lời nói đầu Mặc dù virus tin học xuất lâu giới nớc Và không ngạc nhiên biết máy tính bị nhiễm virus Thế nhng, thực đáng ngạc nhiên hầu nh cha có sách đề cập đến virus cách đầy đủ chi tiết Sự thiếu vắng thông tin vô tình mà quan niệm cho phổ biến thông tin nh không đợc lợi ích mà làm gia tăng số lợng virus lên, nh làm tăng nguy mát liệu Xét khía cạnh này, nhà sản xuất phần mềm chống virus ®ång t×nh ChÝnh sù thiÕu hiĨu biÕt thùc sù giả tạo virus với thổi phồng ®¸ng cđa b¸o chÝ ®· biÕn virus tin häc bÐ nhỏ thành ngoáo ộp khổng lồ làm kinh hoàng cho ngời sử dụng tội nghiệp máy họ bị tợng mà nghi ngờ virus Cái giá phải trả cho thiếu hiểu biết lại to lớn, sai lệch liệu lỗi logic chơng trình gián đoạn vài ngày để backup liệu format lại đĩa, file tự nhiên tăng kích thớc gây hoang mang Đó cha kể đến đổ lỗi cho virus tin học thiếu hiểu biết Mặt khác, virus tin học nghĩa virus có kích thớc chơng trình cực nhỏ bao gồm chức khó khăn nên đòi hỏi virus đợc thiết kế trực tiếp ngôn ngữ Assembler bao hàm giải thuật tối u kĩ thuật cao, xét khía cạnh đáng cho học tập Chính lí đó, sách đời nhằm cung cấp cho độc giả thông tin cần thiết đắn virus, từ rút học bổ ích cần thiết việc phát cứu chữa hậu mà virus gây Dù đợc soạn với thông tin bản, sách đòi hỏi độc giả phải có kiến thức Assembler (vì virus đợc thiết kế ngôn ngữ này) để hiểu phân tích virus cách tỉ mỉ Tác giả mục đích hớng dẫn độc giả phơng pháp để thiết kế virus, tốt bạn đọc đừng có ý định bạn nạn nhân gánh chịu hậu gây Các virus đợc khảo sát sách tất virus biết thành phố nh giới, ®ã, sè virus ®−ỵc biÕt n−íc còng ®· chiÕm gần phân nửa Xin cảm ơn giúp đỡ quí báu đồng nghiệp việc hiệu đóng góp nhiều ý kiến hay cho sách Vì lần xuất đầu tiên, chắn sách nhiều điều thiếu sót, tác giả mong nhận đợc nhiều ý kiến đóng góp độc giả Địa liên lạc tác giả: Ngô Anh Vũ Trung tâm CESAIS Ban tin học 17 Phạm Ngọc Thạch Q.3 TP Hå ChÝ Minh Giíi thiƯu tỉng qu¸t vỊ virus tin häc I - Virus Tin Häc vµ Trojan Horse Luật pháp nớc có chỗ không ®ång nhÊt, cã n−íc ®· chÊp nhËn b¶o vƯ b¶n quyền phần mềm, nhng có nớc lại không đề cập cách rõ ràng đến vấn đề Cùng với phát triển nh vũ bão phần cứng, kĩ thuật chép đạt đến trình độ cao Những phần mềm chép nh COPYIIPC, COPYWRIT cho phép tạo đĩa có thành phần giống nh đĩa gốc làm thiệt hại đáng kể cho hãng sản xuất phần mềm Lợi dụng kẽ luật pháp nớc, số nơi xuất tay cớp phần mềm chuyên nghiệp Những phần mềm vừa đợc đa thị trờng ngày hôm trớc bị phá khóa (khóa đợc hiểu nh mã đợc đa vào thi hành chơng trình, đĩa gốc ), copy lại, chí sửa đổi tên tác giả, tung thị trờng với giá rẻ cha có Những hành động vô đạo đức thách thức nhà sản xuất phần mềm, đó, ý tởng đa đoạn mã phá hoại (destructive code) vào phần mềm với mục đích phá hủy liệu phần mềm không nằm đĩa gốc ý tởng lạ Nhng việc giấu đoạn mã nh chất đoạn mã lại tùy thuộc vào nhà sản xuất không thừa nhận (tất nhiên, kể nhà sản xuất nó) nh chứng kiến điều Mặt khác, tin học trở thành phổ cập cho toàn giới, cấu trúc nội tại, kĩ thuật lập trình đợc hớng dẫn tỉ mỉ nghiêm túc tiếp cận ngời cụ thể với tầng lớp niên Với đầy đủ kiến thức tính hiếu thắng, đua tài tuổi trẻ, t tởng loạn hay tự khẳng định qua chơng trình mang tính chất phá hoại gây nguy hiểm thực tế không ví dụ chứng minh cho điều Căn vào tính chất đoạn mã phá hoại, ta chia chúng thành hai loại: virus trojan horse 1/ Trojan horse: Thuật ngữ dựa vào điển tích cổ, đoạn mã đợc cắm vào bên phần mềm, cho phép xuất tay phá hoại cách bất ngờ nh anh hùng xông từ bụng ngựa thành Troa Trojan horse đoạn mã HOàN TOàN KHÔNG Có TíNH CHấT LÂY LAN, nằm phần mềm định Đoạn mã phá hoại vào thời điểm xác định đợc tác giả định trớc đối tợng chúng thông tin đĩa nh format lại đĩa, xóa FAT, Root Thông thờng phần mềm có chứa Trojan horse đợc phân phối nh version bổ sung, hay mới, điều trừng phạt ngời thích chép phần mềm nơi có nguồn gốc không xác định Tuy nhiên tợng này, Việt nam nãi chung vµ thµnh ta ch−a xt hiƯn Và dễ thấy tầm hoạt động mức phá hoại hoạt động máy đơn vô hạn chế 2/ Virus tin học: Thuật ngữ nhằm chơng trình máy tích tự chép lên đĩa, file khác mà ng−êi sư dơng kh«ng hay biÕt Th«ng th−êng virus còng mang tính phá hoại, gây lỗi thi hành, lệch lạc hay hủy liệu So với Trojan horse, virus mang tầm vóc vĩ đại hơn, lan truyền xa tác hại vô khủng khiếp thành phố, virus xuất sớm gây nhiều tác hại với u virus so với Trojan horse , báo nhan đề Lí thuyết cấu phần tử tự hành phức tạp (Theory and Organization of Complicated Automata) Trong báo mình, ông nêu lí thuyết tự nhân lên nhiều lần chơng trình máy tính Những đồng nghiệp ông dè bỉu nhiều ý tởng nhng điều dễ hiểu máy tính điện tử (electronic computer) đợc phát triển nhiều năm sau Mời năm sau đó, chi nhánh hãng AT&Ts Bell, ba thảo chơng viên trẻ tuổi phát triển trò chơi tên Core War, ba ngời tên Mc Ilroy, Victor Vysottsky Robert Morris, ngời nắm vững cấu trúc nội máy Core War đấu trí hai đoạn mã hai thảo chơng viên Mỗi đấu thủ đa chơng trình có khả tự tái tạo (reproducing program) gọi Organism vào nhớ máy tính Khi bắt đầu chơi Organism, đấu thủ cố gắng phá hủy organism đối phơng tái tạo organism Đấu thủ thắng đấu thủ phát triển nhiều lần cấu Trò chơi Core War đợc giữ kín năm 1983, Ken Thompson, tay chơi lỗi lạc viết version đầu cho hệ điều hành UNIX, để lộ nhận phần thởng danh dự giới kỹ nghệ điện tử - Giải thởng A.M Turing Trong diễn văn mình, ông đa ý tởng phơng pháp làm virus Thompson đề cập đến Core War sau tiếp tục khuyến khích thính giả làm thử! Tháng 5/1984 tờ báo Scientific America có đăng báo mô tả Core War cung cấp cho đọc giả hội mua lời hớng dẫn trò chơi - đợc gởi đến tận nhà với giá USD cớc phí bu điện! Đầu tiên, virus tin học bắt đầu c¸c m¸y lín nh− CREEPER (1970, RABBIT (1974), ANIMAL (1980) Sau bắt đầu xuất máy PC §· cã mét sè tµi liƯu cho r»ng virus tin học PC năm 1987, nhiên điều không đợc chắn virus Brain thông báo đợc đời từ năm 1986! Virus máy IBM PC đợc phát nhanh chóng trở nên tiếng Lehigh virus (vì xuất trờng Đại học này) vào trớc lễ Tạ ơn năm 1987 Cùng thời với virus này, virus khác âm thầm đổ từ Pakistan vào Mĩ Brain với mục tiêu trờng Đại học Delaware Một nơi khác giíi còng ®· t−êng tht sù xt hiƯn cđa virus: Đại học Hebrew - Israel Tất có chung điểm: từ trờng Đại học, nơi có sinh viên giỏi, hiếu động thích đùa Mặc dù xuất nhiều nơi giới, virus có chung phơng pháp lây lan, không nắm rõ cách thức này, số ngời cảm thấy hốt hoảng diệt cách, máy tính bị nhiễm nhiễm lại virus Dù vậy, phải có phân loại chi tiết virus, làm cho dễ kiểm soát đa phơng pháp chữa trị thích hợp Do đó, ngời ta chia virus thành hai loại theo cách lây đối tợng lây Ta khảo sát lần lợt đối tợng III - Cách Thức Lây - Phân Loại Dựa vào đối tợng lây lan file hay đĩa, ta chia virus thµnh hai nhãm chÝnh: + B - virus (boot virus): virus công lên Boot sector hay Master boot + F - virus (file virus): virus chØ công lên file thi hành đợc (dạng thi hành chức 4Bh DOS file dạng COM hay EXE) Dù vậy, cách phân chia nhất, mà không hẳn xác Vì sau này, F - virus phá hoại hay chèn mã phá hoại vào Boot sector, nh B - virus chèn đoạn mã vào file Tuy nhiên, tợng nhằm phá hoại không coi đối tợng để lây lan Dạng tổng quát virus biểu diễn sơ đồ sau: Tìm file/đĩa Nhiễm ? Exit Lây Nh giới thiệu định nghĩa virus, đoạn mã lúc phải đợc trao quyền điều khiển Nh vậy, rõ ràng virus phải khai thác chỗ hở mà máy tự nguyện trao quyền điều khiển lại cho Thực tế có hai kẽ hở nh thế, mà ta lần lợt xét sau đây: 1/ B - virus: Khi máy tính bắt đầu khởi động (Power on), ghi CPU đợc xóa, ghi phân đoạn (segment) đợc gán giá trị 0FFFFh, tất ghi lại đợc xóa Lúc CS:IP dĩ nhiên trỏ đến 0FFFFh:0 Tại địa lệnh JMP FAR chuyển quyền điều khiển đến đoạn chơng trình định sẵn ROM, đoạn chơng trình thực trình POST (Power On Seft Test: tù kiĨm tra khëi ®éng) Quá trình POST lần lợt kiểm tra ghi, kiểm tra nhớ, khởi tạo chíp điều khiển DMA, điều khiển ngắt, đĩa Nếu trình hoàn thành tốt đẹp, công việc dò tìm card thiết bị gắn thêm vào (thờng thiết bị card điều khiển đĩa cứng hay hình) trao quyền điều khiển chúng tự khởi tạo sau lấy lại card hoàn thành xong phần khởi tạo Tuy phải ý: toàn đoạn chơng trình nằm ROM, có tính chất Chỉ Đọc nên sửa đổi nh chèn đoạn mã chơng trình khác vào đợc Sau việc khởi tạo hoàn thành tốt đẹp, lúc đoạn chơng trình ROM tiến hành đọc Boot sector từ đĩa vật lí (là đĩa A) vào RAM địa 0:07C00h (Boot sector sector đĩa nằm sector 1, head 0, track 0) Nếu việc đọc không thành công, (không cã ®Üa ỉ ®Üa ) Boot Master cđa ®Üa cứng đợc đọc vào (nếu có đĩa cứng) Giả sử việc đọc thành công, quyền điều khiển đợc trao cho đoạn mã nằm Boot record lệnh JMP FAR 0:07C00 mà không cần biết đoạn mã làm Nh vậy, đến lúc Boot record chứa đoạn mã nào, quyền điều khiển đợc trao đoạn mã lại tiến hành format lại đĩa! Rõ ràng, kẽ hở mà máy mắc phải Nhng điều dễ hiểu PC kiểm tra đợc đoạn mã Boot record - ứng với hệ điều hành, version khác - đoạn mã khác Nếu tự kiểm điểm lại mình, bạn không khỏi giật số lần để quên đĩa mềm ổ đĩa Tuy vậy, may mắn đoạn mã Boot record lại hoàn toàn sạch, nghĩa đợc format dới hệ điều hành hành cha có sửa đổi, thay đoạn mã Lúc này, đoạn mã dò tìm, có tải file hệ thống vào vùng nhớ (nếu hệ điều hành MS-DOS, file có tên IO.SYS MSDOS.SYS) lần trao quyền điều khiển Lúc này, CONFIG.SYS (nếu có) đợc đọc vào tiến hành khởi tạo device driver, định buffer file cho file cuối COMMAND.COM đợc gọi (nếu lệnh SHELL CONFIG.SYS) để dấu nhắc A:\> quen thuộc xuất hình Lợi dụng kẽ hở này, B - virus công vµo Boot sector, nghÜa lµ nã sÏ thay mét Boot sector chuẩn đoạn mã virus, quyền điều khiển lúc đợc trao cho virus trớc Boot record nhËn qun ®iỊu khiĨn råi sau ®ã mäi chun tiến hành cách bình thờng Do đặc điểm lên trớc hệ điều hành, virus phải tự làm hết chuyện Và điều dễ dàng với kích thớc chơng trình nhỏ bé (nếu không tin bạn thử định vị phân tích FAT mà không dùng đến thông tin từ DOS xem) 2/ F - virus: Sau COMMAND.COM đợc gọi, lúc tìm file AUTO.EXEC.BAT để thi hành (nếu có) sau dấu nhắc xuất để chờ nhận lệnh Tất nhiên không dùng lệnh nội trú DOS để thi hành (trừ ngời bắt đầu học hệ điều hành DOS) Thông thờng, ngời ta thi hành file Đơn giản muốn thi hành phần mềm Foxbase chẳng hạn cách đánh tên Mfoxplus dấu nhắc đợi lệnh DOS bấm phím Enter Lúc DOS tìm file có tên Mfoxplus.EXE May mắn thay file đợc tìm thấy, DOS bắt đầu tổ chức lại vùng nhớ, tải lên trao quyền điều khiển mà không chút băn khoăn xem định làm có nguy hiểm không? May thay, kẽ hở thứ hai bị bỏ qua mà không gây phiền phức Sau thi hành xong trở dấu nhắc hệ điều hành cách an toµn Thùc chÊt, kÏ hë thø hai nµy còng đợc virus tận dụng Điều xảy quyền điều khiển thay đợc trao cho file lại rẽ nhánh sang cho kẻ lạ mặt sống kí sinh lên file? Điều có virus biết đợc tất nhiên sau đó, kết phá hoại rõ ràng ngời sử dụng biết 10 đa đến kết có virus, song phơng pháp tỏ không hiệu nghiệm phát virus biết, mặt khác tồn đoạn liệu trùng với đoạn mã progvi (là liệu phần mềm diệt virus khác đợc tải lên vùng nhớ trớc chẳng hạn) dẫn đến sai lầm b Trên file: Để xác định file có bị nhiễm hay không, dùng cách sau: + Kích thớc file sau lệnh nhảy: Mỗi progvi có kích thớc chuẩn Chơng trình virus định vị đầu vào đầu file lệnh nhảy, so sánh đầu vào với kích thớc file để suy file bị nhiễm hay cha Đối với file EXE định vị đầu vào từ bảng tham sè EXE header, tõ ®ã suy kÝch th−íc sau Phơng pháp không hiệu nghiệm tỏ kÐm chÝnh x¸c nÕu ta biÕt r»ng hiƯn nay, c¸c virus trùng kích thớc nhiều Mặt khác, đâu cấm chơng trình có khoảng cách sau lệnh JMP đến cuối file kích thớc virus Do lỗi này, phơng pháp không đợc dùng nữa, virus dùng tốc độ nhanh + Dò tìm đoạn mã Progvi: Tơng tự nh vùng nhớ tất nhiên gặp lỗi dò phải file chống virus khác, kể chẳng hạn 2/ Chữa trị: Việc chữa trị file đơn giản việc chữa trị đĩa Chỉ đơn giản trả lại liệu chơng trình đối tợng bị virus chiếm giữ cắt progvi khỏi file đối tợng a Đối với file dạng COM/BIN: + Nếu dạng Appenfzd file: Chỉ đơn giản định vị trả lại byte đầu bị virus chiếm, dời trỏ đến đầu vào progvi cắt progvi khỏi file + Nếu dạng chèn đầu: Phải tải toàn file vào vùng nhớ ghi lại vào đĩa với định đầu vào file địa buffer cũ cộng với kích thớc chơng trình virus 164 b Đối với file dạng EXE: Nếu virus lu giữ EXE header cũ file việc khôi phục đơn giản cách trả lại EXE header cũ, ngợc lại, phải định vị yếu tố bảng EXE header Một điều đáng nói trình khôi phục file EXE, kích thớc cũ không đợc trả lại điều đơn giản: trình định vị cho CS, bắt buộc kích thớc file phải đợc làm tròn thành đoạn, điều này, file EXE đợc khôi phục có kích thớc chia hết cho 16 lợng chênh lệch khoảng 15 byte (nếu virus không lu giữ giá trị kích thớc file cũ) 3/ Phòng chống: Hiện nay, cha có phần mềm tỏ hiệu việc phòng chống F - virus, có nhiều phần mềm chống virus thị tròng Có thể kể cách chống virus sau : + Thờng trú dò tìm: phần mềm Antivirus thờng trú file đợc thi hành chức 4B đợc kiểm tra xem có bị nhiễm virus không trớc cho thi hành Cách không hiệu có virus xuất số lợng virus tăng làm tăng thời gian kiểm tra + Thờng trú phát virus vùng nhớ: Phần mềm Antivirus thờng trú chi phối ngắt DOS, tác vụ gọi DOS hàng loạt để mở file, đổi thuộc tính, lấy đặt lại ngày cập nhật file đợc ghi nhận thông báo có mặt virus Tuy vậy, loại virus tinh khôn, việc lấy địa gốc DOS điều dễ dàng nên kiểm soát đợc hành động virus 4/ Khôi phục hậu quả: Những phá hoại F - virus tàn nhẫn nh xóa FAT, ROOT, format đây, gặp hậu virus, việc tốt cần làm đừng vội vã format lại đĩa, số virus format đĩa nhiều, mà xóa phần hay format lần đĩa Phần lại khôi phục lại số phần mềm chuyªn dơng nh− Fixdisk cđa Pctool, NDD cđa 165 Norton Untilities Nếu không sửa chữa đợc thông tin đĩa có giá trị nên mời nhà chống virus đến trớc có định cuối format đĩa 166 Phụ Lục Một Số Chơng Trình Mô Phỏng 1/ Đoạn chơng trình mô virus PingPong ;Tạo trái ball hình Nó chuyển động tuân theo định ;luật phản xạ Không ảnh hởng đến hoạt động máy Code Segment byte public Assume CS: code DS: code org 100h main Proc near jmp begin main endp int8 proc near push DS ;CÊt ghi push AX push BX push CX push DX ;Kiểm tra xem mode hình có thay đổi không push CS pop DS mov AH, 0Fh int 10h ;LÊy mode video mov BL, AL cmp BX, word ptr DispMode ;? Thay mode je cont1 ;CËp nhËt tham sè míi nÕu cã thay ®ỉi mov word ptr DispMode, BX 167 dec AH mov byte ptr MaxColumn, AH mov AH, cmp BL, jne cont2 dec AH Cont2: cmp BL, jae cont3 dec AH Cont3: mov byte ptr TextGraph, AH mov word ptr CurPos, 101h mov word ptr Direction, 101h mov AH, ;Đọc vị trí trá hiÖn thêi int 10h push DX mov DX, word ptr CurPos jmp cont4 Cont1: mov AH, ;§äc vÞ trÝ trá hiƯn thêi int 10h push DX ;Cất vị trí vào Stack mov AH, ;Đặt lại vị trí trỏ mov DX, word ptr CurPos ;Tíi vÞ trÝ Ball int 10h mov AX, word ptr CharAtrib ;Mode hình thời cmp byte ptr TextGraph, ;Graph hay Text jne cont5 ;NÕu lµ Graph sÏ dïng XOR 168 mov AX, 8307h ; character bite cont5: mov BL, AH mov CX, ;Trả lại kí tự cũ vị trí mov AH, ;Ball chiÕm int 10h cont4: ;TÝnh to¸n h−íng nÈy cđa ball mov CX, word ptr Direction cmp DH, jne cont6 xor CH, 0FFh inc CH Cont6: cmp DH, 10h jne Cont7 xor CH, 0FFh inc CH Cont7: cmp DL, jne cont8 xor CL, 0FFh inc CL cont8: cmp DL, byte ptr MaxColumn jne cont9 xor CL, 0FFh inc CL cont9: cmp CX, word ptr Direction jne cont11 mov AX, word ptr CharAttrib 169 and AL, cmp AL, jne cont12 xor CH, 0FFh inc CH cont12: cmp AL, jne cont11 xor CL, 0FFh inc CL cont11: add DL, CL add DH, CH mov word ptr Direction, CX mov word ptr CurPos, DX mov AH, ;Đặt trỏ vào vị trí mới, int 10h ;đọc kí tự sÏ bÞ Ball thay thÕ mov AH, ;KÝ tù đợc trả lại kì int 10h ;gọi ng¾t tiÕp theo mov word ptr CharAttrib, AX mov BL, AH cmp byte ptr TextGraph, jne cont13 mov BL, 83h cont13: ;In Ball hình vị trí mov CX, ; mới, hình chế mov AX, 0907h ;®é Graphic, kÝ tù hiƯn thêi int 10h ;đợc XOR charactor bits pop DX 170 mov AH, ;Đặt trỏ lại vị trí cũ trớc int 10h ;khi gọi ngắt cáCH lấy lại pop DX ;trong Stack pop CX pop AX pop DS cont14: jmp far 0000:0000 int8 endp CharAttrib dw CurPos dw 101h Direction dw 101h TextGraph db 0FFh DispMode db 0FFh PageActive db 0FFh MaxColumn db install proc near begin: mov AX, 3508h ;Lấy địa ngắt int 21h mov word ptr [cont14+1], BX ;Cất địa mov word ptr [cont14+3], ES mov DX, offset int8 ;Thay ng¾t mov AX, 2508h int 21h mov DX, offset begin ;Th−êng tró b»ng ng¾t 27h int 27h install endp code ends 171 end main 2/ Đoạn chơng trình mô Yankee Doodle virus ;Lập trình loa - cho phép chơi Yankee Doodle ;Không ảnh hởng đến hoạt động cđa m¸y code segment byte public assume CS: code, DS: code org 100h main proc near jmp begin main endp newint1C proc near pushf push AX push BX push DS push ES push CS push DS cmp byte ptr active, ;Đã active cha, không active jne exit cmp byte ptr active, ;Đã bắt đầu chơi cha, jne cont3 ;sẽ không reset lại ;Phần reset buffer chứa Note Delay mov word ptr beginMusic, offset music mov word ptr beginDelay, offset delay mov byte ptr active, ;Đặt cờ báo reset cont3: cmp byte ptr cont, ;? Delay mét note hết cha, 172 je cont1 ;không đếm cách giảm 1đơn vị dec byte ptr count jmp exit coun1: ;Phần chơi note cách lÊy mét note bufferBeginMusic ;vµ thêi gian buffer beginDelay, thời gian đợc đếm biến Count mov BX, BeginMusic cmp DS: word ptr [BX], -1 ;Cuèi buffer ch−a jne count2 in AL, 061h ;T¾t loa cách tắt bit and AL, 0FCh out 61h, AL mov byte ptr active, jmp exit cont2: ;Lập trình cho kênh 8253 mov AL, 0B6h out 43h, AL mov AX, DS:[BX] out 42h, AL mov AL, AH out 42h, AL in AL, 61h or AL, out 61h, AL add word ptr BeginMusic, mov BX, BeginDelay mov AL, byte ptr DS:[BX] 173 dec AL mov count, AL inc word ptr BeginDelay exit: pop ES pop DS pop BX pop AX popf jmp CS: dword ptr int1C newint1C endp int1c dw music db 0C7h, 11h, 0C7h, 11h, 0E6h, 0Fh, 28h, 0Eh, 0C7h, 11h, 28h, 0Eh, 0E6h, 0Fh, 04Ch, 17h db 0C7h, 11h, 0C7h, 11h, 0E6h, 0Fh, 28h, 0Eh, 0C7h, 11h, 0C7h, 11h, 0C7h, 11h, 0C7h, 11h db 0E6h, 0Fh, 28h, 0Eh, 59h, 0DH, 28h, 0Eh, 0E6h, 0Fh, 0C7h, 11h, 0Efh, 12h, 0C4h, 17h db 02Ch, 15h, 0Efh, 12h, 0C7h, 11h, 0C7h, 11h, 02Ch, 15h, 0Efh, 12h, 02Ch, 15h, 0C5h, 1Ah db 02Ch, 15h, 0Efh, 12h, 0C7h, 11h, 02Ch, 15h, 0C4h, 17h, 02Ch, 15h, 0C4h, 17h, 0C5h, 1Ah db 67h, 1Ch, 0C5h, 1AH, 0C4h, 17h, 2Ch, 15h, 0EFh, 12h, 2Ch, 15h, 0C5h, 1Ah, 2Ch, 15h db 0EFh, 12h, 0C7h, 11h, 2Ch, 15h, C4h, 17h, C7h, 11h, 0EFh, 12h, 0E5h, 0Fh, 0C7h, 11h db 0C7h, 11h, 0FFh, 0FFh delay db 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 9h, 9h, 5h, 5h 174 db 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 9h, 9h, 5h, 5h, 5h, 5h db 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h, 5h db 5h, 5h, 6h, 5h, 5h, 5h, 5h, 9h, 9h beginMusic dw offset music beginDelay dw offset delay active db active1 db count db install proc near begin: AX, 351Ch ;ChiÕm ng¾t 1Ch int 21h mov DS: word ptr int1C, BX mov DS: word ptr [int1C+2], ES lea DX, NewInt1C ;Thay địa ngắt 1Ch mov AX, 251Ch int 21h lea DX, begin int 27h ;Th−êng tró b»ng ng¾t 27h install endp code ends end main 175 Tµi LiƯu Tham Khảo I Sách: 1/ V.i.R.U.S Protection 2/ Norton Disk Companion II PhÇn mỊm: 1/ Doshelp Flamebeaux Software 2/ Norton Guide Norton 3/ A86/D86.com Eric Isaacson 4/ Các chơng trình virus ??? 176 Kane Pamela Peter Norton Môc Lôc Lêi nãi ®Çu Giíi thiƯu tỉng qu¸t vỊ virus tin häc I Virus vµ Trjan horse II ý tởng lịch sử III Cách thức lây lan phá hoại Chơng 1: Đĩa - Sơ lợc đĩa I CÊu tróc vËt lÝ 13 II CÊu tróc logic 17 III Các tác vụ truy xuất đĩa 28 Ch−¬ng 2: B - virus I Phơng pháp lây lan 49 II Ph©n lo¹i 51 III Cấu trúc chơng trình B virus 52 IV C¸c yêu cầu B virus 54 V Ph©n tÝch kÜ thuËt 56 VI Ph©n tÝch mét B virus mÉu 177 VII Cách phòng chống chữa trị virus Chơng 3: Quản lí file vùng nhớ dới DOS I Quản lí tổ chức thi hành file d−íi DOS II Tỉ chøc qu¶n lÝ vïng nhí Chơng 4: F - virus I Phơng pháp l©y lan 49 II Phân loại 51 III CÊu tróc chơng trình B virus 52 IV Các yêu cầu B virus 54 V Ph©n tÝch kÜ thuËt 56 VI Ph©n tÝch mét B virus mÉu VII Cách phòng chống chữa trị virus 178 ... báo mình, ông nêu lí thuyết tự nhân lên nhiều lần chơng trình máy tính Những đồng nghiệp ông dè bỉu nhiều ý tởng nhng điều dễ hiểu máy tính điện tử (electronic computer) đợc phát triển nhiều... phá hoại hoạt động máy đơn vô hạn chế 2/ Virus tin học: Thuật ngữ nhằm chơng trình máy tích tự chép lên đĩa, file khác mà ngời sử dụng không hay biết Thông thờng virus mang tính phá hoại, gây... lập trình đợc hớng dẫn tỉ mỉ nghiêm túc tiếp cận ngời cụ thể với tầng lớp niên Với đầy đủ kiến thức tính hiếu thắng, đua tài tuổi trẻ, t tởng loạn hay tự khẳng định qua chơng trình mang tính