|
Тизим
Дастурдаги кодлар узунлиги
Netscape
17 мил.
Space Shuttle
10 мил.
Linuxkernel 2.6.0
5 мил.
Windows XP
40 мил.
Mac OS X 10.4
86 мил.
Boeing 777
7 мил.
Таҳлиллар натижаси шуни кўрсатадики ҳар 10
000 қатор кодда, 5 та баг
мавжуд бўлар экан. Бошқача қилиб айтилганда ўртача 3кбайт .exe файлда 50 тага
яқин баг бўлади.
Дастурий воситалардаги мавжуд таҳдидлар одатда дастурлаш тиллари
имкониятлари билан белгиланади. Масалан, нисбатан қуйи дастурлаш тиллари
дастурчидан юқори малакани талаб этгани боис, уларда кўплаб хавфсизлик
муаммолари пайдо бўлади. Масалан, C#, Java дастурлаш тиллари С ёки С++
1,2
Stamp Mark. Information security: principles and practice. 404 – с.
72
дастурлаш тилларига нисбатан хавфсиздир. Сабаби бу дастурлаш тилларида
кўплаб муаммолар автоматик равишда, компиляция жараёнида аниқланади.
ЗАРАРКУНАНДА ДАСТУРЛАРНИНГ ТАҲЛИЛИ
Дастурий воситалар билан учраб турадиган таҳдидларнинг иккинчиси бу –
атайин ёзилган зарарли дастурий воситалардир. Бундай дастурий воситалар
малакали дастурчилар томонидан ёзилган бўлиб, улар аниқ мақсадга қаратилган
бўлади. Бу тоифадаги дастурларни аниқлашда ва таҳлиллашда одатда статик ва
динамик таҳлиллаш усулларидан кенг фойдаланилади.
Ҳар
бир таҳлиллаш ўз навбатида содда ва мураккаб таҳлиллашларга
бўлинади.
Содда статик таҳлиллаш.
Зараркунанда дастурий воситаларнининг
содда
статистик
таҳлили дейилганда улар ҳақида дастлабки маълумотларни олишдан
иборат бўлган таҳлил тушунилади. Бу таҳлил натижасида зараркунанда
дастурларнинг (ЗД) кодларнинг тузулиши, дастурий томондан тузулиши, қайси
библотекалардан фойдаланганлиги ва ҳ.к. лар ҳақида маълумот олиш мумкин.
5
ЗДларни дастлабки таҳлил қилишда антивирус воситалари кенг
фойдаланилади. Одатда икки турдаги,
файл сигнатурасига
асосланган (масалан,
Касперский) ва
эвристикага
асосланган (масалан, ESET NOD32)антивирус
воситаларидан кенг фойдаланилади. Сигнатурага асосланган антивирус
дастурлар ЗД ларни ўзининг базасида мавжуд ёки мавжуд емаслигини
текширади. Бу эса ЗД топишда ҳар доим ҳам катта фойда бермайди. Эвристикага
асосланган антивирус воситалари сигнатурага асосланган антивирусларга
қараганда
анча кенг имкониятга эга бўлиб, ЗД ларни топишда кенг
фойдаланилади.
Амалда ЗД статистик таҳлил ўтказишда улар бир нечта антивирус
воситалари ёрдамида текширилади ва улардан олинган натижалар таҳлил
этилади. Ушбу вазифани бажаришда http://www.virustotal.com/ онлайн ЗД
таҳлили воситаси кенг фойдаланилади. Ушбу онлайн таҳлиллаш воситаси нафақат
ЗД бир нечта антивирус воситалари ёрдамида тестлайди, балки уларнинг
дастурий томондан тузулишини ва улар ҳақида қўшимча маълумотларни беради.
ЗД статистик таҳлил қилишда қуйидаги усуллардан фойдаланилади:
ХЭШ қиймат асосида таҳлиллаш.
Хэш функциялаш ЗД аниқлаш учун
керакли бўладиган дастлабки таҳлиллаш усулларидан бири бўлиб, унга асосан
ихтиёрий хэш қийматни ҳисоблаб берувчи алгоритмлар асосида (масалан, MD5,
5
Michael Sikorski, Andrew Honig. Practical malware analysis. 42 – с.
73
SHA1)ЗД хэш қиймати ҳисобланади. Ушбу олинган хэш қиймат асосида
қуйидагиларни аниқлаш мумкин:
-
Хэш қийматни дастурнинг (масалан, таҳлилланувчи ЗД) ёрлиқи сифатида
фойдаланиш;
-
Олинган хэш қийматни бошқа ЗД таҳлилловчи дастурлар учун юбориш;
-
Олинган хэш қийматни онлайн тарзда қидириш ва ЗД рўйхатида мавжуд/
мавжуд эмаслигини аниқлаш.
ЗД лардан “қаторларни (strings)” аниқлаш.
Ҳар
бир дастурий восита
яратилишида маълум кетма
-
кетмаликлан иборат бўлган матн шаклидаги
маълумотлардан фойдаланилади. Масалан, “GDI32.DLL”, “99.124.22.1”, “Mail
system DLL is invalid.!Send Mail failed to send me
ssage” ва ҳак. Албатта, яратилган
дастурий воситалар якунида улар .exe, .dll файл шаклларида ассембланади. Бошқа
сўз билан айтганда, бу кенгайтмадаги файллар ўн олтилик (hex)саноқ системасида
ифодаланади (0x42, 0x41, 0x44
BAD).Белгиларни 16 лик саноқ тизимига
ўтказишда одатда ASCII (8
-
бит)ва Unicode (16
-
бит)кодлаш стандартларидан
фойдаланилади. Ушбу стандартларда ҳар бир келган белгилар кетма
-
кетлиги
охири 0x00 билан тугайди. Бунинг маноси эса сўзнинг тугуганлигини англатади.
6
Сиқилган ЗД.
Одатда ЗД воситалар статистик таҳлилларга бардошли
бўлиши учун улар сиқилади. Қуйида ҳақиқий ва сиқилган ҳолатдаги файл
кўриниши келтирилган.
Сиқилган ва ҳақиқий файл кўриниши
Portable Executable (PE)файл формати.
Ушбу файл формати таркибига
юкланувчи, кутубхона файл кенгайтмалари киради (масалан, .cpl, .exe, .dll, .ocx,
.sys, .scr, .drv, .efi, .fon) ва улар Windows ОТ учун фойдаланилади. ЗД ларда
кутубҳона файлларидан асосан импорт (import)қилиш орқали асосий дастурга
боғланади. Ушбу боғланиш уч турда амалга оширилиши мумкин: статик, динамик
ва юкланганда.
6
Michael Sikorski, Andrew Honig. Practical malware analysis. 44 – с.
74
Статик турдаги боғланишларда кўра кутубхона файллари тўлиқ кўчирилиб
асосий дастур ичига ташланади. Бу турдаги боғланишлар асосан UNIXва LinuxОТ
да кенг фойдаланилади. Бунда асосий дастур коди ва кутубхонага тегишли
кодларни ажратиш қийин бўлади.
Юкланганда талаб этиладиган боғланишлар асосан ЗД яратишга кенг
фойдаланилиб, унга асосан фақат функция чақирилган пайтда боғланиш амалга
оширилади.
Кўплаб Windows ОТлари бошқа дастурларга ўз ресурсларидан
фойдаланишга рухсат беради. PE файллар ўзида ҳар бир кутубхона ва
кутубхонадаги функциялар ҳақидаги маълумотни сақлайди.
Кўплаб мавжуд DLL (Dynamic
-
link library) файллар ўзида кўплаб
функцияларни сақлайди. Қуйида WINDOWS ОТ га тегишли DLL файллар ва
уларнинг вазифаси келтирилган:
Do'stlaringiz bilan baham: |
