Bài viết phòng chống virus máy tính ở cấp độ hệ điều hành đề nghị một giải pháp hoàn toàn khác: Chủ động phòng ngừa virus ở cấp thấp - cấp hệ điều hành, chứ không ngồi chờ virus lây lan rồi mới dùng phần mềm để diệt.
Tuyển tập Hội nghị Khoa học thường niên năm 2020 ISBN: 978-604-82-3869-8 PHỊNG CHỐNG VIRUS MÁY TÍNH Ở CẤP ĐỘ HỆ ĐIỀU HÀNH Phạm Thanh Bình Khoa Cơng nghệ thơng tin - Đại học Thuỷ lợi, email: binhpt@tlu.edu.vn thay đổi so với gốc Đây đặc điểm giúp nhận dạng file bị nhiễm virus Khi nằm nhớ, virus thường tìm cách truy cập vào địa vùng nhớ quyền hạn phép Một số virus cịn tìm cách tự biến đổi mã lệnh nhị phân (virus đa hình) nhằm qua mặt phần mềm diệt virus Đây đặc điểm giúp nhận diện virus thi hành nhớ Để lây sang file khác, virus buộc phải gọi tới hàm truy cập file hệ điều hành Đây đặc điểm giúp ta phát giám sát hành động virus cấp hệ điều hành GIỚI THIỆU CHUNG Cuộc chiến chống virus máy tính (VRMT) ngày trở nên dai dẳng Cứ có virus đời, phần mềm diệt virus lại cố gắng tìm cách diệt cập nhật virus vào sở liệu Những người viết virus lại tìm cách sửa đổi virus để qua mặt phần mềm diệt, virus lại xuất hiện… Q trình lặp lặp lại chưa biết lúc kết thúc [1] Liệu có giải pháp giúp ngăn chặn virus hiệu so với việc sử dụng chương trình diệt virus khơng? Trong khn khổ viết chúng tơi xin đề nghị giải pháp hồn tồn khác: Chủ động phòng ngừa virus cấp thấp - cấp hệ điều hành, không ngồi chờ virus lây lan dùng phần mềm để diệt 3.2 Đề xuất giải pháp Virus muốn lây lan hay phá hoại mã lệnh phải kích hoạt Do nguyên tắc phải ngăn chặn virus từ trước kích hoạt, kiểm sốt hành động nó kích hoạt Điều thực cấp hệ điều hành Dưới giải pháp tương ứng với mức độ bảo vệ: a) Giám sát nguồn gốc phần mềm Hầu hết chương trình máy tính dành chỗ để chứa thông tin tác giả, quyền, số hiệu phiên Nếu ta bổ sung thêm vào chút thơng tin nhận dạng phần mềm hiệu đem lại thú vị Giả sử ta gắn vào file chương trình mã hash nó, file bị nhiễm virus bị thay đổi, hệ điều hành dễ dàng phát điều so sánh chương trình với mã hash đính kèm: Proc||Hash(Proc) Do kích thước mã hash nhỏ nên việc đính kèm khơng ảnh hưởng lớn tới kích PHƯƠNG PHÁP NGHIÊN CỨU Để tìm kiếm giải pháp tồn diện cho việc phịng chống VRMT, trước tiên chúng tơi tiến hành nghiên cứu kỹ thuật virus, kỹ thuật lây lan, kỹ thuật ngụy trang, kỹ thuật phá hoại… từ đúc rút đặc điểm chung VRMT Biết đặc điểm virus, ta tìm nguyên tắc chung để nhận dạng phát virus chúng chưa kịp kích hoạt lây lan Bước xây dựng quy trình phòng chống virus cấp thấp với nhiều mức bảo vệ khác KẾT QUẢ NGHIÊN CỨU 3.1 Một số đặc điểm virus máy tính [2] Virus thường gắn thân vào file thi hành khác lây lan, khiến cho file bị 84 Tuyển tập Hội nghị Khoa học thường niên năm 2020 ISBN: 978-604-82-3869-8 thước chương trình Tuy nhiên làm đơn giản virus thơng minh tự làm giả mã hash sau lây vào file Giải pháp chặt chẽ tiến hành mã hố mã hash chương trình khố riêng tác giả chương trình (PRA), virus khơng biết PRA nên khơng thể làm giả mã hash đính kèm: Proc||E(PRA,Hash(Proc))||E(PRCA,PUA) Để hệ điều hành giải mã mã hash kiểm tra tính hợp lệ chương trình, ta cần đính kèm theo khố cơng khai tác giả chương trình (PUA) Đề phịng trường hợp virus làm giả cặp khoá tác giả, PUA cần xác minh tổ chức đáng tin cậy (CA - Certificate Authority), dạng chứng số: E(PRCA,PUA), PRCA khố riêng tổ chức CA [3] Như lập trình viên hay nhà sản xuất phần mềm cần phải gắn vào sản phẩm chứng số mình, để đảm bảo nguồn gốc phần mềm, chịu trách nhiệm phần mềm làm Khi thi hành chương trình máy tính, việc mà hệ điều hành cần làm kiểm tra nguồn gốc chương trình, so sánh chương trình với mã hash đính kèm Nếu chương trình có nguồn gốc không hợp lệ (chứng số không hợp lệ), mã hash chương trình khơng khớp chương trình bị từ chối thi hành b) Kiểm sốt chương trình nhớ Nếu vượt qua mức bảo vệ thứ nói chương trình hệ điều hành cho phép thi hành Như khơng có nghĩa chương trình hồn tồn vơ hại Rất người viết virus dùng thủ thuật (như tạo hồ sơ giả) để vượt qua vịng kiểm duyệt CA, có chứng số hợp lệ, nhờ chương trình chứa virus qua khâu kiểm tra nguồn gốc Lúc cần đến mức bảo vệ thứ hai Ở lần chạy đầu tiên, chương trình thi hành chế độ kiểm soát đặc biệt: + Mã lệnh liệu chương trình nạp vào vùng nhớ riêng biệt + Các lệnh tham chiếu tới liệu phép tham chiếu tới địa nhớ vùng liệu cấp + Các lệnh tham chiếu tới mã lệnh (như lệnh nhảy lệnh Call) phép tham chiếu tới vùng nhớ chứa mã lệnh cấp + Mọi lời gọi tới hàm hệ thống hệ điều hành giám sát Bất hành động vi phạm quy tắc nói bị ngăn chặn thi hành Nếu chương trình có chứa virus, virus muốn tìm cách chép thân ngồi vùng nhớ cấp, hành động bị ngăn chặn Một số virus đa hình cần thay đổi mã lệnh thường xuyên, tức phải truy cập vào vùng nhớ chứa mã lệnh để tiến hành đọc/ ghi (giống đọc/ ghi liệu), hành động thực Nếu virus không lây lan nhớ, tìm cách lây vào file thi hành ổ đĩa, chép file chứa thành nhiều ổ đĩa khác Muốn cần gọi tới hàm hệ thống để truy cập file hay đĩa Do hàm hệ thống giám sát, hành động đáng ngờ mở file thi hành để ghi, ghi đè lên file thi hành, hay tự động chép thân… bị phát từ chối Thường file hành bị thay đổi, trừ cập nhật lên phiên hay cài đặt lại Nếu khơng phải lý gần chắn virus Nhưng chương trình vơ hại thực muốn cập nhật lên phiên mới, liệu hành động có bị hiểu nhầm nguy hiểm bị hệ điều hành từ chối không? Tất nhiên phận giám sát hàm hệ thống đủ thông minh để phân biệt điều Đích virus lây lan sang file khác lây vào Giả sử cách virus lây vào file thi hành khác, hành động trở nên vơ nghĩa file nhiễm thi hành được, virus cập nhật mã hash cho file Như hành động nhằm lây lan hay ngụy trang virus bị ngăn chặn, chương trình có lệnh đáng ngờ bị từ chối thi hành Tuy nhiên việc kiểm soát tới lệnh tham chiếu làm chậm đáng kể tốc độ thi hành chương 85 Tuyển tập Hội nghị Khoa học thường niên năm 2020 ISBN: 978-604-82-3869-8 trình, nên thực lần chạy tính từ file chương trình cài đặt vào máy tính Nhưng virus đủ khơn ngoan để khơng có hành động đáng ngờ lần chạy đầu tiên, tay hành động vào thời điểm bất ngờ khác? Lúc cần tới mức bảo vệ thứ ba c) Hệ điều hành có chế phân quyền chặt chẽ Với hai mức bảo mật nói trên, chương trình chứa virus vượt qua khơng thể lây lan hay biến hình được, tức khơng thực virus Nhưng nằm im chờ thời trojan horse hay logic bomb, đến thời điểm định bất ngờ phá huỷ file liệu đĩa! Dự đốn hành động phá hoại virus khơng dễ dàng, việc truy cập đọc/ghi vào file liệu vốn hành động hợp pháp không bị nghi ngờ Để hạn chế tối đa hậu phá hoại virus, hệ điều hành cần thiết kế với chế phân quyền chặt chẽ Mỗi người dùng hay nhóm người dùng cấp quyền hạn định khu vực liệu định Khi virus bất ngờ tiến hành phá hoại file liệu hậu nằm phạm vi hạn chế người dùng cụ thể, không ảnh hưởng chung tới toàn hệ thống Cùng với hành động phá hoại, virus để lộ thân Do khơng cịn khả lây lan hay nguỵ trang, việc tiêu diệt virus trở nên dễ dàng Việc thiết kế lại hệ điều hành ảnh hưởng tới hệ thống tồn tại, tới phần mềm có, tới thói quen người dùng… Tất vấn đề nói địi hỏi phải có q trình chuyển đổi, tốn nhiều thời gian khơng dễ thực KẾT LUẬN Việc thiết kế xây dựng hệ điều hành an toàn giúp ngăn chặn lây lan phát triển virus máy tính từ gốc Nhưng khó khăn chủ yếu lại nằm vấn đề người Liệu người dùng có chấp nhận thay đổi thói quen để có an tồn khơng? Ngồi vấn đề thói quen cần kể đến vấn đề tài Về mặt kỹ thuật, việc xây dựng hệ điều hành hoạt động theo ngun tắc nêu khơng phải q khó, lại khác biệt với đa số hệ điều hành tồn tại, tức phải chỉnh sửa lại hệ thống phần mềm ứng dụng kèm theo Điều đồng nghĩa với việc thêm nhiều tiền để có phần mềm Tuy nhiên vấn đề có tiền lệ Khi MicroSoft chuyển đổi hệ điều hành Windows từ tảng cũ sang tảng NT (New Technology), ban đầu họ gặp nhiều khó khăn, người dùng chấp nhận Hy vọng tương lai xuất hệ điều hành lấy thiết kế an toàn làm chủ đạo Các nghiên cứu liên quan Các cơng trình nghiên cứu Ludwig [4] hay Nachenberg [1] tổng hợp đầy đủ virus chiến chống virus máy tính 3.3 Những khó khăn hạn chế Mục tiêu giải pháp ngăn chặn virus, tức mã lệnh có khả lây lan Do mã độc không tự lây lan trojan horse hay logic bomb chưa có giải pháp triệt để (Khi nguồn gốc phần mềm giám sát chặt chẽ, mã độc loại hạn chế, người dùng cảnh giác, khơng tuỳ tiện chạy chương trình lạ khơng bị nhiễm) Việc gắn mã hash chứng số tác giả vào chương trình địi hỏi cần có thay đổi tồn diện thói quen lập trình viên cơng tác phân phối phần mềm TÀI LIỆU THAM KHẢO [1] Carey Nachenberg, 1997, Computer virusantivirus coevolution, ACM [2] Andrew S Tanenbaum, 2001, Modern Operating Systems, Prentice Hall [3] William Stallings, 2006, Cryptography and Network Security, Prentice Hall [4] Mark Ludwig, 2009, The Giant Black Book Of Computer Viruses, CreatSpace 86 Tuyển tập Hội nghị Khoa học thường niên năm 2020 ISBN: 978-604-82-3869-8 87 ... biệt điều Đích virus lây lan sang file khác lây vào Giả sử cách virus lây vào file thi hành khác, hành động trở nên vơ nghĩa file nhiễm thi hành được, virus cập nhật mã hash cho file Như hành động... liệu đĩa! Dự đốn hành động phá hoại virus khơng dễ dàng, việc truy cập đọc/ghi vào file liệu vốn hành động hợp pháp không bị nghi ngờ Để hạn chế tối đa hậu phá hoại virus, hệ điều hành cần thiết... việc xây dựng hệ điều hành hoạt động theo ngun tắc nêu khơng phải q khó, lại khác biệt với đa số hệ điều hành tồn tại, tức phải chỉnh sửa lại hệ thống phần mềm ứng dụng kèm theo Điều đồng nghĩa