LOGO Học Viện Kỹ Thuật Mật Mã Virus phòng chống Thực Hiện Bởi: Trần Văn Dũng Nguyễn Mạnh Ninh Lê Quang Long Ngô Văn Thỉnh Nhóm: K_Thông – AT8B Bùi Đức Thuận Mục Tiêu Hiểu tổng quan Virus khái niệm Mô tả cấu trúc hoạt động tác hại Virus Phương pháp phòng chống T Quan V ề Virus Tổng Quan Về Virus Các khái niệm  Bugware: phần mêm gặp lỗi lập trình gây lên tác hại  Trojan horse: gắn với phần mềm hợp lệ, chạy ngầm, không tự lây lan  Software bombs: phá hoại lần, không tự lây lan  Replicators: tự nhân làm cạn tài nguyên  Virus: tự lây lan máy tính riêng lẻ, không tự lây sang máy khác  Worm: tự lây lan từ PC sang PC khác qua mạng Tổng Quan Về Virus Virus  Thế Virus? • • • • Virus máy tính chương trình hay đoạn mã Được tạo cách cố ý, hay vô ý Có khả tự nhân Gây tác động không mong muốn làm ảnh hưởng tới công việc Tổng Quan Về Virus Virus Số liệu thống kê Virus 2010 Top 13 quốc gia có máy chủ lưu trữ code độc hại Tổng Quan Về Virus Virus  Đặc điểm Virus máy tính: • • • • Không thể tồn độc lập mà phải dựa vào ứng dụng Tự nhân ứng dụng chủ kích hoạt Có thời kỳ nằm chờ (giống ủ bệnh) Trong thời gian không gây hậu Sau thời kỳ “nằm vùng” bắt đầu phát tác File chưa bị nhiễm File bị nhiễm Tổng Quan Về Virus Virus  Hình thức thể Virus:   Các ứng dụng máy bất ngờ từ từ chạy chậm lại Những biến đổi lý giải dung lượng ứng dụng file có đuôi EXE, COM, BAT, SYS, OVL  Những động thái bất thường máy tính, bạn chạy chương trình mà bình thường vấn đề  Một chương trình cài xác liệu từ đĩa nguồn Tổng Quan Về Virus Virus Loại bỏ Thiết kế Phát triển code Virus cách sử dụng ngôn ngữ lập trình dụng cụ xây dựng Người dùng cài đặt cập nhật chống Virus loại bỏ mối đe dọa từ Virus Công ty Phần mềm chống Virus phát triển để bảo vệ chống lại Virus Vòng đời Virus Nhân rộng Kích hoạt Phát Virus chép vào hệ thống Nó kích hoạt người dùng Virus xác định mối đe dọa lây khoảng thời gian sau thực số hành động nhiễm cho hệ thống lây lan chạy chương trình bị nhiễm Tổng Quan Về Virus Virus Tại người ta lại tạo Virus máy tính ? Gây thiệt hại cho đối thủ cạnh tranh Lợi ích tài Kẻ công Dự án nghiên cứu Trò đùa Phá hoại Khủng bố mạng lưới Phân phát thông điệp trị Hệ thống công kích Nguyên Lý Hoạt Động WINDOW VIRUS  1995 HĐH Windows 95 đời đồng nghĩa Virus MS DOS hết thời  Windows 95 không cho phép chương trình gọi ngắt tùy tiện mà phải thông qua hàm giao diện lập trình ứng dụng (API - Application Programming Interface)  Các hàm API nằm file liên kết động (Dynamic Link Library - DLL)  Bộ vi xử lý có bồn mức đặc quyền Ring 0, Ring 1, Ring Ring Nguyên Lý Hoạt Động WINDOW VIRUS  Các kỹ thuật chính:  Tìm địa sở kernell32.dll  Tìm kiếm PE Header kernell32  mapping file  Thay đổi thuộc tính file  Kiểm tra tính tồn Nguyên Lý Hoạt Động VIRUS MACRO  Macro công cụ cho phép ghi lại thao tác (các lệnh) người sử dụng dạng danh sách lệnh Khi ta gọi tới macro (chạy macro), thực lại thao tác cách tự động  Bản chất Virus Macro macro (được viết WordBasic, VisualBasic…) có khả kích hoạt tiến hành lây lan người dùng xử lý file  Đối tượng file template nạp ngầm định khởi động file word (nomarl.dot) hay excel Macro lây nhiễm kích hoạt tài liệu Kẻ công Người dùng Nguyên Lý Hoạt Động VIRUS MACRO  Các Kỹ Thuật chính:   Kiểm tra tính tồn nhất: giống Virus khác Ngụy trang: sử dụng kỹ thuật đa hình (polymorphism), đổi tên sau lần lây nhiễm lưu trữ chúng vào file win.ini giúp MS office tìm thấy chúng  Vô hiệu hóa Anti-Virus không thường trú: bắt đầu xuất với kỹ thuật đơn gian xóa file sở Anti-Virus không thường trú Nguyên Lý Hoạt Động VIRUS MACRO  Các Kỹ Thuật chính:  Lây nhiễm: ví dụ lây nhiễm Virus Concept Từ file văn bị nhiễm Từ file nomarl.dot sang file nomarl.dot wod sang file văn thông thường AAAZAO: Bản macro AutoOpen AAAZFS: Bản macro FileSaveAs AutoOpen: Macro tự động thực thi file file văn bị lây nhiễm người sử dụng mở FileSaveAs: Macro thay đổi hộp thoại FileSaveAs để ghi file văn macro virus dạng template giữ phần mở rộng doc PayLoad: phần thân virus Nguyên Lý Hoạt Động TROJAN Nguyên Lý Hoạt Động TROJAN  Là đoạn mã tính lây lan, lây nhiễm có cố tình gửi  Thường gắn kèm với ứng dụng, cài đặt hay kích hoạt người dùng chạy ứng dụng  Thông thường Trojan phân phối tiện ích, phần mềm hấp dẫn Nguyên Lý Hoạt Động TROJAN  Các kỹ thuật chính:  Phương pháp lây nhiễm: • Trojan lây nhiễm từ ICQ (I Seek You): ICQ cho phép gửi file ảnh âm thanh, Trojan dấu file • Trojan lây nhiễm từ file đính kèm mail: đa số Trojan lây lan qua mail Nguyên Lý Hoạt Động TROJAN  Các kỹ thuật chính:  Phương thức hoạt động: • • Mở cổng để hacker truy cập vào PC, dùng giao thức TCP UDP Khi hacker kết nối với PC victim, hoàn toàn lệnh cho Trojan làm việc thiết đặt sẳn • Một số Trojan có tính phá hoại kích hoạt khởi động win Nguyên Lý Hoạt Động WORM  Là chương trình độc lập  Có khả tự nhân giống Virus  Có khả lây lan cực nhanh qua mạng  Worm Morris Worm sinh viên đại học Cornell viết năm 1988 lây lan khoảng 10% số PC thời điểm  Tự lây lan qua mạng: worm tự gửi qua mail với địa nhận address book outlook Nguyên Lý Hoạt Động WORM  Worm nhanh chóng lây lan toàn cầu theo cấp số nhân  Worm thường người viết cài thêm nhiều tính đặc biệt, chẳng hạn khả định ngày đồng loạt từ máy nạn nhân (hàng triệu máy) công vào địa  Ngày nay, khái niệm Worm mở rộng để bao gồm virus lây lan qua mạng chia sẻ ngang hàng peer to peer, virus lây lan qua ổ đĩa USB hay dịch vụ gửi tin nhắn tức thời (chat), đặc biệt virus khai thác lỗ hổng phần mềm để lây lan Phoøng Choáng Virus Phòng Chống Virus Phương Pháp Đảm bảo file thực thi gửi đến tổ chức phê duyệt Chạy clean up ổ đĩa, quét registry chạy chống phân mảnh lần tuần Không boot máy tính với ổ đĩa bootable bị nhiễm Hiểu biết mối đoe dọa Virus Bật tường lửa OS sử dụng Windows XP Chạy chương trình chống phần mềm gián điệp phần mềm quảng cáo lần tuần Kiểm tra CD DVD có bị nhiễm hay không Chặn tất file có phần mở rộng dài phần mở rộng file Đảm bảo cửa sổ pop-up blocker bật sử dụng tường lửa internet Thận trọng với file gửi thông qua dòng tin nhắn tức thời Phòng Chống Virus Cài đặt phần mềm anti-Virus để phát loại bỏ xâm nhiễm Cài đặt phần mềm chống spyware thời gian thực Đảm bảo chương trình chống mã độc hoạt động Thực quét máy tính hàng ngày Vô hiệu chức autorun Vô hiệu hóa tính xem trước hình ảnh Outlook Không kích vào đường dẫn email hay tài liệu đính kèm Lướt web thông minh Sử dụng phần cứng tường lửa 10 Sử dụng trang web trực tuyến virustotal.com LOGO Học Viện Kỹ Thuật Mật Mã Thank You ! Nhóm: K_Thông – AT8B [...]... Boot Virus Record Boot Sector Ngun Lý Hoạt Động 1 BOOT VIRUS (B -Virus) B -VIRUS SB virus (Single Boot virus) DB virus (Double Boot virus) - - Kích thước virus nằm trọn trong một sector - Có nhiều chức năng hơn SB virus nên kích thước lớn hơn một sector - Đoạn boot sector chuẩn được lưu lại tại một ví trí xác định trên đĩa đoạn mã nằm trong boot sector chỉ có nhiệm vụ tải thân virus vào Boot Master Virus. .. chuẩn Chuyển virus vào thường trú Đặt lại các ngắt Lây lan Ngun Lý Hoạt Động 2 FILE VIRUS (F -Virus)  Có số lượng và chất lượng vượt trội so với B -Virus  Được chia thành 2 loại:  Transient File Virus (TF -Virus) : khơng thường trú, khơng chiếm ngắt, lây qua các file đối tượng  Reside File Virus (RF -Virus) : Có thường trú, có chiếm ngắt (phổ biến là ngắt 21h) Ngun Lý Hoạt Động 2 FILE VIRUS (F -Virus) ...Tổng Quan Về Virus 2 Virus  Cấu trúc chung của virus Cách hoặc những cách virus dùng để lây lan • • Phần lây lan (infection) Tìm kiếm những đối tượng phù hợp Kiểm tra xem đối tượng đã bị lây nhiễm chưa? => Lây nhiễm cho đối tượng Phần điều kiện kích hoạt (trigger) Virus Phần thân (payload) Tổng Quan Về Virus 2 Virus  Cấu trúc chung của virus Cơ chế kiểm tra điều kiện để thực... preview email 18/08: Welchia và Nachi cũng khai 2001 – đến nay Virus Qua Mail 1999 - 2000 thác lỗi DCOM RPC Virus Macro 1990 - 1998 Boot Virus 1979 - 1990 Nguyên Lý Hoạt Động Virus Ngun Lý Hoạt Động 1 BOOT VIRUS (B -Virus)  Khi PC khởi động, ROM sẽ thực thi q trình kiểm tra khi khởi động (POST) => bình thường, thì nạp Boot Sector vào RAM  Boot virus được thiết kế để thay thế cho đoạn mã chuẩn của Boot... nhiễnmáy tính worm Virus Virus Qua Mail normal.dot 1999 - 2000 Virus Macro 1990 - 1998 Boot Virus 1979 - 1990 Tổng Quan Về Virus 3 Lịch sử hình thành và phát triển của virus máy tính • • • Lây lan rất nhanh, độ tinh vi rất cao Xuất hiện nhiều Worm – Happy99, 12/07/2001: Sâu Code red khai thác lỗi Explorezip, Love Letter MS IIS web server • • • Worm 08/2003: worm Blaster khai thác lỗi Đầu 2000: virus BubbleBoy... boot virus, để giảm khả năng bị phát hiện, trước khi lây lan file virus bắt buộc phải kiểm tra sự tồn tại của mình trên đối tượng sắp lây  Lây lan: có 3 cách: COM file EXE file EXE file File header File header File header IP IP F -Virus Sart of Progam Start of Progam F -Virus End of Program End of Program IP Start of Progam End of Program Chèn đầu Chèn giữa F -Virus Nối file Ngun Lý Hoạt Động 2 FILE VIRUS. .. giữa F -Virus Nối file Ngun Lý Hoạt Động 2 FILE VIRUS (F -Virus)  Các Kỹ Thuật chính: Ngun Lý Hoạt Động 2 FILE VIRUS (F -Virus)  Các Kỹ Thuật chính:  Thường trú trong bộ nhớ: Chỉ có RF -Virus cần thường trú trong các chương trình giúp tăng khả năng lây lan cũng như tồn tại Ngun Lý Hoạt Động 3 WINDOW VIRUS  1995 HĐH Windows 95 ra đời đồng nghĩa Virus MS DOS cũng đã hết thời  Windows 95 khơng cho phép... vào một địa chỉ nào đó  Ngày nay, khái niệm Worm đã được mở rộng để bao gồm cả các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USB hay các dịch vụ gửi tin nhắn tức thời (chat), đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan Phòng Chống Virus Phòng Chống Virus Phương Pháp Đảm bảo file thực thi được gửi đến tổ chức là được phê duyệt Chạy clean... như các Virus khác Ngụy trang: sử dụng kỹ thuật đa hình (polymorphism), đổi tên sau mỗi lần lây nhiễm và lưu trữ chúng vào file win.ini giúp MS office có thể tìm thấy chúng  Vơ hiệu hóa Anti -Virus khơng thường trú: bắt đầu xuất hiện với kỹ thuật đơn gian là xóa các file cơ sở của Anti -Virus khơng thường trú Ngun Lý Hoạt Động 4 VIRUS MACRO  Các Kỹ Thuật chính:  Lây nhiễm: ví dụ lây nhiễm của Virus. .. kích hoạt ngay ở lần thực thi đầu tiên Tất cả những gì virus thực hiện trên => Đã đến thời điểm phá hoại Phần điều kiện kích hoạt (trigger) máy tính đã bị lây nhiễm (trừ phần lây lan) Kiểm tra đk => kích hoạt phá hoại Phần thân (payload) Tổng Quan Về Virus 3 Lịch sử hình thành và phát triển của virus máy tính • • • • • DOS Brain Window - 1986 virus -> virus Lehigh - 1987 Worm Kỹ thuật xuất hiện đa thuật