Download miễn phí Đồ án Cơ chế phát hiện và báo động virus



MỤC LỤC
MỞ ẦU: . 1
CƠ CHẾ PHÁT HIỆN VÀ BÁO đỘNG VIRUS . 3
A/Lý Thuyết: . 3
I/Mộtsố khái niệmcơbảnvề Virus: . 3
1đ/ịnh nghĩa: . 3
2/Phân Loại: . 3
3/Tính chấtcủa Virus: . 3
4/Các công nghệcủa Virus: . 4
II/Cơ chế phát hiện và báo động Virus: . 11
1/Kiểm trabộ nhớ trong: . 12
2/Kiểm tra Master Boot và Boot Sector: (dùng cho Virus Boot ) . 13
3/Kiểm tra trênfile: . 15
B/Chương TrìnhMinhHọa: . 16
1/Ngôn ngữ viết chương trình:. 16
2/Chương trình minhhọa: . 16


http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-01-07-do_an_co_che_phat_hien_va_bao_dong_virus.t5e0ORFDdv.swf /tai-lieu/de-tai-ung-dung-tren-liketly-53936/
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí

Tóm tắt nội dung tài liệu:

ờng DOS vì nó không thể tìm ra bản đăng kí (Resgistry) của Windows. Để khắc
phục điểm yếu này ngày nay các virus phát triển theo hướng lai, bao gồm có nhiều
phần mỗi phần có tác dụng lây nhiễm trên những môi trường khác nhau.
e/Tính phát triển kế thừa:
-Các virus ra đời sau thường có xu hướng kế thừa những ý tưởng công nghệ
của các virus đã có trước theo cách này hay cách khác giữ nguyên hay sửa đổi cải tiến
…để có thể tận dụng những điểm mạnh và khắc phục những điểm yếu dễ dàng hơn.
Điều này nhiều khi tạo ra một họ virus như họ virus Date,họ virus Tiny…
4/Các công nghệ của Virus:
-Virus muốn tồn tại và phát triển thì nó phải có sức mạnh, sức mạnh có được
từ các công nghệ tạo virus, đó là các cách tạo virus thông minh tối ưu độc đáo,mỗi
cách mới để tạo ra virus đều có thể tạo ra một phương pháp mới một công nghệ mới.
Dưới đây chỉ là một số công nghệ thông dụng
a/Công nghệ lây nhiễm (Infect):
-Là công nghệ căn bản của một virus bảo đảm cho sự tồn tại lây lan phát triển
của virus. Những virus có tính lây lan càng nhanh thì thông thường mức độ nguy hiểm
càng lớn
5
-Các virus Boot
+Đối với đĩa mềm việc lây nhiễm đơn giản chỉ là thay thế Boot Record
(BR) với một đoạn chương trình virus
+ĐốI với đĩa cứng vì Master Boot Record (MB) và BR trên phân vùng hoạt
động đều được trao quyền khởi động nên có thể thay thể MB hay BR. Kích thước của
MB/BR chỉ gồm 1 sector 512 byte (DOS) nên không đủ lớn đối với một virus, nên cần
phải tìm một vị trí trên đĩa để lưu phần mã còn lại. MB/BR cũ chứa các thông tin quan
trọng về bản phân vùng/bảng tham số đĩa nên cần lưu, nơi lưu giữ phải bảo đảm
không bị ghi đè. Virus có thể sử dụng một số vùng đĩa sau:
+Đối với đĩa mềm: Có thể dùng những vùng đĩa ít khi được sử dụng như
các sector cuối của thư mục gốc các sector cuối trên đĩa, hay có thể sử dụng các sector
còn trống bất kì rồi đánh dấu các sector này đã bị hỏng, một phương pháp khác là có
thể định dạng thêm track mới cho đĩa mềm sau đó sử dụng track này.
+ĐốI với đĩa cứng : Vì trên track 0 thường chỉ chứa MB trên sector 1 do đó
có rất nhiều sector không dùng đến có thể sử dụng vào mục đích này hay có thể sử
dụng hai phương pháp đầu đã áp dụng đối vớI đĩa mềm
+Như vậy sau khi trao quyền điều khiển virus Boot sẽ tiến hành các hoạt
động lây nhiễm cài đặt sau đó đọc MB/BR cũ vào Ram trả quyền điều khiển cho đoạn
mã trong MB/BR cũ. Các virus thường cố gắng lây nhiễm trên đĩa cứng ngay khi khởi
động vì đĩa cứng là cố định trong suốt phiên làm việc của máy tính. Để lây nhiễm trên
đĩa mềm các Boot virus thường tiến hành phân phối vùng nhớ riêng để thường trú
chiếm một số ngắt để phục vụ cho việc lây lan (thường là ngắt 13h) ,mỗi khi phát hiện
thấy đĩa mềm chưa bị nhiễm virus sẽ tiến hành lây trên đĩa mềm đó.
- Các virus File
+Các virus File trên môt trường Dos chỉ có các dạng file thi hành .com;.
exe;.bat. Sử dụng các ngắt dịch vụ file để tiến hành những thao tác mở đóng file xóa ,
đặt thuộc tính file lấy đặt ngày giờ tạo file (thường sử dụng ngắt 21h)
+Các công nghệ ghép chương trình virus vào file chủ :
+ghi đè : áp dụng đối vớI file dạng .com đơn giản chỉ ghi đè mã lệnh lên
đầu file chủ ,mỗi khi chương trình chủ được thi hành virus sẽ chiếm quyền điều khiển.
Do virus không lưu dữ phần dữ liệu của chương trình chủ nên không thể trả quyền thi
hành cho chương trình chủ,do đó loại virus này mang tính phá hoại hơn là lây lan.
+ghi đè bảo toàn: áp dụng đối với file dạng .com, phần dữ liệu bị ghi đè
được virus ghi xuống cuối file nên có thể trả quyền điều khiển cho chương trình chủ
được.
+dịch chuyển:có thể áp dụng đối với các loại file .exe ,.com. Lây nhiễm
bằng cách đặt mã lệnh virus lên đầu file sau đó chuyển toàn bộ dữ liệu của chương
trình chủ xuống sau mã lệnh của virus,nên virus có thể trả quyền điều khiển cho
chương trình chủ.
6
+song hành : đặc điểm của dos là khi thi hành một file nếu không gõ phần
mở rộng thì dos sẽ thi hành các file cùng tên theo thứ tự .exe;.com;.bat
Do đó khi phát hiện một file exe thì virus sẽ tạo một file cùng tên có đuôi .com
Khi thi hành file ta không gõ phần mở rộng thì virus sẽ chiếm quyền điều khiển.
+ Nối thêm: Virus được ghi vào cuối file chủ, file bị sửa đổi sẽ chuyển
quyền điều khiển đến mã lệnh virus mỗi khi file thi hành. Đối với file .com virus
thường lưu vài byte đầu (thường từ 3-5 byte đủ kích thước cho một lệnh nhảy) lệnh này
định hướng đến phần mã còn lại của virus. Đối với file .exe virus sẽ sửa các giá trị
trong exe header để chuyển đầu vào của chương trình đến phần mã lệnh của virus
+còn một số cách khác như chèn giữa file, định hướng lại lệnh nhảy…
b/Công nghệ kiểm tra sự tồn tại (Check if exist):
-Virus phải lây nhiễm nhưng ở mỗi nơi chỉ được lây nhiễm một lần, nếu virus
lây nhiễm nhiều lần ở một nơi thì chẳng có hiệu quả gì tốt hơn việc lây nhiễm một lần
tại nơi đó, hơn nữa việc này ảnh hưởng rõ rệt tới tốc độ của máy tính làm người sử
dụng nghi ngờ máy bị nhiễm virus và tạo ra sơ hở lớn cho các chương trình diệt virus.
Chính vì các lí do đó trước khi lây nhiễm virus phải kiểm tra sự tồn tại của mình trên
đối tượng chủ, môi trường.
-Đối với virus boot
+Kiểm tra trên bộ nhớ chỉ tiến hành một lần khi máy tính khởi động trước
khi tiến hành thường trú do đó tốc độ không phải là yêu cầu chính quan trọng là độ
chính xác. Có thể kiểm tra bằng cách dò tìm các đoạn mã nhận dạng trên bộ nhớ hay
có thể tạo thêm hàm ngắt để kiểm tra. Virus có thể tạo nên những ngắt mới trả lại
những giá trị đặt biệt trong các thanh ghi là dấu hiệu để nhận biết sự tồn tại.
+kiểm tra trên đĩa:Kiểm tra trên đĩa đã bị lây nhiễm hay chưa,việc kiểm tra
trên đĩa phải được tiến hành nhiều lần nên phải bảo đảm tốc độ.
-Đối với virus file
+kiểm tra trên bộ nhớ tương tự như virus boot
+kiểm tra trên file: Có thể dò tìm đoạn mã nhận dạng trên file,virus có thể
kiểm tra đoạn mã nhận dạng trên toàn bộ file hay trên một phần nào đó của file, nếu
không thấy đoạn mã coi như file đó chưa bị lây nhiễm. Có thể dùng phương pháp kiểm
tra theo kích thước hay kiểm tra theo nhãn thời gian của file (thường khi lây nhiễm
virus đưa vào các giá trị đặc biệt như tháng 13 hay giây 65).
c/Công nghệ định vị:
-Là công nghệ để xác định vị trí của virus trên vùng nhớ. Đây là một công
nghệ cơ bản nhưng rất quan trọng vì để virus có thể hoạt động được nó bắt buộc hệ
thống phải thực thi nó bằng cách định vị địa chỉ của nó trong vùng nhớ và bắt buộc hệ
thống thi hành đoạn mã lệnh tại vùng nhớ đó.
-Đối với virus boot
+MB,BR luôn được BIOS nạp vào RAM tại địa chỉ 0000:7C00h và chuyển
quyền điều khiển với một lệnh nhảy xa: JMP FAR 0000:7C00
7
Do đó khi virus boot nhận được quyền điều khiển thanh ghi CS=0 các tham chiếu đều
ph

---