|
SELECT * FROM users WHERE name = '' OR '1'='1';
Натижада маълумотлар базасидан барча фойдаланувчилар тўғрисидаги маълумотлар чиқарилади. Бу ерда қуйидаги тақиқланган белгилар бирикмасидан ҳам фойдаланиш мумкин.
' OR '1'='1' --
95
III. НАЗАРИЙ МАТЕРИАЛЛАР
OR '1'='1' ({
OR '1'='1' /*
Бу таҳдидларни олдини олишда кирувчи сўров махсус белгиларга текширилиши керак. Аммо, бу сўровларни кундан-кунга янги турлари келиб чиқмоқда.
5.3. Зараркунанда дастурларнинг таҳлили
Дастурий воситалар билан учраб турадиган таҳдидларнинг иккинчиси бу – атайин ѐзилган зарарли дастурий воситалардир. Бундай дастурий воситалар малакали дастурчилар томонидан ѐзилган бўлиб, улар аниқ мақсадга қаратилган бўлади. Бу тоифадаги дастурларни аниқлашда ва таҳлиллашда одатда статик ва динамик таҳлиллаш усулларидан кенг фойдаланилади.
Ҳар бир таҳлиллаш ўз навбатида содда ва мураккаб таҳлиллашларга бўлинади.
Содда статик таҳлиллаш. Зараркунанда дастурий воситаларнининг содда статистик таҳлили дейилганда улар ҳақида дастлабки маълумотларни олишдан иборат бўлган таҳлил тушунилади. Бу таҳлил натижасида зараркунанда дастурларнинг (ЗД) кодларнинг тузулиши, дастурий томондан тузулиши, қайси библотекалардан фойдаланганлиги ва ҳ.к. лар ҳақида маълумот олиш мумкин.1
ЗДларни дастлабки таҳлил қилишда антивирус воситалари кенг фойдаланилади. Одатда икки турдаги, файл сигнатурасига асосланган (масалан, Касперский) ва эвристикага асосланган (масалан, ESET NOD32)антивирус воситаларидан кенг фойдаланилади. Сигнатурага асосланган антивирус дастурлар ЗД ларни ўзининг базасида мавжуд ѐки мавжуд емаслигини текширади. Бу эса ЗД топишда ҳар доим ҳам катта фойда бермайди. Эвристикага асосланган антивирус воситалари сигнатурага асосланган антивирусларга қараганда анча кенг имкониятга эга бўлиб, ЗД ларни топишда кенг фойдаланилади.
Амалда ЗД статистик таҳлил ўтказишда улар бир нечта антивирус воситалари ѐрдамида текширилади ва улардан олинган натижалар таҳлил этилади. Ушбу вазифани бажаришда http://www.virustotal.com/ онлайн ЗД таҳлили воситаси кенг фойдаланилади. Ушбу онлайн таҳлиллаш воситаси нафақат ЗД бир нечта антивирус воситалари ѐрдамида тестлайди, балки уларнинг дастурий томондан тузулишини ва улар ҳақида қўшимча маълумотларни беради.
Michael Sikorski, Andrew Honig. Practical malware analysis. 42 – с.
96
III. НАЗАРИЙ МАТЕРИАЛЛАР
ЗД статистик таҳлил қилишда қуйидаги усуллардан фойдаланилади:
ХЭШ қиймат асосида таҳлиллаш. Хэш функциялаш ЗД аниқлаш учун керакли бўладиган дастлабки таҳлиллаш усулларидан бири бўлиб, унга асосан ихтиѐрий хэш қийматни ҳисоблаб берувчи алгоритмлар асосида (масалан, MD5, SHA1)ЗД хэш қиймати ҳисобланади. Ушбу олинган хэш қиймат асосида қуйидагиларни аниқлаш мумкин:
Хэш қийматни дастурнинг (масалан, таҳлилланувчи ЗД) ѐрлиқи сифатида фойдаланиш;
Олинган хэш қийматни бошқа ЗД таҳлилловчи дастурлар учун юбориш;
Олинган хэш қийматни онлайн тарзда қидириш ва ЗД рўйхатида мавжуд/ мавжуд эмаслигини аниқлаш.
ЗД лардан “қаторларни (strings)” аниқлаш. Ҳар бир дастурий восита яратилишида маълум кетма-кетмаликлан иборат бўлган матн шаклидаги маълумотлардан фойдаланилади. Масалан, ―GDI32.DLL‖, ―99.124.22.1‖, ―Mail system DLL is invalid.!Send Mail failed to send message‖ ва ҳак. Албатта,
яратилган дастурий воситалар якунида улар .exe, .dll файл шаклларида ассембланади. Бошқа сўз билан айтганда, бу кенгайтмадаги файллар ўн олтилик (hex)саноқ системасида ифодаланади (0x42, 0x41, 0x44 BAD).Белгиларни 16 лик саноқ тизимига ўтказишда одатда ASCII (8-бит)ва
Unicode(16-бит)кодлашстандартлариданфойдаланилади.Ушбу
стандартларда ҳар бир келган белгилар кетма-кетлиги охири 0x00 билан тугайди. Бунинг маноси эса сўзнинг тугуганлигини англатади. 1
Сиқилган ЗД. Одатда ЗД воситалар статистик таҳлилларга бардошли бўлиши учун улар сиқилади. Қуйида ҳақиқий ва сиқилган ҳолатдаги файл кўриниши келтирилган.
5.8-расм. Сиқилган ва ҳақиқий файл кўриниши
Portable Executable (PE)файл формати. Ушбу файл формати таркибига юкланувчи, кутубхона файл кенгайтмалари киради (масалан, .cpl, .exe, .dll,
Michael Sikorski, Andrew Honig. Practical malware analysis. 44 – с.
97
III. НАЗАРИЙ МАТЕРИАЛЛАР
.ocx, .sys, .scr, .drv, .efi, .fon) ва улар Windows ОТ учун фойдаланилади. ЗД ларда кутубҳона файлларидан асосан импорт (import)қилиш орқали асосий дастурга боғланади. Ушбу боғланиш уч турда амалга оширилиши мумкин: статик, динамик ва юкланганда.
Статик турдаги боғланишларда кўра кутубхона файллари тўлиқ кўчирилиб асосий дастур ичига ташланади. Бу турдаги боғланишлар асосан UNIXва LinuxОТ да кенг фойдаланилади. Бунда асосий дастур коди ва кутубхонага тегишли кодларни ажратиш қийин бўлади.
Юкланганда талаб этиладиган боғланишлар асосан ЗД яратишга кенг фойдаланилиб, унга асосан фақат функция чақирилган пайтда боғланиш амалга оширилади.
Кўплаб Windows ОТлари бошқа дастурларга ўз ресурсларидан фойдаланишга рухсат беради. PE файллар ўзида ҳар бир кутубхона ва кутубхонадаги функциялар ҳақидаги маълумотни сақлайди.
Кўплаб мавжуд DLL (Dynamic-link library) файллар ўзида кўплаб функцияларни сақлайди. Қуйида WINDOWS ОТ га тегишли DLL файллар ва уларнинг вазифаси келтирилган:
Do'stlaringiz bilan baham: | 
