phục hệ thống.
Một chơng trình phát hiện virus và khôi phục hệ thống bao gồm 3 modul chính:
- Kiểm tra bộ nhớ trong.
- Kiểm tra Master Boot và Boot Sector. - Kiểm tra file.
Chơng trình phát hiện virus và khôi phục hệ thống trong đồ án tập trung chủ yếu vào virus One Half, song đợc thiết kế mở để có thể phát hiện và khôi phục các loại virus thông thờng khác mà không phải sửa lại mã của chơng trình. Cụ thể là chơng trình đa ra các cấu trúc để lu trữ các đặc điểm nhận dạng của virus, thông tin của các cấu trúc này đợc lu trữ trên file. Nh vậy, sau khi một virus đợc khảo sát, nếu các đặc điểm nhận dạng của nó đợc cập nhật trong file dữ liệu thì chơng trình hoàn toàn có thể phát hiện và khôi phục hệ thống đối với loại virus đó.
1. Kiểm tra bộ nhớ trong.
found virus
Test VMEM.DAT Abort
not found abort
not OK
Test Size Mem & Int21h Warning, choose OK
continue Continue
File VMEM.DAT lu trữ thông tin nhận dạng virus trong bộ nhớ. Nó sử dụng cấu trúc sau:
4 byte : Địa chỉ đoạn mã nhận biết virus trong bộ nhớ 1 byte : Số lợng byte trong đoạn mã nhận biết
10 byte : Mã nhận biết 10 byte : Tên của virus.
2. Kiểm tra Master Boot và Boot Sector.
Đối chiếu MB cần kiểm tra OK
với MB chuẩn Continue
not OK
Đối chiếu MB cần kiểm traKhông phát hiện với mã nhận biết VR
trong VMB.DAT
Phát hiện No
Hỏi: đè MB chuẩn
Giải mã dữ liệu trên đĩa Yes
(nếu VR mã hoá)
File VMB.DAT lu trữ thông tin nhận dạng virus trong Master Boot trên đĩa. Nó sử dụng cấu trúc sau:
2 byte : Địa chỉ offset của đoạn mã nhận biết virus trong Master Boot.
1 byte : Số lợng byte trong đoạn mã nhận biết 10 byte : Mã nhận biết
3 byte : Nơi cất giấu Master Boot cũ của đĩa 10 byte : Tên của virus.
3. Kiểm tra file.
hết
Search file End
còn
Mở file (đọc-ghi)
Khôngbị
nhiễm Kiểm tra
bị nhiễm
File VMEM.DAT lu trữ thông tin nhận dạng virus trong bộ nhớ. Nó sử dụng cấu trúc sau:
2 byte : Kích thớc của virus
4 byte : Vị trí của đoạn mã nhận biết trên file đối tợng 1 byte : Số lợng byte trong đoạn mã nhận biết
10 byte : Mã nhận biết 10 byte : Tên của virus.