III. НАЗАРИЙ МАТЕРИАЛЛАР
109
динамик таҳлил натижаларининг юқори даражали маълумотлари
келтирилади;
2.
File Activity бўлими.
Бу бўлимда ЗД томонидан ўчирилган, очилган,
яратилган ва фойдаланилган барча файллар рўйхати келтирилади;
3.
Created Mutexes бўлими
. Бу бўлимда ЗД
томонидан яратилган
ресурслар рўйхати келтирилади;
4.
Registry Activity бўлими.
Бу бўлимда регисторда мавжуд бўлган
ўзгаришлар келтирилади;
5.
Network Activity бўлими.
Бу бўлимда ЗД томонидан тармоқдан
фойдаланиш даражаси ва ҳолати келтирилади;
6.
VirusTotal Results бўлими.
Бу бўлимда ЗД VirusTotal орқали сканерлаш
натижаси келтирилади.
Sandbox камчиликлари.
Кўплаб Sandbox дастурий воситалари бин нечта
катта камчиликларга эга. Масалан, Sandboxларда ЗД фақат юклаш орқали
таҳлилланади (буйруқлар сатрида буни амалга ошириш имокнияти мавжуд
эмас). Агар ЗД буйруқлар сатридан юкланишни сўраса бу ҳолда Sandbox
дастурлар бу ЗД юклай олмайди.
Бундан ташқари қуйидаги камчиликлар кузатилади:
– ЗД тез-тез вертуал машина юкланганини аниқлайди ва бу ҳолда ЗД
юкланишдан ўзини тўхтатиши ѐки ўзини бошқача тутиши мумкин. Бу барча
Sandboxлар учун мос эмас;
– баъзи ЗД юкланишда ОТ махсус файл ва
регистор маълумотларини
талаб этади. Бу маълумотлар ўз навбатида Sandboxда мавжуд бўлмайди;
– агар ЗДлар
dll
файл кенгайтмасида бўлса, улар юкланувчи ЗДлар (.exe
кенгайтмали) дек тўлиқ Sandboxга юкланмайди;
– Sandbox муҳити ЗД учун мос бўлмаслиги мумкин. Масалан, Windows
XP га мос бўлган ЗД, Windows 7 учун мос бўлмаслиги мумкин;
– Sandboxлар ЗД ларни вазифасини аниқласада,
аслида нима
қилаѐтганинини айтмайди.
ЗД
юклаш
(running
malware).
Содда
динамик
таҳлиллаш
технологиялари ЗД юкланмаган ҳолда уларни таҳлиллай олишмайди.
ЗДларнинг аксарияти
.exe
ва
.dll
файл кенгайтмаларида бўлишларини ҳисобга
олиб, қуйида бу икки турдаги файлларни юклаш усулларини қараб чиқилади.
.exe
кенгайтмали файл юкланишга осон бўлиб, одатда сичқонча тугмачасини
икки марта босиш орқали ѐки буйруқлар сатридан фойдаланган ҳолда
юкланади.
.dll
кенгайтмали файллар нисбатан хийлакор бўлиб, windows OT буни
қандақҳй қилиб автоматик юклашни билмайди.
III. НАЗАРИЙ МАТЕРИАЛЛАР
110
Барча турдаги замонавий Windows OTлари
rundll32.exe
файлига эга
бўлиб, бу файл ўзида
DLL
ларни юклаш имкониятини сақлайди. Ушбу файл
орқали ЗД юклаш тартиби қуйидагича:
C:\>rundll32.exe DLLname, Export arguments
Бу ерда
Export
қиймати олинган
DLL
файл ичидан експорт қилиниши
керак бўлган функция номи. Статик таҳлиллаш усулида фойдаланилган
дастурий воситалар PEview ѐки PE Explorer орқали
DLL
файл
ичидаги
функция номи аниқланади. Масалан,
rip.dll
деб номланувчи файл ўзида
Install
ва
Uninstall
деб номланувчи функцияларни олади. Бу ҳолда юқоридаги
тартиб қуйидагича бўлиши мумкин:
C:\>rundll32.exe rip.dll, Install
Баъзи ҳолларда DLL шаклидаги ЗДлар хизмат каби ўрнатилишни талаб
этади.
C:\>rundll32 ipr32x.dll,InstallService ServiceName
C:\>net start ServiceName
Бу ердаги
ServiceName
DLL файл таркибидан олинади. net start буйруғи
эса хизматни Windows OT амалга ошириш учун керак бўлади.
Do'stlaringiz bilan baham: