Bilgisayar Virüsleri ve Bunlardan Ko ELEEE K | 1 Yedekleme (Backup) Hard diskli bilgisayarlar yalnızca disket sürücülerine sahip olan sistem- lerden yapıları gereği daha çok risk altındadırlar. Bunun birinci nedeni şudur: Disket jokeyi arzu edilen prog- rama ilişkin gerekli uyarlamaların tü- münü bir hamlede koparabilmek için çoğu kez yeniden işletilmeyi yeğ tu- tar ki, bu da virüsün işini zorlaştırır. Öte yandan da, bir hard disk bir de- fasında erişilebilen verilerin ve prog- ramların miktarı dolayısıyla virüsler için bir cennet sayılır. O halde, hard diskli bir bilgisaya- rTa sahip olanların her el kitabında sa- lık verilen şu şeyi yapmaları gerek- mektedir: Disket ya da band üzerin- de tarihlendirilmiş olarak arşivlenmiş düzenli bir yedekleme (Backup) mey- dana getirmek. Böylesi bir yedekle- me virüs bulaşımında çoğu kez son kurtuluş çaresi olmaktadır. Bir yedeklemenin habis bir virüs bulaşımından sonraki restorasyonu sırasında, mümkün olduğunca geç ta- rihli bir yedeklemenin metin verilerini ve diğer standart verileri kullanmak, programlarda ise mümkün olduğun- ca erken bir tarihte çekilmiş güven- lik kopyalarından yararlanmak ge- rekmektedir, Bu bir yandan veri sto- kunun olabildiğince güzel bir resto- rasyonunu, öte yandan da çoğu kez henüz enfekte edilmemiş bir program versiyonunun yeniden düzenlenmesi- ni güvenceye almaktadır. 2 Crunch-data Kullanılagelen hemen bütün bilgi- sayar modelleri için, pek çok veri kü- tüğünü tek bir büyük kütükte kütük- leyen, sırası geldiğinde alfabetik ola- rak düzenleyen ve komprime eden bir arşiv programı programı mevcuttur. (MS-DOS, Atari ST ve AMIGA için SİARCI!). Bu format içinde program kütük- leri akış yeteneğinden yoksundurlar, bundan ötürü de enfekte edilmeleri mümkün değildir. En sık kullanılan kullanıcı programları bu format için- de kütüklendikleri takdirde, insanın elinin altında kendisiyle çalışılabile- cek ve enfekte edilmemiş olduğu gü- vence altına alınmış bir versiyon ha- zır durmüş olur, (Bu versiyon arşiv- lenmeden önce efekte edilmemiş ol- duğu sürece). Crunch-veri kütükleri 24 sistem güvenliğinin yanı sıra bellek- ten en iyi biçimde yararlanılmasına ve düzenin sağlanmasına büyük ölçüde yardımcı olurlar. Hard disk üzerin- deki Crunch-veri kütükleri, disketler üzerinde mümkün olduğunca bir kopyaya sahip olmalı ve tüm işletim sistemi de dahil olmak üzere asıl kul- lanılan programlar arşivlenmiş yedek kütük olarak hazır bulunmalıdırlar. 3 Başlatma Disketi Kendi işletim sistemini disketten ya da hard diskten alan (AMIGA'da vu- ruşlu başlatma, IBM-uyarlı bilgisa- yarlarda MS-DOS) bir bilgisayar mo- delinde enfeksiyonun anlaşılmasın- dan sonra zamanında yerleştirilmiş yazım güvenceli bir başlatma disketi çok büyük önem taşımaktadır. Bu disket güvenli bir sistem erişimini ga- rantilemekle yükümlüdür; çünkü vi- rüs işletim sisteminde de (dişletim sis- temi de yalnızca bir programdır so- nuç olarak) pusu kurmuş olabilir. Çoğu işletim sisteminde bilindiği türden otomatik bir başlatma-sekansı (ST'de otodüzenleyici, MS-DOS'da AUTÖOEXECBAT ve AMIGĞA'da “startup-seguence'') sistemi tam oto- matik olarak yukarda betimlenen Crunch-veri kütükleriyle restore ede- bilmektedir. Gerçi bu işlem biraz za- man almaktadır, ama her halükârda zahmete değecek ve güvenli bir yol- dur bu, 4 Programların Yeniden Adlandırılması Uygulanabilen programların yeni- den adlandırılması da küçük çapta bir korunma imkânı sunmaktadır. Bu örneğin şu suretle yapılmaktadır: M5S-DOS'da *'COM'' ve “EXE” kü- tükleri, Atari ST'de “PRG” ve **TOS” kütükleri “XXX” ve “YYY” olarak yeniden adlandırıl- makta ve başlatımdan kısa bir süre önce de yığın (Batch) aracılığıyla bun- lara eski adları verilmektedir. İlkel vi- rüsler kurbanlarını ararlarken yönle- rini çoğu kez ad genişletilmelerine gö- re belirlerler. Ama usta bir virüsün aradığı şey sonek değil, başlatma- byte'larıdır. O zaman da yeniden ad- landırma hiç bir yarar sağlamaz. 5 Hard diskler bloke ediyor ve güvence sağlıyorlar Kökenleri şüpheli olan programlar çalıştırılmak isteniyorsa hard diske ön aşamada çok özen göstermek ge- rekmektedir. Pek titiz yaratılışta olanlar programları denemek istedik- lerinde hard disk ile *“Controller'' arasındaki bağlantı fişini çıkarırlar. Böylelikle bir virüsün hard diske eri- şimi bloke edilmiş olmaktadır. Ama bütün fiş bağlantıları ancak belirli miktarda işlemi kaldırabildi- ğinden profesyonel yazılım koleksi- yoncuları Controller ile hard disk arasında bir şalter oluşturmayı yeğ tutarlar. Bununla birlikte, virüsler et- kin bir duruma geçmezden önce ya- vaş yayıldıkları ve uzun süre gizli kal- dıkları zaman en tehlikeli olurlar. O halde, eğer virüs test edilecek disket- te gizlenmiş ise onun hiç keşfedilme- mesi olasılığı oldukça yüksektir. Bu durumda sözde virüsten arındırılmış bir programın diske aktarılmasıyla hiç bir şey elde edilemez. Program- testinden sonra bilgisayarı mutlaka devreden kesmek gerekmektedir. si- linmeye karşı dayanıklı virüslere iliş- kin yeniden boot etme de yeterli ol- mamaktadır. Bu örneğin B.H.P'nin C GA virüsü ve ST-virüsü için de ge- çerlidir. G RAM-Disk Bazı durumlarda hard diski devre dışı birakmak ve bir RAM-diskini hard disk etiketiyle donatmak yararlı olmaktadır. (MS-DOS'da: “Cı''). Birkaç programı bir RAM-diskine yükledikten sonra enfekte edilmemiş oldukları garantisine sahip özgün programlarla tek tek her bit'de yapı- lan bir karşılaştırma şu veya bu virü- sün bulunmasını sağlayabilmektedir. Ancak, fiziksel saldırıya geçen ve doğrudan ““Bootsector”'a erişim im- kânı bulan virüsleri bu şekilde yanılt- mak söz konusu değildir. 7 Bilgisayarın Gözlenmesi Özellikle yeni programların çalış- tırılması sırasında disketin ve hard diskin ışık diodunun göz önünde tu- tulması gerekmektedir. Programla il- gisi olmadıkları açıkça belli olan yı- Bın bellek erişimlerinin meydana gel- diğini ele veren bir titreme görüldü- ğünde imdat freninin çekilmesi yerin- de olur. 8 Program Aracılığıyla Virüslerin Aranması Bir virüs salgınının izini sürmek