Đang tải... (xem toàn văn)
Tìm hiểu về Virus và cách phòng chống, Tìm hiểu về tường lửa FIREWALL
đồ án tốt nghiệp Lời nói đầu Virus tin học nỗi băn khoăn lo lắng ngời làm công tác tin học, nỗi lo sợ ngời sử dụng máy tính bị nhiễm virus Khi máy tính bị nhiễm virus, họ biết trông chờ vào phần mềm diệt virus có thị trờng, trờng hợp phần mềm không phát không tiêu diệt đợc, họ bị lâm phải tình khó khăn, phải làm nh Vì lý đó, có cách nhìn nhận hệ thống, chế nguyên tắc hoạt động virus tin học cần thiết Trên sở đó, có cách nhìn đắn virus tin học việc phòng chống, kiểm tra, chữa trị nh cách phân tích, nghiên cứu virus xuất Đồ án giải vấn đề vừa nêu Nó đợc chia làm chơng: Chơng I Đặt vấn đề Chơng II Tổng quan virus hệ thống Chơng III Khảo sát virus One Half Chơng IV Thiết kế chơng trình chống virus Phần phụ lục cuối đồ án liệt kê toàn chơng trình nguồn chơng trình kiểm tra khôi phục virus One Half Trong trình xây dựng đồ án này, đà nhận đợc nhiều giúp đỡ thầy cô giáo, bạn bè đồng nghiệp gia đình Tôi xin cảm ơn giúp đỡ nhiệt tình thầy Nguyễn Thanh Tùng, thầy giáo trực tiếp hớng dẫn đề tài tốt nghiệp tôi, cảm ơn thầy cô giáo Khoa Tin học, thầy cô giáo cán Trung tâm bồi dỡng cán Trờng Đại học Bách khoa Hà nội đà tạo điều kiện giúp đỡ hoàn thành đồ án Tôi xin cảm ơn bạn bè đồng nghiệp, ngời thân gia đình đà tạo điều kiện, động viên trình làm đồ án Vì điều kiện thời gian không nhiều, kinh nghiệm hạn chế, không tránh khỏi thiếu sót Tôi mong nhận đợc ý kiến đồ án tốt nghiệp đóng góp thầy cô giáo đồng nghiệp để chơng trình sau đợc tốt Chơng I Đặt vấn đề Mặc dù virus tin học đà xuất từ lâu giới nớc ta, song ngời sử dụng ngời làm công tác tin học, virus tin học vấn đề nan giải, nhiều gây tổn thất mát liệu đĩa, gây cố trình vận hành máy Sự nan giải có nhiỊu lý do: Thø nhÊt, c¸c kiÕn thøc vỊ møc hệ thống khó kiến thức lập trình ngôn ngữ bậc cao chơng trình ứng dụng, đặc biệt thông tin cần thiết hệ thống không đợc DOS thức công bố thông tin dành riêng (Reseved), điều làm cho ngời đề cập mức hệ thống không nhiều Thứ hai, hầu nh tài liệu virus tin học đợc phổ biến, có lẽ ngời ta nghĩ có tài liệu đề cập tới virus cách tỷ mỷ, hệ thống số ngời tò mò, nghịch ngợm viết virus tăng lên nữa! Thứ ba, số lợng virus xuất đông đảo, virus có đặc thù riêng, cách hoạt động riêng cách phá hoại riêng Để tìm hiểu cặn kẽ virus thời gian ngắn đợc, điều làm nản lòng ngời lập trình muốn tìm hiểu virus Tuy đà xuất nhiều chơng trình tiêu diệt virus khôi phục lại đĩa, khôi phục lại file bị nhiễm song trờng hợp cụ thể, phần mềm không giải đợc vấn đề Có nhiều lý do: Thứ nhất, chơng trình tiêu diệt số loại virus mà biết Thứ hai, biết sau virus xuất hiện, đợc nghiên cứu mà nhận biết đợc đa vào danh mục, chơng trình có khả tiêu diệt đợc Điều có nghĩa có đồ án tốt nghiệp thể có loại virus xuất máy tính mà chơng trình kiểm tra virus thông báo "OK" Đặc biệt virus ngời lập trình nớc viết, hầu hết không đợc cập nhật vào chơng trình kiểm tra tiêu diệt virus nh SCAN, F-PROT, UNVIRUS, Vì lý nêu trên, việc phòng chống virus biện pháp tốt để tránh việc virus xâm nhập vào hệ thống máy Trong trờng hợp phát có virus xâm nhập, việc sử dụng chơng trình diệt virus có mặt thị trờng, việc hiểu biết chế, đặc điểm phổ biến virus kiến thức mà ngời làm công tác tin học nên biết để có xử lý phù hợp Nội dung đồ án đa số phân tích mảng kiến thức hệ thống, nguyên tắc thiết kế, hoạt động loại virus nói chung, áp dụng phân tích virus One Half Trên sở đó, đề cập tới phơng pháp phòng tránh, phát phân tích với virus Các kiến thức cộng với phần mềm diệt virus có thị trờng có tác dụng việc hạn chế lây lan, phá hoại virus nói chung đồ án tốt nghiệp Chơng II Tổng quan I Giới thiƯu tỉng qu¸t vỊ virus tin häc Virus tin học Thuật ngữ virus tin học dùng để chơng trình máy tính tự chép lên nơi khác (đĩa file) mà ngời sử dụng không hay biết Ngoài ra, đặc điểm chung thờng thấy virus tin học tính phá hoại, gây lỗi thi hành, thay đổi vị trí, mà hoá huỷ thông tin đĩa ý tởng lịch sử Lý thuyết chơng trình máy tính tự nhân lên nhiều lần ®ỵc ®Ị cËp tíi tõ rÊt sím, tríc chiÕc máy tính điện tử đời Lý thuyết đợc đa năm 1949 Von Neumann, báo nhan đề 'Lý thuyết cấu phần tử tự hành phức tạp' (Theory and Organization of Complicated Automata) Sau máy tính điện tử đời, xuất trò chơi tên 'Core War', số thảo chơng viên hÃng AT&T's Bell phát triển Trò chơi đấu trí hai đoạn mà hai thảo chơng viên, đoạn mà cố gắng tự nhân lên tiêu diệt đoạn mà đối phơng Đến 5/1984, Core War đợc mô tả báo chí bán nh trò chơi máy tính Những virus tin học đợc tìm thấy máy PC vào khoảng 1986-1987 Các virus thờng có xuất phát điểm trờng Đại học, nơi có sinh viên giỏi, thích tự khẳng định mình! Phân loại: Thông thờng, dựa vào đối tợng lây lan file hay đĩa mà virus đợc chia thành hai nhóm chính: - B-virus: Virus công lên Master Boot hay Boot Sector đồ án tốt nghiệp - F-virus: Virus công lên file khả thi Mặc dù vậy, cách phân chia không xác Ngoại lệ có virus vừa công lên Master Boot (Boot Sector) vừa công lên file khả thi Để có cách nhìn tổng quan virus, xem chúng dành quyền điều khiển nh a B-virus Khi máy tính bắt đầu khởi động (Power on), ghi phân đoạn đợc đặt 0FFFFh, ghi khác đợc đặt Nh vậy, quyền điều khiển ban đầu đợc trao cho đoạn mà 0FFFFh: 0h, đoạn mà thực lệnh nhảy JMP FAR đến đoạn chơng trình ROM, đoạn chơng trình thực tr×nh POST (Power On Self Test - Tù kiĨm tra khởi động) Quá trình POST lần lợt kiểm tra ghi, kiểm tra nhớ, khởi tạo Chip điều khiển DMA, điều khiển ngắt, điều khiển đĩa Sau dò tìm Card thiết bị gắn thêm để trao quyền điều khiĨn cho chóng tù khëi t¹o råi lÊy l¹i qun điều khiển Chú ý đoạn chơng trình ROM (Read Only Memory) nên sửa đổi, nh chèn thêm đoạn mà khác Sau trình POST, đoạn chơng trình ROM tiến hành đọc Boot Sector đĩa A Master Boot đĩa cứng vào RAM (Random Acess Memory) địa 0:7C00h trao quyền điều khiển cho đoạn mà lệnh JMP FAR 0:7C00h Đây chỗ mà B-virus lợi dụng để công vào Boot Sector (Master Boot), nghÜa lµ nã sÏ thay Boot Sector (Master Boot) chuẩn đoạn mà virus, quyền điều khiển đợc trao cho virus, tiến hành hoạt động trớc, sau tiến hành thao tác nh thông thờng: Đọc Boot Sector (Master Boot) chuẩn mà cất giấu vào 0:7C00h trao quyền điều khiển cho đoạn mà chuẩn này, ngời sử dụng có cảm giác máy tính hoạt động bình thờng b F-virus đồ án tốt nghiệp Khi DOS tổ chức thi hành File khả thi (bằng chức 4Bh ngắt 21h), tổ chức lại vùng nhớ, tải File cần thi hành trao quyền điều khiển cho File F-virus lợi dụng điểm cách gắn đoạn mà vào file vị trí mà DOS trao quyền điều khiển cho File sau đà tải vào vùng nhớ Sau Fvirus tiến hành xong hoạt động mình, xếp, bố trí trả lại quyền điều khiển cho File File lại tiến hành hoạt động bình thờng, ngời sử dụng biết đợc Trong loại B-virus F-virus, có số loại sau dành đợc quyền điều khiển, tiến hành cài đặt đoạn mà vùng nhớ RAM nh chơng trình thờng trú (TSR), vùng nhớ nằm tầm kiểm soát DOS, nhằm mục đích kiểm soát ngắt quan trọng nh ngắt 21h, ngắt 13h, Mỗi ngắt đợc gọi, virus dành quyền điều khiển để tiến hành hoạt động trớc trả lại ngắt chuẩn DOS Để có sở việc khảo sát virus, cần có phân tích để hiểu rõ cấu trúc đĩa, đoạn mà Boot Sector (Master Boot) cịng nh c¸ch thøc DOS tỉ chức, quản lý nhớ tổ chức thi hành File khả thi nh II Đĩa - Tổ chức thông tin đĩa Cấu trúc vật lý Các loại đĩa (đĩa cứng đĩa mềm) lu trữ thông tin dựa nguyên tắc từ hoá: Đầu từ đọc-ghi từ hoá phần tử cực nhỏ bề mặt đĩa Dữ liệu đĩa đợc ghi theo nguyên tắc rời rạc (digital), nghĩa mang giá trị Để tổ chức thông tin đĩa, đĩa phải đợc địa hoá Nguyên tắc địa hoá dựa khái niệm sau đây: a Side: Đó mặt đĩa, đĩa mềm có hai mặt đĩa, đĩa cứng có nhiều mặt đĩa Để làm việc với mặt đĩa có đầu từ tơng ứng, ngời ta gọi Header Side đợc đánh số lần lợt 0, chẳng hạn đĩa mềm, mặt đồ án tốt nghiệp mặt 0, mặt dới mặt 1, đĩa cứng tơng tự nh đợc đánh số 0,1,2,3 b Track: Là vòng tròn đồng tâm mặt đĩa, nơi tập trung phần tử từ hoá bề mặt đĩa để lu trữ thông tin Các track đánh số từ bên vào trong, c Cylinder: Một track thứ tự mặt đĩa đợc tham chiếu đến nh phần tử nhất, Cylinder Số hiệu Cylinder số hiệu track Cylinder d Sector: Bộ điều khiển đĩa thờng đợc thiết kế để đọc ghi lần phân đoạn track, phân đoạn gọi sector, dới hệ điều hành DOS, dung lợng sector 512 byte Các sector track đợc đánh địa chỉ, thông thờng ngời ta sử dụng phơng pháp đánh số sector mềm, nghĩa mà hoá địa sector gắn vào phần đầu sector Ngoài khái niệm Sector, DOS đa khái niệm Cluster, nhằm mục đích quản lý đĩa đợc tốt Cluster bao gồm tập hợp Sector, đơn vị mà DOS dùng để phân bổ lu trữ file đĩa Tuỳ dung lợng đĩa mà số lợng Sector Cluster 1, (đối với đĩa mềm) 4, 8, 16 (đối với đĩa cứng) Cấu trúc logic: Đối với loại đĩa, DOS tổ chức đĩa thành hai phần: Phần hệ thống phần liệu Phần hệ thống bao gồm ba phần con: Boot Sector, bảng FAT (File Alocation Table) Root Directory Đối với đĩa cứng, DOS cho phép chia thành nhiều phần khác nhau, có cấu trúc đặc biệt khác Partition Table Sau đề cập tới phần một: a Boot Sector đồ án tốt nghiệp Đối với đĩa mỊm, Boot Sector chiÕm trªn Sector 1, Side 0, Cylinder Đối với đĩa cứng, vị trí dành cho bảng Partition, Boot Sector chiếm sector ổ đĩa logíc Khi khởi động máy, Boot Sector đợc đọc vào địa 0: 7C00h đợc trao quyền điều khiển Đoạn mà Boot Sector có nhiệm vụ nh sau: - Thay lại bảng tham số đĩa mềm (ngắt 1Eh) - Định vị đọc Sector Root vào địa 0:0500h - Dò tìm, đọc file hệ thống có trao quyền điều khiển cho chúng Ngoài ra, Boot Sector chứa bảng tham số quan trọng đến cấu trúc đĩa, bảng tham số bắt đầu offset 0Bh cđa Boot Sector, thĨ cÊu tróc nµy nh sau: đồ án tốt nghiệp Offset Siz Nội Giải thích e dung +0h JMP Lệnh nhảy đến đầu đoạn mà Boot xxxx +3h Tên hệ thống đà format ®Üa Start of BPB (Bios Parameter Block) +0Bh SectSiz Sè byte mét Sector +0Dh ClustSiz Sè Sector mét Cluter +0Eh ResSecs Số lợng Sector dành riêng (trớc FAT) +10h FatCnt Sè b¶ng FAT +11h RootSiz Số đầu vào tối đa cho Root (32 byte cho đầu vào) +13h TotSecs Tổng số sector đĩa (hoặc Partition) trờng hợp dung lợng < 32MB +15h Media Media descriptor đĩa (giống nh byte đầu bảng FAT) +16h FatSize Số lợng Sector cho b¶ng FAT End of BPB +18h TrkSecs Số lợng Sector track +1Ah HeadCnt Số lợng đầu đọc ghi +1Ch HidnSec Số sector dấu mặt (đợc dùng cấu trúc Partition) +1Eh Đầu đoạn mà Boot Sector Trên bảng tham số đĩa format đĩa DOS Version trớc Từ DOS Version 4.0 trở ®i, cã mét sù më réng ®Ĩ cã thĨ qu¶n lý đợc đĩa có dung lợng lớn 32MB, mở rộng offset +1Ch để giữ nguyên cấu trúc trớc Phần mở rộng thêm có cấu trúc nh sau: đồ án tốt nghiƯp Offse Size Néi dung Gi¶i thÝch t +1Ch HidnSec Số Sector dấu mặt (đà đợc điều chỉnh lên 32 bit) +20h TotSec Tổng số Sector đĩa giá trị offset +13h +24h PhsDsk Sè ®Üa vËt lý (0: ®Üa mỊm, 80: ®Üa cứng 1, 81: đĩa cứng 2) +25h Resever dành riªng +26h Ký hiƯu nhËn diƯn cđa DOS Version x.xx +27h Serial Là số nhị phân 32 bit cho biÕt Serial Number +2Bh B Volume Volume label +36h Loại bảng FAT 12 hay 16 bit Thông tin dành riêng DOS +3Eh Đầu đoạn mà chơng trình Phần mà Boot Sector đợc phân tích cách chi tiết phần sau b FAT (File Alocation Table) Bảng FAT vùng thông tin đặc biệt phần hệ thống, dùng để lu trạng thái Cluster đĩa, qua DOS quản lý đợc phân bố File Cách tham chiếu đến địa đĩa thông qua số hiệu Side, Cylinder, Sector cách làm ngắt 13h BIOS cách làm điều khiển đĩa Ngoài cách tham chiếu trên, DOS đa cách tham chiếu khác theo thông số: số hiệu Sector Các Sector đợc đánh số cách từ Sector 1, Track 0, Side hết số Sector Track nµy, råi chun sang Sector 1, Track 0, Side 1, Tất Sector Cylinder đợc đánh số trớc DOS chuyển 10 ... riêng, cách hoạt động riêng cách phá hoại riêng Để tìm hiểu cặn kẽ virus thời gian ngắn đợc, điều làm nản lòng ngời lập trình muốn tìm hiểu virus Tuy đà xuất nhiều chơng trình tiêu diệt virus. .. tra virus thông báo "OK" Đặc biệt virus ngời lập trình nớc viết, hầu hết không đợc cập nhật vào chơng trình kiểm tra tiêu diệt virus nh SCAN, F-PROT, UNVIRUS, Vì lý nêu trên, việc phòng chống virus. .. liệu virus tin học đợc phổ biến, có lẽ ngời ta nghĩ có tài liệu đề cập tới virus cách tỷ mỷ, hệ thống số ngời tò mò, nghịch ngợm viết virus tăng lên nữa! Thứ ba, số lợng virus xuất đông đảo, virus
