Sisteminize bir zararli yazilim bulastigini varsayin. Hicbir koruma tedbiriniz yoktu bana birsey olmaz diyordunuz ama bir anda pencereler acilmaya, mouse oynamaya hatta internet sayfalariniz degismeye basladi. Asagidaki adimlari izleyerek olasi bir zararli yazilim saldirisindan hicbir antivirus kullanmadan kurtulmayi gosterecegim.
Adim 1: Agla Olan Baglantinizi Kesin.
Zararli yazilim bulasmis bir bilgisayarin internet baglantisini kesmek ilk yapmaniz gereken istir. Baglantiyi isterseniz donanimsal olarak fisi cekerek ya da BIOS uzerinden butun ag kartlarini devre disi birakarak yapabilirsiniz.
Adim 2: Zararli Islemleri ve Suruculeri Tespit Edin.
Bilgisayarin dis dunya ile olan baglantisini kopardiktan sonra yapmaniz gereken sey zararli yazilimi tespit etmektir. Zararli yazilimlarin tespit edilmesinde birkac genel unsur vardir:
- Herhangi bir ikonunun bulunmamasi.
- Dosyaya ait tanimda bir sirket ya da guvenilir bir isim bulunmamasi.
- Microsofttan geldigini iddia eden ancak dijital imza tasimayan dosyalar.
- Windows dizininden calisan ve daha once hic karsilasmadiginiz yazilimlar.
- Icerigi sifrelenmis ve paketlenmis yazilimlar, dosyalar.
- Gomulu dosyalarin icerisindeki garip URLler.
- Acik TCP/IP uc noktalari barindiran islemler.
- Supheli DLL dosyalari barindiran islemler.
Yukarida bahsetigim belirtiler daha da cogaltilabilir ancak genel olarak cogu zararli yazilimda bu ozelliklerden en az birkaci bulunur. Tabiki gunumuz malware ve trojan teknolojisinde bunlarin bircogu atlatilabiliyor ancak siz yine de bunlari goz onunde bulundurun.
Zararli Islemleri Tanimlamak Icin Ileri Seviye Teknikler.
Process Explorer Kullanin:
Process Explorer, sisteminizde calisan butun uygulama ve servisleri detayli olarak gosteren, bunlar uzerinde duzenleme yapabilmenizi saglayan ve bunlarin icerisinden de zararli olabilecekleri ayirt etmenize yarayan bir islem goruntuleyicisidir.
Process Exporerin ana penceresinde karsiniza renk renk kategorilere ayrilmis bircok islem gelecektir.
Bu renklerin anlamlari asagidaki gibidir:
Yesil: Yeni nesneler
Kirmizi: Silinmis nesneler
Mavi: Kendi islemleri
Pembe: Servisler
Mor: Paketlenmis resimler
Kahverengi: Gorevler
Sari: .NET Islemleri
Sari: Yeri degistirilmis DLLler.
Bir islemin uzerine mouse ile geldiginizde size birkac bilgiyi gosterecektir:
Ayrica istediginiz bir isleme cift tikladiginizda asgidaki gibi bir pencere acilacak ve bu islemle ilgili her turlu detaya ulasabileceksiniz:
Zararli bir yazilimi olusturan kisi yukarida belirttigim gibi yazilimi gayet legal gibi gosterebilir. Tanimlama kismindaki sirket ya da guvenilir isim ozelliklerini degistirip Microsoft yazabilir. Process Explorer kullanarak yazilimin detayli analizini yapip gercekten ilgili sahisa ya da firmaya ait olup olmadigi anlasilir. Istediginiz bir islemin ya da DLLin ozelliklerini actiginiz pencerede Image sekmesine gelin ve Verify butonuna tiklayin. Process Explorer hemen o yazilimin dogrulamasini yapacaktir.
Bu programla ilgili daha detayli bilgiye internetten ulasabilirsiniz. Programi BURAYA tiklayarak indirebilirsiniz.
Zararlinin Izini Surun
Eger bir zararli yazilim Process Explorerin liste yenileme hizindan daha hizli bir sekilde girip cikma islemi yaparsa program onu algilamayabilir. Normal bir ev kullanicisinin bile bilgisayarinda onlarca servis ve islem surekli olarak degisip calistigi icin zararliyi listede tespit edebilmeniz cok zor bir hale gelebilir.
Program listelenen yazilimlarin her birini onlarca farkli yolla surekli olarak izler. Kisa sureli girdi-cikti yapan islemleri gormek icin; yukaridaki Tools menusune tiklayin ve oradan da Process Treeye tiklayin. Burada program basladigindan beri calisan butun islemleri ve surelerini goreceksiniz.
3. Adim: Islemleri Sonlandirin.
Zararlilari tespit ettikten sonra her bir zararlinin dosya dizin yolunu kaydedin. Boylece bunlari sonlandirdiktan sonra silebilirsiniz. Process Explorerda islemi sonlandirmak icin cift tiklayip actiginiz ozellikler menusunde Suspend butonuna tiklayin.
Bir islemi sonlandirdiktan sonra dikkat etmeniz gereken sey, yeni bir islemin olusup olusmadigidir. Bunu yesil renkli islemlerden ayirt edebilirsiniz.
Adim 4: Baslangicta Calisan Uygulamalari ve Servisleri Silin.
Neredeyse butun zararli yazilimlar kendini windows baslangicina eklerler. Boylece her sistem yeniden baslatildiginda onlarda baslar ve gorevlerine devam ederler. Windowsunmsconfig adli uygulamasi bu islevi goruyor ancak yeterince detayli degil. Onun yerine daha detayli olan Autoruns adli programdan bahsedecegim.
Programi actiginizda asagidaki gibi bir pencere goreceksiniz.
Buradaki sekmelerin Turkce karsiliklari da su sekilde:
Everything: Butun islemler
Logon: Oturum baslatmada calisanlar
Services: Servisler
Explorer: Windows Gezgininde calisanlar
Scheduled Tasks: Planlanmis gorevler
Boot Execute: Sistem bootda calisanlar
KnownDLLs: Bilinen DLL dosyalari
Belirlediginiz bir uygulama ya da servisi baslangictan silmek icin sag tiklayip deletee tiklamaniz yeterlidir.
Burada dikkat etmeniz gereken sey, Process Explorerda buldugunuz zararlilari burada aramaktir. Yanlislikla bir sistem uygulamasini devre disi birakmaniz istemediginiz sonuclar dogurabilir.
Autoruns programini BURADAN indirebilirsiniz.
Adim 5: Sistemi Guvenli Modda Baslatin.
Yukaridaki adimlari basari ile bitirdiginizde artik sistemi yeniden baslatip Guvenli Modda calistirma vakti gelmistir. Guvenli Mod, sistemin belli uygulama ve servisleri disinda hicbir yazilimin calisamadigi bir ortamdir. Bu yuzden de zararli yazilimlar da calisamayacak ve silme isleminiz kolay olacaktir.
Adim 6:Zararli Dizin ve Dosyalari Silin.
Zararlinin baslangic bagini da koparttiktan sonra silme islemine gecebilirsiniz. Yukarida belirlediginiz zararlilarin dosya yollarina gidin ve geri donusum kutusuna atmadan birer birersilin.
Adim 7: Bios Sifirlayin.
Cok nadir olmak uzere bazi zararli yazilimlarin BIOS uzerine yerlesebildigini biliyoruz. Eger boyle bir durum sozkonusu ise anakartinizin uzerinde bulunan BIOS pilini cikartip geri takarak BIOSU sifirlamaniz bunu cozecektir.
Adim 8: Yeniden Baslatin ve Kontrol Edin.
Butun adimlari basariyla bitirdiniz. Simdi yapmaniz gereken tek sey sistemi yeniden baslatip bilgisayarin eski duzeninde calisip calismadigina bakmak olacaktir. Ikinci maddedesaydigim belirtileri tekrar gozden gecirin ve sonra da Process Explorer ile sistemi tekrar inceleyin. Sistemde bir hata yoksa ve basari ile temizligi bitirdiyseniz bir sonraki adima dikkat edin.
Adim 9: Dikkatli Olun ve Bir Guvenlik Yazilimi Edinin
Gunumuzde bircok antivirus yazilimlari yukarida anlattigim bazi islemleri otomatik olarak yapip sizin icin herseyi kontrol edebiliyor. Ancak yeni gelisen zararli yazilim teknolojileri sayesinde de bu antiviruslere taninmaz hale gelebiliyorlar. Bu yuzden de is yine sizde bitiyor. Internette gezinirken cok dikkatli ve cogu zaman paranoyak davranin. Ozellikle guvenilir olmayan sitelerden herhangi bir yazilim indirmeyin ve mailinize gelen hicbir baglantiya tiklamayin. Dikkat hususunda daha alinabilecek bircok onlem var ancak hepsini siralamak yerinemantiginizi kullanin ve siz bir zararli yazilim ureticisi olsaydiniz ne yapardiniz dusunun.
ALINTIDIR ... "SOLVER"
Adim 1: Agla Olan Baglantinizi Kesin.
Zararli yazilim bulasmis bir bilgisayarin internet baglantisini kesmek ilk yapmaniz gereken istir. Baglantiyi isterseniz donanimsal olarak fisi cekerek ya da BIOS uzerinden butun ag kartlarini devre disi birakarak yapabilirsiniz.
Adim 2: Zararli Islemleri ve Suruculeri Tespit Edin.
Bilgisayarin dis dunya ile olan baglantisini kopardiktan sonra yapmaniz gereken sey zararli yazilimi tespit etmektir. Zararli yazilimlarin tespit edilmesinde birkac genel unsur vardir:
- Herhangi bir ikonunun bulunmamasi.
- Dosyaya ait tanimda bir sirket ya da guvenilir bir isim bulunmamasi.
- Microsofttan geldigini iddia eden ancak dijital imza tasimayan dosyalar.
- Windows dizininden calisan ve daha once hic karsilasmadiginiz yazilimlar.
- Icerigi sifrelenmis ve paketlenmis yazilimlar, dosyalar.
- Gomulu dosyalarin icerisindeki garip URLler.
- Acik TCP/IP uc noktalari barindiran islemler.
- Supheli DLL dosyalari barindiran islemler.
Yukarida bahsetigim belirtiler daha da cogaltilabilir ancak genel olarak cogu zararli yazilimda bu ozelliklerden en az birkaci bulunur. Tabiki gunumuz malware ve trojan teknolojisinde bunlarin bircogu atlatilabiliyor ancak siz yine de bunlari goz onunde bulundurun.
Zararli Islemleri Tanimlamak Icin Ileri Seviye Teknikler.
Process Explorer Kullanin:
Process Explorer, sisteminizde calisan butun uygulama ve servisleri detayli olarak gosteren, bunlar uzerinde duzenleme yapabilmenizi saglayan ve bunlarin icerisinden de zararli olabilecekleri ayirt etmenize yarayan bir islem goruntuleyicisidir.
Process Exporerin ana penceresinde karsiniza renk renk kategorilere ayrilmis bircok islem gelecektir.
Bu renklerin anlamlari asagidaki gibidir:
Yesil: Yeni nesneler
Kirmizi: Silinmis nesneler
Mavi: Kendi islemleri
Pembe: Servisler
Mor: Paketlenmis resimler
Kahverengi: Gorevler
Sari: .NET Islemleri
Sari: Yeri degistirilmis DLLler.
Bir islemin uzerine mouse ile geldiginizde size birkac bilgiyi gosterecektir:
Ayrica istediginiz bir isleme cift tikladiginizda asgidaki gibi bir pencere acilacak ve bu islemle ilgili her turlu detaya ulasabileceksiniz:
Zararli bir yazilimi olusturan kisi yukarida belirttigim gibi yazilimi gayet legal gibi gosterebilir. Tanimlama kismindaki sirket ya da guvenilir isim ozelliklerini degistirip Microsoft yazabilir. Process Explorer kullanarak yazilimin detayli analizini yapip gercekten ilgili sahisa ya da firmaya ait olup olmadigi anlasilir. Istediginiz bir islemin ya da DLLin ozelliklerini actiginiz pencerede Image sekmesine gelin ve Verify butonuna tiklayin. Process Explorer hemen o yazilimin dogrulamasini yapacaktir.
Bu programla ilgili daha detayli bilgiye internetten ulasabilirsiniz. Programi BURAYA tiklayarak indirebilirsiniz.
Zararlinin Izini Surun
Eger bir zararli yazilim Process Explorerin liste yenileme hizindan daha hizli bir sekilde girip cikma islemi yaparsa program onu algilamayabilir. Normal bir ev kullanicisinin bile bilgisayarinda onlarca servis ve islem surekli olarak degisip calistigi icin zararliyi listede tespit edebilmeniz cok zor bir hale gelebilir.
Program listelenen yazilimlarin her birini onlarca farkli yolla surekli olarak izler. Kisa sureli girdi-cikti yapan islemleri gormek icin; yukaridaki Tools menusune tiklayin ve oradan da Process Treeye tiklayin. Burada program basladigindan beri calisan butun islemleri ve surelerini goreceksiniz.
3. Adim: Islemleri Sonlandirin.
Zararlilari tespit ettikten sonra her bir zararlinin dosya dizin yolunu kaydedin. Boylece bunlari sonlandirdiktan sonra silebilirsiniz. Process Explorerda islemi sonlandirmak icin cift tiklayip actiginiz ozellikler menusunde Suspend butonuna tiklayin.
Bir islemi sonlandirdiktan sonra dikkat etmeniz gereken sey, yeni bir islemin olusup olusmadigidir. Bunu yesil renkli islemlerden ayirt edebilirsiniz.
Adim 4: Baslangicta Calisan Uygulamalari ve Servisleri Silin.
Neredeyse butun zararli yazilimlar kendini windows baslangicina eklerler. Boylece her sistem yeniden baslatildiginda onlarda baslar ve gorevlerine devam ederler. Windowsunmsconfig adli uygulamasi bu islevi goruyor ancak yeterince detayli degil. Onun yerine daha detayli olan Autoruns adli programdan bahsedecegim.
Programi actiginizda asagidaki gibi bir pencere goreceksiniz.
Buradaki sekmelerin Turkce karsiliklari da su sekilde:
Everything: Butun islemler
Logon: Oturum baslatmada calisanlar
Services: Servisler
Explorer: Windows Gezgininde calisanlar
Scheduled Tasks: Planlanmis gorevler
Boot Execute: Sistem bootda calisanlar
KnownDLLs: Bilinen DLL dosyalari
Belirlediginiz bir uygulama ya da servisi baslangictan silmek icin sag tiklayip deletee tiklamaniz yeterlidir.
Burada dikkat etmeniz gereken sey, Process Explorerda buldugunuz zararlilari burada aramaktir. Yanlislikla bir sistem uygulamasini devre disi birakmaniz istemediginiz sonuclar dogurabilir.
Autoruns programini BURADAN indirebilirsiniz.
Adim 5: Sistemi Guvenli Modda Baslatin.
Yukaridaki adimlari basari ile bitirdiginizde artik sistemi yeniden baslatip Guvenli Modda calistirma vakti gelmistir. Guvenli Mod, sistemin belli uygulama ve servisleri disinda hicbir yazilimin calisamadigi bir ortamdir. Bu yuzden de zararli yazilimlar da calisamayacak ve silme isleminiz kolay olacaktir.
Adim 6:Zararli Dizin ve Dosyalari Silin.
Zararlinin baslangic bagini da koparttiktan sonra silme islemine gecebilirsiniz. Yukarida belirlediginiz zararlilarin dosya yollarina gidin ve geri donusum kutusuna atmadan birer birersilin.
Adim 7: Bios Sifirlayin.
Cok nadir olmak uzere bazi zararli yazilimlarin BIOS uzerine yerlesebildigini biliyoruz. Eger boyle bir durum sozkonusu ise anakartinizin uzerinde bulunan BIOS pilini cikartip geri takarak BIOSU sifirlamaniz bunu cozecektir.
Adim 8: Yeniden Baslatin ve Kontrol Edin.
Butun adimlari basariyla bitirdiniz. Simdi yapmaniz gereken tek sey sistemi yeniden baslatip bilgisayarin eski duzeninde calisip calismadigina bakmak olacaktir. Ikinci maddedesaydigim belirtileri tekrar gozden gecirin ve sonra da Process Explorer ile sistemi tekrar inceleyin. Sistemde bir hata yoksa ve basari ile temizligi bitirdiyseniz bir sonraki adima dikkat edin.
Adim 9: Dikkatli Olun ve Bir Guvenlik Yazilimi Edinin
Gunumuzde bircok antivirus yazilimlari yukarida anlattigim bazi islemleri otomatik olarak yapip sizin icin herseyi kontrol edebiliyor. Ancak yeni gelisen zararli yazilim teknolojileri sayesinde de bu antiviruslere taninmaz hale gelebiliyorlar. Bu yuzden de is yine sizde bitiyor. Internette gezinirken cok dikkatli ve cogu zaman paranoyak davranin. Ozellikle guvenilir olmayan sitelerden herhangi bir yazilim indirmeyin ve mailinize gelen hicbir baglantiya tiklamayin. Dikkat hususunda daha alinabilecek bircok onlem var ancak hepsini siralamak yerinemantiginizi kullanin ve siz bir zararli yazilim ureticisi olsaydiniz ne yapardiniz dusunun.
ALINTIDIR ... "SOLVER"
