İnternetten indirdiğiniz dosyaları kullanmadan önce zararlı içerik taraması yapabileceğiniz 10 adet örnek ekliyorum. Bu malware tarama araçları sizin için %100 güvenlik sağlamaz, ancak belirgin risklere karşı sisteminizin algılayabileceği kötü yazılımlardan daha iyi rapor sağlar. Aynı zamanda online (çevrimiçi) olması sebebiyle daima günceldir.
Aşağıda her bir servisin ne yaptığını, hangi durumlarda tercih edilmesi gerektiğini ve pratik kullanım notlarını bulacaksınız. Bazı iddialar veya özellikler ile ilgili kısa kaynak notları, makalenin ilgili bölümlerinde belirtilmiştir. (Gizlilik/şeffaflık uyarıları ve kötü amaçlı tarafların bu servisleri nasıl kullanabileceğine dair dikkat edilmesi gerekenler makalenin son bölümünde yer almaktadır.)
Güçlü yönleri: Çok sayıda AV motoru, geniş veri tabanı, API erişimi (özellikle profesyonel abonelikler).
Sınırlamalar: Hassas dosyaların yüklenmesi durumunda dosya meta verileri ve içerik, veri paylaşımı politikaları çerçevesinde üçüncü taraflarla paylaşılabilir; ayrıca saldırganlar test etmek için VirusTotal’i kötüye kullanabiliyor.
Kullanım notu: İlk hızlı muayene için ideal — pozitif tespitte daha derin analiz (sandbox) yapın. (Dosya boyutu limitleri ve API kısıtlarını kontrol edin.)
Güçlü yönleri: Çok katmanlı analiz ve dosya sanitizasyonu (güvenli versiyon üretme), entegrasyon seçenekleri.
Sınırlamalar: Bazı ileri özellikler kurumsal lisansla sunulur; ücretsiz/community sürüm sınırlamaları olabilir.
Kullanım notu: Eğer gizlilikle beraber dosyayı “güvenli hale getirme” (sanitization) ihtiyacınız varsa MetaDefender iyi bir seçenek.
Güçlü yönleri: Gerçek zamanlı interaktif analiz; kötü amaçlı yazılımın kullanıcı tetiklemeli davranışlarını tespit etme imkânı.
Sınırlamalar: Ücretsiz kullanım sınırlı, özel verilerin kamuya açık şekilde paylaşılma riski (hesap/tipi göre değişir).
Kullanım notu: Özellikle “kullanıcı aksiyonu bekleyen” malware’leri anlamak için uygundur.
Güçlü yönleri: Zengin raporlama, ücretsiz topluluk erişimi.
Sınırlamalar: Gelişmiş özelliklerin kurumsal sürümlerde olması; bazı dosyalar halka açık raporlarda listelenebilir.
Kullanım notu: Teknik inceleme için yararlı; teknik yetkinliği olan kullanıcılar derinlemesine analizten daha fazla fayda sağlar.
Güçlü yönleri: Geniş platform desteği, kapsamlı raporlar.
Sınırlamalar: Ücretli planlar güçlü; ücretsiz/deneme sürüm sınırlı. Ayrıca bazı paylaşılan raporlar herkese açık olabilir.
Güçlü yönleri: Kod tabanlı benzerlik analizi, tehdit ailesi bağlamı.
Sınırlamalar: Derin analizler için kayıt/abonelik gerektirebilir.
Kullanım notu: Tehdit istihbaratı ve kampanya takibi yapanlar için çok değerlidir.
Güçlü yönleri: Basit arayüz, kolay kullanım.
Sınırlamalar: Dosya boyutu limiti vardır; gönderdikleriniz AV şirketleriyle paylaşılabilir (gizlilik uyarısı).
Kullanım notu: İlk hız testi veya ikinci görüş almak için pratik.
Güçlü yönleri: Güvenilir vendor motoru, kolay kullanım.
Sınırlamalar: Bazı veriler Kaspersky altyapısına gönderilir (kural: hassas içerik yüklemeyin).
Güçlü yönleri: Çoklu tarama imkânı.
Sınırlamalar: Servis kararlılığı bölgesel olarak değişebilir; güvenlik / gizlilik sözleşmelerini kontrol edin.
Güçlü yönleri: Büyük vendor desteği, kurumsal destek yolları.
Sınırlamalar: Anlık halka açık tarama arayüzü VirusTotal kadar interaktif olmayabilir; gönderim için yönergeler ve oturum/log gerekebilir.
(Aşağıdaki tablo özellik + kullanım gereksinimi + sınırlamalar açısından net bir karar çerçevesi sunar.)
Aşağıdaki maddeler tüm kullanıcıların bilmesi gereken kritik farkları açıklar:
Aşağıda dosya güvenliği konusunda profesyonel siber güvenlik ekiplerinin kullandığı 5 aşamalı tam süreç modelinin geliştirilmiş versiyonunu veriyorum.
1) Hash Tabanlı Öznitelik Analizi
3) Gelişmiş Statik Analiz
Doğru yöntem:
Bu nedenle yalnızca statik tarama yetmez.
Bu tür dosyalar için sandbox aşaması kritik hale gelir.
- VirusTotal — https://www.virustotal.com
- OPSWAT MetaDefender (MetaDefender Cloud) — https://metadefender.com
- ANY.RUN (interactive sandbox) — https://any.run
- Hybrid Analysis (CrowdStrike destekli) — https://hybrid-analysis.com
- Joe Sandbox — https://www.joesandbox.com
- Intezer Analyze — https://www.intezer.com (Analyze)
- Jotti’s Malware Scan — https://virusscan.jotti.org
- Kaspersky VirusDesk / Kaspersky Threat Intelligence — https://virusdesk.kaspersky.com (veya Kaspersky Threat Intelligence portal)
- VirSCAN.org — https://virscan.org
- Microsoft / Windows Defender – File submission (analiz talepleri için) — https://www.microsoft.com/en-us/wdsi/filesubmission
Aşağıda her bir servisin ne yaptığını, hangi durumlarda tercih edilmesi gerektiğini ve pratik kullanım notlarını bulacaksınız. Bazı iddialar veya özellikler ile ilgili kısa kaynak notları, makalenin ilgili bölümlerinde belirtilmiştir. (Gizlilik/şeffaflık uyarıları ve kötü amaçlı tarafların bu servisleri nasıl kullanabileceğine dair dikkat edilmesi gerekenler makalenin son bölümünde yer almaktadır.)
1) VirusTotal — evrensel ilk kontrol
Ne yapar: Bir dosyayı birden çok antivirüs motoru ile tarar; hash / URL / domain kontrolleri ve sınırlı dinamik analiz/istatistik sağlar. Hızlı, ücretsiz ve yaygın olarak kullanılır.Güçlü yönleri: Çok sayıda AV motoru, geniş veri tabanı, API erişimi (özellikle profesyonel abonelikler).
Sınırlamalar: Hassas dosyaların yüklenmesi durumunda dosya meta verileri ve içerik, veri paylaşımı politikaları çerçevesinde üçüncü taraflarla paylaşılabilir; ayrıca saldırganlar test etmek için VirusTotal’i kötüye kullanabiliyor.
Kullanım notu: İlk hızlı muayene için ideal — pozitif tespitte daha derin analiz (sandbox) yapın. (Dosya boyutu limitleri ve API kısıtlarını kontrol edin.)
2) OPSWAT MetaDefender (MetaDefender Cloud)
Ne yapar: Çoklu AV motoru taraması + derin içerik çıkarımı (Deep CDR) ve adaptive sandbox yetenekleri sunar. Kurumsal odaklı güçlü bir "file security" çözümüdür.Güçlü yönleri: Çok katmanlı analiz ve dosya sanitizasyonu (güvenli versiyon üretme), entegrasyon seçenekleri.
Sınırlamalar: Bazı ileri özellikler kurumsal lisansla sunulur; ücretsiz/community sürüm sınırlamaları olabilir.
Kullanım notu: Eğer gizlilikle beraber dosyayı “güvenli hale getirme” (sanitization) ihtiyacınız varsa MetaDefender iyi bir seçenek.
3) ANY.RUN — etkileşimli sandbox
Ne yapar: Şüpheli dosyayı etkileşimli bir sanal ortamda çalıştırıp davranışsal analiz yapmanızı sağlar; analiz sırasında kullanıcı etkileşimi simüle edilebilir.Güçlü yönleri: Gerçek zamanlı interaktif analiz; kötü amaçlı yazılımın kullanıcı tetiklemeli davranışlarını tespit etme imkânı.
Sınırlamalar: Ücretsiz kullanım sınırlı, özel verilerin kamuya açık şekilde paylaşılma riski (hesap/tipi göre değişir).
Kullanım notu: Özellikle “kullanıcı aksiyonu bekleyen” malware’leri anlamak için uygundur.
4) Hybrid Analysis — ücretsiz topluluk sandboxtur
Ne yapar: Statik ve dinamik analiz kombinasyonu; detaylı davranış raporları üretir.Güçlü yönleri: Zengin raporlama, ücretsiz topluluk erişimi.
Sınırlamalar: Gelişmiş özelliklerin kurumsal sürümlerde olması; bazı dosyalar halka açık raporlarda listelenebilir.
Kullanım notu: Teknik inceleme için yararlı; teknik yetkinliği olan kullanıcılar derinlemesine analizten daha fazla fayda sağlar.
5) Joe Sandbox — profesyonel seviye sandbox
Ne yapar: Çoklu işletim sistemlerinde derin dinamik analiz; detaylı göstergeler (IOCs), network davranış raporları üretir.Güçlü yönleri: Geniş platform desteği, kapsamlı raporlar.
Sınırlamalar: Ücretli planlar güçlü; ücretsiz/deneme sürüm sınırlı. Ayrıca bazı paylaşılan raporlar herkese açık olabilir.
6) Intezer Analyze — "genetic" kod analizi
Ne yapar: Bir dosyanın daha önce görülmüş kod parçalarıyla (code reuse) ilişkisini çıkarır; malware familyasını tespit etmeye yardım eder.Güçlü yönleri: Kod tabanlı benzerlik analizi, tehdit ailesi bağlamı.
Sınırlamalar: Derin analizler için kayıt/abonelik gerektirebilir.
Kullanım notu: Tehdit istihbaratı ve kampanya takibi yapanlar için çok değerlidir.
7) Jotti’s Malware Scan — hızlı, basit çok motorlu tarama
Ne yapar: Hızlıca bir dosyayı birkaç AV motoruyla tarar. Basit, ücretsiz ve hafif bir servis.Güçlü yönleri: Basit arayüz, kolay kullanım.
Sınırlamalar: Dosya boyutu limiti vardır; gönderdikleriniz AV şirketleriyle paylaşılabilir (gizlilik uyarısı).
Kullanım notu: İlk hız testi veya ikinci görüş almak için pratik.
8) Kaspersky VirusDesk
Ne yapar: Kaspersky’nin çevrimiçi dosya ve URL tarayıcısı; dosya gönderip Kaspersky motoruyla ve itibar verileriyle kontrol ettirirsiniz.Güçlü yönleri: Güvenilir vendor motoru, kolay kullanım.
Sınırlamalar: Bazı veriler Kaspersky altyapısına gönderilir (kural: hassas içerik yüklemeyin).
9) VirSCAN.org
Ne yapar: Birden fazla AV motoru ile tarama sunar (bazı zamanlar erişilebilirlik sorunları olabilir).Güçlü yönleri: Çoklu tarama imkânı.
Sınırlamalar: Servis kararlılığı bölgesel olarak değişebilir; güvenlik / gizlilik sözleşmelerini kontrol edin.
10) Microsoft — dosya gönderme / analizi (Windows Defender / Microsoft Defender)
Ne yapar: Şüpheli dosyaları Microsoft’a gönderip analiz isteyebilirsiniz; Microsoft kendi motorlarıyla analiz eder ve sonuç verir.Güçlü yönleri: Büyük vendor desteği, kurumsal destek yolları.
Sınırlamalar: Anlık halka açık tarama arayüzü VirusTotal kadar interaktif olmayabilir; gönderim için yönergeler ve oturum/log gerekebilir.
Gizlilik ve risk uyarıları (kritik — lütfen dikkat edin)
- Hassas dosyaları (kimlik belgeleri, özel müşteri verileri, gizli şirket içeriği) asla doğrudan halka açık tarayıcılara yüklemeyin. Birçok online tarayıcı gönderilen örnekleri antivirüs şirketleriyle veya toplulukla paylaşır; bu veri, analiz amaçlı veritabanlarına girebilir. (Jotti ve VirusTotal gibi hizmetlerin gizlilik/şartlarında bu açıkça belirtilir.)
- Bazı servisler gönderilen örnekleri halka açık hale getirebilir. (Örnek: bazı sandbox raporları kamuya açık olur; Joe Sandbox ve public Hybrid Analysis geçmişte analizleri paylaşabilmektedir.) Her gönderim öncesi “public / private” seçeneklerini kontrol edin.
- Saldırganlar bu servisleri kötüye kullanabilir. Bilinen örnekler saldırganların VirusTotal benzeri servisleri test/hardening için kullandığını gösterir — bu, hangi AV’lerin tespit ettiğinin öğrenilmesine yol açar. Bu yüzden tek bir kaynağa fazla güvenmeyin.
Pratik, güvenli bir tarama akışı (ölçeklenebilir, günlük operasyon)
- İlk hızlı kontrol: VirusTotal / Jotti — hash/çoğaltılmış sonuçlara bakın.
- İnce statik kontrol: Eğer negatif/şüpheli ise MetaDefender veya Kaspersky ile çoklu AV taraması yapın.
- Davranış analizi: Şüphe devam ediyorsa ANY.RUN veya Hybrid Analysis ile dinamik/etkileşimli analiz yapın.
- Derin inceleme / paylaşılan istihbarat: Intezer / Joe Sandbox ile aile tanımlaması ve IOC çıkarımı.
- Hassas dosyalar: Dosya gizliliği gerektiren durumlarda yerel sandbox veya kurumsal çözümler (on-premise MetaDefender Core, kurumsal Joe Sandbox) tercih edin; halka açık servisleri kullanmayın.
- Son adım — karar: Birden fazla bağımsız motorda tutarlı “pozitif” sonuç yoksa dosyayı şüpheli kabul edip izole ederek analiz için uzmanlara iletin.
Kısa, teknik ipuçları
- Dosya hash’ini (SHA256) önce kontrol edin: aynı hash daha önce taranmış olabilir; yeniden yüklemeye gerek yok.
- Şüpheli arşivleri (zip/rar) mümkünse parolasız düz halde değil, parolalı şekilde paylaşmayın; birçok servis parolalı arşiv içeriğini çıkaramayabilir.
- Makro içeren Office/RTF/HTML/SVG gibi dosya türleri özellikle dikkat gerektirir — these file types often carry script-based threats. (Dinamik analiz ile davranışa bakın.)
Ve -> hangi servisi ne zaman seçmeli?
- Hızlı, genel kontrol: VirusTotal
- Kurumsal ve sanitizasyon gerekliyse: OPSWAT MetaDefender.
- Davranış / etkileşim gerekiyorsa: ANY.RUN, Hybrid Analysis, Joe Sandbox.
- Tehdit soy ağacı / kod tabanlı analiz için: Intezer.
- Vendor-bazlı inceleme: Kaspersky VirusDesk veya Microsoft dosya gönderimi.
10 Online Malware Tarayıcısının Teknik Karşılaştırma Tablosu
(Aşağıdaki tablo özellik + kullanım gereksinimi + sınırlamalar açısından net bir karar çerçevesi sunar.)| Servis | Max Dosya Boyutu | Public/Private Ayarı | Ücretsiz Kullanım | API | Öne Çıkan Güçlü Yan | Kritik Uyarı |
|---|---|---|---|---|---|---|
| VirusTotal | Genelde ~650MB | Public varsayılan / Private için ücretli | Var | Var | Çoklu AV motoru ve dev veri tabanı | Yüklenen dosyalar geniş AV ortaklığı ile paylaşılabilir |
| MetaDefender Cloud | Yaklaşık 150MB civarı | Bazı yüklemeler public olabilir | Var | Var | Çoklu AV + dosya sanitizasyonu | Hassas belgeler için dikkat, sanitize özelliği gerekebilir |
| ANY.RUN | Dosya türüne göre değişken | Public/Private seçeneği kullanıcı planına bağlı | Sınırlı | Var | Etkileşimli sandbox, gerçek zamanlı analiz | Public modda analiz herkes tarafından görülebilir |
| Hybrid Analysis | Ortalama 100MB | Public varsayılan, private için hesap gerekir | Var | Var | Statik + dinamik güçlü raporlama | Public raporlar arama motorlarında indekslenebilir |
| Joe Sandbox | Dosya türüne göre değişken | Private için ücret gerektiriyor | Kısıtlı | Var | Çok derin sandbox analizi | Ücretsiz sürümde raporlar sınırlı, public olabilir |
| Intezer Analyze | Yaklaşık 200MB civarı | Public/Private profil seçeneği | Var | Var | Kod genetiği analizi, aile tespiti | Büyük boyutlu dosyalar için premium gerekebilir |
| Jotti Scan | Yaklaşık 250MB | Genelde public | Var | Yok | Basit çoklu AV tarama | Ticari olmayan basit tarama, gizlilik sınırlı |
| Kaspersky VirusDesk | Yaklaşık 200MB | Private | Var | Yok | Güçlü tek vendor motoru | Çoklu motor beklenmemeli |
| VirSCAN.org | ~20–50MB (değişken) | Genelde public | Var | Yok | Çoklu AV | Eski motorlar veya uzun kuyruklar olabiliyor |
| Microsoft File Submission | Tipine göre değişken | Private | Var | Var | Defender motoru + vendor analizi | Rapor teslimi zaman alabilir |
Ek Teknik Değerlendirmeler (İlave Gereksinimlere Göre Seçim)
1) Sadece hızlı sonuç isteyen kullanıcılar
- VirusTotal
- Jotti
- Kaspersky VirusDesk
2) Davranış analizine ihtiyaç duyan kullanıcılar
- ANY.RUN
- Hybrid Analysis
- Joe Sandbox
3) Kurumsal düzeyde güvenlik isteyenler
- MetaDefender
- Joe Sandbox Enterprise
- Microsoft Defender Submission
4) Kod benzerliği ve aile tespiti için ileri araştırma
- Intezer Analyze
“Public / Private” Açıklamaları (İlave Detay)
Aşağıdaki maddeler tüm kullanıcıların bilmesi gereken kritik farkları açıklar:- Public analiz:
Dosya ve sonuçlar herkes tarafından görüntülenebilir, arama motorlarına düşebilir, saldırganlar tarafından dahi görülebilir. - Private analiz:
Dosya sadece sizin hesabınızda görünür; sandbox raporları dışarı yansımaz. - Bazı servislerde “semi-public” mod vardır:
— Dosya hash’i public olabilir
— İçerik private kalabilir
— Raporun tamamı sadece premium kullanıcıya açık olabilir
“Tam Güvenli Çalışma Akışı” (İlave Gelişmiş Versiyon)
Aşağıda dosya güvenliği konusunda profesyonel siber güvenlik ekiplerinin kullandığı 5 aşamalı tam süreç modelinin geliştirilmiş versiyonunu veriyorum.1) Hash Tabanlı Öznitelik Analizi
- Dosyayı açmadan önce SHA256 hash’ini alın
- Hash’i ilk olarak tek motorla veya hızlı tarama platformunda kontrol edin
- Daha önce taranıp taranmadığını anlayın
- Zamandan tasarruf sağlar ve gizlilik riskini azaltır
- MetaDefender Cloud
- VirusTotal
- Jotti
3) Gelişmiş Statik Analiz
- Dosyanın PE yapısı
- Dahili string’ler
- Makro komutları
- Script gömülü katmanlar
- Base64 encode edilmiş bölümler
- Powershell / VBA / JS içeren segmentler değerlendirilir
- ANY.RUN veya Joe Sandbox
- “Dosya çalıştırıldığında ne yapıyor?” sorusuna yanıt bulunur
- Özellikle RAT, Infostealer, Loader, Dropper gibi kategoriler burada ortaya çıkar
- Çoklu analiz sonuçları karşılaştırılır
- Pozitif tespitlerin tutarlılığı kontrol edilir
- IOC (Indicator of Compromise) çıkarımları yapılır
- Dosya tehdit olarak işaretlendiyse izole edilir ve güvenli alan dışına çıkarılmaz
İleri Güvenlik Notları (İlave Bölüm)
1) Arşiv dosyalarında parola şifresi kullanmayı yanlış şekilde yorumlamayın
Bazı servisler parolalı arşivleri açamaz; bu yüzden malware gizlenebilir.Doğru yöntem:
- Analiz için parolası “infected” olan arşiv formatı kullanmak (sektör standardı).
- Ancak bunu public platformlara yüklemeyin.
2) Makro içeren dosyalar daha tehlikelidir
Office belgeleri, PDF’ler ve HTML dosyaları saldırıların en yaygın taşıyıcılarıdır.Bu nedenle yalnızca statik tarama yetmez.
3) Script tabanlı zararlılar için özel dikkat
JavaScript, VBS, Batch, PowerShell dosyaları çoğu klasik AV motorunda düşük algılanır.Bu tür dosyalar için sandbox aşaması kritik hale gelir.
