- Mesajlar
- 251
Hangi işlem zararlı, hangisi zararsız? Makalemizi okuduktan sonra daha iyi karar verebileceksiniz.
Windows 7, etkili bir yapıya sahip dev bir işletim sistemi, ancak işlemler ve hizmetler arasına girdiğinizde kafanız karışabilir.
Windows Görev Yöneticisinde neye bakacağınızı bilmiyorsanız, zararlıların kendilerini farklı ve iyi yazılımlar gibi göstererek sizden gizlenmesi veya aksine, iyi bir yazılımın size zararlıymış gibi görünüp işlemi kapatmanıza ve bilgisayarı kilitlemenize neden olabilir.
Bunların dışında güvenlik yazılımınız tarafından size sorulan işlemlere kaynaklara erişmesi için verdiğiniz izinler var. Bir işleme izin vermek, PC’nize virüs bulaşmasına neden olur mu? Bu makalemizde Windows’unuzda çalışan işlemleri nasıl tanıyacağınızı, hangisinin zararlı olup hangisinin olmadığını nasıl anlayabileceğinizi sizlere anlatacağız.
İşlem hiyerarşisi
Bir işlemin iyi mi yoksa zararlı mı olduğunu anlamak için Windows 7′nin yapısını anlamak faydalı olacaktır. PC’nizi açtıktan sonra PC’niz kendisini test eder, ardından birincil diskten ana boot kaydı yüklenir. Bu, Windows 7 kernel görüntüsünün yüklenmesi ile devam eder, ardından diğer işlemler yüklenmeye başlar.
Tüm modern işletim sistemleri bir işlem hiyerarşisine sahiptir. Windows 7′de genellikle üç veya dört üst seviye işlem bulunur. Bunlardan bir tanesi ‘wininit.exe’in devamı olan ‘services.exe’dir.
Bu işlemin işi, arka planda bağımsız olarak çalışan işlemleri oluşturmaktır. Ancak bu basit işlem, genellikle kullanıcıların kafasında bir karışıklığa neden olur.
Bu karışıklığın nedeni, ‘services.exe’nin ‘svchost.exe’nin birkaç sürümünü başlatmasıdır. Bu terimi internette arattığınızda işlemi nasıl kapatacağını araştıran birçok kullanıcı göreceksiniz.
Ancak birden çok svchost.exe’nin çalışması normaldir ve bu işlemleri öldürmek, işletim sisteminin işleyişine zarar verebilir.
svchost.exe ve diğer ana işlemler
svchost.exe’nin birçok sürümünün açık olmasının arkasındaki neden, DLL’ler ile çalışan işlemleri çalıştıran bir ‘çalıştırıcı’ olarak işlemesidir. Bu işlemler, verimlilik, hız ve sistem dirençliliği adına farklı sürümler olarak çalıştırılır.
Service.exe, EXE dosyalarından çalışan birçok hizmeti de çalıştırır. Bunlar arasında anti-zararlı yazılımınızın hizmet bölümü, üçüncü parti uygulamalar ve Windows 7 için güncelleme araçları ve güç gönetimi vardır.
Akılları karıştıran ve endişe uyandıran diğer bir masum işlem ise ‘Search Indexer.exe’dir. Sabit diskinizin ışığı uzun süreyle yandığında endişlenmeniz normal olabilir, ancak ‘Search Indexer.exe’ genellikle zararlı bir işlem değildir. Bu işlem, Windows araması için dosyalarınızı indeksler ve bu sayede aramayı daha hızlı bir hale getirir.
Diğer önemli üst seviye işlemlerden bir tanesi de’explorer.exe’dir. Bu işlem, Windows 7 masaüstünü çalıştırır ve görev çubuğunun sistem tepsisi gibi çalışan birçok uygulamanız için ana işlemdir.
Görünümü geliştirme
İşlemler, hizmetler ve uygulamalar geleneksel olarak Görev Yöneticisi ile görüntülenir. Görev Yöneticisini Windows 7′de Ctrl+Alt+Del klavye kısayolunu kullanarak, ardından aracı menüden seçerek açabilirsiniz. Ctrl+Shift+Esc kısayolu ise Görev Yöneticisini direkt olarak açacaktır.
Görev Yöneticisi, tüm uygulamaları, sistem işlemlerini ve hizmetleri üç sekmeye ayırır; ancak bu size her şeyi göstermez. Örneğin ‘svchost.exe’ işlemleri normalde görünmemektedir. Görev Yöntecisi, sizden birçok öğeyi gizler ve sistem etkinliğini izlerken bu kısıtlı görünümden kaçınmanız gerekir.
Bunun için daha iyi bir seçenek olan Process Explorer‘ı indirip çalıştırabilirsiniz. Program yükleme gerektirmiyor, zip dosyasının içeriğini bir klasöre kopyalamanız yeterli.
Process Explorer’ı çalıştırmak için simgesine sağ tıklayın ve ‘Yönetici olarak çalıştır’ı seçin. Ekrana gelen ‘Kullanıcı hesabı denetimi’ penceresinde ‘Evet’ düğmesine tıklayın.
64 bit CPU kullanıyorsanız program klasöründe yeni bir uygulama dosyasının belirdiğini farkedeceksiniz. ‘procexp64′ adındaki bu uygulama, 64-bit makinenin gereksinimlerini karşılamak için oluşturulan bir wrapper’dır ve Process Explorer’ı kapattığınızda kaybolacaktır. Program, 32 bit ve 64 bit ortamlarda aynı şekilde çalışmaktadır ve Görev Yöneticisine göre çok daha fazla detay sunmaktadır.
Başlamak için istediğiniz hiyerarşi görünümünü elde edene dek ‘Process’ sütununa tıklayın. Bu sayede hangi işlemin hangisinin ana işlemi olduğunu kolaylıkla görebilirsiniz. Artık işletim sistemi hakkında daha iyi bir görünüme sahibiz ve iyi işlem gibi görünen zararlı işlemleri aramaya başlayabiliriz.
svchost işlemlerinin çok olması nedeniyle bir zararlı yazılımın kendini ‘svchost’a benzer olarak adlandırması onun gözardı edilmesine neden olabilir. Buna ‘svch0st.exe’ (sıfır ile) veya ‘svhost.exe’ (‘c’ olmadan) gibi örnekler verebiliriz.
Bu tür dosyaları kolaylıkla görebilmek için alfabetik sırayı elde edene dek ‘Process’ sütun başlığına tıklayabilirsiniz. Bir işlem hakkında daha fazla bilgi elde etmek için o işleme çift tıklayın. ‘Image’ sekmesinde bir işleme zararlı bulaşıp bulaşmandığını doğrulayabilirsiniz.
İşlem simgesinin hemen yanında ‘Not verified’ (doğrulanmamış) sözcüklerini göreceksiniz. ‘Verify’ düğmesine basarak dosyayı depolanmış imza ile doğrulayabilirsiniz. Process Explorer, kendi imzalarını oluşturmak için çalşan işlemleri kullanır ve bu ikisini karşılaştırır. Eğer ikisi birbirine uyuyorsa ‘Verified’ (doğrulandı) metni görüntülenir.
İmajları doğrularken ‘Company name’ (şirket adı) bölümünde hiçbir şey yazmayan, açıklaması saçma veya anlamsız işlemlere dikkat edin.
Eğer iyi gibi görünen bir işlem için ‘Unable to verify’ (doğrulanamadı) mesajı alırsanız panik yapmayın. Üreticinin imaj imzalarını doğrulamamış olması mümkündür. Office 2000 gibi çok eski yazılımlar da imza denetimine sahip değildir ve ‘Unable to verify’ mesajının görüntülenmesine yol açabilir.
Bu tür dosyalarda işleme sağ tıklayıp ‘Search Online’a tıklayarak işlem hakkında internette bir arama gerçekleştirebilirsiniz.
Bu konuda güvenilir bilgi veren sitelerden bir tanesi de http://www.processlibrary.com. Arama sonuçlarında bu siteye rastlamıyorsanız, arama sonuna site:www.processlibrary.com dizisini ekleyerek sadece bu site içinde arama yapmayı deneyebilirsiniz.
Bir işlemin zararlı olup olmadığını anlamanın diğer iyi bir yolu ise, uygulamanın bulunduğu konumdur. İşleme çift tıkladıktan ve Image sekmesine geldikten sonra tam konumu, çalışma dizinini ve işlemi başlatmakta kullanılan seçenekleri görebilirsiniz.
Windows 7′deki sistem klasörleri korumalı olduğundan, birçok zararlı yazılım sistem alanının dışında bir yerde konumlanacaktır. Başlatmadığınız herhangi bir uygulama (veya yüklediğiniz bir uygulamayla ilgisiz hizmet) C:\Windows dizin ağacının dışında bir konumdaysa ona potansiyel bir zararlı gözüyle bakmalısınız. Özellikle de ‘Temp’ klasörünü kullanan işlemlere dikkat edin.
Casus yazılımın izini sürmek
Şüpheli yazılımın nereye bağlandığını denetlemek de karar vermenizde yardımcı olacaktır. Bilgisayarınız bir botnet tarafından enfekte edildiyse, belirli aralıklarla bir sunucuya bağlanıp örneğin komut almak isteyecektir.
Process Explorer’da şüpheli işleme çift tıklayın ve ‘TCP/IP’ sekmesine tıklayın. IP adreslerini DNS adları olarak listelemek için ‘Resolve addresses’ kutucuğunu seçtiğinizden emin olun.
Bu şekilde sorguladığınız birçok program, yerel makineyi dinliyor olacaktır. Birçok işlem, portları kullanarak yerel olarak iletişim kurmaktadır ve bunda endişelenecek bir durum yoktur.
Process Explorer’ı arka planda birkaç gün açık tutarak PC’nizin çalışması hakkında bir fikir elde edebilirsiniz. Örneğin anti-zararlı yazılımınızın kendini güncellediğini, CPU’nuzu en çok neyin kullandığını, belleğinizi hangi uygulamaların tükettiğini ve çok daha fazlasını görebilirsiniz.
Bir sütuna sağ tıklayıp ‘Select columns’a tıklayarak görünüme birçok sütun eklemeniz de mümkün.
ALINTI
Windows 7, etkili bir yapıya sahip dev bir işletim sistemi, ancak işlemler ve hizmetler arasına girdiğinizde kafanız karışabilir.
Windows Görev Yöneticisinde neye bakacağınızı bilmiyorsanız, zararlıların kendilerini farklı ve iyi yazılımlar gibi göstererek sizden gizlenmesi veya aksine, iyi bir yazılımın size zararlıymış gibi görünüp işlemi kapatmanıza ve bilgisayarı kilitlemenize neden olabilir.
Bunların dışında güvenlik yazılımınız tarafından size sorulan işlemlere kaynaklara erişmesi için verdiğiniz izinler var. Bir işleme izin vermek, PC’nize virüs bulaşmasına neden olur mu? Bu makalemizde Windows’unuzda çalışan işlemleri nasıl tanıyacağınızı, hangisinin zararlı olup hangisinin olmadığını nasıl anlayabileceğinizi sizlere anlatacağız.
İşlem hiyerarşisi
Bir işlemin iyi mi yoksa zararlı mı olduğunu anlamak için Windows 7′nin yapısını anlamak faydalı olacaktır. PC’nizi açtıktan sonra PC’niz kendisini test eder, ardından birincil diskten ana boot kaydı yüklenir. Bu, Windows 7 kernel görüntüsünün yüklenmesi ile devam eder, ardından diğer işlemler yüklenmeye başlar.
Tüm modern işletim sistemleri bir işlem hiyerarşisine sahiptir. Windows 7′de genellikle üç veya dört üst seviye işlem bulunur. Bunlardan bir tanesi ‘wininit.exe’in devamı olan ‘services.exe’dir.
Bu işlemin işi, arka planda bağımsız olarak çalışan işlemleri oluşturmaktır. Ancak bu basit işlem, genellikle kullanıcıların kafasında bir karışıklığa neden olur.
Bu karışıklığın nedeni, ‘services.exe’nin ‘svchost.exe’nin birkaç sürümünü başlatmasıdır. Bu terimi internette arattığınızda işlemi nasıl kapatacağını araştıran birçok kullanıcı göreceksiniz.
Ancak birden çok svchost.exe’nin çalışması normaldir ve bu işlemleri öldürmek, işletim sisteminin işleyişine zarar verebilir.
svchost.exe ve diğer ana işlemler
svchost.exe’nin birçok sürümünün açık olmasının arkasındaki neden, DLL’ler ile çalışan işlemleri çalıştıran bir ‘çalıştırıcı’ olarak işlemesidir. Bu işlemler, verimlilik, hız ve sistem dirençliliği adına farklı sürümler olarak çalıştırılır.
Service.exe, EXE dosyalarından çalışan birçok hizmeti de çalıştırır. Bunlar arasında anti-zararlı yazılımınızın hizmet bölümü, üçüncü parti uygulamalar ve Windows 7 için güncelleme araçları ve güç gönetimi vardır.
Akılları karıştıran ve endişe uyandıran diğer bir masum işlem ise ‘Search Indexer.exe’dir. Sabit diskinizin ışığı uzun süreyle yandığında endişlenmeniz normal olabilir, ancak ‘Search Indexer.exe’ genellikle zararlı bir işlem değildir. Bu işlem, Windows araması için dosyalarınızı indeksler ve bu sayede aramayı daha hızlı bir hale getirir.
Diğer önemli üst seviye işlemlerden bir tanesi de’explorer.exe’dir. Bu işlem, Windows 7 masaüstünü çalıştırır ve görev çubuğunun sistem tepsisi gibi çalışan birçok uygulamanız için ana işlemdir.
Görünümü geliştirme
İşlemler, hizmetler ve uygulamalar geleneksel olarak Görev Yöneticisi ile görüntülenir. Görev Yöneticisini Windows 7′de Ctrl+Alt+Del klavye kısayolunu kullanarak, ardından aracı menüden seçerek açabilirsiniz. Ctrl+Shift+Esc kısayolu ise Görev Yöneticisini direkt olarak açacaktır.
Görev Yöneticisi, tüm uygulamaları, sistem işlemlerini ve hizmetleri üç sekmeye ayırır; ancak bu size her şeyi göstermez. Örneğin ‘svchost.exe’ işlemleri normalde görünmemektedir. Görev Yöntecisi, sizden birçok öğeyi gizler ve sistem etkinliğini izlerken bu kısıtlı görünümden kaçınmanız gerekir.
Bunun için daha iyi bir seçenek olan Process Explorer‘ı indirip çalıştırabilirsiniz. Program yükleme gerektirmiyor, zip dosyasının içeriğini bir klasöre kopyalamanız yeterli.
Process Explorer’ı çalıştırmak için simgesine sağ tıklayın ve ‘Yönetici olarak çalıştır’ı seçin. Ekrana gelen ‘Kullanıcı hesabı denetimi’ penceresinde ‘Evet’ düğmesine tıklayın.
64 bit CPU kullanıyorsanız program klasöründe yeni bir uygulama dosyasının belirdiğini farkedeceksiniz. ‘procexp64′ adındaki bu uygulama, 64-bit makinenin gereksinimlerini karşılamak için oluşturulan bir wrapper’dır ve Process Explorer’ı kapattığınızda kaybolacaktır. Program, 32 bit ve 64 bit ortamlarda aynı şekilde çalışmaktadır ve Görev Yöneticisine göre çok daha fazla detay sunmaktadır.
Başlamak için istediğiniz hiyerarşi görünümünü elde edene dek ‘Process’ sütununa tıklayın. Bu sayede hangi işlemin hangisinin ana işlemi olduğunu kolaylıkla görebilirsiniz. Artık işletim sistemi hakkında daha iyi bir görünüme sahibiz ve iyi işlem gibi görünen zararlı işlemleri aramaya başlayabiliriz.
svchost işlemlerinin çok olması nedeniyle bir zararlı yazılımın kendini ‘svchost’a benzer olarak adlandırması onun gözardı edilmesine neden olabilir. Buna ‘svch0st.exe’ (sıfır ile) veya ‘svhost.exe’ (‘c’ olmadan) gibi örnekler verebiliriz.
Bu tür dosyaları kolaylıkla görebilmek için alfabetik sırayı elde edene dek ‘Process’ sütun başlığına tıklayabilirsiniz. Bir işlem hakkında daha fazla bilgi elde etmek için o işleme çift tıklayın. ‘Image’ sekmesinde bir işleme zararlı bulaşıp bulaşmandığını doğrulayabilirsiniz.
İşlem simgesinin hemen yanında ‘Not verified’ (doğrulanmamış) sözcüklerini göreceksiniz. ‘Verify’ düğmesine basarak dosyayı depolanmış imza ile doğrulayabilirsiniz. Process Explorer, kendi imzalarını oluşturmak için çalşan işlemleri kullanır ve bu ikisini karşılaştırır. Eğer ikisi birbirine uyuyorsa ‘Verified’ (doğrulandı) metni görüntülenir.
İmajları doğrularken ‘Company name’ (şirket adı) bölümünde hiçbir şey yazmayan, açıklaması saçma veya anlamsız işlemlere dikkat edin.
Eğer iyi gibi görünen bir işlem için ‘Unable to verify’ (doğrulanamadı) mesajı alırsanız panik yapmayın. Üreticinin imaj imzalarını doğrulamamış olması mümkündür. Office 2000 gibi çok eski yazılımlar da imza denetimine sahip değildir ve ‘Unable to verify’ mesajının görüntülenmesine yol açabilir.
Bu tür dosyalarda işleme sağ tıklayıp ‘Search Online’a tıklayarak işlem hakkında internette bir arama gerçekleştirebilirsiniz.
Bu konuda güvenilir bilgi veren sitelerden bir tanesi de http://www.processlibrary.com. Arama sonuçlarında bu siteye rastlamıyorsanız, arama sonuna site:www.processlibrary.com dizisini ekleyerek sadece bu site içinde arama yapmayı deneyebilirsiniz.
Bir işlemin zararlı olup olmadığını anlamanın diğer iyi bir yolu ise, uygulamanın bulunduğu konumdur. İşleme çift tıkladıktan ve Image sekmesine geldikten sonra tam konumu, çalışma dizinini ve işlemi başlatmakta kullanılan seçenekleri görebilirsiniz.
Windows 7′deki sistem klasörleri korumalı olduğundan, birçok zararlı yazılım sistem alanının dışında bir yerde konumlanacaktır. Başlatmadığınız herhangi bir uygulama (veya yüklediğiniz bir uygulamayla ilgisiz hizmet) C:\Windows dizin ağacının dışında bir konumdaysa ona potansiyel bir zararlı gözüyle bakmalısınız. Özellikle de ‘Temp’ klasörünü kullanan işlemlere dikkat edin.
Casus yazılımın izini sürmek
Şüpheli yazılımın nereye bağlandığını denetlemek de karar vermenizde yardımcı olacaktır. Bilgisayarınız bir botnet tarafından enfekte edildiyse, belirli aralıklarla bir sunucuya bağlanıp örneğin komut almak isteyecektir.
Process Explorer’da şüpheli işleme çift tıklayın ve ‘TCP/IP’ sekmesine tıklayın. IP adreslerini DNS adları olarak listelemek için ‘Resolve addresses’ kutucuğunu seçtiğinizden emin olun.
Bu şekilde sorguladığınız birçok program, yerel makineyi dinliyor olacaktır. Birçok işlem, portları kullanarak yerel olarak iletişim kurmaktadır ve bunda endişelenecek bir durum yoktur.
Process Explorer’ı arka planda birkaç gün açık tutarak PC’nizin çalışması hakkında bir fikir elde edebilirsiniz. Örneğin anti-zararlı yazılımınızın kendini güncellediğini, CPU’nuzu en çok neyin kullandığını, belleğinizi hangi uygulamaların tükettiğini ve çok daha fazlasını görebilirsiniz.
Bir sütuna sağ tıklayıp ‘Select columns’a tıklayarak görünüme birçok sütun eklemeniz de mümkün.
ALINTI
