Динамик таҳлиллаш. Зараркунанда дастурий воситаларнининг содда динамик таҳлили одатда содда статик таҳлил иш бермаган ҳолда фойдаланилиб, таҳлил зараркунанда дастурий восита бевосита юклангандан сўнг амалга оширилади. Бу усул орқали ЗДларнинг вазифалари тўлиқ аниқланади. Қуйида содда динамик таҳлиллаш технологиялари билан танишиб чиқилади.
Sandboxes. Ушбу дастурий воситалар содда динамик таҳлиллаш кенг фойдаланилиб, у ҳост ОТ билан ҳимояланган соҳани ҳосил қилади ва ЗД ушбу соҳада юклайди. Бу турдаги воситаларга Norman SandBox, GFI
Sandbox, Anubis, Joe Sandbox, ThreatExpert, BitBlaze, ва Comodo Instant Malware Analysis (open source) ларни олиш мумкин. Амалда Norman SandBox ва GFI Sandboxлардан кенг фойдаланилади.1
Изоҳ. Амалда кенг фойдаланилаѐтган sandboxes дастурлар пуллик саналади. Умумий ҳолда барча sandboxes дастурий воситалари бир хил ишлаш алгоритмига эга. Яъни, ЗД ҳимояланган соҳада юкланади ва ОТ белгиланган соҳаларидаги ўзгаришларга асосан таҳлил натижалари шакллантирилади. Қуйида GFI Sandboxда олинган PDF туридаги таҳлил натижаси келтирилган.
5.14-расм. GFI Sandboxнинг win32XYZ.exe ЗД учун содда таҳлил натижаси
5.14-расмда кўрсатилганидек, GFI Sandboxнинг таҳлилари олтита бўлимга кўра олинган:
Analysis Summary бўлими. Бу бўлида ЗД статик таҳлил натижаси ва
III. НАЗАРИЙ МАТЕРИАЛЛАР
динамик таҳлил натижаларининг юқори даражали маълумотлари келтирилади;
File Activity бўлими. Бу бўлимда ЗД томонидан ўчирилган, очилган, яратилган ва фойдаланилган барча файллар рўйхати келтирилади;
Created Mutexes бўлими. Бу бўлимда ЗД томонидан яратилган ресурслар рўйхати келтирилади;
Registry Activity бўлими. Бу бўлимда регисторда мавжуд бўлган ўзгаришлар келтирилади;
Network Activity бўлими. Бу бўлимда ЗД томонидан тармоқдан фойдаланиш даражаси ва ҳолати келтирилади;
VirusTotal Results бўлими. Бу бўлимда ЗД VirusTotal орқали сканерлаш натижаси келтирилади.
Sandbox камчиликлари. Кўплаб Sandbox дастурий воситалари бин нечта катта камчиликларга эга. Масалан, Sandboxларда ЗД фақат юклаш орқали таҳлилланади (буйруқлар сатрида буни амалга ошириш имокнияти мавжуд эмас). Агар ЗД буйруқлар сатридан юкланишни сўраса бу ҳолда Sandbox дастурлар бу ЗД юклай олмайди.
Бундан ташқари қуйидаги камчиликлар кузатилади:
ЗД тез-тез вертуал машина юкланганини аниқлайди ва бу ҳолда ЗД юкланишдан ўзини тўхтатиши ѐки ўзини бошқача тутиши мумкин. Бу барча Sandboxлар учун мос эмас;
баъзи ЗД юкланишда ОТ махсус файл ва регистор маълумотларини талаб этади. Бу маълумотлар ўз навбатида Sandboxда мавжуд бўлмайди;
агар ЗДлар dll файл кенгайтмасида бўлса, улар юкланувчи ЗДлар (.exe кенгайтмали) дек тўлиқ Sandboxга юкланмайди;
Sandbox муҳити ЗД учун мос бўлмаслиги мумкин. Масалан, Windows XP га мос бўлган ЗД, Windows 7 учун мос бўлмаслиги мумкин;
Sandboxлар ЗД ларни вазифасини аниқласада, аслида нима қилаѐтганинини айтмайди.
ЗД юклаш (running malware). Содда динамик таҳлиллаш технологиялари ЗД юкланмаган ҳолда уларни таҳлиллай олишмайди. ЗДларнинг аксарияти .exe ва .dll файл кенгайтмаларида бўлишларини ҳисобга олиб, қуйида бу икки турдаги файлларни юклаш усулларини қараб чиқилади. .exe кенгайтмали файл юкланишга осон бўлиб, одатда сичқонча тугмачасини икки марта босиш орқали ѐки буйруқлар сатридан фойдаланган ҳолда юкланади.
.dll кенгайтмали файллар нисбатан хийлакор бўлиб, windows OT буни қандақҳй қилиб автоматик юклашни билмайди.
III. НАЗАРИЙ МАТЕРИАЛЛАР
Барча турдаги замонавий Windows OTлари rundll32.exe файлига эга бўлиб, бу файл ўзида DLL ларни юклаш имкониятини сақлайди. Ушбу файл орқали ЗД юклаш тартиби қуйидагича:
C:\>rundll32.exe DLLname, Export arguments
Бу ерда Export қиймати олинган DLL файл ичидан експорт қилиниши керак бўлган функция номи. Статик таҳлиллаш усулида фойдаланилган дастурий воситалар PEview ѐки PE Explorer орқали DLL файл ичидаги функция номи аниқланади. Масалан, rip.dll деб номланувчи файл ўзида Install ва Uninstall деб номланувчи функцияларни олади. Бу ҳолда юқоридаги тартиб қуйидагича бўлиши мумкин:
C:\>rundll32.exe rip.dll, Install
Баъзи ҳолларда DLL шаклидаги ЗДлар хизмат каби ўрнатилишни талаб этади.
C:\>rundll32 ipr32x.dll,InstallService ServiceName C:\>net start ServiceName
Бу ердаги ServiceName DLL файл таркибидан олинади. net start буйруғи эса хизматни Windows OT амалга ошириш учун керак бўлади.
Do'stlaringiz bilan baham: |