1


M
M
Ở
ỞĐ
Đ
Ầ
Ầ
U
U
:
: Đã từ lâu, đi kèm với sự ra đời và phát triển của các phần mền tin học đem lại
lợi ích to lớn cho người sử dụng là sự xuất hiện của các chương trình chuyên phá hoại
là virus máy tính. Các chương trình có ích đem lại sự thuận lợi cho người sử dụng bao
nhiêu thì trên phương diện phá hoại các virus máy tính cũng gây ra những thiệt hại to
lớn bấy nhiêu, thành quả lao động của nhiều người trong suốt cả thời gian dài được cất
giữ trên các máy tính đã bị phá tan tành chỉ vì bị nhiễm virus.Vì tin học càng ngày
càng là nhu cầu cấp thiết nên cũng phải chấp nhận sự tồn tại mặt trái của nó, do vậy
cần phải biết một số kiến thức cơ bản về virus cũng như cách phát hiện nó nhằm mục

MỤC LỤC
MỞ ĐẦU: ............................................................................................................................................ 1
CƠ CHẾ PHÁT HIỆN VÀ BÁO ĐỘNG VIRUS ............................................................................... 3
A/Lý Thuyết: ........................................................................................................................................ 3
I/Một số khái niệm cơ bản về Virus: ................................................................................................... 3
1/Định nghĩa: ....................................................................................................................................... 3
2/Phân Loại: ......................................................................................................................................... 3
3/Tính chất của Virus: .......................................................................................................................... 3
4/Các công nghệ của Virus: ................................................................................................................. 4
II/Cơ chế phát hiện và báo động Virus: ............................................................................................. 11
1/Kiểm tra bộ nhớ trong: .................................................................................................................... 12
2/Kiểm tra Master Boot và Boot Sector: (dùng cho Virus Boot ) ..................................................... 13
3/Kiểm tra trên file: ............................................................................................................................ 15
B/Chương Trình Minh Họa: ............................................................................................................. 16
1/Ngôn ngữ viết chương trình:........................................................................................................... 16
2/Chương trình minh họa: .................................................................................................................. 16

H
I
I
Ệ
Ệ
N
NV
V
À
ÀB
B
Á
Á
O
OĐ
Đ
Ộ
Ộ
N
N
G

A
A
/
/
L
L
ý
ýT
T
h
h
u
u
y
y
ế
ế
t
t
:
:

I
I
/
/
M
M
ộ
ộ
t
ts
s
ố
ốk
k
h
h
á
á
i
in
n

i
i
r
r
u
u
s
s
:
: 1/Định nghĩa:
-Virus máy tính thực chất là các phần mềm tin học có khả năng gián tiếp tự
kích hoạt, tự nhân bản sao chép chính nó vào các chương trình khác nhằm mục đích
phá hoại, do thám hoặc cũng có thể chỉ là để vui đùa. Để tiện trình bày, từ nay khi nói
virus ta hiểu là virus máy tính
2/Phân Loại:
-Như đã nói tin học phát triển ngày càng mạnh mẽ thì virus cũng phát triển
ngày càng đa dạng có thể nói không có loại virus nào là hoàn toàn giống nhau. Tuy
nhiên các virus luôn có một số đặc điểm chung nhất định để dựa vào đó người ta có thể
phân biệt nó. Có nhiều cách phân loại khác nhau, phân loại theo đối tượng lây nhiễm
thì virus gồm hai loại :
a/Virus Boot(b-virus):
-Là các virus lây nhiễm lên BootSector trên đĩa mềm hoặc Master Boot
Record và Disk Boot Record trên đĩa cứng, bảng định vị file FAT(File Allocation
Table) bảng ghi(Windows Registry) của hệ điều hành Windows…Loại virus này chiếm
quyền điều khiển khi máy tính khởi động trước khi hệ điều hành được nạp do vậy loại
virus này hoạt động không phụ thuộc vào hệ điều hành
b/Virus File(F-virus):

cũng có tính tương thích. Một virus được thiết kế để hoạt động trên một môi trường
này thường không thể hoạt động trên một môi trường khác không thích hợp với nó. Ví
dụ một con sâu mạng không thể lây nhiễm trên các máy tính sử dụng hoàn toàn môi
trường DOS vì nó không thể tìm ra bản đăng kí (Resgistry) của Windows. Để khắc
phục điểm yếu này ngày nay các virus phát triển theo hướng lai, bao gồm có nhiều
phần mỗi phần có tác dụng lây nhiễm trên những môi trường khác nhau.
e/Tính phát triển kế thừa:
-Các virus ra đời sau thường có xu hướng kế thừa những ý tưởng công nghệ
của các virus đã có trước theo cách này hay cách khác giữ nguyên hoặc sửa đổi cải tiến
…để có thể tận dụng những điểm mạnh và khắc phục những điểm yếu dễ dàng hơn.
Điều này nhiều khi tạo ra một họ virus như họ virus Date,họ virus Tiny…
4/Các công nghệ của Virus:
-Virus muốn tồn tại và phát triển thì nó phải có sức mạnh, sức mạnh có được
từ các công nghệ tạo virus, đó là các cách tạo virus thông minh tối ưu độc đáo,mỗi
cách mới để tạo ra virus đều có thể tạo ra một phương pháp mới một công nghệ mới.
Dưới đây chỉ là một số công nghệ thông dụng
a/Công nghệ lây nhiễm (Infect):
-Là công nghệ căn bản của một virus bảo đảm cho sự tồn tại lây lan phát triển
của virus. Những virus có tính lây lan càng nhanh thì thông thường mức độ nguy hiểm
càng lớn
5
-Các virus Boot
+Đối với đĩa mềm việc lây nhiễm đơn giản chỉ là thay thế Boot Record
(BR) với một đoạn chương trình virus
+ĐốI với đĩa cứng vì Master Boot Record (MB) và BR trên phân vùng hoạt
động đều được trao quyền khởi động nên có thể thay thể MB hay BR. Kích thước của
MB/BR chỉ gồm 1 sector 512 byte (DOS) nên không đủ lớn đối với một virus, nên cần
phải tìm một vị trí trên đĩa để lưu phần mã còn lại. MB/BR cũ chứa các thông tin quan
trọng về bản phân vùng/bảng tham số đĩa nên cần phải lưu, nơi lưu giữ phải bảo đảm
không bị ghi đè. Virus có thể sử dụng một số vùng đĩa sau:

6
+song hành : đặc điểm của dos là khi thi hành một file nếu không gõ phần
mở rộng thì dos sẽ thi hành các file cùng tên theo thứ tự .exe;.com;.bat
Do đó khi phát hiện một file exe thì virus sẽ tạo một file cùng tên có đuôi .com
Khi thi hành file ta không gõ phần mở rộng thì virus sẽ chiếm quyền điều khiển.
+ Nối thêm: Virus được ghi vào cuối file chủ, file bị sửa đổi sẽ chuyển
quyền điều khiển đến mã lệnh virus mỗi khi file thi hành. Đối với file .com virus
thường lưu vài byte đầu (thường từ 3-5 byte đủ kích thước cho một lệnh nhảy) lệnh này
định hướng đến phần mã còn lại của virus. Đối với file .exe virus sẽ sửa các giá trị
trong exe header để chuyển đầu vào của chương trình đến phần mã lệnh của virus
+còn một số cách khác như chèn giữa file, định hướng lại lệnh nhảy…
b/Công nghệ kiểm tra sự tồn tại (Check if exist):
-Virus phải lây nhiễm nhưng ở mỗi nơi chỉ được lây nhiễm một lần, nếu virus
lây nhiễm nhiều lần ở một nơi thì chẳng có hiệu quả gì tốt hơn việc lây nhiễm một lần
tại nơi đó, hơn nữa việc này ảnh hưởng rõ rệt tới tốc độ của máy tính làm người sử
dụng nghi ngờ máy bị nhiễm virus và tạo ra sơ hở lớn cho các chương trình diệt virus.
Chính vì các lí do đó trước khi lây nhiễm virus phải kiểm tra sự tồn tại của mình trên
đối tượng chủ, môi trường.
-Đối với virus boot
+Kiểm tra trên bộ nhớ chỉ tiến hành một lần khi máy tính khởi động trước
khi tiến hành thường trú do đó tốc độ không phải là yêu cầu chính quan trọng là độ
chính xác. Có thể kiểm tra bằng cách dò tìm các đoạn mã nhận dạng trên bộ nhớ hoặc
có thể tạo thêm hàm ngắt để kiểm tra. Virus có thể tạo nên những ngắt mới trả lại
những giá trị đặt biệt trong các thanh ghi là dấu hiệu để nhận biết sự tồn tại.
+kiểm tra trên đĩa:Kiểm tra trên đĩa đã bị lây nhiễm hay chưa,việc kiểm tra
trên đĩa phải được tiến hành nhiều lần nên phải bảo đảm tốc độ.
-Đối với virus file
+kiểm tra trên bộ nhớ tương tự như virus boot
+kiểm tra trên file: Có thể dò tìm đoạn mã nhận dạng trên file,virus có thể
kiểm tra đoạn mã nhận dạng trên toàn bộ file hoặc trên một phần nào đó của file, nếu

-Thường trú có nghĩa là bật máy lên cũng đồng nghĩa với việc khởi động một
chương trình virus. Chương trình này chỉ dừng khi tắt máy,việc thường trú này khiến
cho khả năng lây lan và phá hoại của virus rất dễ dàng và gây nên các thiệt hại to
lớn.Quá trình thường trú bao gồm:
+phân phối một vùng nhớ riêng để lưu giữ chương trình virus. Các cách
phân phối vùng nhớ là : phân phối vùng nhớ cao,phân phối vùng nhớ thấp…
+phân phối vùng nhớ cao (vùng nhớ cuối cùng của bộ nhớ): sau khi thực
hiện quá trình Post kích thước bộ nhớ cơ bản tính theo KB sẽ được ghi vào một vùng
dữ liệu của Bios ở địa chỉ 0:0413h. Khi một hệ điều hành nắm quyền điều khiển nó bắt
đầu kiểm soát vùng nhớ có kích thước đó bắt đầu từ 0000:0000h. Như vậy để dùng một
vùng nhớ riêng mà không bị hệ điều hành sử dụng chỉ cần giảm giá trị tại vùng địa chỉ
này và sủ dụng những KB cuối cùng của vùng nhớ (mỗi virus boot thường có cỡ 1-
4KB)
+phân phối vùng nhớ thấp :Các virus phân phối vùng nhớ cao thường dễ bị
phát hiện do làm giảm kích thước bộ nhớ mà hệ điều hành sử dụng. Để khắc phục có
thể sử dụng vùng nhớ thấp khi mà hệ điều hành đã được tải vào.
+ngoài ra còn có thể sử dụng phần còn trống của bảng vector ngắt chưa sử
dụng với mục đích dự trữ (thường dùng trong khoảng AAAA đến BBBB ), còn có thể
sử dụng các lỗ hổng trong vùng nhớ…
+Sau khi đã phân phối vào vùng nhớ cần phải chuyển toàn bộ chương trình
virus lên vùng nhớ đó và chặn một số ngắt phục vụ cho việc lây nhiễm. Có các cách
chặn ngắt sau: