Giáo viên hướng dẫn: ThS. Đỗ Xuân Toàn
Sinh viên thực hiện: Tạ Thế Hiếu
Trường Đại Học Dân Lập Hải Phòng
Khoa Công Nghệ Thông Tin
NỘI DUNG TRÌNH BÀY
1. Tổng quan về Virus
2. Các kỹ thuật xây dựng Virus trên Windows
3. Vài nét về Virus được xây dựng
1.1. Virus là gì?
1.2. Cấu trúc của một Virus File
1.3. Các kỹ thuật xây dựng Virus
1. TỔNG QUAN VỀ VIRUS
1.1. Virus là gì?
– Virus là một chương trình có khả năng tự sao
chép chính nó. Khi nó thực thi, nó sẽ tạo ra một
hay nhiều bản copy của chính nó một cách đơn
giản nhất. Những copy này sau đó có thể tiếp
tục thực hiện nhiều copy khác.
– Virus xâm nhập vào máy tính và thực thi trong
máy tính bằng cách nằm trong các chương trình
lớn hơn.
1. TỔNG QUAN VỀ VIRUS
1.1. Virus là gì?(tt)
Phân loại Virus:
Có nhiều cách để phân loại Virus nhưng cách phân loại
phổ biến hiện nay là phân loại theo đối tượng lây nhiễm,
gồm có:
– B-Virus: Virus chỉ tấn công lên Master Boot hay Boot
Sector.
– F-Virus: Virus chỉ tấn công lên các file thực thi.
1. TỔNG QUAN VỀ VIRUS

năng của virus
Kiểm tra giá trị
hàm trả về?
Đã lây
Chưa lây
Đúng
Sai
Kiểm tra bằng hàm chức năng
Di chuyển đến vị trí đã
định vị đoạn mã của virus
So sánh với đoạn
mã của virus?
Chưa lây
Đã lây
Đúng
Sai
Kiểm tra bằng dò đoạn mã
1. TỔNG QUAN VỀ VIRUS
1.3.1. Kiểm tra tính tồn tại (tt)
- Kiểm tra file
Kiểm tra bằng kích thước Kiểm tra bằng cách dò đoạn mã Kiểm tra bằng Keyvalue
Mở file
Đọc tiêu đề
OK=FileSize-VirusSize
- HeaderSize
Đã lây
Chưa lây
Kiểm
tra:
IP=OK?

lớn => Dễ bị phát hiện
- Một cách khắc phục đơn giản là lây vào các file
nằm trong 2 thư mục Windows và System
1. TỔNG QUAN VỀ VIRUS
1.3.3. Kỹ thuật tìm file đối tượng
Gọi chức năng FindFirstFile
Tìm được file?
File có thể lây?
File EXE?
Đã lây
nhiễm?
Thưc hiện lây nhiễm
Gọi chức năng FindNextFile
Đúng
Sai
Sai
Sai
Đúng
Đúng
Đúng
1. TỔNG QUAN VỀ VIRUS
1.3.4. Kỹ thuật lây lan
Đúng
Lấy thuộc tính
Đặt lại thuộc tính (Normal)
Mở file
Lấy ngày giờ
Ghi chương trình Virus
Chỉnh lại Header
Ghi lại Header

TRÊN WINDOWS
The Windows EXE New Header
Offset Cỡ Tên Mô t
0 2 bytes Sidnature Nhn dng header mi,luôn luôn cha cc bytes “NE”
2 1 Linker Version Nhn dng liner liên kt vi exe
3 1 Linker Rersion S Phiên bn f of liên kt
4 2
Entry Table
offset
Offset của Entry Table, tương ng vi diểm bắt đầu của
một hearder mi
6 2
Entry Table
Length
Độ dài của Entry table, tính bằng bytes
8 4 Reserved
0C 2 Flags
Bit Mô t
0 1= đon dữ liệu đơn ( 1 DLL)
1
1= nhiều đon dữ liệu ( 1 chương trình ng
dng0
11 1= đon đàu tiên có mã ti ng dng
13 1= lỗi link-time
15 1= đây là 1 DLL
0E 2 Auto Data
Segment
Chỉ rõ s đon dữ liệu tự động
10 2 Local hep Size khởi to kích thưc cua vùng heap, tính bằng bytes
12 2 Stack Size khởi to kóch thưc vùng stack, tính bằng bytes

Pts
S bưc có thể dịch chuyển của con trỏ đầu vào.
32 2 Seg
Alignme
nt
Bn ghi cơ sơ 2 của kích thưc đon sector
Mặc định là 9=512 byte sector logic
34 2 Resourc
e Segs
S hiệu của đon tài nguyên.
36 1 Op Sys Chỉ HĐH nào điều khiển file này(1=OS/2; 2=WindowsDOS)
37 1 Flags2 Bit Mô t
1 1=ng dng của Windows2.x chy trong ch độ protected
2 1=ng dng của Windows2.x chng li sự tương thích các
mẫu
3 1= Vùng ti nhanh các gói dữ liệu
2.2. Cách tổ chức bộ nhớ trên windows
- Windows sử dụng bộ quản lý bộ nhớ ảo để quản lý bộ nhớ.
- Bộ nhớ của windows là bộ nhớ phẳng được chia thành từng page
4KB.
- Một ứng dụng được cấp một không gian bộ nhớ trong đó chủ yếu là
bộ nhớ ảo và chúng được sử dụng trong 2 chế độ: User mode và
Kernel mode.
2. CÁC KỸ THUẬT XÂY DỰNG VIRUS
TRÊN WINDOWS
2.3. Sử dụng hàm API
- Hầu hết các dịch vụ ngắt DOS 21h đều có giá trị
trong Windows
- Tuy nhiên các Virus "Windowsy" lại gọi hàm
API một cách trực tiếp

Lần lấy = 3?

Thấy
Thấy
Không thấy
Không thấy
Đúng
Đúng
Đúng
Sai
Sai
Sai
3.2. Các thủ tục mà virus sử dụng
- Thủ tục InStr2
- Thủ tục StrCat
- Thủ tục StrCatDest:
- Thủ tục StrCpy
- Thủ tục GetNextString
- Thủ tục RemoveFirstLast

3. VIRUS ĐƯỢC XÂY DỰNG
KẾT LUẬN
- Virus là một chương trình máy tính nên rất dễ gây
nhầm lẫm với một số chương trình của người sử
dụng.
- Ngoài cách dựa hoàn toàn vào các chương trình
diệt virus ta cũng nên có thêm một chút kiến thức
về hệ thống máy tính và virus để khỏi ngỡ ngàng,
bối rối khi bị virus xâm nhập và phá hoại.