Олий таълим тизими педагог ва раҳбар кадрларини қайта тайёрлаш ва уларнинг малакасини оширишни



Download 6,05 Mb.
Pdf ko'rish
bet70/124
Sana15.04.2022
Hajmi6,05 Mb.
#554147
1   ...   66   67   68   69   70   71   72   73   ...   124
Bog'liq
4505e837ec1d152b09e74f84583d7258

108 
Динамик таҳлиллаш. 
Зараркунанда дастурий воситаларнининг 
содда 
динамик таҳлили
одатда содда статик таҳлил иш бермаган ҳолда 
фойдаланилиб, таҳлил зараркунанда дастурий восита бевосита юклангандан 
сўнг амалга оширилади. Бу усул орқали ЗДларнинг вазифалари тўлиқ 
аниқланади. Қуйида содда динамик таҳлиллаш технологиялари билан 
танишиб чиқилади. 
Sandboxes.
 
Ушбу дастурий воситалар содда динамик таҳлиллаш кенг 
фойдаланилиб, у ҳост ОТ билан ҳимояланган соҳани ҳосил қилади ва ЗД 
ушбу соҳада юклайди. Бу турдаги воситаларга Norman SandBox, GFI 
Sandbox, Anubis, Joe Sandbox, ThreatExpert, BitBlaze, ва Comodo Instant 
Malware Analysis
 (
open source

ларни олиш мумкин. Амалда Norman SandBox 
ва GFI Sandboxлардан кенг фойдаланилади.
1
Изоҳ.
 
Амалда кенг фойдаланилаѐтган sandboxes дастурлар пуллик 
саналади. Умумий ҳолда барча sandboxes дастурий воситалари бир хил 
ишлаш алгоритмига эга. Яъни, ЗД ҳимояланган соҳада юкланади ва ОТ 
белгиланган соҳаларидаги ўзгаришларга асосан таҳлил натижалари 
шакллантирилади. Қуйида GFI Sandboxда олинган PDF туридаги таҳлил 
натижаси келтирилган. 
5.14-расм. GFI Sandboxнинг win32XYZ.exe ЗД учун содда таҳлил натижаси 
5.14-расмда кўрсатилганидек, GFI Sandboxнинг таҳлилари олтита 
бўлимга кўра олинган: 
1.
Analysis Summary бўлими.
Бу бўлида ЗД статик таҳлил натижаси ва
1
Michael Sikorski, Andrew Honig. Practical malware analysis. 40 – с. 


III. НАЗАРИЙ МАТЕРИАЛЛАР
109 
динамик таҳлил натижаларининг юқори даражали маълумотлари 
келтирилади; 
2.
File Activity бўлими.
Бу бўлимда ЗД томонидан ўчирилган, очилган,
яратилган ва фойдаланилган барча файллар рўйхати келтирилади; 
3.
Created Mutexes бўлими
. Бу бўлимда ЗД томонидан яратилган
ресурслар рўйхати келтирилади; 
4.
Registry Activity бўлими.
Бу бўлимда регисторда мавжуд бўлган
ўзгаришлар келтирилади; 
5.
Network Activity бўлими.
Бу бўлимда ЗД томонидан тармоқдан
фойдаланиш даражаси ва ҳолати келтирилади; 
6.
VirusTotal Results бўлими.
Бу бўлимда ЗД VirusTotal орқали сканерлаш
натижаси келтирилади. 
Sandbox камчиликлари.
 
Кўплаб Sandbox дастурий воситалари бин нечта 
катта камчиликларга эга. Масалан, Sandboxларда ЗД фақат юклаш орқали 
таҳлилланади (буйруқлар сатрида буни амалга ошириш имокнияти мавжуд 
эмас). Агар ЗД буйруқлар сатридан юкланишни сўраса бу ҳолда Sandbox 
дастурлар бу ЗД юклай олмайди. 
Бундан ташқари қуйидаги камчиликлар кузатилади: 
– ЗД тез-тез вертуал машина юкланганини аниқлайди ва бу ҳолда ЗД
юкланишдан ўзини тўхтатиши ѐки ўзини бошқача тутиши мумкин. Бу барча 
Sandboxлар учун мос эмас; 
– баъзи ЗД юкланишда ОТ махсус файл ва регистор маълумотларини
талаб этади. Бу маълумотлар ўз навбатида Sandboxда мавжуд бўлмайди; 
– агар ЗДлар 
dll 
файл кенгайтмасида бўлса, улар юкланувчи ЗДлар (.exe
кенгайтмали) дек тўлиқ Sandboxга юкланмайди; 
– Sandbox муҳити ЗД учун мос бўлмаслиги мумкин. Масалан, Windows
XP га мос бўлган ЗД, Windows 7 учун мос бўлмаслиги мумкин; 
– Sandboxлар ЗД ларни вазифасини аниқласада, аслида нима
қилаѐтганинини айтмайди. 
ЗД 
юклаш 
(running 
malware).
 
Содда 
динамик 
таҳлиллаш 
технологиялари ЗД юкланмаган ҳолда уларни таҳлиллай олишмайди. 
ЗДларнинг аксарияти 
.exe 
ва 
.dll 
файл кенгайтмаларида бўлишларини ҳисобга 
олиб, қуйида бу икки турдаги файлларни юклаш усулларини қараб чиқилади. 
.exe 
кенгайтмали файл юкланишга осон бўлиб, одатда сичқонча тугмачасини 
икки марта босиш орқали ѐки буйруқлар сатридан фойдаланган ҳолда 
юкланади. 
.dll 
кенгайтмали файллар нисбатан хийлакор бўлиб, windows OT буни 
қандақҳй қилиб автоматик юклашни билмайди. 


III. НАЗАРИЙ МАТЕРИАЛЛАР
110 
Барча турдаги замонавий Windows OTлари 
rundll32.exe 
файлига эга 
бўлиб, бу файл ўзида 
DLL 
ларни юклаш имкониятини сақлайди. Ушбу файл 
орқали ЗД юклаш тартиби қуйидагича: 
C:\>rundll32.exe DLLname, Export arguments 
Бу ерда 
Export 
қиймати олинган 
DLL 
файл ичидан експорт қилиниши 
керак бўлган функция номи. Статик таҳлиллаш усулида фойдаланилган 
дастурий воситалар PEview ѐки PE Explorer орқали 
DLL 
файл ичидаги 
функция номи аниқланади. Масалан, 
rip.dll 
деб номланувчи файл ўзида 
Install 
ва
 Uninstall 
деб номланувчи функцияларни олади. Бу ҳолда юқоридаги 
тартиб қуйидагича бўлиши мумкин: 
C:\>rundll32.exe rip.dll, Install 
Баъзи ҳолларда DLL шаклидаги ЗДлар хизмат каби ўрнатилишни талаб 
этади. 
C:\>rundll32 ipr32x.dll,InstallService ServiceName 
C:\>net start ServiceName 
Бу ердаги 
ServiceName 
DLL файл таркибидан олинади. net start буйруғи 
эса хизматни Windows OT амалга ошириш учун керак бўлади. 

Download 6,05 Mb.

Do'stlaringiz bilan baham:
1   ...   66   67   68   69   70   71   72   73   ...   124




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish