Câu 6:) Khái niệm, phân loại các chương trình mã độc.
Câu 6:) Khái niệm, phân loại các chương trình mã độc. Phân biệt virus, sâu (worm), zombie.
Khái niệm: chương trình mã độc là một chương trình máy tính hay đoạn mã được thiết kế để gây hại bằng cách phá hủy, tiêu tốn các tài nguyên quý giá, hoặc đặt hệ thống tính toán vào tình trạng không được bảo vệ
Phân loại: có 2 loại chính
o Các đoạn mã độc cần một chương trình chủ để ký sinh, coi như một phần của chương trình chủ
o Chương trình mã độc đứng độc lập
o Ngoài ra 1 số loại còn có thể tự nhân bản
Phân biệt virus, sâu (worm), và zombie
o Viruses: Đoạn mã được nhúng vào chương trình máy tính, và có thể tự nhân bản nó bằng cách gây ra hành động chèn bản sao của nó vào các chương trình khác và thực hiện các hành vi phá hoại. Virus chỉ có thể lây nhiễm khi có sự tác động của người dùng.(Hành vi chèn bản sao gọi là Lây nhiễm)
o Worm: Một chương trình mã độc có khả năng tự nhân bản. Worm sử dụng các kết nối mạng để tự gửi các bản sao của nó qua mạng đến các nút khác mà không cần đến tác động của người dùng (ví dụ gửi chính nó tới tất cả địa chỉ mail trong danh sách …). Không giống virus, worm không cần đến chương trình chủ để ký sinh mà có thể tự tồn tại độc lập.
o Zombie: Một chương trình chiếm quyền điều khiển một máy tính có nối mạng và sau đó sử dụng máy tính này để thực thi các hành động phá hoại (gửi spam email hoặc dùng để tấn công DDOS).
2) Trình bày cấu trúc chung của một virus, kỹ thuật tránh phát hiện bằng việc nén chương trình chủ.
· Cấu trúc chung của 1 virus:
program V:=
{goto main:
1234567;// dấu hiệu đặc biệt xác định xem có bị nhiễm chưa
subroutine infect-executable :=
{loop:
file:= get-random-executable-file;
if (first-line-of-file = 1234567)
then goto loop
else prepend V to file;}
subroutine do–damage :=
{whatever damage is to be done}
subroutine trigger-pulled :=
{return true if some condition holds}
main:main-program :=
{infect-executable;
if trigger-pulled then do-damage;
goto next;}
next:// chuyển điều khiển đến chương trình ban đầu
}
· Kỹ thuật tránh phát hiện bằng việc nén chương trình chủ
o Phiên bản bị nhiễm của chương trình dài hơn so với phiên bản gốc (chưa nhiễm)
o Giải pháp: Nén file chương trình -> độ dài chương trình đã nhiễm và chưa nhiễm bằng nhau.
3) Các loại virus (file virus, virus boot sector, virus đa hình, virus macro). Kỹ thuật giải mã họ virus để phát hiện và diệt các virus đa hình.
· Các loại virus:
o Virus ký sinh: gắn vào các file thực thi, nhân bản khi chương trình được chạy.
o Virus thường trú bộ nhớ: là một phần của chương trình thường trú bộ nhớ, nhiễm vào tất cả các chương trình được thực thi.
o Virus boot sector: Nhiễm vào master boot record và lây lan khi hệ thống được khởi động từ đĩa bị virus.
o Virus giấu mặt: Virus được thiết kế để ẩn mình, tránh bị phát hiện bởi các phần mềm diệt virus (nén, can thiệp các thao tác vào/ra …).
o Virus đa hình: Loại virus biến đổi sau mỗi lần lây nhiễm (chủ yếu thông qua việc mã hóa chính nó bằng các khóa khác nhau), làm cho việc phát hiện virus qua các mẫu trở nên khó khăn hơn nhiều.
o Macro virus: Lấy nhiễm các tài liệu Microsoft Word. Chiếm 2/3 số virus hiện có.
· Kỹ thuật giả mã họ virus để phát hiện ra các virus đa hình
o Dễ dàng phát hiện kể cả các virus đa hình phức tạp nhất.
o Không ảnh hưởng tới hệ thống
o Gồm các thành phần sau:
· Giả lập CPU – phần mềm máy tính ảo
· Bộ quét nhận diện mẫu virus – quét các chương trình để nhận diện các mẫu virus đã biết
· Điều khiển giả lập – Điều khiển việc thực thi mã mã độc trong môi trường giả lập.
o Dựa trên nguyên tắc: Virus đa hình phải tiến hành giải mã thân virus và trao quyền điều khiển cho bộ phận này.
o Tạo môi trường ảo, trong đó các file bị nhiễm được thực thi mà không ảnh hưởng tới hệ thống.
o Khi các file bị nhiễm thực thi, phần mềm quét sẽ tiến hành rà soát và nhận diện mẫu virus sinh ra.
Bạn đang đọc truyện trên: Truyen247.Pro