarından nerelere erişim sağladığı , bulaşan sistemde ne gibi değişiklikler yaptığı şeklinde dosyanın yapısı incelenir. Analiz yaparken eğer elimizde sadece yazılan zararlının makine kodu (binary code) varsa belirli komut yapılarına bakılarak çalışma şekli öğrenilebilir ve tersine mühendislik (reverse engineering) yöntemleri ile makine kodu bulunan zararlıdan , yazıldığı kaynak kodu (source code) kısmen elde edilebilir. Kaynak kodu elde edildiğinde analiz yöntemi daha da kolay hale gelir.

 

Dinamik Analiz Yöntemi

Zararlı yazılım izole bir ortamda (sandbox) çalıştırılarak dosyanın davranışları incelenir. Bu sayede sistemde etki ettiği yerler daha iyi gözlemlenebilir (memory , regisrty , file system , cpu intsructions..) Uygulamanın ağ trafiği incelenebilir. Dinamik analiz yöntemi risklidir izole ortamda gerçekleştirilmelidir. Çalıştırıldığı sistemde diski bozabilir veya başka bir sisteme sıçramak isteyebilir.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir