1.2.1 .Theo hình thức lây nhiễm
1.3 Các phương pháp phát hiện mã độc
Mã độc có rất nhiều hình thái khác nhau và để phát hiện được mã độc tồn tại trong máy tính, trong hệ thống mạng là việc khơng dễ dàng. Đối với người dùng thông thường họ thường chỉ nhận biết khả năng máy tính bị nhiễm mã độc thông qua một số dấu hiệu như :
- Khóa, khơng cho chạy các chương trình hệ thống (cmd, regedit, tasl manager, gpedit, run,..)
- Khi chạy một chương trình thường thơng báo lỗi, chạy các file *.exe, *.com,... đều bị thay thế bởi các chương trình khác.
34
- Nhận thấy có vẻ như có tiến trình nào đó đang chạy tốn nhiều tài nguyên hệ thống, tốn RAM, CPU nhưng chưa tìm ra.
- Ẩn file, thư mục , tạo các thư mục lạ, các biểu tượng lạ. - Thay đổi địa chỉ IP không vào được mạng
- Ngồi ra có nhiều dấu hiệu khác cho thấy máy tính có thể bị nhiễm mã độc. Tuy nhiên đôi khi các dấu hiệu này là kết quả xung đột giữa các phần mềm chạy trên máy tính, hoặc giữa phần cứng và phần mềm khơng tương thích.
Bên cạnh đó, người dùng khó có thể tìm được vị trí chính xác mã độc nằm ở đâu trong máy tính, trong hệ thống mạng.
Để có thể xác định được vị trí và phát hiện thực sự mã độc nằm ở đâu thì người dùng có thể sử dụng một số phần mềm phát hiện và phòng chống mã độc. Các nhà khoa học đã tốn nhiều công sức nghiên cứu, xây dựng các hệ thống phịng chống virus máy tính theo nhiều hướng tiếp cận, kỹ thuật khác nhau .Cho đến nay, có ba kỹ thuật nhận dạng virus máy tính đã được áp dụng: dựa vào chuỗi nhận dạng virus (signature- based approach), dựa vào hành vi nghi ngờ virus (suspicious
behavior-based approach) và dựa vào ý định virus (intention-based approach).
Phương pháp phát hiện dựa vào chuỗi nhận dạng
Hoạt động theo nguyên lý nhận dạng mẫu, các AV sửdụng một CSDL chứa mẫu virus (ID-virus library). Mỗi khi có virus mới, các chuyên gia anti-virus sẽ giải mã, trích chọn và cập nhật chuỗi nhận dạng virus vào thư viện. Thông tin về đối tượng chẩn đốn (ghi nhận từ hệ thống đích) cùng với thông tin của virus (trong thư viện mẫu) sẽ cho kết luận về tình trạng của đối tượng.
Nhận dạng mẫu giúp AV phát hiện các virus đã biết trên tập dữliệu chẩn đốn với độ chính xác cao. Tuy nhiên phương pháp này có khá nhiều nhược điểm:
- Cồng kềnh: Kích thước thưviện mẫu tỷlệthuận với sốvirus đã cập nhật và tỷlệ nghịch với tốc độtìm kiếm.
35
- Bị động: AV chỉ hiệu quả trên các mẫu virus đã cập nhật, không đáp ứng kịp thời dịch bệnh do tốn thời gian cho việc thu thập mẫu virus mới, giải mã, phân tích, lập thuật giải, cập nhật phiên bản mới, phát hành… - Nhầm lẫn: Các hacker cố gắng tạo vỏ bọc an toàn cho virus. Khi AV so mẫu chẩn đoán giống với virus, dữ liệu sạch của hệ thống sẽ bị tẩy (clean) nhầm.
Phương pháp phát hiện dựa trên hành vi khác với việc phát hiện dựa vào bề ngoài, cấu trúc tệp tin có sẵn là nó xác định các hành động thực hiện của mã độc hơn là việc xá định cấu trúc nhị phân của chương trình. Các chương trình khơng giống với cú pháp hay cấu trúc nhưng có hành vi giống với những hành vi đã xác định trước là đã xác định được nó là mã độc hay không.
Cơ chế này giúp cho việc xác định mã độc một cách hiệu quả đối với các loại mã độc không ngừng tạo ra các biến đổi mã lệnh của nó. Phương pháp phát hiện hành vi luôn theo dõi các biến đổi về tài nguyên hệ thống và các dịch vụ mà các mã độc khi sử dụng sẽ ngay lập tức bị theo dõi và quan sát hành vi.
Một chương trình phát hiện hành vi gồm các thành phần sau:
Thu thập dữ liệu: Thành phần này thu thập các thông tin động và tĩnh được ghi lại.
Chuyển đổi: Thành phần này sẽ chuyển các thông thu thập được bởi mô đun thu thập dữ liệu vào nơi trung gian để lưu vào cơ sở dữ liệu.
Thuật toán so sánh: Được sử dụng để so sánh các phần đại điện với chữ ký hành vi.
36
Hình 1-9 Mơ hình chương trình qt hành vi
Phát hiện virus dựa vào ý định
Do hãng Sandrasoft (Ấn Độ) đề xướng từ năm 2005, tiếp cận intention- based (tên mã Rudra) [90] lưu giữ hình ảnh chi tiết của máy tính trong tình trạng sạch, sau đó tiếp tục theo dõi trạng thái hệ thống. Những thay đổi quan trọng trong tập tin, cấu hình hệ thống hay HĐH đều được cảnh báo như một mối hiểm họa tiềm tàng.
Khi những thay đổi này được đánh giá nguy hiểm, hệ thống sẽ khôi phục máy về tìnhtrạng ban đầu. Mặc dù đơn giản nhưng tiếp cận này tỏ ra khá hiệu quảvì nó có thể bảo vệmáy tính khỏi các mối đe dọa chưa được biết đến, kể cả virus máy tính.
Trong thực tế, tiếp cận “quay vềquá khứ” đã được nhiều hãng phần mềm hệ thống sửdụng: Symantec [89] có Norton Ghost và Norton Goback; VMware [94] có System Image Snapshot; Faronics [74] có Deep Freeze… Bản thân Windows XP cũng có chức năng phục hồi hệ thống bằng System Restore. Tuy nhiên tiếp cận này kém hiệu quả khi các điểm trạng thái được ghi nhận lúc hệ thống bị nhiễm virus lạ.
Mặt khác, hệ thống cũng cần bộ nhớ ngồi đủ lớn để lưu tồn bộ hình ảnh hệ thống qua từng thời điểm [39].
37