LờI Mở ĐầU
Trí tuệ nhân tạo là một môn học chuyên ngành bắt buộc đối với sinh viên thuộc
chuyên ngành tin học. Môn học này trang bị cho sinh viên một số kiến thức cơ bản nhất
về các phơng pháp giải quyết vấn đề và kỹ thuật xử lý tri thức. Đó là một nền tảng vững
chắc để đi sâu nghiên cứu các chuyên đề khác. Sự ra đời và phát triển của trí tuệ nhân
tạo đã kéo theo hàng loạt công nghệ mới và khoa học kỹ thuật ngày càng phát triển. Các
sản phẩm của trí tuệ nhân tạo đa số phục vụ cho mục đích tốt và ngày càng đa dạng
phong phú nh : phần mềm phục vụ cho học tập và giải trí v.v
Virus máy tính cũng là một trong những sản phẩm của trí tuệ nhân tạo. Tuy
nhiên đây là sản phẩm phần mềm có tính chất phá hoại mà ngời sử dụng không mong
muỗn, nó phá huỷ những dữ liệu quan trọng gây ra hậu quả nghiêm trọng.
Do muốn hiểu rõ hơn về Virus máy tính, chúng tôi quyết định chọn đề tài về
Virus để nghiên cứu.
Trong quá trình thực hiện đề tài này, chúng tôi nhận đợc rất nhiều sự giúp đỡ
của các thầy cô bộ môn trong trờng. Chúng tôi xin chân thành cảm ơn sự giúp đỡ của
các thầy cô bộ môn.
Đây là một đề tài khá rộng nên không thể tránh khỏi sự thiếu sót. Rất đợc sự ủng
hộ và góp ý của thầy cô và các bạn .

Xin chân thành cảm ơn!

Tiểu luận trí tuệ nhân tạo Tìm Hiểu Virus Máy Tính
Chơng I
Tổng quan về virus
I/ Khái niệm chung về virus
Virus máy tính là gì? Đối với những ngừơi không hiểu nhiều đến máy tính họ có
thể hiểu virus máy tính ta nh một lọai bệnh dịch lây lan nào đó, họ thờng phân vân không
hiểu virus sẽ lây ở chỗ nào trong máy tính, và cách chữa trị nó nh thế nào?
Thực chất virus máy tính là một chơng trình máy tính có khả năng tự sao chép
chính nó từ đối tợng lây nhiễm naỳ sang đối tợng khác(đối tợng có thể là các file chơng
trình, văn bản, đĩa mềm,vv ), và ch ong trình đó mang tính phá hoại. Virus có nhiều

là Organism bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá
huỷ Organism của đối phơng và tái tạo Organism của mình. Đấu thủ thắng cuộc
là đấu thủ tự nhân bản đợc nhiều nhất.
Trò chơi Core War này đợc giữ kín đến năm 1983, Ken Thompson ngời đã viết
phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận một trong những
giải thởng danh dự của giới điện toán Giải thởng A.M Turing. Trong bài diễn
văn của mình ông đã đa ra một ý tởng về virus máy tính dựa trên trò chơi Core
War. Cũng năm 1983, Tiến sĩ Frederik Cohen đã chứng minh đợc sự tồn tại của
virus máy tính.
Tháng 5-1984 tờ báo Scientific America có đăng một bài báo mô tả về Core War
và cung cấp cho độc giả những thông tin hớng dẫn về trò chơI này. Kể từ đó
Virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa những ngời viết ra
virus và những ngời diệt virus.
- Năm 1986 Brain Virus:
Có thể đợc coi là virus đầu tiên trên thế giới, Brain âm thầm đổ bộ từ Pakistan vào
nớc Mỹ với mục tiêu đầu tiên là trờng đại học Delaware. Một nơi khác trên thế
giới cũng đã mô tả sự xuất hiện của virus, đó là đại học Hebrew-israel.
4
Tiểu luận trí tuệ nhân tạo Tìm Hiểu Virus Máy Tính
- Năm 1987-Lehigh Virus xuất hiện:
Lại một lần nữa liên quan tới một trờng đại học. Lehigh chính là tên của virus
xuất hiện năm 1987 tại trờng đại học này. Trong thời gian này cũng có một số
virus khác xuất hiện, đặc biệt Worm virus (Sâu Virus), cơn ác mộng với các hệ
thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ làm cho công ty IBM
nhớ mãi với tỗc độ lây lan đáng nể: 500 nghìn nhân bản trong một giờ.
- Năm 1988- Virus lây trên mạng:
Ngày 2-11-1988, Robert Morris đa Virus vào mạng máy tính quan trọng nhất của
Mỹ, gây thiệt hại lớn. Từ đó trở đi ngời ta mới bắt đầu nhận thức đợc tính nguy
hại của Virus máy tính.
- Năm 1989-AIDS Trojan:

- Năm 1996- Boza Virus:
Khi hãng Microsoft chuyển sang hệ điều hành Windows 95 và họ cho rằng virus
không thể công phá thành trì của họ đợc, thì năm 1996 xuất hiện virus lây trên hệ
đIều hành Windows 95.
- Năm 1999-Melissa, Bubbleboy Virus :
Đây thật sự là một cơn ác mộng đối với các máy tính trên khắp thế giới. Sâu
Melissa không những kết hợp các tính năng của sâu internet và Virus Macro, mà
nó còn biết khai thác một công cụ mà chúng ta thờng sử dụng hàng ngày là
Microsoft Outloop Express để chống lại chính chúng ta. Khi máy tính của bạn bị
nhiễm Melissa, nó sẽ tự phân phát mình đi mà khổ chủ không hề hay biết. Và bạn
cũng sẽ rất bất ngờ khi bị mang tiếng là phát tán virus.
Chỉ từ ngày thứ 6 đến thứ 2 tuần sau, virus này đã kịp lây nhiễm 250 ngàn máy
tính trên thế giới thông qua internet, trong đó có Việt Nam, gây thiệt hại hàng
trăm triệu USD. Một lần nữa cuộc chiến lại sang một bớc ngoặt mới, báo hiệu
nhiều khó khăn bởi Internet đã đợc chứng minh là một phơng tiện hữu hiệu để
virus máy tính có thể lây lan trên toàn cầu chỉ trong vòng vài tiếng đồng hồ.
Năm 1999 đúng là một năm đáng nhớ của những ngời sử dụng máy tính
trên toàn cầu, ngoài Melissa, Virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ
6
Tiểu luận trí tuệ nhân tạo Tìm Hiểu Virus Máy Tính
liệu của hàng triệu máy tính trên thế giới, gây thiệt hại gần một tỷ USD vào ngày
26-4.
- Năm 2000-DDOS, Love Letter Virus :
Có thể coi là vụ việc virus phá hoại lớn nhất từ trớc tới nay, Love Lettert có xuất
xứ từ Philippines do một sinh viên nớc này tạo ra, chỉ trong vòng 6 tiếng đồng hồ
đã kịp đI qua 20 nớc trong đó có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt
hại 8.7 USD. Nếu Virus này đợc cải tiến một chút thì có thể gây thiệt hại gấp
trăm lần nh thế.
Còn DDOS ? Những virus này phát tán đi khắp nơi, nằm vùng ở những nơi nó lây
nhiễm. Cuối cùng chúng sẽ đồng loạt tấn công theo kiểu từ chối dịch vụ-Denial

-B-Virus: Virus chỉ tấn công trên Master Boot hay Boot Sector.
-F-Virus: Virus chỉ tấn công lên các file khả thi.
Mặc dù cách phân chia này cũng không hẳn là chính xác. Ngoại lệ vẫn có các virus vừa
tấn công lên Master Boot(Boot Sector) vừa tấn công lên các file khả thi.
Để có một cái nhìn tổng quan về Virus , ta xem chúng dành quyền điều khiển nh thế
nào
a/ B-Virus:
Khi máy tính bắt đầu khởi động (Power on), các thanh ghi phân đoạn đều đợc
đặt về 0FFFFh, còn mọi thanh ghi khác đều đợc đặt về 0. Nh vậy, quyền điều khiển ban
đầu đợc trao cho đoạn mã tại 0FFFFh:0h, đoạn mã này thực ra chỉ là lệnh nhảy JMP
FAR đến một đoạn chơng trình trong ROM, đoạn chơng trình này thực hiện quá trình
POST (Power On Self Test-tự kiểm tra khi khởi động).
Quá trình POST sẽ lần lợt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo các Chip
điều khiển DMA, bộ điều khiển ngắt, bộ điều khiển đĩa Sau đó nó sẽ tim các Cart
thiết bị gắn thêm để trao quyền điều khiển cho chúng tự khởi tạo rồi lấy lại quyền điều
khiển. Chú ý rằng đây là đoạn chơng trình trong ROM(Read Only Memory) nên không
thể sửa đổi , cũng nh cũng không thể chèn thêm một đoạn mã nào khác.
Sau quá trình POST, đoạn chơng trình trong ROM tiến hành đọc Boot Secter trên đĩa A
hoặc Master Boot trên đĩa cứng vào RAM (Random Access Memory) tại địa chỉ
8
Tiểu luận trí tuệ nhân tạo Tìm Hiểu Virus Máy Tính
0:7C00h và trao quyền điều khiển cho đoạn mã đó bằng lệnh JMP FAR 0:7C00h. Đây
là chỗ mà B-Virus lợi dụng để tấn công vào Boot Sector(Master Boot) , nghĩa là nó sẽ
thay Boot Secter chuẩn bằng đoạn mã virus, vì thế quyền điều khiển đợc trao cho virus,
nó sẽ tiến hành các hoạt động của mình trớc, rồi sau đó mới tiến hành các thao tác nh
thông thờng: đọc Boot Sector (Master Boot) chuẩn mà nó cất giấu ở đâu đó vào
0:7C00h rồi trao quyền điều khiển cho đoạn mã chuẩn này, và ngời sử dụng có cảm
giác máy tính của mình vẫn hoạt động bình thờng.
b/F-Virus:
Khi DOS tổ chức thi hành file khả thi ( bằng chức năng 4Bh của ngắt 21h) , nó

trên.
t Format thêm track và ghi vào track vừa đợc format thêm.
tuỳ thuộc vào độ lớn của đoạn mã virus mà B-virus đợc chia làm 2 loại:
a/SB-virus:
Chơng trình của SB-virus chỉ chiếm đúng 1 sector khởi động, các tác vụ của SB-
virus không nhiều và tơng đối đơn giản. Hiện nay số các virus loại này thờng ít gặp.
b/DB-virus:
Đây là những loại virus mà đoạn mã của nó lớn hơn 512 bytes (thờng thấy). Vì
thế mà chơng trình virus đợc chia thành 2 phần:
-Phân đầu virus: đợc cài đặt trong sector khởi động để chiếm quyền điều khiển khi
quyền điều khiển đợc trao cho sector khởi động này. nhiệm vụ duy nhất của phần đầu
là: tải tiếp phần thân của virus vào vùng nhớ và trao quyền điều khiển cho phần thân đó.
Vì nhiệm vụ đơn giản nh vậy nên phần đầu của virus thờng là rất ngắn , và càng ngắn
càng tốt vì càng ngắn thì sự khác biệt giữa sector khởi động chuẩn và sector khởi động
đã bị nhiễm virus càng ít, giảm khả năng bị nghi ngờ.
-Phần thân virus: là phần chơng trình chính của virus. Sau khi đợc phần đầu tải vào
vùng nhớ và trao quyền, phần thân này sẽ tiến hành các tác dụng của mình , sau khi tiến
hành xong mới đọc sector khởi động chuẩn vào vùng nhớ và trao quyền cho nó để máy
tính làm việc một cách bình thờng nh cha có gì xảy ra cả.
2/Một số kỹ thuật cơ bản của B-virus:
10
Tiểu luận trí tuệ nhân tạo Tìm Hiểu Virus Máy Tính
Dù là B-Virus hay DB-Virus, nhng để tồn tại và lây lan, chúng đều có một số
các kĩ thuật cơ bản nh sau:
a/ Kĩ thuật kiểm tra tính duy nhất.
Virus phải tồn tại trong bộ nhớ cũng nh trên đĩa, song sự tồn tại quá nhiều bản
sao của chính nó trên đĩa và trong bộ nhớ sẽ chỉ làm chậm quá trình Boot máy, cũng
nh chiếm quá nhiều vùng nhớ ảnh hởng tới việc tải và thi hành các chơng trình khác
đồng thời cũng làm giảm tốc độn truy xuất đĩa. Chính vì thế, kĩ thuật này là một yêu
cầu nghiêm ngặt với B-virus.

của các chơng trình sau này. Chính vì thế, các virus đợc thiết kế tốt phải kiểm tra sự tồn
tại của mình trong bộ nhớ, nếu đã có mặt trong bộ nhớ thì không giảm dung lợng vùng
nhớ nữa.
c/ Kỹ thuật lây lan
Đoạn mã thực hiện nhiệm vụ lây lan là đoạn mã quan trọng trong chơng trình
virus. Để đảm bảo việc lây lan , virus khống chế ngắt quan trọng nhất trong việc
đọc/ghi vùng hệ thống: Đó là ngắt 13h, tuy nhiên để đảm bảo tốc độ truy xuất đĩa chỉ
các chức năng 2 và3 (đọc/ghi) là dẫn tới việc lây lan. Việc lây lan bằng cách đọc Boot
sector ( Master Boot) lên và kiểm tra xem đã bị lây cha ( kỹ thuật kiểm tra đã nói ở
trên). Nếu sector khởi động đó cha bị nhiễm virus thì virus sẽ tạo một sector khởi động
mới với các tham số tơng ứng của đoạn mã virus rồi ghi trở lại vào vị trí của nó trên đĩa.
Còn sector khởi động vừa đọc lên cùng với thân của virus ( loại DB-Virus) sẽ đợc ghi
vào vùng xác định trên đĩa. Ngoài ra một số virus còn chiếm ngắt 21 của DOS để lây
nhiễm và phá hoại trên các file mà ngắt 21 làm việc.
Việc xây dựng sector khởi động có đoạn mã của virus phải đảm bảo các kĩ thuật sau
đây:
- Sector khởi động bị nhiễm còn chứa các tham số đĩa phục vụ cho quá trình
truy xuất đĩa, đó là bảng tham số BPB của Boot Record hay bảng phân ch-
ơng trong trờng hợp Master Boot. Việc không bảo toàn sẽ dẫn đến việc virus
mất quyền điều khiển hoặc không thể kiểm soát đợc đĩa nếu virus không có
mặt trong môi trờng.
12