TỔNG CÔNG TY ĐIỆN LỰC MIỀN BẮC CÔNG TY ĐIỆN LỰC SƠN LA TÀI LIỆU ĐÀO TẠO PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH Biên soạn: Phòng CNTT Sơn La, tháng năm 2015 MỤC LỤC PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH Phần mềm độc hại (Malware) a Định nghĩa - Thực tế, virus thể loại phần mềm độc hại (Malware), chương trình hay đoạn mã thiết kế với khả tự nhân chép (có thể tự sửa đổi) vào khác chương trình máy tính khác, files liệu, boot sector ổ cứng Khi chép thành công, đối tượng gọi đối tượng bị lây nhiễm (to be "infected") - Trước đây, virus thường viết số người am hiểu lập trình muốn chứng tỏ khả mình, virus thường có hành động như: cho chương trình hoạt động sai, xóa liệu, làm hỏng ổ cứng, gây trò đùa khó chịu - Những virus viết thời gian gần không thực trò đùa hay phá hoại đối máy tính nạn nhân bị lây nhiễm nữa, mà chủ yếu hướng đến việc đánh cắp thông tin cá nhân nhạy cảm (email, số điện thoại, mã số thẻ tín dụng ), mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển, hành động khác, nhằm có lợi cho kẻ phát tán - Chiếm 99% số virus phát nhắm vào hệ thống sử dụng hệ điều hành họ Windows lý bản: Thứ nhất, Linux bảo mật Windows; thứ hai, Windows hệ điều hành chiếm thị phần lớn thông dụng end-user [2] - Ngày nay, Virus ngày biến thể tinh vi khó phát hơn, kết hợp với dạng malware khác, khiến cho trình tìm diệt chúng khó khăn nhiều b Đặc điểm Malware - Không thể tồn độc lập mà phải dựa vào ứng dụng - Tự nhân ứng dụng chủ kích hoạt - Có thời kỳ nằm chờ (giống ủ bệnh) Trong thời gian không gây hậu - Sau thời kỳ “nằm vùng” bắt đầu phát tác Tác hại Malware - Virus phần mềm người tạo ra, chúng phá hoại theo mà chủ nhân chúng nhắm tới Đôi nạn nhân thực mà virus nhắm vào, vô tình trở thành "trợ thủ" cho chúng công vào hệ thống khác - Một số tác hại virus : - Một số virus trò đùa liên tục đẩy ổ CD ngoài, hay hình số câu trêu chọc, nhiều gây nên khó chịu cho người dùng.Trong nhiều trường hợp,virus thực mối đe doạ tới an toàn thông tin máy tính.Dưới số tác hại thấy máy tính bị nhiễm virus: - Tiêu tốn tài nguyên hệ thống (CPU, nhớ, dung lượng đĩa cứng ,…) Các máy tính bị nhiễm virus thường có tượng chạy chậm,bị treo tự động tắt máy hay khởi động lại,đèn báo ổ cứng hay kết nối mạng nhấp nháy liên tục,…Trong nhiều trường hợp,virus gây tượng kết nối mạng - Phá huỷ liệu: Có nhiều loại virus xoá làm hỏng tệp chương trình hay liệu.Các tệo thươngd bị công nhiếu tệp liệu văn *.doc hay tệp bảng tính *.xls tệp chưong trình *.exe, &.com Một số virus hoạt đong vào thời điểm định virus “thứ sáu ngày 13”, có virus nguy hiểm hơn, bất ngờ xóa liệu khiến người dùng không kịp trở tay - Phá huỷ hệ thống: Một số virus cố tình phá huỷ hệ thống, làm giảm tuổi thọ ổ cứng, làm máy tính hoạt động không ổn định hay bị tê liệt - Nguy hiểm , chúng đánh cắp liệu: Ngày nhiều thông tin quan trọng đươc lưu máy tính loại sổ sách, chứng từ, thẻ tín dụng,…Nhiều loại virus viết với mục đích đánh cắp thông tin để trục lợi - Mã hoá liệu để tống tiền: Đây tượng xuất năm gần Khi virus xâm nhập vào máy nạn nhân,nó mã hoá liệu quan trọng người dùng yêu cầu họ phải trả tiền để khôi phục lại - Gây khó chịu khác: Thiết lập chế độ ẩn cho tệp tin thư mục, thay đổi cách thức hoạt động bình thường cuảc hệ điều hành phần mềm ứng dụng,các trình duyệt,phần mềm văn phòng ,… - Chúng lợi dụng máy tính nạn nhân để phát tán thư quảng cáo, thu thập địa email, hay biến thành “trợ thủ” để công vào hệ thống khác công vào hệ thống mạng bạn sử dụng., - Không thế, Một số virus có khả vô hiệu hoá can thiệp vào hệ điều hành làm tê liệt (một số) phần mềm diệt virus Sau hành động chúng tiến hành lây nhiễm tiếp tục phát tán Một số khác lây nhiễm vào phần mềm diệt virus (tuy khó khăn hơn) ngăn cản cập nhật phần mềm diệt virus - Các cách thức không khó chúng nắm rõ chế hoạt động phần mềm diệt virus lây nhiễm phát tác trước hệ thống khởi động phần mềm Chúng sửa đổi file host hệ điều hành Windows để người sử dụng truy cập vào website phần mềm diệt virus liên lạc với server để cập nhật - Ngoài ra, hình thức chế hoạt động virus tạo biến thể chúng Biến thể virus thay đổi mã nguồn nhằm mục đích tránh phát phần mềm diệt virus làm thay đổi hành động - Một số loại virus tự tạo biến thể khác gây khó khăn cho trình phát tiêu diệt chúng Một số biến thể khác xuất sau virus bị nhận dạng phần mềm diệt virus, tác giả tin tặc khác (biết mã chúng) viết lại, nâng cấp cải tiến chúng để tiếp tục phát Phân loại phần mềm độc hại (Malware) Tổng quan, ta chia dạng độc hại gây hại cho máy tính theo 7+1 loại sau: 3.1 Virus: - Virus loại mã độc hại (Malicious code) có khả tự nhân lây nhiễm vào file, chương trình máy tính Theo cách định nghĩa virus máy tính phải luôn bám vào vật chủ (đó file liệu file ứng dụng) để lây lan Các chương trình diệt virus dựa vào đặc tính để thực thi việc phòng chống diệt virus, để quét file thiết bị lưu, quét file trước lưu xuống ổ cứng, Điều giải thích phần mềm diệt virus PC đưa thông báo "phát virus không diệt được" thấy có dấu hiệu hoạt động virus PC, "vật mang virus" lại nằm máy khác nên thực thi việc xoá đoạn mã độc hại - Mức độ độc hại Virus dao động từ mức tương đối lành tính (ví dụ gây khó chịu cho người dùng, để truyền tải thông điệp đó) mức độc hại (ví dụ: Đánh cắp thông tin chuyển thông tin victim cho người khởi tạo virus, phá hủy hệ thống) - Nhiều virus có đoạn code kích hoạt (trigger), cần thao tác người dùng tác động vào để virus thực thi (ví dụ mở file, chạy chương trình, mở tập đính kèm email ) - Virus có chủng loại chính: Compiled Virus, thực thi hệ điều hành (OS - Operating System); Interpreted Virus, thực thi chương trình chạy OS - Phần sau nói chủng loại virus này, kỹ thuật khác mà virus sử dụng để 'qua mặt', tránh bị phát hiện: 3.1.1 Compiled Virus: - Là virus mà mã thực thi dịch hoàn chỉnh trình biên dịch để thực thi trực tiếp bởi/từ OS - Compiled virus thường chia thành thể loại sau: 3.1.1.1.File Infector: - File infector virus (virus lây nhiễm vào file) chép gắn lên chương trình thực thi, MSWord, AutoCad hay trò chơi điện tử Khi virus lây nhiễm cho chương trình, (khi chương trình bị nhiễm virus khởi chạy) lây lan sang chương trình khác hệ thống, hệ thống khác sử dụng chung chương trình chia sẻ mà bị lây nhiễm Jerusalem Cascade (đã giới thiệu trước: ) ví dụ tiếp cho loại File Infector Virus 3.1.1.2.Boot Sector: - Boot sector virus lây nhiễm vào vùng khởi động chủ (MBR - master boot record) ổ đĩa cứng (hard drive), hay lây nhiễm vào cung khởi động (boot sector) đĩa cứng/ổ đĩa gắn (ví dụ đĩa mềm (floppy diskettes), DVD-RW, USB stick memory ) - Boot sector (vùng khởi động hay khu vực khởi động) vùng ổ đĩa/phân vùng ổ đĩa/các thiết bị lưu trữ liệu khác, nơi chứa thông tin thiết bị và/hoặc chứa thông tin cấu trúc ổ đĩa/phân vùng (ví dụ: Chứa thông tin ổ đĩa/phân vùng có TB dung lượng, có định dạng ổ/phân vùng ext4 hay NTFS hay FAT32 Boot sector đồng thời chứa chương trình khởi động, chạy khởi động máy để khởi động OS - MBR vị trí ổ đĩa cứng mà BIOS (Basic Input / Output System - hệ thống đầu vào/ra máy tính) xác định vị trí để tải khởi chạy hệ điều hành Những thiết bị lưu trữ gắn (như USB key, portable HDD/SSD ), không thiết phải có khả khởi động (bootable), gắn vào lúc hệ thống khởi động, có khả lây nhiễm boot virus! - Boot sector virus dễ ẩn thân, tỷ lệ lây nhiễm thành công cho hệ thống lại cực cao - Boot sector virus, sau lây nhiễm thành công, làm cho PC thông báo lỗi khởi động, hay chí mức độ tệ hại hệ thống không khởi động nữa! 3.1.1.3.Multipartite: - Multipartite virus sử dụng nhiều phương pháp lây nhiễm, thường sử dụng phương thức lây nhiễm cho files lẫn boot sector (kết hợp 3.1.1.1 3.1.1.2): - Multipartite virus = file infector virus + boot sector virus 3.1.2 Interpreted Virus: - Không giống compiled virus (vốn thực thi trực tiếp từ hệ điều hành), Interpreted virus tổ hợp mã nguồn mã thực thi hỗ trợ ứng dụng cụ thể dịch vụ cụ thể hệ thống - Hiểu cách đơn giản, virus kiểu tập lệnh, ứng dụng gọi thực thi - Interpreted Virus lúc trở nên phổ biến Compiled Virus lý đơn giản: Một kẻ công, không cần có "tay nghề" cao, sửa đổi đôi chút từ mã nguồn để tạo biến thể Do đó, nhiều lúc có hàng chục, chí hàng trăm biến thể từ interpreted virus gốc - Có thể loại interpreted virus, Macro Virus Scripting Virus: 3.1.2.1.Macro Virus: - Là loại phổ biến thành công dạng năm trước kỷ 21 Nó lây nhiễm lên tập tin tài liệu (như doc, ppt ) "nằm chờ", đến file tài liệu mở chương trình (ví dụ Microsoft Office): Nó bắt đầu thực "sứ mệnh cao cả": LÂY NHIỄM - Loại lây lan siêu nhanh trước lý do: - Thứ nhất: Những file văn doc (định dạng văn Microsoft Word) chia sẻ rộng rãi qua internet, mang in, copy qua USB key, bật bật lại nhiều lần; - Thứ hai: Do quan niệm sai lầm, nghĩ file dạng *.exe có khả lây nhiễm virus, *.doc, *.chm không! - Ví dụ kinh điển cho macro virus The Concept, Marker Melissa 3.1.2.2.Scripting Virus: - Thể loại virus giông với Macro Virus, khác biệt là: macro virus tập lệnh thực thi ứng dụng cụ thể, scripting virus tập lệnh chạy dịch vụ (service) hệ điều hành 'First and Love Stages' virus tiếng thể loại - Ngày (2014), macro virus dần đi, Microsoft Office dùng macro Office hệ 3.1.3 Các kỹ thuật ẩn thân virus (Virus Obfuscation Techniques): - Hầu hết virus sử dụng nhiều kỹ thuật ẩn dấu Đó cách để 'hacker' xây dựng virus khiến cho virus ngày khó để phát (bởi chuyên gia bảo mật cấp cao, chương trình diệt virus) - Virus khó bị phát hiện, tất nhiên khả gây thiệt hại cho hệ thống lớn, khả lây lan lớn nhiều Thông thường, có kỹ thuật ẩn thân sau: 3.1.3.1.Self-Encryption and Self-Decryption (Tự mã hóa Tự giải mã): - Một số virus có khả mã hóa giải mã phần mã (code body) để che giấu khỏi bị phát trực tiếp - Virus sử dụng nhiều lớp mã hóa, khóa mật mã ngẫu nhiên (random cryptographic key), khiến cho từ code body, sử dụng phương thức mã hóa khác nhau, cho nhiều virus khác mà hệ thống phần mềm diệt virus phát được, phát 'con' virus này, lại để lọt 'con' kia, chúng có chung code body, thực thi nhiệm vụ nhau! 3.1.3.2.Polymorphism (Đa hình): - Polymorphism hình thái đặc biệt mạnh self-encryption Một virus đa hình thường có vài thay đổi so với việc mã hóa mặc định, thay đổi phương thức giải mã - Trong virus đa hình: Code body không thay đổi, có phương thức ẩn thân thay đổi - Polymorphism virus bước phát triển phương thức ẩn thân nêu 3.1.3.1 3.1.3.3.Metamorphism (Biến thể): - Ý tưởng 'thiết kế' đằng sau thể loại virus là: Tạo loại virus có khả thay đổi nội dung nó, sử dụng cách thức thay đổi ẩn thân việc mã hóa - Các virus thể loại thay đổi theo nhiều cách: - Hoặc thêm chuỗi mã vô hại/không cần thiết vào mã nguồn; - Hoặc thay đổi cấu trúc phần mã nguồn (đảo, trộn mã) - Các mã bị thay đổi, thêm/bớt sau biên dịch lại (re-compiled) để tạo virus thực thi (có thể mang 'nhiệm vụ' mới) khác với gốc 3.1.3.4.Stealth (ẩn - tàng hình): - Stealth virus sử dụng nhiều đặc tính kỹ thuật khác để che dấu đặc tính gốc (lây nhiễm) Ví dụ: Nhiều virus, sau lây nhiễm cho files, thâm nhập vào chế kiểm soát kích thước files hệ điều hành, khiến cho hệ điều hành hay chương trình diệt virus người dùng nhìn thấy kích thước file bị lây nhiễm cũ (không tăng thêm, tức không bao gồm kích thước 'con' virus!) 3.1.3.5.Armoring (kỹ thuật tạo vỏ bọc): - Mục đích kỹ thuật làm cho virus có lớp vỏ bọc để đánh lừa khả chương trình diệt virus (antivirus software) hay chuyên gia phân tích, khiến cho chức thực virus loại không bị lộ thân, khó truy tìm dấu vết hệ thống 3.1.3.6.Tunneling (kỹ thuật tạo đường hầm): - Với kỹ thuật này, virus tạo đường hầm để chèn vào lowlevel (*) OS, khiến cho low-level OS khởi chạy (bị đánh chặn virus) - Với cách này, virus dễ dàng qua mặt antivirus software cách đưa lệnh giả mức độ low-level, khiến cho chương trình antivirus tưởng nhầm hoạt động đích thực OS, bỏ qua - Chú thích: (*): low-level: Từ kỹ thuật dùng để biểu thị lệnh lập trình gần với định dạng mã máy (như lập trình ngôn ngữ Assembly chẳng hạn) - Ngày nay, nhà phát triển Anti-virus software nghiên cứu kỹ kỹ thuật virus, khiến cho chương trình diệt virus họ ngày có hiệu với thuật ẩn thân virus kể trên, bao gồm thuật tàng hình, tạo vỏ bọc, đa hình siêu đa hình - Tuy nhiên, rào cản khó vượt qua cho Anti-virus software: Kỹ thuật biến thể (Metamorphism) - Chính kỹ thuật này, mà liệu phân tích cũ anti-virus software trở nên vô dụng có biến thể từ virus gốc (mà có khả diệt đó) Cho nên, gói cập nhật (update) tung hàng tuần, chí hàng ngày, để phòng chống nguy (sau nghiên cứu xong biến thể đưa đoạn code đề kháng, lên liệu server từ bạn download gói update) 3.2 Worm (Sâu): Computer worm - ảnh minh họa - Worm chương trình có khả tự chép tự lây nhiễm hệ thống nhiên thân sâu chương trình hoàn chỉnh (self-contained), không giống virus cần sống bám vào 'cơ thể vật chủ' (là file bị nhiễm) có khả lây nhiễm cho hệ thống - Worm có khả tự nhân (self-propagating), nhiên mặt này, worm mạnh so với virus: Virus cần thao tác người sử dụng để tự chép lây nhiễm (ví dụ: Mở file, hay khởi động máy với thiết bị bị nhiễm boot sector virus ), worm không cần: Worm có khả tạo thực thi mà không cần người dùng phải tác động Chính điều này, mà attackers (những kẻ công) ngày khoái worm virus, sâu có khả lây nhiễm sang nhiều hệ thống khoảng thời gian ngắn so với thể virus Sâu tận dụng lợi lỗ hổng bảo mật (vulnerabilities) điểm yếu chết người thiết đặt (configuration) để thâm nhập, chẳng hạn thu thập điểm yếu bảo mật (unsecured) Windows OS 10 - 6.2.1 Kích hoạt tự động cập nhật hệ thống - Để cho phép Windows tự động cập nhật, bạn bấm vào liên kết Change settings góc bên trái cửa sổ Windows Update, sau chọn tùy chọn sau: 6.2.1.1.Install updates automatically: - Windows tự động kiểm tra, tải cài đặt cập nhật thời điểm bạn chọn Máy tính bạn tự động cập nhật mà không cần phải thực thao tác nào, Windows hiển thị thông báo yêu cầu bạn phải khởi động lại máy tính sau trình tải cài đặt 47 cập nhật thực Nếu bạn rời khỏi máy tính, Windows tự động khởi động lại hệ thống mà không cần đồng ý bạn 6.2.1.2.Download updates but let me choose when to install them: - Windows kiểm tra cập nhật tải chúng chế độ nền, hiển thị thông báo khay hệ thống cập nhật tìm thấy Khi sẵn sàng để cập nhật, bạn nhấp vào biểu tượng khay hệ thống, cài đặt cập nhật khởi động lại máy tính bạn theo yêu cầu Nhưng Windows không cài đặt cập nhật tự động bạn chọn cập nhật mà muốn 6.2.1.3.Check for updates but let me choose whether to download and install them - Windows kiểm tra cập nhật hiển thị thông báo khay hệ thống Điều hữu ích bạn muốn tiết kiệm băng thông tải cập nhật bạn kết nối cụ thể Điều ngăn không cho Windows tự động tải cập nhật kết nối Internet giới hạn với băng thông hạn chế 6.2.1.4.Never check for updates - Windows không tự động kiểm tra cập nhật, mà bạn phải tự kiểm tra cập nhật không cập nhật Windows trường hợp Nhưng không nên sử dụng tùy chọn này, bạn bỏ lỡ cập nhật bảo mật quan trọng cho hệ thống - Từ đây, bạn chọn muốn nhận thông báo đề nghị cập nhật đề nghị (Recommended updates), cập nhật sản phẩm khác Microsoft Windows xem thông báo phần mềm Microsoft, chẳng hạn Bing Desktop 48 - 6.2.2 Ngăn chặn Windows Update yêu cầu bạn khởi động lại máy - Trên Windows phiên trước Windows, Windows liên tục làm phiền bạn sau cài đặt cập nhật Nó bật lên bảng thông báo, Windows khởi động lại máy tính 15 phút, trừ bạn trì hoãn việc tắt máy - Nhưng trì hoãn việc tắt máy tối đa thời điểm Nếu bạn cần sử dụng máy tính ngày mà không muốn khởi động lại, bạn phải bấm giữ nút Postpone Nhưng bạn rời khỏi máy tính để chạy qua đêm, Windows tự động khởi động lại máy tính Để ngănWindows khởi động lại sau cập nhật bạn thực sau - Có thể thay đổi giá trị khóa NoAutoRebootWithLoggedOnUsers Windows Registry, để Windows không khởi động lại người dùng đăng nhập Bạn chọn tùy chọn “Download 49 updates but let me choose when to install them” để cài đặt cập nhật Windows bạn sẵn sàng để khởi động lại - - Windows cải thiện tính Windows Update cách cho bạn khoảng thời gian ngày để khởi động lại máy tính sau Windows cập nhật xong Mặc dù không hiển thị thông tin desktop, sau cài đặt cập nhật, bạn thấy hình thông báo hình Welcome yêu cầu bạn khởi động lại Nếu muốn sử dụng kiểu thông báo khởi động lại hệ thống Windows Windows 7, bạn cài đặt tiện ích miễn phí Windows Update Notifier Nếu sau ngày bạn cài đặt cập nhật cho Windows, hộp thoại thông báo lại tiếp tục xuất để yêu cầu bạn khởi động lại máy tính - Bạn thay đổi khóa registry giống Windows cho Windows Registry Windows 6.2.3 Kiểm soát nội dung cập nhật - Nếu cập nhật thủ công, bạn nhấp vào mục "Updates are available" cửa sổ Windows Update xem cập nhật 50 áp dụng Bấm vào cập nhật để xem thêm thông tin chi tiết bạn muốn Bỏ tùy chọn trước cập nhật bạn không muốn cài đặt cập nhật Để Windows bỏ qua cập nhật lần sau, bạn cần kích chuột phải vào cập nhật cụ thể chọn Hide update - 6.2.4 Khắc phục cố Windows Update - Trong hầu hết trường hợp, Windows Update không cần xử lý cố Nếu bạn gặp vấn đề, đảm bảo máy tính kết nối với Internet có đủ dung lượng trống phân vùng ổ cứng để tải cài đặt cập nhật Nếu Windows từ chối cài đặt cập nhật, bạn phải khởi động lại máy tính thử lại - Trong số trường hợp hoi, sau Windows cài đặt cập nhật gây ra, vấn đề khác liên quan đến phần mềm máy tính phần cứng - Nếu nhận thấy lỗi hệ thống phát sinh sau cài đặt cập nhật, bạn gỡ bỏ cài đặt cập nhật từ Control Panel cách mở công cụ Uninstall or change a program, sau bấm chọn liên kết View installed updates góc bên trái đê xem cập nhật bạn cài đặt, đồng thời gỡ bỏ cài đặt cập nhật mà bạn cho gây lỗi thống 51 - Sau bạn mở Windows Update lần nữa, kiểm tra cập nhật ẩn cập nhật gây lỗi để ngăn chặn Windows cài đặt tương lai - - Nếu người dùng Windows, bạn nên chọn tùy chọn Automatically download updates, tùy chọn giúp bạn thực trình tìm kiếm, tải cài đặt vá hoàn toàn tự động mà bạn không cần phải thao tác thủ công Nhưng không muốn cài đặt tất cập nhật Windows, bạn chọn để tự động tải cập nhật cho phép bạn lựa chọn cài đặt sẵn sàng khởi động lại máy tính - Dù nào, bạn không nên vô hiệu hóa Windows Update hoàn toàn, điều quan trọng giúp hệ thống có cập nhật để an toàn trực tuyến 6.3 Kinh nghiệm người sử dụng - Cho dù sử dụng tất phần mềm phương thức máy tính có khả bị lây nhiễm virus phần mềm độc hại mẫu virus chưa cập nhật kịp thời phần mềm diệt virus Người sử dụng máy tính cần sử dụng triệt để chức năng, ứng dụng sẵn có hệ điều hành kinh nghiệm khác để bảo vệ cho hệ điều hành liệu - Một số kinh nghiệm tham khảo sau: + Phát hoạt động khác thường máy tính: Đa phần người sử dụng máy tính thói quen cài đặt, gỡ bỏ phần mềm 52 thường xuyên làm hệ điều hành thay đổi - có nghĩa sử dụng ổn định - nhận biết thay đổi khác thường máy tính Ví dụ đơn giản: Nhận thấy hoạt động chậm chạp máy tính, nhận thấy kết nối khác thường thông qua tường lửa hệ điều hành hãng thứ ba (thông qua thông báo hỏi cho phép truy cập hoạt động khác tường lửa) Mọi hoạt động khác thường phần cứng gây cần nghi ngờ xuất virus Ngay có nghi ngờ, cần kiểm tra cách cập nhật liệu cho phần mềm diệt virus thử sử dụng phần mềm diệt virus khác để quét toàn hệ thống + Kiểm soát ứng dụng hoạt động: Kiểm soát hoạt động phần mềm hệ thống thông qua Task Manager phần mềm hãng thứ ba (chẳng hạn: ProcessViewer) để biết phiên làm việc bình thường hệ thống thường nạp ứng dụng nào, chúng chiếm lượng nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động có điều bất thường hệ thống (dù chưa có biểu nhiễm virus) có nghi ngờ có hành động phòng ngừa hợp lý Tuy nhiên cách đòi hỏi am hiểu định người sử dụng + Loại bỏ số tính tự động hệ điều hành tạo điều kiện cho lây nhiễm virus: Theo mặc định Windows thường cho phép tính tự chạy (autorun) giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm đưa đĩa CD đĩa USB vào hệ thống Chính tính số loại virus lợi dụng để lây nhiễm vừa cắm ổ USB đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền nhanh thời gian gần thông qua ổ USB cách tạo file autorun.inf ổ USB để tự chạy virus cắm ổ USB vào máy tính) Cần loại bỏ tính phần mềm hãng thứ ba TWEAKUI sửa đổi Registry + Quét virus trực tuyến: Sử dụng trang web cho phép phát virus trực tuyến: 6.4 Dùng phần mềm diệt virus - Nhiều nhận định cho rằng, việc người dùng cần để ý, cần thận chút kèm với sức mạnh liên tục tăng cao hệ thống phòng thủ (defender) hay tường lửa (firewall) hệ điều hành Windows đủ mà không cần phải sử dụng thêm phần mềm diệt virus khác từ bên thứ ba Bên cạnh đó, việc sử dụng phần mềm bên khiến hệ thống bạn chạy chậm tốn nhiều nhớ CPU khiến nhận định nhiều người ủng hộ Song, người dùng nên nhớ có 53 cung chắn có cầu việc nghiên cứu, lập trình phần mềm diệt virus có nguyên nhân, lý đáng Điều giải thích đến nay, hãng sản xuất phần mềm diệt Virus có chỗ đứng vững thị trường - Nên cài phần mềm ANTIVIRUS - Đối với hầu hết người dùng phổ thông việc cài phần mềm diệt virus điều tất yếu trước sử dụng tài nguyên máy - Ngày nay, mạng Internet trở thành phần thiếu sống người máy tính có kết nối mạng toàn cầu có nguy cao nhiềm loại virus mã độc Song, bạn người dùng giàu kinh nghiệm phân biệt nguy mối nguy hiểm mạng nên không cần cài phần mềm antivirus Bên cạnh đó, người có kinh nghiệm sử dụng thao tác với phương thức bảo vệ trang bị hệ điều hành không thiết phải cài đặt thêm phần mềm bên thứ ba để tối ưu hóa sức mạnh phần cứng Nhưng hầu hết người dùng phổ thông việc cài phần mềm diệt virus điều tất yếu trước sử dụng tài nguyên máy - Nên sử dụng phần mềm diệt virus Ảnh: Internet - Tuy nhiên, nhiều người dùng chí người dùng phổ thông cho người yếu tố quan trọng để định đến "sức khỏe" hệ thống máy tính Song, với diện ngày tinh vi, phương thức tiếp cận gần hoàn hảo việc cẩn thận đến mức không đủ Bạn đề phòng virus thông thường gặp phải gần phát phòng chống Malware Spyware 54 - Bạn đề phòng virus thông thường gặp phải gần phát phòng chống Malware Spyware - Ví dụ, Malware, nói cách đơn giản phần mềm lập trình nhằm thực hành vi mà người dùng Như bạn thấy có nhiều phần mềm tải kèm với chức keylogger chẳng hạn Nếu không đủ tinh vi để phát keylogger, bạn mồi béo bở dành cho tên trộm công nghệcao Tất nhiên keylogger kèm với phần mềm crack mà tỉ lệ Việt Nam cao người dùng thói quen sử dụng đồ quyền - Dù có kinh nghiệm bạn bảo vệ tối đa hệ thống máy tính Ảnh: Chris Dewey - Và nói đến Malware, AV (Antivirus) liều thuốc hữu hiệu Ngoài chế Live Scan phát Malware trước chúng lây nhiễm, khả kiểm soát liệu vào máy thông qua tường lửa tích hợp AV giúp người dùng nhanh chóng nhận ứng dụng có hành vi "mờ ám", trường hợp AV bỏ sót chúng từ đầu Vì hiểu phần mềm diệt virus tồn phát triển cách mạnh mẽ, chí người dùng có kinh nghiệm khuyên dùng AV - Sử dụng phần mềm diệt virus nào? - Việc sử dụng thêm phần mềm diệt virus làm máy bạn trở nên chậm chạp tính chạy "thời gian thực" ngốn nhiều tài nguyên RAM Tuy nhiên, thị trường nay, mẫu máy tính phổ thông có sức mạnh xử lý lớn cao so với giai đoạn trước 55 nhiều lần Bởi vậy, người dùng nên bỏ qua dị nghị việc ngốn tài nguyên AV Thế nhưng, việc sử dụng phần mềm diệt virus nào, sử dụng câu hỏi quan tâm - - - - Sử dụng AV giúp máy tính có an toàn tuyệt đối Đối với người dùng chuyên nghiệp sở hữu cỗ máy cấu hình mạnh, họ thường sử dụng Kaspersky để có bảo vệ tốt nhất, vậy, giá thành kèm với việc ngốn tài nguyên khiến người sử dụng AV Còn với máy tính phổ thông có cấu hình tầm trung tầm thấp, bạn cài đặt phần mềm nhẹ Avira, Avast sản phẩm tiếng đến từ Việt Nam BKAV Còn với máy tính phổ thông có cấu hình tầm trung tầm thấp, bạn cài đặt phần mềm nhẹ Avira, Avast sản phẩm tiếng đến từ Việt Nam BKAV Việc cài đặt phần mềm diệt virus đơn giản dễ dàng, nhiên, cần nhấn mạnh chút bạn nên back up lại hệ thống trước cài đặt Bởi nếu, AV cài xong thường thực việc quét triệt để hệ thống file system có chứa virus bị xóa bỏ hoàn toàn, sau gây hư hỏng nặng cho máy tính bạn Thứ hai, nên đăng nhập với tài khoản email để nhận cảnh báo sớm máy chủ nhận diện virus mà máy bạn mắc phải nhằm thực lần cập nhật Trên thao tác để sử dụng phần mềm diệu virus cách hiệu Ngoài ra, có lưu ý nho nhỏ người dùng nên mua quyền để có bảo vệ mặt sức mạnh AV tối ưu cách tốt Đặc biệt, nên tránh AV có 56 thể crack, crack AV hoàn toàn vô hại không nên dùng nhiều AV hệ thống máy tính 6.5 Bảo vệ liệu - Ngày nay, máy tính cá nhân trở nên quen thuộc phương tiện khó thiếu với người làm việc văn phòng Bên cạnh lợi ích mà máy tính mang lại có nhiều nguy tiềm ẩn gây an toàn liệu - Một vấn đề virus (đại diện chung cho tất chương trình tự động cài vào máy tính mà không phép người sử dụng worm, malware, trojan…), xâm nhập, đe dọa đến độ an toàn thông tin, liệu lưu trữ máy tính gây nguy hỏng hóc phần cứng Để đảm bảo an toàn cho liệu lưu máy tính, cần phải ngăn chặn xâm nhập loại virus Bài viết chia sẻ phương pháp để đảm bảo an toàn liệu, ngăn chặn qua nguy 6.5.1 Khóa user để chống virus - Với đa số phần mềm sử dụng máy tính có nguy xuất lỗ hổng Hacker tìm cách để công vào lỗ hổng cách tạo đoạn mã độc, vậy, máy tính đứng 57 trước nguy bị virus công Nếu có phần mềm chống virus cập nhật mã nhận diện từng phút đảm bảo an toàn chưa? Một câu khẳng định mạng máy tính không an toàn Bởi vì, virus đời tự lây lan vào số máy tính virus “nổi tiếng” (lây lan nhiều máy) nhà sản xuất phần mềm diệt virus biết Do vậy, trước bị phát hiện, hoàn toàn không bị nhận diện “vô tư” xâm nhập vào máy tính nhiều đường khác - Hình1: Các bước công Virus - Một vấn đề loại virus không lây lan, mà đối thủ tạo để dành riêng cho bạn nhà sản xuất phần mềm diệt virus không phát Đó lý có ngân hàng, hệ thống an ninh quốc gia số nước bị virus xâm nhập sau nhiều năm phát giác Do vậy, việc “khóa” máy tính biện pháp bảo an toàn liệu trước xâm nhập virus 6.5.1.1.Nguyên lý hoạt động - Cơ chế công virus mô tả hình - Các bước ngăn chặn Các chương trình diệt virus đẩy mạnh khâu nhận diện mã độc để ngăn chặn virus từ bước 1a, 1b, 1c (hình 1) Tuy nhiên, việc nhận diện mã độc “chạy đua” ánh sáng bóng đêm Hệ thống khóa máy tính ngăn chặn virus bước 3a 2b Đĩa cứng máy tính chia làm hai khu vực: + Khu vực chương trình: Người dùng phép thực thi (run) tập tin không phép ghi thêm liệu Điều ngăn chặn virus xâm nhập theo bước 2b + Khu vực data setting: người dùng phép ghi liệu không chạy tập tin thực thi Vậy virus tiến hành bước 2a đến bước 3a bị ngăn chặn 58 6.5.1.2.Thực việc khóa user - Sử dụng chức phân quyền hệ thống NTFS, phân quyền lại cho user limited để ngăn chặn virus bước 2b 3a - Các thư mục bản: Hệ thống windows chia làm khu vực bản: + Thư mục windows: chứa mã thực thi hệ điều hành + Thư mục programs file: chứa mã thực thi chương trình + Thư mục documents and setting: chứa liệu cấu hình người dùng - Ở chế độ mặc định, user limited không phép ghi vào thư mục windows program file Vì vậy, cần config thêm cho user limited không thực thi file exe, com… thư mục My document and setting - Các thư mục khác: + Thư mục gốc: Cấu hình lại cho thư mục gốc ổ đĩa ghi, không chạy Vì thư mục (windows, program file…) cấu hình độc lập với thư mục gốc nên việc cấu hình lại thư mục gốc không ảnh hưởng đến thư mục + Các thư mục khác: có số thư mục đặc biệt thường dùng để hỗ trợ cho trình cài đặt thư mục c:\windows\temp… Tuy nằm C:\windows user limited phép ghi file vào thư mục Đây điểm yếu hệ thống, phải cấu hình lại với thư mục để user limited phép ghi file không phép thực thi file - Các ổ đĩa máy tính: việc khóa user có tác dụng ngăn chặn virus đến từ internet ngăn mã độc web, mail gửi tới mà chưa ngăn chặn ổ đĩa hệ thống đĩa share mạng LAN, USB, CD, DVD Để có hệ thống an toàn hơn, cần có biện pháp kèm như: - Khóa user toàn máy mạng LAN 59 - Có sách an toàn việc dùng USB đóng tất USB disk (việc đóng không ảnh hưởng đến thiết bị dùng USB khác máy in, webcam…), sử dụng CD, DVD có nguồn gốc rõ ràng, có quyền, khóa autorun hệ thống… - Lưu ý: Không nên thực phân quyền lại cho nhóm administrator ảnh hưởng đến việc cài đặt chương trình Hệ thống có tác dụng sử dụng user limited khóa, hoàn toàn tác dụng sử dụng user chưa khóa 6.5.2 Mã hóa liệu - Các vụ scandal lộ ảnh nóng, phim riêng tư… phần lớn bắt nguồn từ việc trao máy tính cho người khác sử dụng đưa sửa chữa Đây điều bất khả kháng tự sửa chữa máy tính Vậy phải xử lý trường hợp để không bị rò rỉ liệu riêng tư Microsoft windows cung cấp khả mã hóa file lẻ thư mục để đảm bảo an toàn cho người sử dụng Khi administrator thực reset password máy tính chúng ta, chìa khóa để mở file mã hóa bị xóa, người có password đọc liệu mã hóa Việc sử dụng hệ thống mã hóa windows có ưu nhược điểm sau: - Ưu điểm: + Sử dụng đơn giản, người dùng cần đăng nhập vào user đọc liệu, không cần nhớ thêm mật mã khác sử dụng chương trình khác + Có thể tích hợp với chương trình khác outlook express, address books… để bảo vệ liệu cá nhân + Có thể bảo vệ thư mục với tài liệu, hình ảnh tư liệu cá nhân + Dữ liệu bảo vệ tape backup sử dụng chương trình backup windows - Nhược điểm: Mất tất liệu mà phục hồi bị mật truy cập user (trong trường hợp không backup khóa mã hóa) 6.5.3 Sao lưu dự phòng 60 - Việc lấy liệu khỏi máy tính lưu vị trí an toàn nhằm tránh việc liệu bị hư hỏng phần cứng, bất cẩn người sử dụng (xóa nhầm, format đĩa cứng…) thiên tai, hỏa hoạn cần thiết quan trọng - Tuy nhiên, việc backup liệu phải đảm bảo các yếu tố sau: - Có kế hoạch backup định kỳ: Kế hoạch phải đảm bảo lưu đủ liệu cần thiết, lưu thời điểm, hạn chế thấp mát liệu - An toàn liệu: Các liệu backup phải mã hóa cách phòng trường hợp liệu rơi vào tay kẻ xấu không bị lộ bí mật - An ninh việc cất giữ: Việc di chuyển lưu trữ liệu backup phải an toàn, tránh để thất lạc đường di chuyển nơi lưu trữ - Cách ly với môi trường đặt máy: liệu backup cần lưu trữ địa điểm cách xa với nơi đặt máy Nếu lưu nhà, tất có hỏa hoạn hay thiên tai, địch họa 61