Virus máy tính và giải pháp đối với f virus
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (957.22 KB, 82 trang )
..
–
–
-VIRUS
An Giang, 05/2010
–
–
-VIRUS
:
An Giang, 05/2010
-Virus
LỜI CẢM ƠN
Tôi xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Ban chủ nhiệm
ho
thuật – Công nghệ – Môi truờng, cùng các thầy cô củ trường Đại học
An Giang và tập thể gi o vi n ho
thuật – Cơng nghệ – Mơi truờng đã tận
tình giảng dạy, truyền đạt những kiến thức, kinh nghiện quý b u và đã khích lệ,
hỗ trợ nhiều mặt cho tơi trong suốt bốn năm đại học chuẩn bị hành trang vào
đời.
Đặc biệt tôi xin chân thành cảm ơn
hs
gu n hị
ru ền người
ln sẵn sàng và tận tình hướng dẫn giúp đỡ động viên tơi trong suốt qu trình
th c hiện đề tài
Tôi c ng
in gửi lời cảm đến người thân và bạn b đã g n b
chi s
giúp đỡ và động vi n tôi trong suốt thời gi n học tập và th c hiện đề tài
Mặc dù
đã cố g ng hoàn thành đề tài trong phạm vi và khả năng cho
phép nhưng ch c ch n sẽ không thể tránh khỏi những thiếu sót. Tơi rất mong
nhận được s thơng cảm, góp ý và tận tình chỉ bảo của các Thầy Cô và các bạn.
ong u n ngà 14 th ng 5 năm 2 1
Sinh viên th c hiện
oàng à
ú
-Virus
k
nh
-
:
:
G
:
T
:
-Virus. T
-
:
:
– virus TUCOM.
T
-Virus
Trang
: M
u .................................................................................................................. 1
1. Gi i thi
tài .............................................................................................................. 1
2. M c tiêu c
tài.......................................................................................................... 2
3.
ng, ph m vi nghiên c u c
tài ...................................................................... 2
4. Ý
c và th c tiễn c
tài ........................................................................ 2
: M ts v
n virus máy tính ......................................................... 3
1. Thu t ng virus máy tính................................................................................................ 3
1.1. Virus ......................................................................................................................... 3
1.2. Worm........................................................................................................................ 4
1.3. Trojan Horse ............................................................................................................. 5
1.4. Adware ..................................................................................................................... 5
1.5. Spyware .................................................................................................................... 5
1.6. Phishing .................................................................................................................... 5
1.7. Attacker tool ............................................................................................................. 6
2. L ch s phát tri n c a virus máy tính ............................................................................. 7
:
-Virus ............................................................................................ 11
1. Gi i thi u F-Virus ........................................................................................................ 11
1.1. K thu t lây lan ...................................................................................................... 12
1.2. K thu
m b o tính tồn t i duy nh t .................................................................. 14
1.3. K thu
ng trú ................................................................................................ 15
1.4. K thu t ng y trang và gây nhiễu .......................................................................... 16
1.5. K thu t phá ho i ................................................................................................... 17
2.
– Virus TUCOM ................................................................................. 18
2.1.
ễ ................................................................................. 18
2.2.
ễ ............................................................................................................... 25
2.3.
....................................................................................................... 28
2.4.
..................................................................................... 30
2.5.
................................................................................................ 34
:
Xây d
................................................................... 36
1.
-virus Software) ..................... 36
1.1. Phát hi n (Detection) .............................................................................................. 36
1.2.
..................................................................................... 37
1.3.
........................................................................................... 37
1.4. Phòng ch ng ........................................................................................................... 38
2.
-virus Techniques) ........................................... 39
2.1.
................................................................................. 39
2.2. Heuristics................................................................................................................ 40
2.3.
.......................................................... 41
2.4.
havior Blocker) .................................................................. 42
-Virus
2.5.
2.6.
2.7.
2.8.
2.9.
3.
1.
2.
Tài li
................................................................................................ 43
.............................................................................................. 45
........................................................................................... 46
....................................................................................... 48
................................................................................................................. 49
–
....................................... 50
: K t lu n .............................................................................................................. 51
........................................................................................................... 51
.................................................................................. 52
u tham kh o .................................................................................................................... 53
– Qu n lý t p tin và vùng nh
i DOS ................................................................. 54
– Virus TUCOM ....................................................................................................... 68
-Virus
Danh m
Trang
:
:
:
:
:
ồ
ồ
ễ
- 2009 .......... 10
u File ....................................................................................................... 12
i File ...................................................................................................... 13
.......................................................................................................... 19
............................................................ 50
Danh m
Trang
:
..................................................................................................... 20
-Virus
ươ
Mở ầu
1. Gi i thi
tài
Ngày nay, máy
và gi i trí c a nhi
c s d ng r ng rãi, tr
n h c t p, làm vi c
i. Thông tin và d li u là nh ng tài nguyên quý giá c
trong máy tính.
kẻ x
c s quan tr ng c a d li u trên máy tính, nhi u
ki n th c tin h c c
m
i dùng
i các lo i virus tin h c v i nh ng
m phá h y h th ng, l y c p thông tin th m chí xóa b d li
trên máy c
i dùng. Virus máy tính tr thành n i lo c a nh
t nh
n nh ng
i s d ng máy tính
i làm cơng tác tin h c. CNTT phát
tri
i các thi t b
tr
c bi t s phát tri n c a Internet t
u ki n cho s lây lan và phát tán virus
nhanh chóng, b t kỳ
lây nhiễm virus.
s phát tri n c
t virus
nh m kh ng ch , tiêu di t và kh c ph c h u
qu
i v i nh
i quy
ng h p c th
c
u lý do. Th nh t, virus máy tính
cẩ
ln ngày càng tinh v
trình di t virus khó mà phát hi
d
i nhi u d ng khác nhau, m t s
c, ho c m
u qu
c c a nó mà khơng có hi u qu
khơng có trong danh m c. Th
nghiên c u
i v i d ng virus khác
c phát hi n thì nó m
c
và mã nh n bi t nó m
t virus ln b
t nó. T
ng, theo sau s
i c a virus, có virus rồi m i có
c s t n công b t ng c a các lo i virus m
trình di t virus khơng th ph n ng k p, nó ch có th kh c ph
ra ch khơng có kh
n k p th i. V
v virus và phòng ch ng virus
báo bi n th virus nh
c h u qu c a virus gây
c nhi u nhà nghiên c u
nm
n d ng,
ng h p lây nhiễm, ti m ẩn c
phát hi
nhiễm khi h th
iv im t
n k p th i, ch
t; có kh
ng phịng tránh các tình hu ng lây
p nh t các m u virus m i.
Trang 1
-Virus
ong song v i vi c s d
,
i dùng c n ph i trang b cho mình nh ng ki n th c nh
mc a
nh v
ho
n
c
có th t mình phịng, ch ng và kh c ph c nh ng h u qu do virus
gây ra, b o v an toàn d li u
ó chính là lý do tơi ch
tài này.
Virus máy tính có nhi u lo i khác nhau, cách lây lan, ho
t ph c t p, vi c tìm hi u h t các v
nghiên c u. Nh n bi
nghiên c
t
ng, và s phá ho i c a
v virus máy tính c n ph i có m t th i
u ki n nghiên c u th c t c
ng c th
tài ch
cho vi c nghiên c
Virus
-virus)
ch lây lan và cách th c ho
ng c a m t virus máy tính. F-virus là m t lo
nên tơi ch
.
i t r t s m, nó th hi n rõ b n ch
ng nghiên c u c
n hình
nghiên c u các lo i virus máy
tính khác.
2. M c tiêu của
tài
n vi c tìm hi u, và kh o sát các lo
th c
n v các lo i virus máy tính
c bi
n
F-virus.
gi i pháp
xây d ng ph n m m ki m soát và tiêu di t các virus d ng F-virus.
3.
ượng, phạm vi nghiên cứu của
tài
u trên F-virus –
Windows.
4. Ý
ĩa k
a ọc và th c ti n của
tài
.
Trang 2
-Virus
ươ
q a
Một s vấ
ến virus máy tính
1. Thuật ngữ virus máy tính
m c a NIST – National Institute of Standart and Technology (vi n tiêu
D at
chuẩn – công ngh qu c gia Hoa Kỳ) v
c virus máy
w
tính. NIST s d ng thu t ng
ch virus máy tính (theo cách g i
cg
Vi
ch
c h i là m
ổn h
m t cách bí m t vào h th ng v i m
c chèn
n tính bí m t, tính tồn v n ho c
:
tính sẵn sàng c a h th ng. Malware bao hàm r t nhi u lo
W
Trojan horse,
backdoor, rootkit, keylogger) …
Spyware, Adware, Phishing,
1.1. Virus
Virus là m t lo
c h i có kh
nhân b n và lây nhiễm chính nó vào
các t
ph i ln luôn bám vào m t v t ch
p tin d li u ho c t p tin ng d
lây lan.
c chia thành hai nhóm chính: Compiled virus, Interpreted virus.
- Compiled virus: là virus mà mã th c thi c
m t trình biên d
nó có th th c thi tr c ti p t h
c d ch hoàn ch nh b i
u hành bao gồm hai lo i: Boot virus
J
nh
8
t phổ bi n trong
pha tr n b i boot virus và File virus trong cùng
m t phiên b n.
- Interpreted virus: là m t tổ h p c a mã nguồn ch th
is h
tr c a m t ng d ng c th ho c m t d ch v c th trong h th ng. Virus ki u này ch là
m tt pl
n khi ng d ng g i thì nó m
c th c thi. Macro virus, scripting virus
là các virus n m trong d ng này. Macro virus r t phổ bi n trong các ng d ng Microsoft
Office khi t n d ng kh
m soát vi c t o và m
th c thi và lây nhiễm. S khác
nhau gi a macro virus và scripting virus là: Macro virus là t p l nh th c thi b i ng d ng c
th (ví d
hành (ví d
p l nh ch y b ng m t service c a h
u
Stages).
M t s d u hi u cho th y s có m t virus trên máy tính:
Trang 3
-Virus
- Các ng d ng trên máy b t ng ho c t t ch y ch m l i.
ổi không th lý gi i v
- Nh ng bi
:
t
ng c a các ng d ng trong các
Y
- M
ồn.
cài chính xác d li u t
M t s h u qu
ng g p do virus gây ra:
nh d ng l i ổ c ng, phá h y d li u. (ví d
-
ổi b
- Gây ra nh
ng trên các ký t gõ vào. (ví d
Teatime).
- Cá
n. (ví d
t o ra trái banh trên màn hình, chuy
- Máy tính t kh
:
ng theo quy lu t ph n x .)
…
ng, t t
- Khóa các ch
ng: tùy ch
c, Registry, Menu Start,
Task Manager.
1.2. Worm
W
nhân b n và t lây nhiễm trong h
w
th ng. Tuy nhiên, nó có kh
mang nó khi nhiễm vào h th
khơng di
m t file ho c m
y, có th th y r ng ch dùng các
c worm trong h th
w
ng. M c tiêu c a worm bao gồm c làm lãng phí
nguồn l
a m ng và phá ho i h th
… T n công c
w
, t o backdoor, th
ng c c kỳ nhanh chóng do không c n
ng máy, copy file hay m /
ng c
n ph i có
W
c
chia làm hai lo i: Network Service Worm và Mass Mailing Worm.
- Network Service Worm lan truy n b ng cách l i d ng các l hổng b o m t
c a m ng, c a h
u hành ho c c a ng d ng. (ví d worm Sasser).
- Mass Mailing Worm là m t d ng t n công qua d ch v mail, tuy nhiên nó t
t n cơng và lây nhiễm ch khơng bám vào v t ch là email. Khi worm này lây
nhiễm vào h th
ng c g ng tìm ki m sổ
a ch và t g i b
a
Trang 4
-Virus
ch
c. Vi c g
ồng th i cho toàn b
a ch
ng gây quá t i cho m ng ho c
cho máy ch mail. (ví d : worm Netsky, Mydoom).
1.3. Trojan Horse
Trojan Horse là m t lo
c h
t theo s
Trojan Horse không t nhân b n. Nó lây vào h th ng nh m ch ng l i ho c gây tổn h
th ng. Chúng có vẻ ngồi h
t bên trong h th
i dùng t i m c t
c các hacker dùng cho m
t c Trojan
a h . H u h t trong s
thi t
j
u khi n t xa RATs (R
và ít h i nh t là làm ch m t
ng làm
i dùng không nh n ra s ho t
ng c a chúng. Chúng có th gi i h n quy n c
l p quy
j
t x u bên
vi
nh
máy tính, nghiêm tr
ng nh t
làm m t quy n
s a registry, làm treo máy hay format ổ
1.4. Adware
Adware hay còn g i là ph n m m qu ng cáo, là nh ng ph n m m t
ồng ý xem hay không.
các trang qu ng cáo trên máy tính c a b n mà khơng c n bi t b
1.5. Spyware
Spyware hay cịn g i là ph n m
p, là lo i ph n m m chuyên thu th p các
thông tin t các máy ch qua m ng Internet mà khơng có s nh n bi t và cho phép c a ch
w
t m t cách bí m
phí, ph n m m chia sẻ
ph i các ho
t b ph n kèm theo các ph n m m miễn
i ta có th t i v t Internet. M t khi c
ng c a máy ch trên internet và l ng l chuy n các d li
máy khác. Ph n m
p thu th p các thông tin nh y c m c a n
n t , m t khẩu, s thẻ tín d
w
u
nm t
a ch
… Spyware là m t d ng bi n th c a Adware (ph n m m
qu ng cáo).
1.6. Phishing
Phishing làm m t hình th c t
cd
nh
kho
hình th c gi ng h
ng có th xem là k t h p v
i dùng k t n i và s d ng m t h th ng máy tính gi m o
i dùng ti t l các thơng tin bí m t v danh tính (ví d
…
c h i.
ẻt
w
t khẩu, s tài
ng t o ra trang web ho c email có
c email mà n
ng hay s d
Trang 5
-Virus
…
c a ngân hàng, c a công ty phát hành thẻ tín d
c trang web gi m o này s
ổi ho c cung c p các thơng tin bí m t v tài kho n, v m t khẩ
ngh n
Các thông tin này s
c s d ng vào các m
…
t h p pháp khác.
1.7. Attacker tool
ẩy các ph n m
Attacker tool là b cơng c t n cơng có th s d
ẻ t n cơng có th truy nh p b t
vào trong h th ng. Các b công c này có kh
h p pháp vào h th ng ho c làm cho h th ng b lây nhiễ
trong h th ng b
c nó s
ch i
ch
c t i vào
c h i, attacker tool có th chính là m t ph n c
c t i vào h th ng sau khi nhiễ
n mã
ng g p là Backdoor
và keylogger.
- Backdoor là m t thu t ng chung ch các ph n m
l
u khi n t các cổng d ch v TCP ho c UDP. M
i
n nh t, ph n l n các
Backdoor cho phép m t kẻ t n công th c thi m t s
file, dò m t khẩu, th c hi n mã l
ch it
ng trên máy b nhiễ
n
…
- Keylogger là ph n m
bí m t ghi l
c nh n
b ng bàn phím rồi g i t i hacker. Keylogger có th ghi l i n i dung c a email,
n, user name, password, thơng tin bí m …Ví d
- Rootkit là t p h p c a các
trong Windows, rootkit có th s
ổi các l i g i hàm c a h
c t n công
…
t lên h th ng nh m bi
ẩn c a h th ng thành các ch
ch
th , s
n
:
c a
ổi các
m ẩn các t n công nguy hi m. Ví d
ổi, thay th file, ho
R
ng trú trong b nh nh m thay
t các công
v rootkit là: LRK5, Knark, Adore, Hack
Defender.
Trang 6
-Virus
2. L ch sử phát tri n của virus máy tính
Virus máy tính có m t q trình phát tri n lâu dài, v i s bi n hóa khơn
cs
phát tri n c a công ngh ph n m m và cơng ngh ph n c ng.
c tóm t
sau:
98 – Game Core War là ti n thân c a virus.
W
c vi t b i ba
ẻ tuổi: Mc Ilroy, Victor Vysottsky và Robert Morris. Core War là cu c
th
u trí gi
n mã c a hai th
u th
tái t o g i là Organism vào trong b nh máy tính. Khi b
m
u cu
u th s c g ng phá h y Organism c
th th ng cu
o Organism c
u th phát tri n nhi u l
u c a mình.
986 – Virus Brain. Có th
c vi t b
u
u tiên trên th gi i.
i Pakistan: Amjad và Basit Farooq Alvi. Virus Brain lây lan
c bi
n ch
lây nhiễm vào m u tin kh
ng và không lây nhiễm trên
ổ c ng máy tính. Virus Brain cịn có tên g i khác: Lahore, Pakistani, Pakistani Brain, Brain –
A. M c tiêu t
–
i h c Delaware
M
i h c Hebrew
t hi n virus này.
98 – Virus Lehigh xu t hi n.
Hoa Kỳ
c phát hi n t
p tin b nhiễ
và n m quy n ki m soát khi t
hi n t
i h c Hebrew
trên t p tin b nhiễ
u tiên, t n công các t p tin th c thi
J
c m . Trong th
l i là lây nhiễm l i
lây nhiễm.
–
c thi t k
b virus Brain. Anti –
Brain. Cùng th
mã hóa, virus
m, virus Cascade xu t hi n
c mã hóa khơng th
c
ổi ho c gỡ b .
988 R
vào m ng máy tính quan tr ng nh t c a M , gây thi t h i l n. T
tr
i ta m i b t
c tính nguy h i c a virus máy tính.
989 – Trojan xu t hi n.
có kh
phát hi n và lo i
thoát kh i s lây nhiễm c a virus
988 – Virus lây trên m
u nh n th
t
J
Israel. Gi
988
i h c Lehigh
ng ch
li u gi
j
ổi ti ng vì
cg
i d ng m
Trang 7
-Virus
c kích ho t, AIDS s mã hố ổ c ng c a
thông tin v b nh suy gi m h miễn d
n n nhân và yêu c
i s d ng ph i n p ti n n u mu
c gi i mã.
99 –
c ngo t cho s chi
u gi a cái thi n và cái ác trong h th ng máy tính
ổi hình d ng sau m i l n lây nhiễm, làm cho
lo i virus khó di t, chúng có kh
vi c phát hi n chúng r
1992 –
là lo
1995 – Virus Concept. Nguyên lý ho
toàn so v i các lo
ct p
ổi hoàn
ng c aVirus Concept s
c. Khai thác t p mã l nh macro (VB Application) trong b công
c
lây vào t p tin d li u.
M c dù khơng phá ho
u t h i nh
tồn b mã
l nh c a virus. Vi
n "h u Concept" v i s xu t hi n c a các
virus macro CAP, Gold Fish, CyberHack, JohnMMX... Khơng d ng
-5h... C t p tin
trình diễn c
w
virus TriState lây nhiễm.
– Virus ILOVEYOU hay LOVELETTER
Y
n hành tàn
phá trên kh p th gi i. Virus này có xu t x t Philippines, do m
c này t o ra.
Nó có s c lây lan kh ng khi p, thơng qua email, trong vịng 6 ti
qu
ồng hồ
t Nam, lây nhiễm 55 tri u máy tính, gây thi t h i 8,7 t USD.
–
W
nh ng virus có th lây trên h
W
w/
W
u hành Linux ch không ch
– Nhi u lo i virus m
Tháng 3 virus vi t b ng ngôn ng
W
u
Windows.
i. Tháng 1 xu t hi n virus lây qua t p tin .SWF.
#
i có tên là SharpA do m t ph n vi t. Tháng 5
it
ng SQL. Tháng 6, xu t hi n virus Perrun
lây qua Image JPEG, virus Scalper lây qua c
w
…
– Virus Slammer. Virus Slammer là m t lo i virus có t
nh t: 75000 máy tính ch trong 10 phút. Ti p t
r t m nh, nh m vào máy tính s d ng h
y 1 tu
w/
/8
phát tán nhanh
i, v i s c lây lan
u hành Windows 2000 và XP, ch
p ít nh t 300000 máy tính t i nhi
Vi t Nam. Khi xâm nh p vào m t máy tính b l i Windows, Blaster t
ng t
n mã t
Trang 8
-Virus
PC b nhiễ
t nhân b n và ti p t c phát tán
khác có l hổ
ng máy tính
ễm, m i khi k t n i Internet
và t n công. Nh
c vài phút li n b shutdown t
ng.
– Virus lây qua d ch v chatting. Các d ch v chatting tr c tuy
MSN b
c virus l i d
t công c
Y
phát tán virus trên m ng.
9 – Xu
ồ
…
ễ
W
W32.Vetor.PE
ễ
9
W
ễ
ễ
ễ
W
ễ
9
–
ễ
.
9
W
RZ
w
hay W32.FakeAVScanAD.Adware...
W
w
W32.FakeAvVbs.Worm
8
9
8
8
Trang 9
-Virus
ễ
ễ
6
8
60,000
50,128
50,000
40,000
33,137
30,000
20,000
10,000
6,752
0
2007
a
1
2008
2009
ượ
- 2009
ẩ
Trang 10
-Virus
ươ
-Virus
1. Gi i thi u F-Virus
-
ây File), xu t hi n t r t s m, và phát tri n r t m nh trong
8
is
u hành nh
nh
nh
H
o và tính phá ho
ng. F-virus ch lây trên m t h
c l i chúng có th khai thác r t nhi u d ch v nh p xu t c a
. Các F-
i DOS ch y u khai thác d ch v truy nh p File b ng các
hàm c a ng t 21h. Các F-virus ch lây lan trên các File kh thi (File .COM và .EXE), tuy
:
nhiên m t nguyên t c mà virus ph i tuân th
quy
u khi n ph i n
File nh n l i quy
c khi virus tr nó l i cho File b nhiễm, và khi
u khi n thì t t c các d li u c
Tùy theo h
ho
ho
m vào l nh
:
– Instruction Pointer) c a v t ch .
- Ghép mã l nh vào v t ch
u, cu i ho
-
c b o toàn.
ng c a v t ch , File virus có cách lây nhiễm khác
ng chung c a F-
-
ghép có th
t File kh thi b lây nhiễm,
nh d ng ho c tình tr ng c a v t ch , v trí
v t ch .
m vào l nh c a v t ch tr
a ch mã l nh c a virus.
Khi v t ch thi hành, F-virus s th c hi n các thao tác:
- Ki m tra s có m t c a virus trong vùng nh . N
sao chép vào vùng nh
ch
u hành c p phát.
- Tìm ki m các v t ch
lây vào.
- Th c hi n các ho
- Ph c hồ
ng trú, chúng ti n hành
c l p trình (phá ho
nh th
m vào l nh g c và trao quy n cho v t ch .
ổi và ch lây m nh
m c a F-virus là dễ b phát hi
trên các H
u hành DOS và Windows 9x/Me.
W
w
/
v p ph i hàng rào b o v h th ng h t nhân Kernel 32. Vì v y F-virus d
thay b ng các hình th
M t F-virus ph
…
:W
j
/
ng
c các Hacker
…
c các yêu c u sau:
Trang 11
-Virus
- Tính tồn t i duy nh t: Yêu c
m b o cho virus có m t ch m t l n trong
vùng nh , trên File (t
Yêu c
ng h p nhi u virus t n công trên m t File).
m b o s làm gi m th i gian thi hành File khi trong vùng nh có quá
nhi u b n sao c a m
ễ b phát
cc
hi
i gian n p File.
- Tính lây lan: Là yêu c u b t bu
c g i là virus. Ở
m
m b o cho s tồn t i và phát tri n c a virus và
c
n
lây lan mà là t
i có t
lây. M t
m b o tính tồn t i.
- Tính phá ho i: Tính phá ho
d trù h
khơng
ng h p có th x y ra, ho c do c
qu
ch u
n tai h a vơ cùng kh ng khi p.
-
ng trú.
- Tính k th a.
c nh ng yêu c u trên, m t s
:
d ng các k thu
1.1. K thuật lây lan
FFile và
:
ng s d ng ba k thu
.
ầu File (prepending)
1.1.1.
ng ch
vào c
c áp d ng cho các File .COM, t
i PSP:100h. L i d
u vào c
nh,
ẩy toàn b
mã c
ng xu
u File, thêm vào cu i
i.
u
n
i
a:
u vào
u vào
Virus
.COM
.COM
.COM
nhiễm
2
File b nhiễm
ầu File
Trang 12
-Virus
Ư
:
i t t là Progvi) r t dễ vi t vì th c ch t nó là
m t File d ng .COM. M t khác, s
khôi ph c F
i ph i
c toàn b File b nhiễm vào vùng nh rồi ti n hành ghi l i.
:
Khuy
:
c khi tr quy
u khi n l i cho File ph
i chuy n tr l i toàn b
Nh
mb
u
u t offset 0100h.
cl
Progvi s d
n sai l c logic
. Ch l
u vào c
nh
:
u quan tr
c
Progvi.
1.1.2. Thêm vào cu i File (appending)
ổ bi
M
lây
i File. Khác v i cách
n mã c a virus s
c g n vào sau c
c s d ng r ng rãi trên h u h t các lo i F-virus vì ph m vi
lây lan c
nên nó ph i:
-
i v i File d ng .COM hay .BIN: thay các byte
ng m t l nh JMP, chuy n quy
E9 xx xx
-
u khi n t
entry vào c a
n mã Progvi
JMP Entry virus
i v i File d ng .EXE: ch c
trao quy
nh v l i h th ng các thanh ghi SS,
u khi n cho ph n mã virus.
Header
Header
V trí b t
.COM
V trí
b
u
.COM
Virus
nhiễm
V trí b t
um i
File b nhiễm
3: Thêm vào cu i File
Trang 13
-Virus
Ư
m: lây lan trên m
ng là File .COM, .EXE,
.BIN. M t khác, s xáo tr n d li
. Vi
t quy
u khi n trên
File .COM ch c n 3 byte cho m t l nh nh y.
Khuy
m: dễ khôi ph c, ch c
ph i ghi l i toàn b
nh v d li
tr l i, không c n
nh v
ổ
ng lên m
ng là b t kỳ.
n b ng (ho c chênh l
6
i v i File .EXE)
c Progvi.
1.1.3.
Overwrite)
c th c hi n b ng cách virus s tìm m t vùng tr ng
ng (có th Stack ho
buffer
cu
ng h p
, có th th a ra m
p nhi u tr ng
Buffer v
c Progvi là không dễ tìm, n u
h ng c
ổ
trình, l
u tiên,
c trên các File
.COM ho c .BIN mà thôi.
Khi ti
iv
th ng), ReadOnly (ch
c), Hidden (ẩn), ph i ti
ổi các thu
truy nh p.
ổi ngày gi c p nh t c a File, vì th
Ngồi ra vi c truy nh
l i thu c tính, ngày gi c p nh t c
tính và ngày gi gi c p nh
1.2. K thuậ
t thu c tính SYS (h
sau khi lây nhiễm xong s tr l i y nguyên thu c
u c a nó.
m b o tính t n tại duy nhất
Trong vùng nh
ng các F-virus s d ng hai k thu t chính:
- T o thêm ch
ng cách s d ng m t ch
t ch
ki m tra ch c n g i ch c
tr l i trong thanh ghi quy
- Cách th hai là so sánh m
nh s tồn t i c a virus trong b nh
n mã trong vùng nh
virus n u có s chênh l ch thì
nh v
n mã
t trong vùng nh và s ti n hành
lây lan
Trên File, có th ki m tra b ng các cách sau:
Trang 14
-Virus
:
- Ki m tra b
chính xác c a nó khơng cao và m t khác
c version c
quá trình ki m tra có th
c ki m tra nhanh và k t qu ph trong
c dùng v
ng.
- Ki m tra b ng keyvalue: s d
ng là 5 byte) vào nh ng byte
cu i cùng c a File. Các byte keyvalue này có th cho bi t version c a virus chẳng h
mc
áp d
c v i m i File.
:
- Ki m tra b ng c
m
Ư
dị tìm và so sánh v i
n
mt
thi hành File
c s d ng.
ường trú
1.3. K thuậ
t k thu
cung c p ch
cho phép c
ng trú cho
ng trú. Vì v y n u s d ng ch c
ng trú thì c
u này khơng th
cn
gi i quy
ng
ng q l n.
i l p trình ph i s d ng khôn khéo các ch
DOS, ho c b
công trên chu
c th c hi
c
vào k thu
ng thi hành, có th chia k thu
a
ng trú
ng
trú thành hai nhóm:
ườ
1.3.1.
ư c khi tr quy
u khi n.
DOS không cung c p ch
i t thu x
ng trú này, cho nên
thu t này g n li n v i thao tác th công trên
n:
-
tách m t kh i vùng nh ra kh i quy
c a DOS, rồ
u khi n
ch
- T
nh v v trí trong b nh
ng thì các virus l a ch n
tránh b
vùng nh
t i ph
ng trú c a virus vào,
i ph n t m trú c a File
th ng t i l i COMMAND.COM. Vì khơng c p
phát b nh cho ph
tồn có quy n c p phát vùng nh
ng trú, cho nên COMMAND.COM hoàn
ng
trú c a virus ph i ch p nh n s m t mát do may r i.
Trang 15
-Virus
-
:
ng trú b ng ch
t p, ti n trình c n th c hi
s t o ra m
t k thu t ph c
:
c mơ t
c trao quy n, nó
c khai báo là ph n t trung gian trong chu
i t o ti p m t MCB m
ng vùng m
th
ch
nhiễm b ng cách d i
ổ
thành PSP mà
ng, ph i s d ng ch
a ng t
21h.
1.3.2.
ườ
a k
ạt ạ quy
u khi n.
ng c a
DOS, rồi nó thi hành ngay chính b n thân mình. Sau khi thi hành xong, quy
c tr v
i ti
a ng t 21h.
c th c hi
u khi n l i
ng trú m
ng b ng ch c
:
- Gi i phóng vùng nh khơng c n thi t.
:
- T o EPB
- Tìm tên File trong kh
ng hi n th i.
- Dùng ch
- Nh n quy
n n a.
u khi n tr l i, dùng ch
- Dùng ch
l y mã l i ra c a
ng trú v
c virus, mã ra là
mã l y t ch
Song
n h n ch , nó khơng th
c vì khi COMMAND.COM
lên l
lây lan
u tiên, nó s khơng bao gi
tr quy n l i cho virus c , m t khác, s khơng có virus nào lây ti p vì d u hi u trong vùng nh
cho bi
u khi
tc
u ki m tra tên File v
c thi t k theo
c khi nó lây.
1.4. K thuật ng y trang và gây nhi u
M
m mà khơng F-virus nào có th tránh kh
c này ph thu c vào vi c có
M t s virus ng y trang b ng cách khi s d ng ch
là
ng
.
DIR c a DOS, virus chi ph i ch c
Trang 16
-Virus
m File (ch
a ng
nhiễm xu ng, vì th
c c a File b
i máy tính, n u s d ng l nh DIR c a DOS, ho c
các l nh s d ng ch
thì th
gi
m File
có thơng tin v entry trong b
c File b lây nhiễm v n b
cc
i s d ng v s trong s ch c
m m dùng các ch
c,
u
a
u này c ng gây hi u ng cho các ph n
copy File, so sánh hay tổ ch c l y vi c thi hành File mà
không thông qua DOS.
M t s virus còn gây nhiễu b ng cách mã hóa ph n l
nào vào vùng nh
c gi
khi
c l i. K thu
ng dùng
ch là s d ng k t qu c a l nh XOR. Tuy nhiên m t l
ch ng virus n
ng c a virus hi n nay là mã hóa thành t ng t ng, t ng
này gi i mã cho t ng k nó và khóa c a m i ph n tùy thu c vào th
cl y
nh ng th
m khác nhau, ph
M t s virus anti-debug
hành t
b ng cách chi m ng t 1 và ng
c m t. B
thi hành t
i các
bug th c ch t ph i dùng ng t 1 và ng
c m t, cho nên khi virus chi m các ng t này rồ
theo dõi virus khi k t qu
Khi ki
Header
i l p trình dùng
c.
u b t bu c là l p trình viên ph
u vào File, t
thi
i phát hi
uh
c bẳng EXE
c b ng tham s
ồ này và
b ng cách m
ng tham s
c
ng l p trình viên.
1.5. K thuật phá hoại
ng mang tính phá ho i ng u nhiên và ti
phá ho
i nh , ch
n là xóa m t cách ng
ng phá ho i c a F-virus r t phong phú bao gồ
s d ng các gi i thu t ng n g
ng. Vi c
ổi l i ngày gi t o File.
…
n phá ho i
u su t cao.
Trang 17
-Virus
ọa – Virus TUCOM
2. Virus
ễ :
:
ư
ễ
-
ễ
ễ
-
-
ễ
100h).
thi.
2.1.
ễ
ễ
ch :
6
ễ
ễ
ễ
ồ
ễ
Trang 18
