ANTi-ViRÜS KULLANMADAN BiLGiSAYARDAKi ViRÜS NASIL TESPiT EDiLiR ?
Virüsler, bilgisayarlarda genel bazı etkilere sebep olurlar.Eğer bilgisayarınızda aşağıdaki etkilerden biri veya birkaçı varsa sisteminizi bir virüs taramasından geçirebilirsiniz;
* Sistem hızında yavaşlama : Sistem hızında meydana gelen ani hız düşüşleri virüs etkinliklerinden kaynaklanabilir.Ancak bu durum Windows'un registry kaydının aşırı dolu olmasından da kaynaklanabilir.
* Programların diske erişim süresinin ve/veya yüklenmelerinin daha uzun sürede gerçekleşmesi : Dosya virüsleri bir program yüklenmek istendiğinde o programı kontrol eder, virüssüz ise o programa bulaşır.TRAKIA.1070 (Yandan Çarklı) gibi bazı virüsler aktif dizindeki EXE veya COM uzantılı dosyaların hepsine birden bulaşmak isteyebilir.Bu da yüklenme hızındaki düşüşe neden olur.
* Bilgisayarın sebepsiz yere kilitlenmesi veya resetlenmesi : İyi kodlanmamış TSR virüsler veya virüsün programcısı tarafından sistemin sık sık kilitlenmesi veya resetlenmesi öngülmüş olabilir.
* Anormal mesajlar : Eğlence amacıyla yazılmış virüsler veya özel bir amaçla yazılmış virüsler belli zamanlarda veya bazı özel durumlarda garip mesajlar verirler.
* Dosyaların garip bir şekilde yok olması ve(ya) dosya özniteliklerinin (attribute) değişmesi : Bazı virüsler dosyaları silerler.Bazı virüsler de daha önceden bulaşıp bulaşmadıklarını anlamak için dosyaların öznitelik bilgilerinde değişiklik yaparlar.
* Yazma-korumalı bir diskte okuma işlemi yaparken "Write protection" hatası : İyi yazılmamış virüsler write-protected disklerdeki programlara bulaşmak istediklerinde genelde bu hataya düşerler.
* Disk haritasını gösteren programlar ile diske baktığınızda daha önceden olmayan bozuk alanlar : Genellikle boot/mbr virüsleri sakladıkları alanları korumak için kullandıkları bu alanları bozuk olarak işaretler.
Periyodik olarak bilgisayarda virüs aramak can sıkıcı bir hal aldığından virüs taramalarından vazgeçtiyseniz aşağıdaki yollarla da bilgisayarınızda virüs olup olmadığını kontrol edebilirsiniz.Eğer biraz da olsa assembly biliyorsanız aşağıdakileri anlamanız kolaylaşacaktır.
BOOT/MBR Virüslerin Tespit Edilmesi
Şimdi bilgisayarı resetleyin.Starting MS-DOS, Starting Windows türünden bir mesaj aldıktan sonra F5 tuşunu veya klavyedeki sol shift tuşunu basılı tutun.Bilgisayar CONFIG.SYS ve AUTOEXEC.BAT dosyaları işlenmeden çalışacaktır. Şimdi DEBUG adlı programı çalıştırın.Ekranda - işareti görüyor olmalısınız.Şimdi a komutunu verip enter tuşuna basın.(a komutu assembly dilinde program girileceğini belirtir).Ekranda 6750:0100 gibi bir adres değeri göreceksiniz.INT 13 yazıp enter tuşuna basın.6750:0102 adresini göreceksiniz.Bir kez daha enter'a basarak assembly modundan çıkın.Tekrar - işaretini göreceksiniz.Şimdi t (trace-adım adım çalıştır) komutunu verin.Hemen ardından da u komutunu girerek INT 13'ün yönlendirildiği adresteki assembly kodlarını ekrana getirin.Eğer ekranda DB komutları görüyorsanız bilgisayarınızda herhangi bir TSR virüs yok demektir.(Debug, unasseble işlemi yaparken çevirdiği kodu 16 bitlik olarak çevirir.Bu yüzden herhangi bir 386 komutu debug tarafından önce bir DB komutu ve ardından da 16 bitlik bir komut şeklinde çevirilmektedir.Mesela 32 bitlik MOV EAX,C0310102h komutu debug tarafından DB 66h / MOV AX,0102h / XOR AX,AX şeklinde çevirilecektir.Virüslerin eski işlemcilerde dahi çalışacak şekilde yazıldıklarını gözönünde tutarak DB komutu görüldüğünde sistemde kesinlikle bir virüs yoktur diyebiliriz)
 |
