Đang tải... (xem toàn văn)
Là thuỷ tổ của virus máy tính, boot virus lây vào các mẫu tin khởi động (MTKĐ, boot record) trên hệ thống đĩa.
Khảo sát virus máy tính 1. Các loại virus máy tính 1.1. Boot virus Là thuỷ tổ của virus máy tính, boot virus lây vào các mẫu tin khởi động (MTKĐ, boot record) trên hệ thống đĩa. Đối với đĩa mềm, MTKĐ nằm trên sector đầu tiên thuộc track 0, side 0 của đĩa (boot sector). Khi khởi động máy bằng đĩa mềm, sau quá trình tự kiểm tra (POST - Power On Self Test), thường trình khởi động máy trong ROM-BIOS sẽ đọc và nạp 512 byte trên boot sector vào bộ nhớ rồi trao quyền, không cần biết đoạn mã này sẽ thực hiện những công việc gì. Nguyên t ắc của boot virus là thay thế MTKĐ bằng đoạn mã của nó để giành quyền khởi động máy. Khi được trao quyền, boot virus sẽ thường trú, khống chế các tác vụ đọc/ghi đĩa rồi nạp tiếp phần khởi động gốc (Hình P1.1). Quá trình lây nhiễm của boot virus trên đĩa mềm được minh họa như sau: Đĩa mềm sạch : POST→ MTKĐ → HĐH Đĩa mềm nhiễm : POST→ Boot virus → MTKĐ → HĐH Đối với đĩa cứng, có 2 MTKĐ: master boot nằm ở sector đầu tiên thuộc track 0, side 0 và boot sector nằm ở sector đầu tiên của track 0, side 1. Trên đĩa cứng, boot virus có thể lây vào master boot hoặc boot sector. Quá trình minh họa như sau: Đĩa cứng sạch : POST→ Master boot→ Boot sector → HĐH Đĩa cứng nhiễm : POST → Boot virus→Master boot→ Boot sector→ HĐH, hoặc POST → Master boot → Boot virus → Boot sector → HĐH Phụ lục 1 - 109 - Do được kích hoạt trước HĐH nên boot virus có thể lây nhiều loại HĐH. Tuy nhiên chúng cũng gặp nhiều trở ngại như: - Cơ hội kích hoạt: người dùng ít khi khởi động máy từ đĩa mềm. - Cơ hội lây lan: phần lớn các chip ROM được trang bị chức năng phát hiện tác vụ ghi vào boot sector hoặc cấm khởi động từ đĩa mềm. - Cơ hội tồn tại: do dung lượng nhỏ nên đĩa mềm ngày càng ít được sử dụng. Hình P1.2a là MTKĐ chuẩn của Windows. Hình P1.2b là MTKĐ nhiễm virus. EB 3C 90 2B 4A 48 54 56 49 48 43 00 02 01 01 00 02 E0 00 40 0B F0 09 00 12 00 02 00 00 00 00 00 00 00 00 00 00 00 29 E3 1E 5C 3F 4E 4F 20 4E 41 4D 45 20 20 20 20 46 41 54 31 32 20 20 20 33 C9 8E D1 BC FC 7B 16 07 BD 78 00 C5 76 00 1E 56 16 55 BF 22 05 89 7E 00 89 4E 02 B1 0B FC F3 A4 06 1F BD 00 7C C6 45 FE 0F 38 4E 24 7D 20 8B C1 99 E8 7E 01 83 EB 3A 66 A1 1C 7C 66 3B 07 8A 57 FC 75 06 80 CA 02 88 56 02 80 C3 10 73 ED 33 C9 FE 06 D8 7D 8A 46 10 98 F7 66 16 03 46 1C 13 56 1E 03 46 0E 13 D1 8B 76 11 60 89 46 FC 89 56 FE B8 20 00 F7 E6 8B 5E 0B 03 C3 48 F7 F3 01 46 FC 11 4E FE 61 BF 00 07 E8 28 01 72 3E 38 2D 74 17 60 B1 0B BE D8 7D F3 A6 61 74 3D 4E 74 09 83 C7 20 3B FB 72 E7 EB DD FE 0E D8 7D 7B A7 BE 7F 7D AC 98 03 F0 AC 98 40 74 0C 48 74 13 B4 0E BB 07 00 CD 10 EB EF BE 82 7D EB E6 BE 80 7D EB E1 CD 16 5E 1F 66 8F 04 CD 19 BE 81 7D 8B 7D 1A 8D 45 FE 8A 4E 0D F7 E1 03 46 FC 13 56 FE B1 04 E8 C2 00 72 D7 EA 00 02 70 00 52 50 06 53 6A 01 6A 10 91 8B 46 18 A2 26 05 96 92 33 D2 F7 F6 91 F7 F6 42 87 CA F7 76 1A 8A F2 8A E8 C0 CC 02 0A CC B8 01 02 80 7E 02 0E 75 04 B4 42 8B F4 8A 56 24 CD 13 61 61 72 0A 40 75 01 42 03 5E 0B 49 75 77 C3 03 18 01 27 0D 0A 49 6E 76 61 6C 69 64 20 73 79 73 74 65 6D 20 64 69 73 6B FF 0D 0A 44 69 73 6B 20 49 2F 4F 20 65 72 72 6F 72 FF 0D 0A 52 65 70 6C 61 63 65 20 74 68 65 20 64 69 73 6B 2C 20 61 6E 64 20 74 68 65 6E 20 70 72 65 73 73 20 61 6E 79 20 6B 65 79 0D 0A 00 00 49 4F 20 20 20 20 20 20 53 59 53 4D 53 44 4F 53 20 20 20 53 59 53 7F 01 00 41 BB 00 07 60 66 6A 00 E9 3B FF 00 00 55 AA Hình P1.2a: M ẫu tin khởi động chuẩn của hệ điều hành Windows Kiểm tra thiết bị - Màn hình - Bộ nhớ - Bàn phím - Các ổ đĩa . Khởi động hệ thống - Nạp MTKĐ vào bộ nhớ máy tính - Trao quyền cho MTKĐ Mẫu tin khởi động - Tìm hệ địều hành - Nạp hệ điều hành - Trao quyền cho hệ điều hành Boot virus - Thường trú - Khống chế đọc/ghi - Nạp MTKĐ gốc - Trao quyền cho MTKĐ gốc Mẫu tin khởi động bình thường Mẫu tin khởi động nhiễm boot virus Hình P1.1: Nguyên tắc hoạt động của boot virus - 110 - EB 3C 90 2C 27 6A 79 76 49 48 43 00 02 01 01 00 02 E0 00 40 0B F0 09 00 12 00 02 00 00 00 00 00 00 00 00 00 00 00 29 00 ED 07 10 4E 4F 20 4E 41 4D 45 20 20 20 20 46 41 54 31 32 20 20 20 33 C9 8E D1 BC F0 7B 8E D9 B8 00 20 8E C0 FC BD 00 7C 38 4E 24 7D 24 8B C1 99 E8 3C 01 72 1C 83 EB 3A 66 A1 1C 7C 26 66 3B 07 26 8A 57 FC 75 06 80 CA 02 88 56 02 80 C3 10 73 EB 33 C9 8A 46 10 98 F7 66 16 03 46 1C 13 56 1E 03 46 0E 13 D1 8B 76 11 60 89 46 FC 89 56 FE B8 20 00 F7 E6 8B 5E 0B 03 C3 48 F7 F3 01 46 FC 11 4E FE 61 BF 00 00 E8 E6 00 72 39 26 38 2D 74 17 60 B1 0B BE A1 7D F3 A6 61 74 32 4E 74 09 83 C7 20 3B FB 72 E6 EB DC A0 FB 7D B4 7D 8B F0 AC 98 40 74 0C 48 74 13 B4 0E BB 07 00 CD 10 EB EF A0 FD 7D EB E6 A0 FC 7D EB E1 CD 16 CD 19 26 8B 55 1A 52 B0 01 BB 00 00 E8 3B 00 72 E8 5B 8A 56 24 BE 0B 7C 8B FC C7 46 F0 3D 7D C7 46 F4 29 7D 8C D9 89 4E F2 89 4E F6 C6 06 96 7D CB EA 03 00 00 20 0F B6 C8 66 8B 46 F8 66 03 46 1C 66 8B D0 66 C1 EA 10 EB 5E 0F B6 C8 4A 4A 8A 46 0D 32 E4 F7 E2 03 46 FC 13 56 FE EB 4A 52 50 06 53 6A 01 6A 10 91 8B 46 18 96 92 33 D2 F7 F6 91 F7 F6 42 87 CA F7 76 1A 8A F2 8A E8 C0 CC 02 0A CC B8 01 02 80 7E 02 0E 75 04 B4 42 8B F4 8A 56 24 CD 13 61 61 72 0B 40 75 01 42 03 5E 0B 49 75 06 F8 C3 41 BB 00 00 60 66 6A 00 EB B0 4E 54 4C 44 52 20 20 20 20 20 20 0D 0A 52 65 6D 6F 76 65 20 64 69 73 6B 73 20 6F 72 20 6F 74 68 65 72 20 6D 65 64 69 61 2E FF 0D 0A 44 69 73 6B 20 65 72 72 6F 72 FF 0D 0A 50 72 65 73 73 20 61 6E 79 20 6B 65 79 20 74 6F 20 72 65 73 74 61 72 74 0D 0A 00 00 00 00 00 00 00 AC CB D8 55 AA Hình P1.2b: Mẫu tin khởi động hệ điều hành Windows bị nhiễm boot virus 1.2. File virus Khác với boot virus, file virus lây vào tập tin chương trình của hệ điều hành. Tùy theo hệ điều hành và cơ chế hoạt động của vật chủ, file virus có cách lây nhiễm khác nhau (Hình P1.3a và P1.3b). Cơ chế hoạt động của file virus như sau: - Xác định điểm vào lệnh (IP-Instruction Pointer) gốc của vật chủ - Ghép mã lệnh virus vào vật chủ. Tùy theo định dạng/tình trạng của vật chủ, vị trí ghép có thể ở đầu, giữa hoặc ở cuối vật chủ. - Thay điểm vào lệnh của vật chủ trỏ đến địa chỉ mã lệnh của virus Khi vật chủ thi hành, file virus sẽ thực hiện các thao tác: - Kiểm tra sự có mặt của virus trong vùng nhớ. Nếu chưa thường trú, chúng tiến hành sao chép vào vùng nhớ đã được hệ điều hành cấp phát. - Tìm kiếm các vật chủ khác để lây vào - Thực hiện các hoạt động đã được lập trình (phá hoại, do thám, định thời…) - Phục hồi điểm vào lệnh gốc và trao quyền cho vật chủ. - 111 - Nhược điểm của file virus là dễ bị phát hiện do kích thước file thay đổi và chỉ lây mạnh trên các HĐH DOS và Windows 9x/Me. Trên Windows NT/2000/XP, chúng thường vấp phải hàng rào bảo vệ hạt nhân hệ thống Kernel32. Vì vậy file virus dần được hacker thay bằng các hình thức khác như worm, trojan horse… 1.3. Macro virus Để tự động hóa thao tác sử dụng của người dùng, hãng Microsoft đã tích hợp tập lệnh VBA (Visual Basic Application) vào bộ công cụ Microsoft Office. Theo CSI (Cisco Safe Implementation), macro virus được định nghĩa như sau: “Macro virus là loại virus máy tính được viết bằng ngôn ngữ VBA, thực thi trong môi trường của Microsoft Word hoặc Excel. Macro là tập lệnh giúp tự động hóa tác vụ của người dùng” (http://www.preplogic.com) . Các macro virus lợi dụng các template trong môi trường tương tác VBA làm nơi lưu trú. Khi người dùng mở tư liệu mới, các thủ tục của virus trong template sẽ kết nhập vào tư liệu hiện thời dưới dạng các thủ tục VBA đã biên dịch (Hình P1.4). Tùy theo phiên bản Microsoft Office, tập mã thủ tục VBA sẽ được chuyển dạng tương thích đi lên, làm biến đổi mã lệnh của macro virus. 1.4. Worm, sâu trình Theo Vesselin Bonchev, worm (tạm dịch sâu trình) là: “Các chương trình có khả năng tạo bản sao chính nó (thường là qua mạng máy tính) như một chương trình (hoặc tập các chương trình) độc lập, không phụ thuộc vào sự tồn tại của ứng dụng chủ”. Hình P1.3: Kỹ thuật lây nhiễm của file virus a. Tập tin chương trình trước khi nhiễm file virus IP Header Data Code b . Tập tin chương trình sau khi nhiễm file virus Virus IP Header Data Code IP - 112 - Khai thác các dịch vụ vận chuyển dữ liệu như HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), IRC (Internet Relay Chat), DNS (Domain Name Service), Drive Sharing, Email, Packet Routing…, sâu trình len lõi vào các hệ thống đích để tìm cơ hội do thám, đánh cắp, phá hoại dữ liệu. Khác với virus, sâu trình không đính vào các ứng dụng khác mà tồn tại trên hệ thống như một ứng dụng độc lập (hình P1.5). Sâu trình khó phát hiện vì chúng có định dạng giống các ứng dụng hợp thức. Tuy nhiên sâu trình cũ ng có nhược điểm. Do đứng độc lập nên khả năng tự kích hoạt bị hạn chế và dễ bị tiêu diệt. Kịch bản chung của sâu trình là đăng ký kích hoạt khi hệ điều hành hoàn tất quá trình khởi động. 1.5. Trojan horse Thuật ngữ “trojan horse” (mượn từ điển tích “ngựa gỗ thành Troie” trong thần thoại Hy Lạp, gọi tắt là trojan) là tên gọi các loại mã độc do người lập trình cài sẵn vào ứng dụng. Ban đầu, trojan là công cụ của người lập trình. Khi phát hiện các trường hợp không hợp thức (như sao chép lậu, bẻ khóa…), các đoạn mã này sẽ tự Microsoft Word Virus macro Infected doc. Virus macro Infected doc. (1) (2) Infected doc. Virus macro (5) Microsoft Word Virus macro Benign doc. (4) Virus macro Template (3) Hình P1.4: Quy trình lây nhiễm của macro virus 1. Tập tin tư liệu chứa mã lệnh virus macro 2. Ứng dụng Office mở tư liệu nhiễm virus macro 3. Tập thủ tục VBA của virus kết nhập vào template 4. Virus macro trong template kết nhập vào các đối tượng mới 5. Hàng loạt tư liệu khác bị nhiễm virus macro - 113 - kích hoạt để trừng trị người dùng như xóa ứng dụng, làm treo máy… Về sau ý nghĩa của trojan càng mờ nhạt. Lợi dụng Internet, các hacker tung lên mạng các “tiện ích” (có cài sẵn trojan) để lừa người dùng download về sử dụng (ví dụ các phần mềm bẻ khóa, kích hoạt tài khoản xem phim trực tuyến…). Khi chạy loại “ứng dụng” này, các đoạn mã trojan sẽ thực thi các lệnh của hacker. CSI định nghĩa trojan horse là “loại chương trình được viết như tiện ích hữu hiệu, nhưng thực tế lại là công cụ tấn công”. (http://www.preplogic.com) Trojan không tự lây mà lan truyền nhờ thao tác download và sao chép của người dùng (hình P1.6). Giống sâu trình, trojan có định dạng ứng dụng nên việc phát hiện gặp nhiều trở ngại. Trong một họ (family), trojan khởi thủy được gọi là mầm độc (germs). Thông thường, mã của mầm độc dùng để lắp ghép cho con cháu. Network Application Worm Network Application Network Application Worm Network Application Physical Network Virtual Network Virtual Network Hình P1.5: Worm lan truyền trên hệ thống mạng Physical Computer Physical Computer Hình P1.6: Cơ chế lan truyền của trojan horse Internet download copy LAN - 114 - Đôi khi trojan còn chứa trong lòng nó một loại mã độc khác (như sâu trình chẳng hạn). Khi thực thi, loại trojan này (gọi là dropper) sẽ kết xuất mã độc thứ cấp ra hệ thống đích (tái sinh) mỗi khi một trong các bản sao của chúng bị tiêu diệt. Injector là một dạng cải tiến của dropper: thay vì kết xuất ra bộ nhớ ngoài, mã độc được cài vào bộ nhớ trong để tránh bị phát hiện. Kết hợp giữa trojan và sâu trình, dropper và injector có đặc tính lây lan nên gầ n với virus hơn. Trapdoor (hay backdoor) rất được giới hacker ưa chuộng. Khi lây vào hệ thống, backdoor có nhiệm vụ mở cổng (port, điểm truy cập ứng dụng), làm nội gián chờ đáp ứng thao tác quét cổng của hacker. Khi nhận được tín hiệu, backdoor khống chế hàng rào bảo vệ hệ thống, dọn đường đón các đợt thâm nhập từ bên ngoài. Gần đây xuất hiện loại trojan đặc bi ệt nguy hiểm gọi là rootkit. Ban đầu, rootkit là tên gọi các bộ công cụ (kit) giúp người quản trị nắm quyền điều khiển hệ thống ở mức cao nhất (root). Trong tay hacker, rootkit trở thành công cụ đắc lực để đánh cắp mật khẩu truy nhập, thu thập thông tin trên máy nạn nhân hoặc che đậy các hoạt động thâm nhập bất hợp pháp. Hacktool là một dạng rootkit sơ cấp. Cao cấp hơ n có các loại rootkit thám báo như keylogger (theo dõi hoạt động bàn phím), sniffer (theo dõi gói tin qua mạng), filehooker (theo dõi truy nhập tập tin)… 1.6. Malware Malware là tên gọi chung các loại phần mềm độc hại như: • Adware: loại phần mềm tự động bật (popup) các cửa sổ quảng cáo, thay đổi các thiết lập hệ thống…, gây phiền phức cho người sử dụng. • Spyware: loại phần mềm gián điệp, săn lùng thông tin thương mại, đánh cắp thông tin cá nhân như địa chỉ e-mail, độ tuổi, giới tính, thói quen mua sắm… • Pornware: loại phần mềm đồi trụy phát tán từ các trang web khiêu dâm, tự động bật lên các hình ảnh gợi dục, phim sex . Pornware rất nguy hiểm cho trẻ em và thanh thiếu niên, làm suy đồi đạo đức xã hội. • Riskware: phần mềm trôi nổi, không được kiểm định chất lượng. Riskware tiềm ẩn nhiều lỗi nghiêm trọng, làm suy giảm chất lượng phục vụ của hệ thống, có nguy cơ ảnh hưởng dữ liệu của người dùng. - 115 - Trong lĩnh vực anti-virus, nghiên cứu malware là bài toán sôi nổi và khá lý thú. Hình P1.7 mô tả nguồn gốc, quá trình phát triển của các loại virus máy tính và mã độc hiện nay. 2. Khảo sát virus máy tính Việc khảo sát virus máy tính gặp nhiều khó khăn bởi: - Các anti-virus chưa thống nhất về cách phân loại và đặt tên virus - Phần lớn các anti-virus không công bố danh sách đầy đủ các virus đã cập nhật mà chỉ cung cấp các công cụ tìm kiếm online một virus cụ thể. Bảng P1.1 thống kê danh sách 65.824 virus máy tính lây trên hệ điều hành DOS/Windows của hãng Kaspersky. Cột “Kiểu dữ liệu” có được nhờ quá trình phân tích mã các mẫu virus đại diện lớp. Cột “Tỷ lệ %” được đưa vào để tính mật độ các loại virus DOS/Windows đã xuất hiện trong 10 năm (từ 1995 đến 2004). Kế t quả phân tích thống kê cho thấy virus máy tính có thể được phân loại theo bốn nhóm chính (program, text, binary và macro), đặt cơ sở khoa học cho ý tưởng phân loại virus theo đặc trưng dữ liệu của đề tài (xem Chương 2). Computer virus Hình P1.7: Nguồn gốc mã độc và phân loại mã độc Boot virus - FD bootvirus - HD bootvirus File virus - 16 bit virus - 32 bit virus Worm - Intruder - Dropper - Injector… Macro virus - MS Word - MS Excel - MS PowerPoint Trojan horse - Germs - Dropper - Injector - Rootkit… Malware - Adware - Spyware - Pornware - Riskware… Boot record - Boot sector - Master boot OS/Program - Application - Resource - Library - Driver… Instruction set - 8088 - 80x86 - Pentium Harmful Code - 116 - Bảng P1.1: Thống kê các loại virus máy tính (1995-2004) stt Kiểu virus Số lượng Kiểu dữ liệu Tỷ lệ % 1 ANSI 4 Text 0.01 2 ASP 89 Text 0.14 3 Basic 7 Text 0.01 4 BAT 2059 Text 3.13 5 Boot-DB 913 Binary 1.39 6 Boot-DOS 198 Binary 0.30 7 Boot-SB 14 Binary 0.02 8 DOS 18412 Program 16-bit 27.97 9 DOS32 18 Program 32-bit 0.03 10 HTT 9 Text 0.01 11 HTML 295 Text 0.45 12 IRC 518 Program 32-bit 0.79 13 Java 140 Text 0.21 14 Java script 522 Text 0.79 15 MSAccess 30 VBA macro 0.05 16 MSExcel 348 VBA macro 0.53 17 MSOffice 96 VBA macro 0.15 18 MSPPoint 12 VBA macro 0.02 19 MSProject 4 VBA macro 0.01 20 MSPublisher 1 VBA macro 0.00 21 MSVision 3 VBA macro 0.00 22 MSWord 2987 VBA macro 4.54 23 Multi dropper 523 Program 32-bit 0.79 24 Perl 152 Text 0.23 25 PHP 63 Text 0.10 26 PIF 19 Binary 0.03 27 PSP 1 Text 0.00 28 RAR 1 Binary 0.00 29 Script 9 Text 0.01 30 VBS 1562 Text 2.37 31 WBS 4 VBA macro 0.01 32 Win16 484 Program 16-bit 0.74 33 Win32 35731 Program 32-bit 54.28 34 Win9x 537 Program 32-bit 0.82 35 WinHLP 9 Binary 0.01 36 WinINF 9 Binary 0.01 37 WinLNK 1 Binary 0.00 38 WinPIF 1 Binary 0.00 39 WinREG 36 Text 0.05 40 ZIP 3 Binary 0.00 Các định dạng dữ liệu nhiễm virus máy tính 1. Giới thiệu Nghiên cứu virus máy tính luôn gắn với việc phân tích các định dạng dữ liệu vật chủ. Mỗi loại virus chỉ lây vào một số định dạng dữ liệu nhất định. Phân tích các định dạng dữ liệu vật chủ là cơ sở để phân loại dữ liệu (quan tâm đến các điểm dữ liệu có nguy cơ nhiễm virus), giảm tải quá trình chẩn đoán (loại bớt các đối tượng chắ c chắn sạch khỏi không gian chẩn đoán) và gia tăng độ tin cậy của hệ thống (giảm nguy cơ bỏ sót đối tượng chẩn đoán). Các định dạng vật chủ chứa mã thi hành có thể nhiễm virus gồm: tập tin văn bản, tập tin chương trình, tập tin MS Office và mẫu tin khởi động (Bảng P2.1). Bảng P2.1: Các định dạng vật chủ chứa mã thi hành có thể nhiễm virus máy tính Stt Vật chủ Loại virus Các định dạng Kiểu Tập tin lô BAT Tập tin script VBS, JS Tập tin registry REG 1 Tập tin văn bản File virus Worm Trojan Tập tin siêu văn bản HTT, HTA Tập tin lệnh COM Tập tin thi hành EXE, SCR 2 Tập tin chương trình File virus Worm Trojan Tập tin thư viện DLL, CPL, SYS, VXD Tập tin tư liệu DOC, DOT Tập tin bảng tính XLS, XLT 3 Tập tin MS Office Macro virus Tập tin trình diễn PPT, POT Mẫu tin khởi động hệ điều hành đĩa mềm #N/A Mẫu tin khởi động hệ điều hành đĩa cứng #N/A 4 Mẫu tin khởi động Boot virus Mẫu tin khởi tạo phân khu đĩa cứng #N/A Phụ lục 2 [...]... 2.1.3 Thu thập mẫu virus nghi ngờ từ máy trạm Thông tin về virus lạ trên từng máy trạm gồm Tên virus, Địa chỉ, Kích thước và Thời gian Chọn máy trạm, nhấn nút “Thu thập”, các tập tin nghi nhiễm virus sẽ được máy trạm mã hóa và chuyển về thư mục Cách ly trên máy chủ (Hình P5.8) Máy trạm HOME1 báo cáo có virus Netsky.y.exe.W32 trong ổ đĩa D: Hình P5.8: Thu thập virus lạ từ máy trạm về máy chủ - 143 - 2.2... cáo kết quả quét virus ở máy trạm Sau khi nhận lệnh quét virus từ máy chủ, các máy trạm sẽ đồng loạt quét virus ở chế độ ngầm (background) Một balloon tooltip nhỏ thông báo trạng thái hoạt động sẽ xuất hiện ở khay hệ thống của các máy trạm (Hình P5.6) Lệnh “Xem báo cáo kết quả quét virus ở máy trạm” hiển thị báo cáo (Hình P5.7): Hình P5.6: Thông báo trạng thái quét virus máy trạm - Các máy sạch: chỉ hiển... Kiểm soát thiết bị nhớ: - Giám sát các tác vụ truy xuất thiết bị nhớ - Chẩn đoán virus: cảnh báo, giải phóng tiến trình, xử lý đối • Liên lạc máy chủ: - Nhận thông điệp từ máy chủ gửi về - Thực hiện yêu cầu của máy chủ (quét virus, đánh giá tình trạng, tổng hợp tình hình virus mới) - Gửi báo cáo, mẫu virus mới cho máy chủ - Cập nhật CSDL mới từ Máy chủ Phụ lục 5 Phân hệ máy chủ MAVSR 1 Giới thiệu hệ... quét bộ nhớ máy trạm Bộ đăng ký hệ thống: quét Windows Registry của máy trạm Danh sách tự kích hoạt: quét các tập tin tự chạy khi khởi động máy • Chọn máy trạm cần quét: - Chọn tên máy trạm trên cây - Chọn thư mục cấp 1 trên từng máy - 141 - • Nhấn vào nút “Quét virus để yêu cầu quét virus máy trạm hoạt động • Nhấn vào nút “Đóng”, trở về màn hình chính Hình P5.5: Giao diện quét virus các máy trạm 2.1.2... hệ máy chủ • Thu nhận tri thức chuyên gia • Luyện học dữ liệu, rút luật nhận dạng • Tổ chức, cập nhật CSDL và CSTT • Kiểm soát vào-ra máy chủ • Liên lạc, điều khiển máy khách • Điều phối CSDL, CSTT cho toàn hệ thống 1.3 Phân hệ máy khách • Xử lý dữ liệu, quét virus • Kiểm soát vào-ra máy khách • Liên lạc, thực hiện các yêu cầu từ máy chủ • Gửi mẫu nghi virus cho máy chủ • Cập nhật CSDL virus từ máy. .. phân hệ máy chủ stt Chức năng Chế độ Ghi chú 1 Luyện học CSDL virus, rút luật nhận dạng, tổ chức CSTT Không thường trực 2 Quét virus trên máy chủ Không thường trực Sử dụng gói máy trạm 3 Quản lý tiến trình Không thường trực Sử dụng gói máy trạm 4 Bảo vệ Truy nhập Thường trực Sử dụng gói máy trạm 5 Quản lý CSDL Cách ly Không thường trực Sử dụng gói máy trạm Liên lạc máy khách: 6 • Quét virus trên máy khách... Files\MAV Anti -virus\ MAVSR.EXE Giao diện MAVSR có dạng như hình P6.4 với 2 nhóm lệnh cơ bản: • Nhóm lệnh Tác nghiệp mạng - Quét virus các máy trạm - Xem báo cáo kết quả quét virus ở máy trạm - Thu thập mẫu virus nghi ngờ từ máy trạm • Nhóm lệnh Quản lý và điều phối - Quản lý cơ sở dữ liệu Cách ly bệnh mẫu - Luyện học cơ sở dữ liệu Nhận dạng virus - Cập nhật cơ sở dữ liệu Nhận dạng virus cho các máy trạm... mẫu lạ từ máy khách Thường trực • Cập nhật CSDL cho máy khách 7 Cấu hình hệ thống Không thường trực Dịch vụ chạy ngầm, không sử dụng giao diện - 135 - 3.1 Chế độ không thường trực • Luyện học CSDL virus: - Tải CSDL, bổ sung mẫu mới, phân cụm - Rút luật phân bố trị thuộc tính, tái cấu trúc CSTT • Quét virus: - Quét virus trên máy chủ: hệ thống file, tiến trình trên máy chủ - Quét virus trên máy khách:... Quét virus các máy trạm Lệnh này giúp người quản trị quét virus toàn hệ thống Các bước thực hiện: • Chọn Cấu hình quét: - Chỉ kiểm tra virus: không diệt, chỉ kiểm tra virus Loại trừ virus: diệt virus ngay khi phát hiện Nhắc nhở trước khi diệt: tham khảo ý kiến người dùng hay diệt tự động Cách ly bệnh mẫu: sao lưu trước khi diệt • Chọn Phạm vi quét: - Hệ thống tập tin: quét tập tin trên đĩa cứng máy. .. trực 5 Danh sách virus Không thường trực 6 Liên lạc máy chủ: - Quét virus theo yêu cầu máy chủ - Tổng hợp tình trạng database - Gửi mẫu nghi ngờ cho máy chủ - Cập nhật database từ máy chủ 7 Cấu hình hệ thống Ghi chú Thường trực Không thường trực Dịch vụ hệ thống, không sử dụng giao diện người dùng - 136 - 4.1 Chế độ không thường trực • Quét virus: - Quét hệ thống file, tiến trình trên máy khách - Các . Khảo sát virus máy tính 1. Các loại virus máy tính 1.1. Boot virus Là thuỷ tổ của virus máy tính, boot virus lây vào các mẫu. 2. Khảo sát virus máy tính Việc khảo sát virus máy tính gặp nhiều khó khăn bởi: - Các anti -virus chưa thống nhất về cách phân loại và đặt tên virus
