14.1.3. Detection Methods

Yuqorida aytib o‘tilganidek, antivirus signature syntax va scope ular qaysi engine uchun ishlab chiqilganiga qarab farq qilishi mumkin, lekin ular baribir ma'lum bir xavf yoki malware’ni noyob tarzda aniqlash maqsadiga xizmat qiladi.

Ushbu bo‘limda biz quyidagi AV detection methodologies’ni o‘rganamiz va ularning birgalikda qanday ishlashini tushuntiramiz:

Signature-based Detection
Heuristic-based Detection
Behavioral Detection
Machine Learning Detection

Signature-based antivirus detection ko‘pincha restricted list technology sifatida qaraladi. Boshqacha qilib aytganda, filesystem ma'lum malware signatures uchun skan qilinadi va agar biror signature aniqlansa, zararlangan fayllar quarantine’ga joylashtiriladi.

Signature oddiygina faylning hash’i yoki faqat o‘sha malware’ga xos bo‘lgan muayyan binary values va strings kabi bir nechta patterns to‘plami bo‘lishi mumkin.

Faqat fayl hash’iga tayanish detection mechanism sifatida zaif strategiya hisoblanadi, chunki faylda bitta bit o‘zgarsa, butunlay boshqa hash hosil bo‘ladi.

Masalan, biz mahalliy Kali mashinamizda “offsec” string’ini o‘z ichiga olgan matnli fayl yaratdik. Uning binary representation’ni xxd vositasi orqali -b argumenti bilan fayl nomidan oldin berib ko‘rsatamiz.

kali@kali:~$ **xxd -b malware.txt**
00000000: 01101111 01100110 01100110 01110011 01100101 **01100011**  offsec
00000006: 00001010                                               .

Listing 1 - xxd bilan binary fayl mazmunini tekshirish

Fayl mazmunini xxd vositasi orqali ko‘rsatdik. Chiqishda eng chap ustunda binary offset, o‘rta ustunda haqiqiy binary representation va eng o‘ng ustunda ASCII tarjimasi ko‘rinadi. Biz “c” harfining binary representation’ni qizil rangda ta’kidladik. Uning maqsadi tez orada aniq bo‘ladi.

Endi, bu haqiqiy malware deb faraz qilsak, faylning hash’ini hisoblamoqchimiz va buni sha256sum vositasi orqali amalga oshirishimiz mumkin.

kali@kali:~$ **sha256sum malware.txt**
c361ec96c8f2ffd45e8a990c41cfba4e8a53a09e97c40598a0ba2383ff63510e  malware.txt

Listing 2 - Faylning SHA256 hash’ini hisoblash

Endi “offsec” string’ining oxirgi harfini katta C harfi bilan almashtiramiz va uning binary qiymatini xxd orqali yana bir bor ko‘rsatamiz.

kali@kali:~$ **xxd -b malware.txt**
00000000: 01101111 01100110 01100110 01110011 01100101 **01000011**  offseC
00000006: 00001010

Listing 3 - xxd bilan fayl mazmunini tekshirish

Listing 3’da oxirgi harfning binary qiymati faqat chapdan uchinchi bit’da o‘zgarganini ko‘ramiz.