Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги олий таълим тизими педагог ва раҳбар кадрларини
ЗД статистик таҳлил қилишда қуйидаги усуллардан фойдаланилади: ХЭШ қиймат асосида таҳлиллаш
Download 5.84 Mb. Pdf ko'rish
|
deshifr
|
97
ЗД статистик таҳлил қилишда қуйидаги усуллардан фойдаланилади: ХЭШ қиймат асосида таҳлиллаш. Хэш функциялаш ЗД аниқлаш учун керакли бўладиган дастлабки таҳлиллаш усулларидан бири бўлиб, унга асосан ихтиѐрий хэш қийматни ҳисоблаб берувчи алгоритмлар асосида (масалан, MD5, SHA1)ЗД хэш қиймати ҳисобланади. Ушбу олинган хэш қиймат асосида қуйидагиларни аниқлаш мумкин: - Хэш қийматни дастурнинг (масалан, таҳлилланувчи ЗД) ѐрлиқи сифатида фойдаланиш; - Олинган хэш қийматни бошқа ЗД таҳлилловчи дастурлар учун юбориш; - Олинган хэш қийматни онлайн тарзда қидириш ва ЗД рўйхатида мавжуд/ мавжуд эмаслигини аниқлаш. ЗД лардан “қаторларни (strings)” аниқлаш. Ҳар бир дастурий восита яратилишида маълум кетма-кетмаликлан иборат бўлган матн шаклидаги маълумотлардан фойдаланилади. Масалан, ―GDI32.DLL‖, ―99.124.22.1‖, ―Mail system DLL is invalid.!Send Mail failed to send message‖ ва ҳак. Албатта, яратилган дастурий воситалар якунида улар .exe, .dll файл шаклларида ассембланади. Бошқа сўз билан айтганда, бу кенгайтмадаги файллар ўн олтилик (hex)саноқ системасида ифодаланади (0x42, 0x41, 0x44 BAD).Белгиларни 16 лик саноқ тизимига ўтказишда одатда ASCII (8-бит)ва Unicode (16-бит)кодлаш стандартларидан фойдаланилади. Ушбу стандартларда ҳар бир келган белгилар кетма-кетлиги охири 0x00 билан тугайди. Бунинг маноси эса сўзнинг тугуганлигини англатади. 1 Сиқилган ЗД. Одатда ЗД воситалар статистик таҳлилларга бардошли бўлиши учун улар сиқилади. Қуйида ҳақиқий ва сиқилган ҳолатдаги файл кўриниши келтирилган. 5.8-расм. Сиқилган ва ҳақиқий файл кўриниши Portable Executable (PE)файл формати. Ушбу файл формати таркибига юкланувчи, кутубхона файл кенгайтмалари киради (масалан, .cpl, .exe, .dll, 1 Michael Sikorski, Andrew Honig. Practical malware analysis. 44 – с. III. НАЗАРИЙ МАТЕРИАЛЛАР 98 .ocx, .sys, .scr, .drv, .efi, .fon) ва улар Windows ОТ учун фойдаланилади. ЗД ларда кутубҳона файлларидан асосан импорт (import)қилиш орқали асосий дастурга боғланади. Ушбу боғланиш уч турда амалга оширилиши мумкин: статик, динамик ва юкланганда. Статик турдаги боғланишларда кўра кутубхона файллари тўлиқ кўчирилиб асосий дастур ичига ташланади. Бу турдаги боғланишлар асосан UNIXва LinuxОТ да кенг фойдаланилади. Бунда асосий дастур коди ва кутубхонага тегишли кодларни ажратиш қийин бўлади. Юкланганда талаб этиладиган боғланишлар асосан ЗД яратишга кенг фойдаланилиб, унга асосан фақат функция чақирилган пайтда боғланиш амалга оширилади. Кўплаб Windows ОТлари бошқа дастурларга ўз ресурсларидан фойдаланишга рухсат беради. PE файллар ўзида ҳар бир кутубхона ва кутубхонадаги функциялар ҳақидаги маълумотни сақлайди. Кўплаб мавжуд DLL (Dynamic-link library) файллар ўзида кўплаб функцияларни сақлайди. Қуйида WINDOWS ОТ га тегишли DLL файллар ва уларнинг вазифаси келтирилган: Download 5.84 Mb. Do'stlaringiz bilan baham: 
|