Thiết kế ch−ơng trình chống virus vμ khôi phục hệ thống.

Một phần của tài liệu đồ án virus tin học (Trang 131 - 135)

hệ thống.

Một ch−ơng trình phát hiện virus và khơi phục hệ thống bao gồm 3 modul chính:

- Kiểm tra bộ nhớ trong.

- Kiểm tra Master Boot và Boot Sector. - Kiểm tra file.

Ch−ơng trình phát hiện virus và khôi phục hệ thống trong đồ án tập trung chủ yếu vào virus One Half, song đ−ợc thiết kế mở để có thể phát hiện và khơi phục các loại virus thông th−ờng khác mà không phải sửa lại mã của ch−ơng trình. Cụ thể là ch−ơng trình đ−a ra các cấu trúc để l−u trữ các đặc điểm nhận dạng của virus, thông tin của các cấu trúc này đ−ợc l−u trữ trên file. Nh− vậy, sau khi một virus đ−ợc khảo sát, nếu các đặc điểm nhận dạng của nó đ−ợc cập nhật trong file dữ liệu thì ch−ơng trình hồn tồn có thể phát hiện và khơi phục hệ thống đối với loại virus đó.

1. Kiểm tra bộ nhớ trong.

found virus

Test VMEM.DAT Abort

not found abort

not OK

Test Size Mem & Int21h Warning, choose

OK

continue Continue

File VMEM.DAT l−u trữ thơng tin nhận dạng virus trong bộ nhớ. Nó sử dụng cấu trúc sau:

4 byte : Địa chỉ đoạn mã nhận biết virus trong bộ nhớ 1 byte : Số l−ợng byte trong đoạn mã nhận biết

10 byte : Mã nhận biết 10 byte : Tên của virus.

2. Kiểm tra Master Boot và Boot Sector.

Đối chiếu MB cần kiểm tra OK

với MB chuẩn Continue

not OK

Đối chiếu MB cần kiểm traKhông phát hiện với mã nhận biết VR

trong VMB.DAT

Phát hiện No

Hỏi: đè MB chuẩn

Giải mã dữ liệu trên đĩa Yes (nếu VR mã hố)

Khơi phục MB cũ Đè MB chuẩn

File VMB.DAT l−u trữ thông tin nhận dạng virus trong Master Boot trên đĩa. Nó sử dụng cấu trúc sau:

2 byte : Địa chỉ offset của đoạn mã nhận biết virus trong Master Boot.

1 byte : Số l−ợng byte trong đoạn mã nhận biết 10 byte : Mã nhận biết

3 byte : Nơi cất giấu Master Boot cũ của đĩa 10 byte : Tên của virus.

3. Kiểm tra file.

hết

Search file End

còn

Mở file (đọc-ghi)

Khôngbị

nhiễm Kiểm tra

bị nhiễm

Khôi phục file

File VMEM.DAT l−u trữ thơng tin nhận dạng virus trong bộ nhớ. Nó sử dụng cấu trúc sau:

4 byte : Vị trí của đoạn mã nhận biết trên file đối t−ợng 1 byte : Số l−ợng byte trong đoạn mã nhận biết

10 byte : Mã nhận biết 10 byte : Tên của virus.

Một phần của tài liệu đồ án virus tin học (Trang 131 - 135)

Tải bản đầy đủ (PDF)

(135 trang)