BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG…………… LUẬN VĂN Một số dạng virus máy tính phương pháp phịng chống Mục lục Mở đầu Lời cảm ơn Chương TỔNG QUAN VỀ VIRUS MÁY TÍNH 1.1 GIỚI THIỆU VỀ VIRUS MÁY TÍNH…………………………… 1.1.1 Virus máy tính tính chất 1.1.2 Tên virus máy tính 1.1.3 Phân loại virus máy tính 11 1.2 BOOT VIRUS……………………………………………………….15 1.2.1 Phƣơng pháp lây lan 15 1.2.2 Phân loại Boot Virus 16 1.2.3 Cấu trúc chƣơng trình B-Virus 18 1.3 VIRUS FILE……………………………………………………… 20 1.3.1 Phƣơng pháp lây lan 20 1.3.2 Phân loại F-Virus 21 1.3.3 Cấu trúc chƣơng trình F-Virus 21 1.4 VIRUS MACRO…………………………………………………….23 1.4.1 Định nghĩa 23 1.4.2 Virus Macro W97M/Antivi.a 24 1.5 TROJAN…………………………………………………………… 26 1.5.1 Định nghĩa Trojan 26 1.5.2 Phƣơng pháp lây nhiễm Trojan 26 1.5.3 Sự nguy hiểm Trojan 28 1.5.4 Phân loại Trojan 28 1.5.5 Mục đích Trojan 29 1.5.6 Phƣơng thức hoạt động Trojan 30 1.5.7 Cổng số Trojan thông dụng 31 1.6 INTERNET WORM……………………………………………… 32 1.6.1 Giới thiệu chung 32 1.6.2 Các giai đoạn phát triển sâu Internet 35 Chương NHẬN DẠNG VÀ PHÁT HIỆN VIRUS 44 2.1 KỸ THUẬT NHẬN DẠNG VIRUS……………………………… 44 2.1.1 Nhận dạng xác mẫu (Signature based delection) 44 2.1.2 Nhận dạng theo mã đại diện 45 2.1.3 Scan theo string 46 2.1.4 Nhận dạng hành vi đáng ngờ 48 2.1.5 Kiểm soát liên tục 49 2.1.6 Kết hợp phƣơng thức 49 2.2 PHƢƠNG PHÁP PHÁT HIỆN VIRUS……………………………50 2.2.1 Quét (scanner) 50 2.2.2 Checksum (kiểm tra tổng) 50 2.2.3 Guard (canh phòng) 51 Chương PHÒNG CHỐNG VIRUS 52 3.1 DỊ TÌM TRONG BỘ NHỚ……………………………………… 52 1/ Đối với B-Virus: 52 2/ Đối với RF-Virus: 53 3.2 DIỆT VIRUS VÀ KHÔI PHỤC DỮ LIỆU……………………… 53 3.2.1 B-Virus 53 3.2.2 F- Virus 54 3.2.3 Virus Trojan 55 3.2.4 Sâu Worm 57 3.3 TẠO VIRUS MÁY TÍNH………………………………………… 58 Kết luận 68 Mở đầu Virus tin học nỗi băn khoăn lo lắng người làm công tác tin học, nỗi lo sợ người sử dụng máy tính bị nhiễm virus Khi máy tính bị nhiễm virus, họ biết trông chờ vào phần mềm diệt virus có thị trường, trường hợp phần mềm không phát không tiêu diệt được, họ bị lâm phải tình khó khăn, khơng biết phải làm Vì lý đó, có cách nhìn nhận hệ thống, chế nguyên tắc hoạt động virus tin học cần thiết Trên sở đó, có cách nhìn đắn virus tin học việc phòng chống, kiểm tra, chữa trị cách phân tích, nghiên cứu virus xuất Ứng với hệ điều hành có loại virus hoạt động riêng ứng với hệ điều hành DOS ta có virus DOS, ứng với hệ điều hành Windows ta có virus Windows Và phát triển tin học gắn liền với phát triển virus tin học có phần mềm, chương trình, hệ điều hành xuất virus xuất theo kéo theo chương trình diệt virus Vì việc nghiên cứu, nhận dạng phát virus để từ có biện pháp thích hợp để ngăn chặn phịng trừ virus đạt kết cao Lời cảm ơn Em xin bày tỏ lịng kính trọng biết ơn sâu sắc tới PSG.TS Trịnh Nhật Tiến, giáo viên môn khoa công nghệ thông tin, Đại học Dân Lập Hải Phòng hướng dẫn động viên em trình làm luận văn Em xin cảm ơn thầy cô giáo trường tạo điều kiện giúp đỡ em hoàn thành luận văn Em xin gửi lời cảm ơn tới gia đình bạn bè giúp đỡ động viên tạo điều kiện cho em trình làm luận văn Vì thời gian khơng nhiều, kinh nghiệm cịn hạn chế, khơng tránh khỏi thiếu sót Em mong nhận ý kiến đóng góp thầy bạn bè Em xin chân thành cảm ơn Chương TỔNG QUAN VỀ VIRUS MÁY TÍNH Để phát diệt virus tin học trước hết phải hiểu rõ chất chúng Về nguyên tắc chung, công việc diệt virus tin học đa phần làm ngược lại mà virus làm Vì vậy, chương tập trung nghiên cứu nội dung liên quan đển chế hoạt động virus để làm rõ chất virus tin học Từ xây dựng chương trình tìm diệt virus 1.1 GIỚI THIỆU VỀ VIRUS MÁY TÍNH 1.1.1 Virus máy tính tính chất 1.1.1.1 Khái niệm Virus máy , đơi kh tính - 1.1.1.2 Các tính chất Tính lây lan: tính chất quan trọng tất loại virus Khả lây lan thể sức mạnh virus Đây điểm phân biệt virus với số chương trình “xấu” khác có khả phá hoại liệu máy tính khơng tự lây lan Tính ẩn: tính chất làm cho virus tránh phát chương trình anti-virus tăng tốc độ lây nhiễm, đảm bảo tồn Virus giảm tối đa kích thước cách tối ưu hố mã lệnh sử dụng số giải thuật tự nén giải nén Tuy nhiên, điều có nghĩa virus phải giảm độ phức tạp nó, dễ dàng cho lập trình viên phân tích mã lệnh Tính phá hoại: tính chất khơng có số loại virus đơn giản chúng viết để “thư giản” kiểm nghiệm khả lây lan mà Tuy nhiên, nhiều loại virus có khả phá hoại cao 1.1.1.3 Lịch sử phát triển virus máy tính Virus máy tính có q trình phát triển dài, ln song hành máy tính Khi mà công nghệ phần mềm phần cứng phát triển virus máy tính phát triển theo Hệ điều hành thay đổi virus máy tính tự thay đổi để phù hợp với hệ điều hành Có nhiều tài liệu khác nói xuất xứ virus máy tính [1,2,3,4] Tuy nhiên, đa số tài liệu nói xuất xứ virus máy tính liên quan đến kiện trị chơi Core War 1983 – Nguyên lý trò chơi Core War Core War đấu trí hai đoạn chương trình máy tính hai lập trình viên viết Mỗi đấu thủ đưa chương trình có khả tự tái tạo gọi Orgnaism vào nhớ máy tính Khi bắt đầu chơi, đấu thủ cố gắng phá hủy Organism đối phương tái tạo Organism Đấu thủ thắng đấu thủ tự nhân nhiều Trị chơi Core War giữ kín đến năm 1983, Ken Thompson người viết phiên cho hệ điều hành UNIX, để lộ nhận giải thưởng danh dự giới điện toán- giải thưởng A.M Turing Trong diễn văn ơng đưa ý tưởng virus máy tính dựa trị chơi core war Cũng năm 1983, tiến sỹ Frederik Cohen chứng minh tồn virus máy tính Tháng năm 1984 tờ báo Scientific America có đăng mơ tả “core war” cung cấp cho độc giả thông tin hướng dẫn trị chơi này, kể từ virus máy tính xuất kèm theo chiến viết virus người diệt virus 1986 – Virus Brain Có thể coi virus máy tính giới, Brain bí mật thâm nhập từ Pakistan vào nước Mỹ với mục tiêu trường đại học Delaware Một nơi khác giới mô tả xuất virus, trường đại học Hebrew – Israel 1987 – Virus Lehigh Lehigh tên virus xuất năm 1987 trường đại học tên Trong thời gian có số virus khác xuất hiện, đặc biệt WORM virus (sâu virus), ác mộng với hệ thống máy chủ xuất Virus Jerusalem gây thiệt hại cho công ty IBM với tốc độ lây lan đáng nể: 500000 nhân 1988 – Virus lây lan mạng Ngày 2/11/1988, Robert Morris đưa virus vào mạng máy tính quan trọng Mỹ, gây thiệt hại lớn Từ trở người ta bắt đầu thấy tính nguy hại virus máy tính 1989 – Virus AIDS Trojan Xuất Trojan hay gọi “con ngựa thành Tơ – roa ”, chúng virus máy tính, ln với khái niệm virus Những Trojan gắn vào máy tính lấy cắp số thơng tin gửi đến địa mà chủ ngựa muốn vận chuyển đến, đơn giản phá hủy liệu máy tính 1991 – Virus Tequila Đây loại virus mà giới chuyên môn gọi virus đa hình Đây thực loại virus gây đau đầu cho người diệt virus thật không dễ dàng để diệt chúng Chúng có khả tự thay đổi hình dạng sau lần lây nhiễm, làm cho việc phát chúng khó khăn 1992- Virus Michelangelo Tiếp nối đời virus đa hình năm 1991, năm, 1992 sức mạnh cho loại virus máy tính tăng nhanh chóng mặt, người viết virus tạo đa hình cực phức tạp cho virus 1995 – Virus Concept Sau gần 10 năm kể từ ngày virus máy tính xuất hiện, loại virus có ngun lý hoạt động gần thay đổi hồn toàn so với virus trước Sau virus theo nguyên lý virus Concept gọi chung macro, chúng công vào hệ soạn thảo văn Microsoft (Word, Excel, Powerpoint) 1996 – Virus Boza Khi hãng Microsoft chuyển sang hệ điều hành Window95 họ cho virus công được, năm 1996 xuất virus Boza lây nhiễm hệ điều hành Windows 1999 – Virus Melissa, Bubbleboy Một bước phát triển virus, sâu Mellisa kết hợp tính sâu Internet virus marco mà cịn khai thác cơng cụ thường sử dụng hàng ngày Microsoft Outlook Express Khi máy tính bị nhiễm sâu Mellisa, tự phát tán mà chủ nhân máy tính không hay biết Trong bốn ngày, sâu Mellisa lây nhiễm 250 ngàn máy tính giới thơng qua Internet, có Việt Nam, gây thiệt hại hàng trăm triệu USD Sâu Mellisa chứng minh Internet phương tiện hữu hiệu để virus máy tính lây lan tồn cầu vài tiếng đồng hồ Năm 1999, sâu Mellisa, virus Chernobyl hay gọi CIH phá hủy liệu hàng triệu máy tính giới, gây thiệt hại gân tỷ USD vào ngày 26/4/1999 Năm 2000 – Virus Dos, Love Letter Có thể coi vụ việc virus phá hoại lớn từ trước tới nay, Love Letter có xuất xứ từ Philippines sinh viên nước tạo ra, vòng sáu tiếng đồng hồ lây nhiễm tới 20 nước giới có Việt Nam, lây nhiễm 55 triệu máy tính gây thiệt hại 8,7 tỷ USD Cịn Dos (Denial of Service), virus phát tán khắp nơi, nằm vùng nơi lây nhiễm Cuối chúng đồng loạt công theo kiểu từ chối dịch vụ (Denial of Service – yêu cầu liên tục, từ nhiều máy tính đồng thời, làm cho máy chủ bị công phục vụ dẫn đến từ chối yêu cầu mới) vào hệ thống máy chủ người điều hành lệnh, vào thời điểm định trước Một hệ thống điện thoại Tây Ban Nha nơi bị công 2001 – Virus Winux Windows/Linux, Nimda, Code Red Winux Windows/Linux virus đánh dấu virus lây hệ điều hành Linux Nimda, Code Red virus công đối tượng nhiều đường khác (từ máy chủ sang máy chủ từ máy chủ sang máy trạm…), tháng 9/2002 Việt Nam cịn quan với mạng máy tính có hàng trăm máy tính bị nhiễm virus Nimda Chúng xu hướng loại virus máy tính tất một, virus bao gồm nhiều virus 2002 – Sự đời hàng loạt loại virus Tháng 1/2002, virus lây nhiễm file SWF Tháng 3/2002 sâu SharpA (viết ngôn ngữ C# đời) Tháng 5/2002 SQLSpider đời chúng cơng chương trình dùng SQL Perrun lây file ảnh JPEG Scalper công FreeBSD/Apache Web server 1.1.2 Tên virus máy tính Tên virus nói chung thường đặt nhà nghiên cứu gặp virus Vấn đề nhiều nhà nghiên cứu gặp virus giống cách đặt tên người lại khác Việc công ty phần mềm an ninh cạnh tranh để đơn vị đặt tên cho loại virus dẫn đến tình trạng phổ biến nay, virus thường gọi nhiều danh tính khác Bất đồng tên cách đặt tên loại virus tạo điều khó hiểu lĩnh vực này, từ dẫn đến khó khăn biện pháp đối phó góp phần giúp cho virus dễ dàng phát tán Đây chủ đề đưa thảo luận hội nghị toàn cầu chống virus (Virus Bulletin 2003) tổ chức Toronto-Canada cuối tháng 9/2003 Vào đầu thập kỷ 1990 có hệ thống quy ước cách đặt tên Tổ chức nghiên cứu virus máy tính (CARO) đề xuất Chính thức đưa năm 1991 bổ sung thêm vào, hệ thống đề nguyên tắc khơng thể sử dụng việc đặt tên cho virus, đồng thời thiết lập hệ thống đặc trưng virus mức độ nguy hiểm, bị tác động, họ hàng nó… Nick Fitzgerald, đại diện CARO, phát biểu hệ thống đặt tên cho biết nguyên tắc họ có hiệu lực Kiểu đặt tên mang tính kỹ thuật quan trọng chuyên gia virus, họ biết virus thuộc loại nào, phiên thứ mấy,… thông qua tên gọi virus Những điều lại khơng qua trọng với hầu hết người sử dụng máy tính, người thường có xu hướng nhớ tên virus như: I Love You Mellisa (nhớ tên theo kiện) thay VBS.LoveLetter.A W97.Mellisa.A Tóm lại: bất đồng việc đặt tên cho virus nhà nghiên cứu hay công ty phần mềm an ninh mạng tạo cho virus loại nhiều tên khác Điều tạo lẫn lộn cho người phần mềm diệt virus xem xét đặc điểm, dấu hiệu nhận biết virus mà không quan tâm đến tên chúng việc diệt virus 10 1.1.3 Phân loại virus máy tính Một cách tương đối, Virus tin học chia năm loại [1]: Loại 1:Virus Boot (B-Virus) Vì mơi trường lây nhiễm chúng Boot Record đĩa mềm Master Boot Record Boot Record đĩa cứng, vùng chứa đoạn mã dùng để khởi động máy tính Virus loại kích hoạt máy tính khởi động từ đĩa từ bị nhiễm chúng Khi đánh thức dậy chúng tiến hành thường trú nhớ, lặng lẽ chờ hội lây lan sang đĩa khác thơng qua q trình truy nhập đĩa Loại 2: Virus File(F-Virus) Thường lây nhiễm file khả thi EXE, COM, DLL, BIN, SYS Loại virus hoạt động file khả thi bị nhiễm virus thi hành chúng tìm cách lây nhiễm tiến hành thường trú nhớ chờ hội lây nhiễm sang file khả thi khác Loại 3: Virus Marco Loại khác với loại virus F-Virus truyền thống chỗ đối tượng lây nhiễm chúng khơng phải chương trình khả thi mà file văn bản, bảng tính…của phần mềm ứng dụng có trang bị ngơn ngữ marco phức tạp tạo Microsoft Excel nằm phần mềm Office hãng Microsoft Khi tập tin văn (hoặc tập tin Excel) xử lý Microsoft Word (hoặc Microsoft Excel), Marco Virus kích hoạt, tìm cách lây lan sang file Word, Excel khác Loại 4: Virus Trojan Thuật ngữ dựa vào điển tích cổ, chiến người Hy Lạp người thành Tơ-roa Thành Tơ-roa thành trì kiên cố, qn Hy Lạp khơng đột nhập vào Người ta nghĩ kế, giả vờ giảng hồ, sau tặng thành Tơ-roa ngựa gỗ khổng lồ Sau ngựa đưa vào thành, đêm xuống qn lính từ bụng ngựa xơng đánh chiếm thành từ bên 11 Phương pháp cách mà Trojan máy tính áp dụng Đầu tiên hacker cách lừa cho nạn nhân sử dụng chương trình Khi chương trình chạy vẻ bề ngồi giống chương trình bình thường Tuy nhiên, song song với trình đó, phần Trojan bí mật cài lên máy nạn nhân Đến thời điểm định trước chương trình thực việc xóa liệu, hay gửi thông điệp mà hacker muốn lấy đến địa định trước mạng Khác với virus, Trojan đoạn mã chương trình hồn tồn khơng có tính chất lây lan Nó cài đặt kích hoạt lây nhiễm sang máy tính khác có người cố ý gửi đi, cịn virus tự động tìm kiếm nạn nhân để lây lan Thông thường phần mềm có chứa Trojan phân phối phần mềm tiện ích, phần mềm hấp dẫn, nhằm dễ thu hút người sử dụng Bên cạnh Trojan ăn cắp thông tin truyền thống, số khái niệm dùng để đặt tên cho trojan mang tính chất riêng biệt sau: BackDoor: Là loại trojan (sau cài đặt vào máy nạn nhân) tự mở cổng dịch vụ cho phép kẻ cơng (hacker) kết nối từ xa tới máy nạn nhân, từ nhận lệnh thực lệnh mà kẻ công đưa Phần mềm quảng cáo bất hợp pháp - Adware phần mềm gián điệp Spyware: Gây khó chịu cho người dùng chúng cố tình thay đổi trang web mặc định (home page), trang tìm kiếm mặc định (search page) hay liên tục tự động (pop up) trang web quảng cáo ta duyệt web Chúng thường bí mật xâm nhập vào máy ta ta vơ tình “ghé thăm” trang web có nội dung khơng lành mạnh, trang web bẻ khóa phần mềm…hoặc theo phần mềm miễn phí khơng đáng tin cậy, phần mềm bẻ khóa (crack, keygen) 12 Loại 5: Sâu Internet (Internet Worm) Sâu Internet bước tiến đáng kể virus Sâu Internet kết hợp phá hoại virus, bí mật Trojan việc lây lan nhanh chóng qua đường mạng Internet Với tốc độ lây lan nhanh chóng chúng làm tê liệt hàng loạt hệ thống máy chủ, làm đường truyền mạng tải Sâu Internet thường tán phát cách tìm địa sổ địa (Address book) máy mà lây nhiễm, thường địa người thân, khách hàng…Tiếp đến, tự gửi cho địa mà tìm thấy, địa người gửi thường chủ nhân máy tính Điều nguy hiểm việc diễn mà người sử dụng không hay biết, nhận thông báo gửi virus cho người khác biết máy tính bị nhiễm virus Với cách hoàn toàn tương tự máy tính nạn nhân, sâu Internet nhanh chóng lây lan tồn cầu theo cấp số nhân, điều giải thích vịng vài tiếng đơng hồ mà sâu Mellisa sâu Love Letter lại lây lan tới hàng chục triệu máy tính toàn cầu Cái tên sâu Internet thể việc sâu “bị” từ máy tính qua máy tính khác cành Internet Với lây lan nhanh rộng lớn vậy, sâu Internet thường kẻ viết chúng cài thêm nhiều tính đặc biệt, chẳng hạn chúng định ngày đồng loạt từ máy tính nạn nhân cơng vào địa đó, khó để chống đỡ khắc phục hậu cơng Ngồi ra, sâu Internet cịn cho phép chủ nhân chúng truy cập vào máy tính nạn nhân làm thứ ngồi máy tính cách hợp pháp 13 Khái niệm Sâu Internet bao gồm virus lây lan qua mạng chia sẻ ngang hàng peer to peer, virus lây lan qua dịch vụ chatting đặc biệt virus khai thác lỗ hổng phần mềm để lây lan Các phần mềm (nhất hệ điều hành dịch vụ đó) ln chứa đựng lỗi tiềm tàng (ví dụ: lỗi tràn đệm…) mà khơng phải lúc dễ dàng phát Khi lỗ hổng phần mềm phát hiện, khơng lâu sau xuất virus có khả khai thác lỗ hổng để lây nhiễm lên máy tính từ xa cách âm thầm mà người chủ máy tính hồn tồn khơng hay biết Từ máy tính này, Worm tiếp tục “bị” qua máy tính khác mạng Internet với cách thức tương tự Phân loại virus cung cấp cho cách nhìn nhận đắn virus máy tính, để từ xây dựng phương pháp hữu hiệu ngăn chặn chúng 14 1.2 BOOT VIRUS 1.2.1 Phƣơng pháp lây lan Sau trình POST (Power On Self Test – Tự kiểm tra khởi động) sector đĩa khởi động đọc vào nhớ địa 0:07C00h, tác vụ kiểm tra xem có phải phần Boot hợp lệ không cách kiểm tra mã nhận dạng 0AA55h cuối sector Tuy nhiên việc kiểm tra không tránh khỏi sơ hở thay đoạn mã Boot chương trình khác với ý đồ xấu Và cách lây lan B-Virus Đối với đĩa mềm, sector Boot sector, việc lây lan đơn giản tiến hành thay sector mã virus Đối với đĩa cứng có chia Partition, việc lây lan lại phức tạp Master Boot sector đọc vào, sau trình kiểm tra Partition hoạt động, Boot sector tương ứng đọc vào Chính người viết virus chọn hai nơi để lưu giữ mã virus: Master Boot sector hay Boot sector Đối với B-Virus lưu trữ Master ln nạp vào nhớ đầu tiên, cho dù sau hệ điều hành sử dụng có khả lây lan rộng Tuy nhiên vấn đề đặt virus phải bảo toàn Partition table xâm phạm nhỏ đến vùng dẫn đến trục trặc đĩa cứng Đối với Boot sector có thuận lợi việc sử dụng bảng tham số đĩa nằm vùng này, đoạn mã lây lan cho đĩa mềm dùng tương tự cho đĩa cứng Hai phương pháp B-Virus sử dụng, nhiên hầu hết chúng sử dụng phương pháp lây vào Master Boot sector 15 Vấn đề then chốt mà loại virus cần giải Boot sector (Master Boot sector) cũ đĩa Virus thực việc thay Boot sector mới, nhiên virus thực hết công việc cho Boot sector (Master Boot sector) cũ sector có chứa thơng tin đĩa thực virus biết cách đầy đủ sector phải làm Chính lý mà đa số B-Virus không bỏ Boot sector cũ mà virus giữ Boot sector cũ vào vùng đĩa sau tiến hành xong tác vụ cài đặt mình, đọc trao quyền điều khiển cho đoạn mã sector (tuy nhiên có số virus thực đè mã lên đoạn mã Boot sector cũ chừa thông tin đĩa mà không cất sector đi) Mọi việc lại Boot sector cũ tiếp tục thi hành bình thường Tuy nhiên việc lựa chọn nơi cất giữ Boot sector điều khó khăn nơi đĩa bị sửa đổi: FAT, Root Directory vùng Data Dựa vào cách giải việc cất giấu Boot sector cũ B-Virus phân thành hai loại SB-Virus DBVirus 1.2.2 Phân loại Boot Virus Việc cất giữ Boot sector B-Virus giải theo hai hướng: Hướng thứ virus cất Boot sector cũ vào vị trí xác định đĩa chấp nhận rủi ro bị sector ghi đè, dù chỗ cất dấu có khả bị ghi đè thấp Hướng giải đơn giản chương trình thường khơng lớn Chỉ dùng sector thay Boot sector cũ loại gọi SB-Virus (Single Boot Virus) Hướng thứ hai virus cất Boot sector vào vị trí an tồn đĩa tránh mát xảy Vì kích thước vùng an tồn định bất kỳ, nên virus thường chiếm nhiều sector chia làm hai phần: phần Boot sector phần vùng an tồn Vì đặc điểm vậy, loại virus gọi DB-Virus (Double Boot sector) 16 1/ SB-Virus Do tính chấp nhận mát liệu nên chương trình ngắn gọn chiếm sector Thông thường SB-Virus chọn nơi mà khả ghi đè lên để cất Boot sector cũ Đối với đĩa mềm, nơi thường chọn là: - Những sector cuối Root Directory người dùng khai thác hết số entry thư mục gốc - Những sector cuối đĩa phân phối liên cung cho tập tin đó, DOS bắt đầu tìm liên cung trống từ đầu vùng liệu vào entry FAT Đối với đĩa cứng đơn giản hầu hết đĩa track chứa Master Boot record sector, lại sector khác track bỏ trống không dùng đến Do đó, SB-Virus hầu hết DB-Virus chọn sector trống track làm nơi ẩn náu 2/ DB-Virus - Đối với đa số virus kích thước 512 byte (thơng thường kích thước sector 512 bytes) rộng rãi Do họ giải cách thay Boot sector cũ Boot sector giả Boot sector giả làm nhiệm vụ tải tiếp phần mã virus lại đĩa vào nhớ trao quyền điều khiển Sau cài đặt xong phần tải Boot sector thật vào nhớ Phần mã virus cịn lại nằm nơi : - Đối với đĩa mềm: qua mặt DOS cách dùng liên cung trống Những entry tương ứng với liên cung FAT bị đánh dấu hỏng DOS không sử dụng đến Phương pháp thứ hai ưu điểm vượt khỏi tầm kiểm soát DOS cách tạo thêm track track cuối mà DOS quản lý (điều áp dùng với đĩa mềm) Tuy nhiên phương pháp có nhược điểm có số loại ổ đĩa mềm khơng có khả quản lý, track thêm gây lỗi virus tiến hành lây lan Do phương pháp thứ virus sử dụng nhiều 17 - Đối với đĩa cứng: mã virus cất giữ sector sau Master Boot record sector cuối Partition sau giảm kích thước Partition giải tương tự đĩa mềm (sử dụng liên cung trống đánh dấu liên cung bảng FAT hỏng DOS khơng sử dụng nữa) Nói chung cấu trúc chương trình SB-Virus hay DB-Virus 1.2.3 Cấu trúc chƣơng trình B-Virus Do đặc điểm trao quyền điều khiển lần khởi động máy, virus phải tìm cách để tồn kích hoạt lại cần thiết, nghĩa giống chương trình “pop up” TSR (Terminate and Stay Resident – Kết thúc thường trú) Do vậy, chương trình virus chia làm hai phần: phần khởi tạo phần thân Phần khởi tạo Đầu tiên virus tiến hành thường trú cách tự chép vào vùng nhớ cao Sau để đảm bảo tính “pop up” ln chiếm ngắt 13h Ngồi ra, để phục vụ cho công tác phá hoại, gây nhiễu…virus cịn chiếm ngắt 8, 9….Sau khởi tạo xong, Boot sector cũ trả lại vị trí trao quyền điều khiển 18 Phần thân Là phần quan trọng virus, chứa đoạn mã mà phần lớn thay cho ngắt mà chiếm Có thể chia phần thành bốn phần + Phần lây lan: phần thân virus, thay cho ngắt 13h, có tác dụng lây lan cách tự chép vào đĩa chưa bị nhiễm + Phần gây nhiễu ngụy trang: chất virus khảo sát cách tường tận việc phát diệt virus khơng cịn vấn đề phức tạp Việc gây nhiễu tạo nhiều khó khăn cho người chống virus việc tìm, diệt virus phục hồi liệu Việc ngụy trang làm cho virus bề ngồi bình thường để người diệt virus sử dụng máy tính không phát chúng + Phần phá hoại: không thiết phải có Tuy nhiên đa số virus có phần này, hiền gây trục chặc nhỏ, trêu chọc người dùng…cịn ác phá hủy liệu máy tính Virus phá hoại cách ngẫu nhiên định thời.Đối với loại virus định thời, virus kiểm tra giá trị (có thể virus xác định ngày, giờ, tháng, năm, số lần lây, số máy chạy…) Khi giá trị vượt qua ngưỡng cho phép tiến hành phá hoại + Phần liệu: để cất giữ thông tin trung gian, biến nội dùng riêng cho virus Boot sector cũ 19