Codeturkiye.com
  • Mobil
    • Android
    • İphone
    • İOS
  • WordPress
  • İnternet
  • Genel
  • Bilgisayar
    • Windows
    • Yazılım
  • iletisim
    • iletisim
    • Hakkımızda
    • Amacımız Ne-Neler Yapıyoruz?
    • Neden Sitemize Uğramalısınız Bu Size Ne Katacak?
    • Bizi Diğer Teknoloji Sitelerinden Ayıran Özellik Ne
  • Privacy Settings Page
teset

Apple ID iCloud Çıkış Yapamıyorum

28/09/2023

Kurulum hazırlanırken bir hata oluştu sorunu

28/09/2023

Wi-Fi 7 Wi-Fi 6 ve Wi-Fi 5 Arasındaki Fark

28/09/2023

Cloudflare Alan Adı Nasıl Kaydedilir

28/09/2023
Facebook X (Twitter) Instagram
Facebook X (Twitter) Instagram
Codeturkiye.com
Subscribe
  • Mobil
    • Android
    • İphone
    • İOS
  • WordPress
  • İnternet
  • Genel
  • Bilgisayar
    • Windows
    • Yazılım
  • iletisim
    • iletisim
    • Hakkımızda
    • Amacımız Ne-Neler Yapıyoruz?
    • Neden Sitemize Uğramalısınız Bu Size Ne Katacak?
    • Bizi Diğer Teknoloji Sitelerinden Ayıran Özellik Ne
  • Privacy Settings Page
Codeturkiye.com
Home»Windows»Windows 10 Antimalware Tarama Arabirimi (AMSI) Nedir?
Windows

Windows 10 Antimalware Tarama Arabirimi (AMSI) Nedir?

By BESIR KURT22/04/2017Yorum yapılmamış3 Dakika Okuma
Facebook Twitter Pinterest LinkedIn Tumblr WhatsApp VKontakte Email
Paylas.
Facebook Twitter LinkedIn Pinterest Email
Bugünün yazımda size, kötü amaçlı etkinliği engellemek için Windows 10 ve Windows Server 2016’daki yeni API setlerinin nasıl kullanılabileceğini açıklayacağım.

Yalnızca imza tabanlı antivirüs korumasının, vahşi doğada çok sayıda virüs ve mutasyon geçirme hızı nedeniyle cihazları yeterince koruyamayacağı uzun zamandır bilinmektedir. Diskteki dosyaları tarama ve bunları bilinen bir tehdit veri bankasıyla karşılaştırma sorunlarından biri, bilgisayar korsanlarının bellekte çalışacak gerçek kodu şaşkına çevirmek için çeşitli teknikler kullanmasıdır. Bilgisayar korsanlarının algılanmasını önlemenin bazı basit örneklerini inceleyelim.

VBScript ve Ruby gibi dinamik dilleri kullanarak, çalışmaların çoğu, derleme aşamasında değil çalışma zamanında yapılır. Nesneler, kod çalıştırıldığında yöntemler ve özellikler ekleyerek yaratılabilir; Nesneleri önceden tanımlamamıza gerek yoktur. Bu bilgiyi uygulayarak, kod, çalışma zamanında ne olacağını örtbas etmek üzere yazılabilir ve algılamayı engellemeye yardımcı olur.

VBScript ve PowerShell gibi komut dosyası oluşturma motorları ve kabukları, işletim sistemine yerleştirildikleri ve bilgisayar korsanlarının genellikle sistemlere olan aşırı erişimli erişiminden dolayı hedef olan sistem yöneticileri tarafından kullanıldığı için ideal bir hedeftir. Windows 10 Antimalware Tarama Arabirimi (AMSI) Nedir?

Algılamayı Önleme

Konsola bir ileti göndermek için yalnızca Yazma Sunucusu ‘Sen saldırıya uğradın’ yerine, saptamayı önlemek için komut dosyasını değiştirmek için dize birleştirmeyi kullanabilirsiniz, ancak konsoldan aynı çıktıyı alabiliriz:

PowerShell

1

2

3

4

5

Function Hack-Me

{

    Invoke-Expression (“Write-Host ‘You have ” + “been hacked’”)

}

Hack-Me

AV imzaları, yukarıda kullanılan tekniği saptamak için güncellendiğinde, Base64 kodlaması veya algoritmik şaşırtmaca gibi daha sofistike bir şey gereklidir. Aşağıdaki komut, Write-Host ‘ Base64 ‘ e saldırıldı ‘ kodlar ve sonuçları bir değişkende ($ EncodedText) depolar:

PowerShell

1

2

3

$Text = “Write-Host ‘You have ” + “been hacked’”

$Bytes = [System.Text.Encoding]::Unicode.GetBytes($Text)

$EncodedText =[Convert]::ToBase64String($Bytes)

Ardından, şifrelenmiş metni, niyetlerimizi bir parça kötü niyetli kodda bulanıklaştırmak için kullanabiliriz:

PowerShell
1

2

3

4

5

6

7

8

9

Function Hack-Me

{

$code = ‘VwByAGkAdABlAC0ASABvAHMAdAAgABggWQBvAHUAIABoAGEAdgBlACAAYgBlAGUAbgAgAGgAYQBjAGsAZQBkABkg’

 

$newcode = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($code))

 

Invoke-Expression $newcode

}

Hack-Me

Gördüğünüz gibi, bu bir kedi ve fare oyunudur ve yukarıda gösterilenler, bilgisayar korsanlarının şaşırtmayı nasıl uyguladığına dair basit örneklerdir; bu, saptamadan kaçmak için kullanılan yöntemleri hakkında bir fikir verir.

Antivirüs çözümleri, buluşsal analiz kullanarak şüpheli davranışları denemek ve bulmak için korumalı ortamda kodu çalıştırmak için emülatörleri kullanır. Ancak, diğer savunmalar gibi, bilgisayar korsanlarının, algılamayı önlemek için (örn. Kodun gerçek veya taklit edilmiş bir ortamda olup olmadığını kontrol etmesi de dahil olmak üzere) önlem almaktan ötürü kollarına bir sürü numara hileler var ya da kod için uzun süre gecikmeler ekleyerek öykünücüyü zaman aşımı. Emülatörler çoğu virüsten koruma çözümünün parçası olsa da, kaynak kullanımı yoğun ve atlamak zor değil.

Antimalware Tarama Arabirimi

Bir bilgisayar korsanının, mallarını gizlemek için kullandığı yöntem ne olursa olsun, komut dosyası motoruna nihayet düz kod verilmelidir ve bu noktada Microsoft’un Antimalware Tarama Arabirimi API’leri, bellekteki kodu taramak için kullanılabilir. AMSI ayrıca dosyaları, akışları tarayabilir ve içerik kaynağı URL / IP itibarı kontrolleri sağlayabilir. Herhangi bir uygulama, ister bir virüsten koruma çözümü isterse de mesajlaşma uygulaması olsun, API’lerden yararlanabilir, böylece bellekteki kodu daha iyi kavrayabilir ve zarar görmeden çalışmasını durdurma fırsatı elde edersiniz. Windows Defender, daha iyi koruma sağlamak için zaten AMSI kullanıyor.

Diğer savunmalar gibi, AMSI her derde deva değildir ve atlama yolları Black Hat 2016’da bulunmuştur. Microsoft’un araştırmacılar tarafından bulunan delikleri takıp edemediği görülmekle birlikte, derinlemesine savunma daima En iyi strateji. Örneğin, yönetici ayrıcalıklarını kullanıcılardan kaldırmak, uygulama denetimi uygulamak ve antivirüs koruması, derinlemesine kapsamlı savunma planının temel bileşenleri. Windows 10 Antimalware Tarama Arabirimi (AMSI) Nedir?

AMSI Antimalware güvenlik Windows 10 Windows 10 Antimalware Tarama Arabirimi Windows Server 2016
Share. Facebook Twitter Pinterest LinkedIn Tumblr WhatsApp Email
Önceki makaleKimlik Korumasını Kullanarak Güvenli Azure AD
Sonraki Makale Google Play Müzik, tüm dünyadaki Samsung cihazlarındaki varsayılan müzik uygulaması olacak
BESIR KURT

CodeTurkiye'nin seçkin yazarlarından biri olan Beşir Kurt, teknoloji ve yazılım dünyasına olan tutkusuyla tanınır. Gerek CodeTurkiye'deki yazılarıyla gerekse katıldığı paneller ve konferanslarla, teknoloji meraklılarına bilgi ve ilham kaynağı olmaktadır.

İlgili Mesajlar*

DHCP WiFi için Etkin Değil hatası

15/09/2023

Windows 11 Dosya ve Klasörler Ağ Üzerinden Nasıl Paylaşılır

03/09/2023

Excel sütunları satırlara dönüştürme

16/08/2023

PowerShell ile Hesap Parolası Nasıl Değiştirilir

16/08/2023

Cevap bırakın Cevabı İptal Et.

  • Facebook
  • Twitter
  • Instagram
İlginizi Çekeblir
İOS

Apple ID iCloud Çıkış Yapamıyorum

By BESIR KURT28/09/20230

iCloud’dan (Apple ID) çıkış yapmaya çalışıyorsanız ancak “Kısıtlamalar nedeniyle çıkış yapılamıyor” mesajını görüyorsanız, çıkış yapmadan…

Kurulum hazırlanırken bir hata oluştu sorunu

28/09/2023

Wi-Fi 7 Wi-Fi 6 ve Wi-Fi 5 Arasındaki Fark

28/09/2023

Cloudflare Alan Adı Nasıl Kaydedilir

28/09/2023

Güncellemelere Abone Ol

Facebook X (Twitter) Instagram Pinterest
  • Mobil
    • Android
    • İphone
    • İOS
  • WordPress
  • İnternet
  • Genel
  • Bilgisayar
    • Windows
    • Yazılım
  • iletisim
    • iletisim
    • Hakkımızda
    • Amacımız Ne-Neler Yapıyoruz?
    • Neden Sitemize Uğramalısınız Bu Size Ne Katacak?
    • Bizi Diğer Teknoloji Sitelerinden Ayıran Özellik Ne
  • Privacy Settings Page
© 2023 ThemeSphere. Designed by ThemeSphere.

Yukarıya yazın ve aramak için Enter tuşuna basın. İptal etmek için Esc tuşuna basın.