-18-

PHÂN TÍCH THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG DIỆT VIRUS THÔNG
MINH DỰA TRÊN HÀNH VI CỦA NÓ

Đoàn Văn Công
MSV: 0320037
Email:
Cán bộ hướng dẫn: ThS. Nguyễn Cảnh Hoàng

1. Giới thiệu
Trong thời đại công nghệ thông tin ngày
càng phát triển mạnh, yêu cầu bảo mật dữ liệu
ngày càng được quan tâm và tập trung nhiều
công sức. Cùng với công nghệ thông tin cũng
như vấn đề bảo mật virus - một loại chương
trình với mục đích xấu phá hại hoặc ăn trộm
thông tin của nạn nhân cũng ra đời và phát triển
mạnh mẽ.
Hiện chưa có chương trình hoàn hảo để phát
hiện và loại trừ virus một cách triệt để. Phương
pháp cũ, nhận dạng virus dựa trên chữ ký của
virus giờ đã quá “già” trước “sức trẻ” của virus.
Trong khóa luận, chúng ta sẽ tập trung vào
công nghệ mới nhất hiện nay nhằm phát hiện và
loại trừ virus: Diệt virus thông minh dựa trên
hành vi ứng xử của chương trình mà đưa ra các
quyết định tương ứng.
Trong khóa luận chúng ta tập trung nghiên
cứu trên hệ điều hành window, các hệ điều
hành khác có thể có cách xử lý hơi khác nhưng

đầu là phần tiêu đề (PE Header) lưu giữ thông
tin về tác giả, thời gian tạo lập... Đồng thời lưu
trữ một bảng con trỏ API gọi là Import Table.
Hệ điều hành cũng lưu trữ một bảng tương
tự gọi là System Import Table.
Khi một API được gọi, chương trình ứng
dụng tìm địa chỉ API đó trong Import Table, đặt
các tham số vào Stack và thực hiện lệnh Call
tới địa chỉ vừa tìm được. Chính xác hơn lệnh
Call này trỏ tới System Import Table. Từ
System Import Table hệ điều hành tìm được địa
chỉ thực của API trong Kernel và thực thi API.
3. Phương pháp giải quyết dựa trên cơ sở lý
thuyết

Trên cơ sở lý thuyết đó, việc đầu tiên là
nâng quyền cho tiến trình thực thi việc can
thiệp vào chương trình ứng dụng.
Việc này được thực hiện thông qua một
driver do driver có khả năng điều khiển cả phần
cứng lẫn phần mềm.
Khó khăn hơn là việc chiếm quyền kiểm
soát các API từ ứng dụng. Dựa trên cơ chế gọi
hàm API chúng ta có thể thay thế để có thể
kiểm soát ở một trong hai vị trí:
+ Thay địa chỉ các API trong Import Table,
thay vì chỉ tới System Import Table, Import
Table sẽ chỉ tới Module tiến trình diệt virus, sau
đó Module tiến trình diệt virus trỏ tới System
Import Table. Cách thực hiện như vậy được gọi

Cải tiến: khoảng calculateTime động, quá trình
kiểm tra virus diễn ra mỗi khi hành động nguy
hiểm được thực hiện:
caculateTime isVirus

k – n k

k – n + 1 k + 1
b)
Xác định virus dựa trên tần số thực
hiện hành động nguy hiểm
Thuật toán này đặt giới hạn cho mỗi loại
hành động nhạy, giới hạn này được dùng để so
sánh kiểm tra xác thực virus. Khi chương trình
ứng dụng là virus nếu nó thực hiện hành động
nhạy cảm với tần số lớn hơn tần số cho phép.
Mỗi lần, chương trình ứng dụng thực thi
hành động nguy hiểm, tầ
n số trung bình được
cập nhật đồng thời hàm isVirus được kiểm tra.
caculateTime isVirus

k – 1 k

c)
Kết hợp hai thuật toán cho thuật toán
bù đắp hạn chế cả hai thuật toán.

Mỗi khi chương trình thực hiện hành vi
nguy hiểm, bước kiểm tra có phải là virus được

thống
+ Đăng ký kiểm soát hành động bàn phím
Kết quả thực nghiệm cho thấy việc nắm bắt,
kiểm soát theo hành vi thích hợp tối đa đối với
các mẫu virus mới chưa được phát hiện, đồng
thời giúp người dùng kiểm soát việc sử dụng
các thiết bị, giảm bớt nỗi lo ngại lây nhiễm
virus.
6. Kết luận
Trong khóa luận này tôi đã thực hiện việc
nghiên cứu cách tương tác của chương trình
ứng dụng với hệ điều hành, từ đó tìm ra cơ chế
kiểm soát từ đó can thiệp, tìm ra đâu là virus
dựa trên chính những hành động đó.
k k + 1