LOGO

Học Viện Kỹ Thuật Mật Mã

Virus và phòng chống
Thực Hiện Bởi:
1. Trần Văn Dũng.
2. Nguyễn Mạnh Ninh.
3. Lê Quang Long.
4. Ngô Văn Thỉnh.
Nhóm: K_Thông – AT8B

5. Bùi Đức Thuận.


Mục Tiêu

1

2

3

Hiểu tổng quan về Virus cũng như các khái niệm

Mô tả cấu trúc hoạt động cũng như tác hại của Virus

Phương pháp phòng chống


T ổng Quan V ề Virus

Tổng Quan Về Virus
1. Các khái niệm cơ bản



Bugware: phần mêm gặp lỗi do lập trình gây lên tác hại.



Trojan horse: gắn với một phần mềm hợp lệ, chạy ngầm, không tự lây lan.



Software bombs: chỉ phá hoại một lần, không tự lây lan.



Replicators: tự nhân bản làm cạn tài nguyên.



Virus: tự lây lan trên máy tính riêng lẻ, không tự lây sang máy khác.



Worm: tự lây lan từ PC này sang PC khác qua mạng



Tổng Quan Về Virus
2. Virus

 Thế nào là Virus?
•
•
•
•

Virus máy tính là những chương trình hay đoạn mã.
Được tạo ra một cách cố ý, hay vô ý.
Có khả năng tự nhân bản.
Gây ra những tác động không mong muốn làm ảnh hưởng tới công việc.


Tổng Quan Về Virus
2. Virus

Số liệu thống kê Virus 2010

Top 13 quốc gia có máy chủ lưu trữ code
độc hại


Tổng Quan Về Virus
2. Virus

 Đặc điểm của Virus máy tính:
•
•

•
•

Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.
Tự nhân bản khi ứng dụng chủ được kích hoạt.
Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này không gây hậu quả.
Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.

File chưa bị nhiễm

File bị nhiễm


Tổng Quan Về Virus
2. Virus

 Hình thức thể hiện của Virus:



Các ứng dụng trên máy bất ngờ hoặc từ từ chạy chậm lại.
Những biến đổi không thể lý giải về dung lượng của các ứng dụng trong các file có đuôi
.EXE, .COM, .BAT, .SYS, .OVL.



Những động thái bất thường của máy tính, nhất là khi bạn đang chạy một chương trình mà bình
thường không có vấn đề gì.




Một chương trình nào đó không thể cài chính xác dữ liệu từ đĩa nguồn


Tổng Quan Về Virus
2. Virus

1

6
Loại bỏ

Thiết kế
Phát triển code Virus bằng cách sử
dụng các ngôn ngữ lập trình hoặc bộ
dụng cụ xây dựng

Người dùng cài đặt bản cập
nhật chống Virus và loại bỏ các mối đe
dọa từ Virus

5
Công ty
Phần mềm chống Virus được phát triển
để bảo vệ và chống lại Virus

Vòng đời của Virus
2

3


Nhân rộng

Kích hoạt

4
Phát hiện

Virus sao chép vào hệ thống trong

Nó được kích hoạt bởi người dùng khi

Virus được xác định là mối đe dọa lây

một khoảng thời gian và sau đó chính

thực hiện một số hành động như

nhiễm cho các hệ thống

nó sẽ lây lan

chạy một chương trình bị nhiễm


Tổng Quan Về Virus
2. Virus

Tại sao người ta lại tạo ra Virus máy tính ?
Gây thiệt hại cho các đối thủ cạnh tranh

Lợi ích tài chính
Kẻ tấn công
Dự án nghiên cứu

Trò đùa

Phá hoại

Khủng bố mạng lưới

Phân phát các thông điệp chính trị

Hệ thống có thể công kích


Tổng Quan Về Virus
2. Virus

 Cấu trúc chung của virus

Cách hoặc những cách virus dùng để
lây lan.

•
•
Phần lây lan (infection)

Tìm kiếm những đối tượng phù hợp.
Kiểm tra xem đối tượng đã bị lây
nhiễm chưa?


=> Lây nhiễm cho đối tượng.

Phần điều kiện
kích hoạt (trigger)
Virus

Phần thân (payload)


Tổng Quan Về Virus
2. Virus

 Cấu trúc chung của virus
Cơ chế kiểm tra điều kiện để thực hiện
phần thân:

Phần lây lan (infection)

•
•
•

sau một số lần lây nhiễm
vào một ngày giờ nhất định
kích hoạt ngay ở lần thực thi đầu tiên

Tất
cả những gì virus thực hiện trên
=> Đã đến thời điểm phá hoại


Phần điều kiện
kích hoạt (trigger)

máy tính đã bị lây nhiễm (trừ phần lây
lan)

Kiểm tra đk => kích hoạt phá hoại

Phần thân (payload)


Tổng Quan Về Virus
3. Lịch sử hình thành và phát triển của virus máy tính

•
•
•
•
•

DOS
Brain
Window
- 1986
virus ->
virus Lehigh - 1987.

Worm


Kỹ thuật
xuất
hiện đa
thuật
hình
ngữ
(polymorphism)
“worm”

2001 – đến nay

11/1988, Robert Morris Jr. viết ra
1995:
Morris
Concept
lây lan lây
tới 6000
nhiễnmáy tính
worm Virus

Virus Qua Mail

normal.dot

1999 - 2000

Virus Macro
1990 - 1998

Boot Virus

1979 - 1990


Tổng Quan Về Virus
3. Lịch sử hình thành và phát triển của virus máy tính

•
•
•

Lây lan rất nhanh, độ tinh vi rất cao
Xuất hiện nhiều Worm – Happy99,
12/07/2001: Sâu Code red khai thác lỗi
Explorezip, Love Letter

MS IIS web server

•
•
•

Worm

08/2003: worm Blaster khai thác lỗi
Đầu 2000: virus BubbleBoy lây lan khi
DCOM RPC
preview email
18/08: Welchia và Nachi cũng khai

2001 – đến nay


Virus Qua Mail
1999 - 2000

thác lỗi DCOM RPC

Virus Macro
1990 - 1998

Boot Virus
1979 - 1990


Nguyeõn Lyự Hoaùt ẹoọng Virus


Nguyên Lý Hoạt Động
1. BOOT VIRUS (B-Virus)

 Khi PC khởi động, ROM sẽ thực thi quá trình kiểm tra khi khởi động (POST) => bình thường, thì nạp
Boot Sector vào RAM

 Boot virus được thiết kế để thay thế cho đoạn mã chuẩn của Boot Sector (đĩa mềm), Master Boot
Record(ổ đĩa cứng).

Master Boot
Boot
Virus
Record


Boot Sector


Nguyên Lý Hoạt Động
1. BOOT VIRUS (B-Virus)

B-VIRUS

SB virus (Single Boot virus)

DB virus (Double Boot virus)

-

-

Kích thước virus nằm trọn trong
một sector.

-

Có nhiều chức năng hơn SB virus
nên kích thước lớn hơn một sector

-

Đoạn boot sector chuẩn được lưu
lại tại một ví trí xác định trên đĩa.

đoạn mã nằm trong boot sector

chỉ có nhiệm vụ tải thân virus vào

Boot
Master
Virus
Boot
Record

Boot Sector

Master Boot
Record

thường trú.


Nguyên Lý Hoạt Động
1. BOOT VIRUS (B-Virus)



 Các Kỹ Thuật chính:

Kiểm tra tính tồn tại duy nhất: đảm bảo mỗi đĩa chỉ lây
nhiễm một lần.

Đã tồn tại
trong bộ nhớ?

_




+
Thoát

giúp tăng khả năng lây lan cũng như tồn tại.



Lây lan: chiếm ngắt 13h để thực hiện đọc, ghi sang đĩa đảm
bảo tính lây lan.

Tạo boot sector giả

Lưu boot chuẩn lại

Thường trú trong bộ nhớ: thường trú trong bộ nhớ trong




Phá hoại: không bắt buộc nên rất đa dạng.
Ngụy trang: giúp giảm khả năng phát hiện bằng cách điểu
khiển boot sector chuẩn.

Chuyển virus vào thường trú

Đặt lại các ngắt


Lây lan


Nguyên Lý Hoạt Động
2. FILE VIRUS (F-Virus)

 Có số lượng và chất lượng vượt trội so với B-Virus.
 Được chia thành 2 loại:


Transient File Virus (TF-Virus): không thường trú, không chiếm ngắt, lây qua các file đối
tượng.



Reside File Virus (RF-Virus): Có thường trú, có chiếm ngắt (phổ biến là ngắt 21h).


Nguyên Lý Hoạt Động
2. FILE VIRUS (F-Virus)

 Các Kỹ Thuật chính:


Kiểm tra tính tồn tại duy nhất: Cũng giống như boot virus, để giảm khả năng bị phát hiện, trước khi lây lan
file virus bắt buộc phải kiểm tra sự tồn tại của mình trên đối tượng sắp lây.



Lây lan: có 3 cách:


.COM file

.EXE file

.EXE file

File header

File header

File header

IP

IP

F-Virus

Sart of Progam

Start of Progam

F-Virus

End of Program

End of Program

IP

Start of Progam
End of Program

Chèn đầu

Chèn giữa

F-Virus

Nối file


Nguyên Lý Hoạt Động
2. FILE VIRUS (F-Virus)

 Các Kỹ Thuật chính:


Nguyên Lý Hoạt Động
2. FILE VIRUS (F-Virus)

 Các Kỹ Thuật chính:



Thường trú trong bộ nhớ: Chỉ có RF-Virus cần
thường trú trong các chương trình giúp tăng khả
năng lây lan cũng như tồn tại.



Nguyên Lý Hoạt Động
3. WINDOW VIRUS

 1995 HĐH Windows 95 ra đời đồng nghĩa Virus MS DOS cũng đã hết thời
 Windows 95 không cho phép các chương trình được gọi các ngắt tùy tiện mà phải thông qua hàm giao
diện lập trình ứng dụng (API - Application Programming Interface)

 Các hàm API nằm trong các file liên kết động (Dynamic Link Library - .DLL).
 Bộ vi xử lý có bồn mức đặc quyền Ring 0, Ring 1, Ring 2 và Ring 3


Nguyên Lý Hoạt Động
3. WINDOW VIRUS

 Các kỹ thuật chính:


Tìm địa chỉ cơ sở của kernell32.dll



Tìm kiếm PE Header của kernell32



mapping file



Thay đổi thuộc tính file




Kiểm tra tính tồn tại duy nhất


Nguyên Lý Hoạt Động
4. VIRUS MACRO

 Macro là công cụ cho phép ghi lại các thao tác (các lệnh) của người sử dụng dưới dạng 1 danh sách
các lệnh. Khi ta gọi tới 1 macro (chạy macro), nó sẽ thực hiện lại các thao tác đó 1 cách tự động.

 Bản chất Virus Macro là một hoặc một số macro (được viết bằng WordBasic, VisualBasic…) có khả
năng kích hoạt và tiến hành lây lan khi người dùng xử lý file.

 Đối tượng là những file template được nạp ngầm định khi khởi động các file word (nomarl.dot) hay
excel

Macro lây nhiễm kích hoạt tài liệu
Kẻ tấn công

Người dùng