1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐẶNG ĐỨC DŨNG NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM VÀ CÁCH PHÒNG CHỐNG MAILWARE TRONG MÁY TÍNH Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 Người hướng dẫn khoa học: TS. HOÀNG XUÂN DẬU TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2012 2 MỞ ĐẦU Đã từ lâu, đi kèm với sự ra đời và phát triển mạnh mẽ của các phần mềm máy tính đem lại lợi ích to lớn cho người sử dụng là sự xuất hiện ngày càng nhiều các chương trình độc hại gây hỏng hóc các hệ thống máy tính và các phần mềm có ích. Các chương trình hay phần mềm độc hại (thường được gọi là Malware trong tiếng Anh) có thể xâm nhập hệ thống máy tính của người dùng bằng nhiều cách như qua email hay trao đổi các file sử dụng thẻ nhớ USB. Có nhiều loại Malware khác nhau và tác hại của chúng cũng rất khác nhau, từ mức đơn giản như in một thông báo trêu tức người dùng đến mức tinh vi như phá hoại các file hệ thống và ăn cắp các dữ liệu quan trọng. Thông thường, người dùng không thể nhận biết sự xuất hiện của Malware cho đến khi chúng gây ra những hỏng hóc cho hệ thống máy tính và các phần mềm ứng dụng. Mặc dù Malware máy tính đã xuất hiện từ khá lâu trên thế giới và trong nước, nhưng việc phòng, chống và khắc phục hậu quả do Malware máy tính gây ra vẫn là vấn 3 đề nan giải. Đó một phần là do nhận thức chưa đúng của người dùng về mức độ nghiêm trọng của Malware máy tính. Hơn nữa, do số lượng các loại Malware xuất hiện ngày càng nhiều, mỗi loại Malware có một đặc thù riêng, một cách hoạt động riêng và một cách phá hoại riêng, nếu chúng ta không cập nhật thường xuyên và có giải pháp phòng chống tích cực thì hậu quả sẽ rất khôn lường. Từ các phân tích trên có thể thấy, giải pháp hiệu quả nhất để hạn chế đến tối thiểu thiệt hại do Malware gây ra là tích cực phòng ngừa trên cơ sở có hiểu biết sâu rộng về các loại Malware và cơ chế lây nhiễm của chúng. Đây cũng là mục đích của đề tài “Nghiên cứu cơ chế lây nhiễm và cách phòng chống Malware trong máy tính” của luận văn, mà trọng tâm phần mềm độc hại ở đây là Virus, Worm và Trojan. Nội dung của luận văn bao gồm bốn chương:  Chương 1: Giới thiệu tổng quan về Malware máy tính, đưa ra định nghĩa, cách phân loại và lược sử về các loại Malware máy tính. 4  Chương 2: Nghiên cứu các hình thức lây nhiễm, đối tượng lây nhiễm và cơ chế lây nhiễm của Virus, Worm và Trojan trong máy tính.  Chương 3: Chỉ ra các tác hại do Virus, Worm, Trojan gây ra cho máy tính, đồng thời cung cấp các phương pháp phòng chống và ngăn chặn tác hại của Virus, Worm và Trojan.  Chương 4: Đưa ra một chương trình mẫu minh họa về Virus (mã độc hại kèm theo chương trình diệt). 5 CHƯƠNG 1 – TỔNG QUAN VỀ MALWARE MÁY TÍNH Chương 1 giới thiệu tổng quan về các loại Malware trong máy tính, đưa ra khái niệm về Malware máy tính, cách phân loại Malware máy tính theo NIST và Peter Szor, quá trình hình thành và phát triển của Malware từ trước đến nay. 1.1. Định nghĩa và phân loại Malware máy tính 1.1.1. Định nghĩa Phần mềm độc hại (Malware) là một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. 1.1.2. Phân loại Luận văn trình bày hai phương pháp phân loại phần mềm độc hại: phân loại phần mềm độc hại của NIST [5] và phân loại phần mềm độc hại của Peter Szor [8]. 1.1.2.1. Phân loại của NIST 1.1.2.2. Phân loại của Peter Szor 6 1.2. Lược sử về Malware máy tính 1.3. Kết chương Thông qua nội dung chương 1, luận văn đề cập đến những kiến thức cơ bản về các mã độc hại trong máy tính, cung cấp cho người sử dụng máy tính sự hiểu biết chung nhất về các loại mã độc hại. Chương đã chỉ ra được cách phân biệt các loại mã độc hại trong máy tính, tiểu sử cũng như hậu quả mà các loại mã độc hại đó mang lại cho người sử dụng máy tính qua các thời kỳ. Từ cơ sở này, luận văn sẽ đi nghiên cứu cách thức hoạt động của chúng ở phần tiếp theo. 7 CHƯƠNG 2 – NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM CỦA MALWARE MÁY TÍNH Chương 2 đề cập đến các phương thức lây nhiễm của Malware vào máy tính, chỉ ra các đối tượng nào trong hệ thống máy tính có khả năng bị Malware tấn công và cơ chế hoạt động đặc thù của từng loại Malware máy tính. 2.1. Các hình thức và đối tượng lây nhiễm của Malware máy tính 2.1.1. Hình thức lây nhiễm 2.1.1.1. Malware lây nhiễm theo cách cổ điển 2.1.1.2. Malware lây nhiễm qua thư điện tử 2.1.2. Đối tượng lây nhiễm Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị Malware tấn công:  .bat: Microsoft Batch File (tệp xử lý theo lô).  .chm: Compressed HTML Help File (tệp tài liệu dưới dạng nén HTML).  .cmd: Command file for Windows NT (tệp thực thi của Windows NT).  .com: Command file (program) (tệp thực thi). 8  .cpl: Control Panel extension (tệp của Control Panel).  .doc: Microsoft Word (tệp của chương trình Microsoft Word).  .exe: Executable File (tệp thực thi).  .hlp: Help file (tệp nội dung trợ giúp người dùng).  .hta: HTML Application (ứng dụng HTML).  .js: JavaScript File (tệp JavaScript).  .jse: JavaScript Encoded Script File (tệp mã hóa JavaScript).  .lnk: Shortcut File (tệp đường dẫn).  .msi: Microsoft Installer File (tệp cài đặt).  .pif: Program Information File (tệp thông tin chương trình).  .reg: Registry File.  .scr: Screen Saver (Portable Executable File).  .sct: Windows Script Component.  .shb: Document Shortcut File.  .shs: Shell Srap Object.  .vb: Visual Basic File.  .vbe: Visual Basic Encoded Script File. 9  .vbs: Visual Basic File.  .wsc: Windows Script Component.  .wsf: Windows Script File.  .wsh: Windows Script Host File.  .{*}: Class ID (CLSID) File Extensions. 2.2. Các biến thể của Malware máy tính 2.3. Các cơ chế lây nhiễm của Malware máy tính 2.3.1. Virus 2.3.1.1. Định nghĩa Virus là một loại mã độc hại có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. 2.3.1.2. Phân loại 2.3.1.3. Tính chất 2.3.1.4. Các công nghệ của Virus 2.3.1.5. Cách thức làm việc của Virus Dựa trên hành vi, Virus được chia thành 2 loại: Nonresident viruses và Resident viruses. Nonresident viruses tìm kiếm các máy chủ có thể bị nhiễm và lây nhiễm sang các mục tiêu này và cuối cùng chuyển điều 10 khiển tới chương trình ứng dụng mà chúng lây nhiễm. Resident viruses không tìm kiếm các máy chủ mà thay vào đó, chúng tải vào bộ nhớ để thực thi và kiểm soát chương trình chủ. Virus này được hoạt động ở chế độ nền và lây nhiễm vào các máy chủ mới khi các tập tin được truy cập bởi các chương trình hoặc hệ điều hành ở máy tính khác. Nonsident viruses bao gồm một mô-đun tìm kiếm và một mô-đun nhân bản. Các mô-đun tìm kiếm chịu trách nhiệm cho việc tìm kiếm các tập tin mới để lây nhiễm. Với mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó sẽ gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này. Resident viruses gồm một mô-đun nhân bản hoạt động tương tự như mô-đun nhân bản của Nonsident viruses. Tuy nhiên, mô-đun nhân bản này không được gọi bởi mô-đun tìm kiếm. Virus tải mô-đun nhân bản vào trong bộ nhớ khi nó được kích hoạt và mô-đun này thực thi tại thời điểm hệ điều hành thực hiện một hoạt động nhất định nào đó. [...]... biệt của từng loại Malware cũng như các dấu hiệu nhận biết các loại Malware khi chúng xâm nhập vào máy tính mà người sử dụng có thể áp dụng các biện pháp phòng chống và ngăn chặn kịp thời 14 CHƯƠNG 3 – TÁC HẠI VÀ CÁC PHƯƠNG PHÁP PHÒNG CHỐNG MALWARE MÁY TÍNH Chương 3 chỉ ra các hậu quả mà Malware máy tính gây ra cho người sử dụng, đồng thời cung cấp các biện pháp phòng chống Malware một cách hiệu quả 3.1... cho Malware xâm nhập vào trong máy tính, giảm thiệt hại tới mức tối thiểu trong trường hợp Malware lây nhiễm vào trong hệ thống Ngoài các công cụ và chức năng diệt trừ Malware của các chương trình trong máy tính, người sử dụng còn phải sử dụng những kinh nghiệm cá nhân để bảo vệ hệ điều hành và dữ liệu của mình 16 CHƯƠNG 4 – CHƯƠNG TRÌNH MINH HỌA Chương 4 đưa ra một chương trình minh họa mô tả cách. .. Windows bị Virus sửa đổi 23 KẾT LUẬN Nghiên cứu về Malware nói chung và Virus nói riêng đã được thực hiện trong một thời gian tương đối dài, nhưng vẫn rất được quan tâm do các Malware liên tục được cải tiến, cập nhật và đặc biệt là sức tàn phá của Malware ngày càng lớn Với mục tiêu nghiên cứu sâu về cơ chế lây nhiễm của Malware, trên cơ sở đó đề ra các biện pháp phòng chống hiệu quả, luận văn đã đạt được... thiệu các khái niệm và cách phân loại các phần mềm độc hại đối với máy tính  Đưa ra các khái niệm, cách phân loại, cách thức hoạt động của Virus, Worm và Trojan trong máy tính  Đưa ra những giải pháp phòng chống và ngăn chặn các tác hại do Virus, Worm, Trojan gây ra  Xây dựng một chương trình Virus mẫu và chương trình diệt Virus này để minh họa về cơ chế làm việc của Malware 24 Trong tương lai, luận... hại của Malware máy tính  Tiêu tốn tài nguyên của hệ thống  Phá hủy dữ liệu  Đánh cắp dữ liệu  Mã hóa dữ liệu tống tiền  Phá hủy hệ thống  Gây ra các sự khó chịu khác cho người dùng 3.2 Các phương pháp phòng chống Malware máy tính 3.2.1 Phương pháp phòng chống Virus 3.2.2 Phương pháp phòng chống Worm 3.2.3 Phương pháp phòng chống Trojan 3.2.4 Phương pháp tổng hợp phòng chống các loại Malware. .. Windows làm việc trong các phiên tiếp theo 2.4 Kết chương Qua chương này, chúng ta thấy Malware có rất nhiều con đường để xâm nhập vào máy tính của người sử dụng, chúng có thể lây nhiễm trên các tập tin của hệ điều hành Như vậy, máy tính có rất nhiều nguy cơ bị tấn công từ Malware Mỗi loại Malware có một đặc điểm riêng, một công nghệ riêng, một cơ chế hoạt động đặc thù 13 Dựa vào các đặc tính riêng biệt... dụng máy tính 3.2.4.5 Bảo vệ dữ liệu máy tính 3.3 Kết chương Qua chương này, chúng ta có thể nhận thấy hậu quả mà Malware máy tính gây ra cho người sử dụng rất khôn lường Chúng không chỉ đơn thuần là phá hoại máy tính, mà còn phá hoại trực tiếp các hoạt động của con người Chương còn cung cấp các biện pháp phòng chống trước tác hại của Malware máy tính Người sử dụng cần phải nắm rõ các kiến thức phòng. .. Môđun trong chương trình diệt Virus  Xóa các tập tin Virus “Love.exe” và “ducdung.exe” trong các ổ đĩa và trong thư mục C:\Windows của máy tính  Không cho phép Virus chạy thường trú trong hệ điều hành mỗi khi người sử dụng đăng nhập vào máy tính  Kích hoạt lại menu ngữ cảnh khi click phải chuột ngoài màn hình Desktop và trong Explorer 21  Cho phép người sử dụng có thể truy xuất vào các ổ cứng và. .. diện của Virus trong máy tính  Cho phép Virus chạy thường trú trong hệ điều hành mỗi khi người sử dụng đăng nhập vào máy tính 19  Vô hiệu hóa menu ngữ cảnh khi click phải chuột ngoài màn hình Desktop và trong Explorer  Kích hoạt Virus trở lại mỗi khi click đúp vào các phân vùng ổ cứng và thư mục  Vô hiệu hóa chức năng làm hiện thư mục và tập tin ẩn  Vô hiệu hóa các thành phần trong File Type... hoạt động của một Malware máy tính Trên cơ sở đó, xây dựng chương trình diệt trừ Malware này ra khỏi hệ thống, giúp hệ thống hoạt động một cách ổn định và an toàn Sau đây, luận văn mô tả cơ chế hoạt động và cách thức tiêu diệt Virus “Love.exe” do tác giả tự viết (Virus này được tải lên mạng để kiểm tra bởi phần mềm diệt Virus: Bitdefender Total Security 2012 và được đặt tên là “Generic .Malware. SDYd!sp.03714E9C”) . ĐẶNG ĐỨC DŨNG NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM VÀ CÁCH PHÒNG CHỐNG MAILWARE TRONG MÁY TÍNH Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 . tài Nghiên cứu cơ chế lây nhiễm và cách phòng chống Malware trong máy tính của luận văn, mà trọng tâm phần mềm độc hại ở đây là Virus, Worm và Trojan.