Báo Cáo Phát triển phần mềm diệt virus

PHÁT TRIỂN PHẦN MỀM DIỆT VIRUS
ANTIVIRUS SOFTWARE DEVELOPMENT








TÓM TẮT
Báo cáo này trình bày các hình thức phát tán và cơ chế lây nhiễm của virus máy tính. Báo cáo cũng cho biết các phương pháp phát hiện và phòng chống virus. Dựa vào đó, chúng tôi phát triển phần mềm phòng chống virus (TDAv). Phần mềm này có khả năng bảo vệ hệ thống và thông tin người dùng; phát hiện, ngăn chặn sự phát tán và nhân bản, tiêu diệt virus một cách triệt để.
Từ khóa: virus máy tính; lây nhiễm; phát tán; phát hiện; phòng chống; bảo vệ;
ABSTRACT
This report presents forms of the virus spread and mechanisms of virus infection. Besides, the report presents the methods to detect and prevent viruses. Accordingly, we developed anti- virus software (TDav). This software has the ability to protect system and user information, detect viruses, prevent virus spread and replication, destroy virus thoroughly. It allows to protects your computer in real time.
Keyword: computer virus; infection; spread; detect; anti-virus; protect;




1. Đặt vấn đề
Virus máy tính phát triển theo sự phát triển của công nghệ phần mềm cũng như phần cứng máy tính. Hệ điều hành thay đổi, virus cũng thay đổi để có thể ăn bám, ký sinh trên hệ điều hành mới.
Sự phát triển của Internet làm bùng nổ sự lây lan của virus trên phạm vi toàn cầu với hậu quả cực kỳ nghiêm trọng. Các hệ thống máy tính thường xuyên phải đối phó với các đợt tấn công, dẫn đến nguy cơ bị đình trệ, tắc nghẽn và tê liệt. Việc sử dụng virus lấy cắp tài khoản ngân hàng hay thông tin cá nhân quan trọng, mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển và các hành động khác nhằm có lợi cho người phát tán trở nên phổ biến.
Nhằm ngăn chặn tác hại virus gây ra, đề tài “Phát triển phần mềm diệt virus” đã nghiên cứu và phát triển phần mềm diệt virus TDav có khả năng phát hiện và tiêu diệt virus; nhận biết các loại virus mới; bảo vệ hệ thống; bảo vệ thông tin người dùng; phát triển chức năng quản lý người dùng.
2. Phát hiện và diệt virus
2.1. Virus
Virus là một đoạn mã, một chương trình nhỏ được viết ra nhằm thực hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép hoặc người dùng không biết. Chúng có khả năng tự nhân bản, lây lan sang các tập tin, chương trình khác trong máy tính và sang các máy tính khác.
Virus hiện hành thường tấn công theo hai cổng chính là TCP 1080 và TCP 1745. Khi mở được cổng, nó tiến hành thay đổi network engine policy; tìm post scan và các nút options; sửa mục ports thành các ports tương thích với virus; sửa mục delta thành 60 seconds. Tiếp đến, virus tấn công vào hệ thống regitrys, system32 và logon.



2.2. Phát hiện và diệt virus
Virus gắn chính đoạn mã của bản thân vào một phần của file để được kích hoạt khi thực thi file này. Kỹ thuật so sánh mẫu sẽ phát hiện ra các đoạn mã của virus giống như dấu hiệu nhận biết trong cơ sở dữ liệu của phần mềm diệt virus, phần mềm sẽ tiến hành loại bỏ các đoạn mã này.
Việc sửa chữa file đã bị nhiễm virus cũng có thể còn gây nên hư hỏng file nên chúng ta thường lưu lại file trước khi sửa chữa (vẫn nguyên tình trạng bị nhiễm virus) dưới dạng nén lại hoặc mã hóa để không thể lây nhiễm ngược trở lại.
2.2.1. So sánh với mẫu virus biết trước
a. Cập nhật mẫu:
Các file cần kiểm tra được phân tích và so sánh với các mẫu virus đã biết trước. Kỹ thuật so sánh mẫu virus phải liên tục phải cập nhật cơ sở dữ liệu để có khả năng nhận biết các loại virus mới cùng các biến thể của nó. Có hai dạng cập nhật cơ sở dữ liệu:
- Cập nhật mẫu virus bằng hình thức tải file từ Internet:
Hình thức này có thể tải một lần file cập nhật để có thể cập nhật cho nhiều máy khác nhau, tuy nhiên kích thước file tải lớn, đa số các file cơ sở dữ liệu của các phần mềm diệt virus thông dụng và được nhiều người sử dụng có kích thước file từ 16 Mb trở lên.
- Cập nhật virus bằng cách phân tích mẫu:
Dựa vào đặc tính hoạt động, được chia virus thành hai loại. Thứ nhất, loại virus ẩn âm thầm chạy, không bộc lộ ra một triệu chứng hay dấu vết nào. Thứ hai, loại nhìn thấy thực hiện nhiều hành động phá hoại công khai, chiếm nhiều tài nguyên của bộ xử lý, .
Đối với loại virus ẩn, chúng ta tiến hành so sánh HKEY_CLASSES_ROOT, HKEY_CURENT_USER, HKEY_LOCAL_MACHINE, HKEY_USER với chuẩn của Hệ điều hành Windows. Nếu có thay đổi, tiến hành phân tích theo các đường dẫn thay đổi để đưa ra mẫu virus.
Khi virus nhìn thấy thực thi, máy tính sẽ có các triệu chứng như: CPU usage luôn ở mức cao; start task manager, cmd, dung lượng file, svchost.exe, thay đổi; start task manager, my computer, một số phần mềm văn phòng, ổ đĩa, notepad, USB, các lệnh của windows, bị khóa; máy bị treo; các chương trình tự động thực thi; Chúng ta sẽ phân tích HKEY_CLASSES_ROOT, HKEY_CURENT_USER, HKEY_USER, DOS, WINDOWSể tìm ra mã nguồn thay đổi và files làm hệ thống bị ảnh hưởng, đưa ra mẫu virus.
b. Quét