Ebook Virus toàn tập

[duc_phuc_chien]

Download miễn phí Ebook Virus toàn tập

Mục Lục
Lời nói đầu . 3
Giới thiệu tổng quát về virus tin học
I. Virus và Trjan horse . 5
II. ý tưởng và lịch sử .7
III. Cách thức lây lan và phá hoại . 8
Chương 1: Đĩa ư Sơ lược về đĩa
I. Cấu trúc vật lí . 13
II. Cấu trúc logic . 17
III. Các tác vụ truy xuất đĩa . 28
Chương 2: B ư virus
I. Phương pháp lây lan . 49
II. Phân loại . 51
III. Cấu trúc chương trình B ư virus . 52
IV. Các yêu cầu của một B ư virus . 54
V. Phân tích kĩ thuật . 56
VI. Phân tích một B ư virus mẫu .
VII. Cách phòng chống và chữa trị virus .
Chương 3: Quản lí file và vùng nhớ dưới DOS
I. Quản lí và tổ chức thi hành file dưới DOS .
II. Tổ chức quản lí vùng nhớ .
Chương 4: F ư virus
I. Phương pháp lây lan . 49
II. Phân loại . 51
III. Cấu trúc chương trình B ư virus . 52
IV. Các yêu cầu của một B ư virus . 54
V. Phân tích kĩ thuật . 56
VI. Phân tích một B ư virus mẫu .
VII. Cách phòng chống và chữa trị virus .


http://cloud.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-01-13-ebook_virus_toan_tap.RmV8MgApT0.swf /tai-lieu/de-tai-ung-dung-tren-liketly-54421/
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí

Tóm tắt nội dung tài liệu:

khăn gặp phải khi sử dụng ph−ơng pháp này.
+ Nên phân tích FAT chỉ cho đĩa mềm hay cho cả hai loại đĩa mềm lẫn đĩa cứng? Thông
th−ờng, các hacker chọn ph−ơng án chỉ phân tích trên FAT của đĩa mềm vì tất cả các loại đĩa
mềm (và cả đĩa cứng d−ới 12Mb) đểu dùng loại FAT 12 bit, đơn giản hơn là phải phân tích
thêm FAT 16 bit. Mặt khác, các đĩa cứng dù có chia partition hay không cũng th−ờng có các
sector ẩn (Hidden sector) không dùng đến (nếu nó ch−a bị một virus khác tr−ng dụng), rất
thuận lợi cho việc cất dấu. Nh−ng vẫn có ngoại lệ khi Pingpong virus vẫn làm điều khó khăn
này, nó chiếm các cluster trên cả hai loại FAT với đoạn m phân tích FAT ‘tối −u’ về kích
th−ớc cũng nh− giải thuật, đ−ợc ‘trích đoạn’ từ m phân tích FAT trong file hệ thống IO.SYS
của DOS.
+ Chọn ph−ơng pháp này, hacker phải chấp nhận tải FAT vào vùng nhớ để phân tích.
Nh−ng kích th−ớc FAT của mỗi đĩa là khác nhau, có thể chiếm nhiều sector (đối với đĩa
1.2Mb lên đến 7 sector cho một FAT). Do đó, kích th−ớc vùng nhớ mà virus phải chiếm chỗ
cho FAT cũng đ quá lớn, ch−a kể đến đoạn ch−ơng trình của virus. Giải quyết vấn đề này
cũng không phải là dễ dàng nếu ta biết DOS cũng phải đến phiên bản 3.xx mới giải quyết đ−ợc.
42
4/ Kĩ thuật phá hoại: Không ai xa lạ gì về kiểu phá hoại của virus (đôi khi cũng đổ lỗi cho
virus để che dấu sự thiếu hiểu biết của mình). Có thể chia những loại phá hoại thành hai nhóm
chính.
a. Định thời: Đối với loại định thời, virus sẽ kiểm tra một giá trị (có thể là ngày giờ, số lần
lây, số giờ máy đ chạy ....). Khi giá trị này v−ợt qua một giá trị cho phép, virus sẽ bắt đầu phá
hoại. Do tính chất chỉ ‘ra tay’ một lần, virus loại này th−ờng nguy hiểm. Để có thể đếm giờ,
virus có thể dùng các cách sau:
+ Chiếm ngắt 8 để đếm giờ: việc quy đổi sễ đ−ợc tính tròn hơn là chính xác. Theo cách
tính nh− vậy, một giá trị 0FFFFh của timetick count sẽ t−ơng đ−ơng nh− một giờ. Cách tính
này th−ờng dùng để tính số giờ chạy máy, giá trị đếm có thể cập nhật lại sau đó trên đĩa. Đặc
tr−ng cho cách này là virus Disk Killer với bộ đếm giờ ‘khủng khiếp’, sau khi chạy máy đ−ợc
48 giờ, toàn bộ partition boot đ−ợc của bạn sẽ bị m hóa toàn bộ (một tài liệu n−ớc ngoài cho
là đĩa cứng bị format lại hay bị ghi ‘rác’ vào - nh−ng điều này hoàn toàn sai lầm).
+ Chiếm ngắt 21h của DOS để lấy ngày tháng: việc lấy ngày tháng xem ra khó khăn cho
B - virus hơn là F - virus, vì ở mức độ quá thấp, khi máy vừa khởi động, DOS ch−a khởi tạo
các ngắt cho riêng mình, kể cả ngắt 21h. Do đó, virus chỉ có thể lấy ngày tháng từ CMOS
RAM trên các máy AT, điều này lại không có trên XT. Do tính không ‘t−ơng thích’ này mà
các B - virus bỏ qua không dùng đến cách này. Tuy nhiên, về sau, khi đ ‘phát triển’ cao, B -
virus đ có thể vòng lại một lần nữa để lấy ngắt 21h thì việc này mới đ−ợc giải quyết xong.
Đặc tr−ng cho loại này là Joshi virus, với sự kiểm tra liên tục ngày tháng của hệ điều hành,
nếu đúng vào ngày 5 tháng 1, nó sẽ bắt ng−ời sử dụng đánh vào một câu chúc mừng ‘Happy
birthday Joshi’ tr−ớc khi có thể làm thêm bất kì một điều gì.
+ Đếm số lần lây cho các đĩa khác: cách này dễ thực hiện hơn vì không cần đếm giờ,
ngày tháng cho mất công. Khi một đĩa đ−ợc virus ‘kí tên’ vào, bộ đếm của nó sẽ tự động tăng
lên một đơn vị. Khi số đĩa bị lây đ v−ợt quá một con số cho phép, đĩa đó sẽ bị phá hoại.
b. Ngẫu nhiên và liên tục: Virus không cần đếm giờ, chỉ sau vài phút xâm nhập vào hệ
thống, nó sẽ phát huy tác dụng. Do tính chất này, virus không mang tính phá hoại mà đơn giản
là gây một số hiệu ứng phụ ở loa, màn hình, bàn phím... để gây sự ngạc nhiên và thích thú (lẫn
bực dọc) cho ng−ời sử dụng.
Điển hình cho loại này là Pingpong virus, sau khi thâm nhập xong, vài phút sau đ thấy trên
màn hình xuất hiện một trái banh chuyển động trên màn hình và tuân theo đúng các định luật
phản xạ khi gặp các đ−ờng biên. Đặc biệt, những kí tự mà nó đi qua vẫn giữ nguyên không bị
thay đổi ( các bạn có thể xem đoạn ch−ơng trình mô phỏng ở phần phụ lục A).
5/ Kĩ thuật ngụy trang và gây nhiễu: Kĩ thuật này thực ra đ ra đời khá muộn màng do
khuynh h−óng ngày càng dễ bị phát hiện. Kích th−ớc virus khá nhỏ bé nên việc dò từng b−ớc
(trace) xem nó làm gì là điều mà các thảo ch−ơng viên có thể làm đ−ợc. Trong thực tế khó có
một ph−ơng pháp hữu hiệu nào để chống lại ngoài cách viết cố tình rắc rối. Ph−ơng pháp này
có vẻ cổ điển nh−ng lại rất hữu hiệu. Bằng một loạt các lệnh mà ng−ời dò theo có thể bị halt
máy nh− đặt lại stack vào một vùng mà không ai dám thi hành tiếp, chiếm và xóa một số ngắt,
đặt lại thanh ghi phân đoạn để ng−ời dò không biết dữ liệu lấy từ đâu ra .... Các ch−ơng trình B
- virus về sau đ gây khó khăn không ít trong cố gắng khôi phục đĩa bị nhiễm. Một ph−ơng
pháp khác có thể dùng là m hóa ngay chính ch−ơng trình virus, tuy nhiên, cho đến nay ch−a
có một ch−ơng trình B - virus nào dùng đến ph−ơng pháp này.
Việc gây nhiễu này chỉ có tác dụng trên các máy đ bị nhiễm hay dùng một phần mềm debug
theo dõi. Nếu toàn bộ ch−ơng trình virus đ−ợc đổ ra thành file và xem từng b−ớc một thì virus
cũng đành phải chào thua.
Để tránh bị phát hiện quá sớm hay bị phát hiện bởi các phần mềm chống virus, đòi hỏi virus
phải có tính ngụy trang. Việc ngụy trang này xảy ra trong vùng nhớ lẫn trên đĩa.
Đối với vùng nhớ, với kĩ thuật l−u trú, B - virus luôn chiếm ở vùng nhớ cao, do đó sẽ tạo ra sự
chênh lệch giữa vùng nhớ do BIOS quản lí và vùng nhớ thực sự của máy. Bất kì một phần mềm
www.updatesofts.com
43
công cụ nào kiểu Memory Map đều có khả năng thông báo điều nay (chẳng hạn PCTools của
Central Point ...). Thực tế ‘đau lòng’ không thể nào tránh khỏi này đang là nỗi đau đầu cho các
hacker. Đến nay, vẫn ch−a có B - virus nào giải quyết vấn đề này và mọi chuyện vẫn còn ở
phía tr−ớc.
Đối với đĩa, mọi chú ý đều tập trung vào Boot sector (và Partition table nữa). Mọi thay đổi trên
Boot sector dù nhỏ cũng tạo một mối nghi ngờ cho ng−ời sử dụng - ng−ời đ có quá nhiều
kinh nghiệm qua nhiều lần phá hoại của virus. B - virus đ giải quyết vấn đề này bằng hai
cách. Chỉ cài đúng đoạn m chính vào Boot sector (nếu virus thuộc loại DB - virus), đoạn m
này càng ngắn càng tốt và nhất là càng giống đoạn m chuẩn trong Boot sector. Đoạn này chỉ
có một nhiệm vụ cỏn con là nạp tiếp phần còn lại vào trong vùng nhớ và trao quyền cho nó. Vì
lí do này khả năng phát hiện virus đ giảm xuống đáng kể. Tuy vậy, cách thứ hai vẫn luôn
đ−ợc áp dụng: khi máy đang nằm trong quyền chi phối của virus, mọi yêu cầu đọc ghi Boot
sector (hay Partition table), tất nhiên là trừ chính virus, sẽ đ−ợc virus trả về cho một bản Boot
sector chuẩn - Boot sector tr−ớc khi virus lây. Và điều này, sẽ gây ra một ‘ảo t−ởng’ về sự
trong sạch của máy và đánh ...