Bài giảng môn an toàn mạng Virus và các mối đe dọa từ phần mềm mã độc

Chương trình mã độcLogic Bombs: Một đoạn mã độc được nhúng trong 1 chương trình, kiểm tra nếu thỏa mãn một số điều kiện sẽ tiến hành một số hành động bất hợp pháp.. Worm sử dụng các kết

Virus và các mối đe dọa

từ phần mềm mã độc

Chương trình mã độc đứng độc lập.

Một số loại có thể tự nhân bản

Phân loại chương trình mã

độc

Chương trình mã độc

Logic Bombs: Một đoạn mã độc được nhúng trong 1 chương trình, kiểm tra nếu thỏa mãn một số điều kiện sẽ

tiến hành một số hành động bất hợp pháp

Trapdoors: Một điểm rẽ nhánh bí mật trong một chương trình, dùng để cấp quyền truy cập bất hợp pháp không theo quy tắc thông thường

Trojan Horse

Chương trình mã độc

Worm: Một chương trình mã độc có khả năng tự nhân bản Worm sử

dụng các kết nối mạng để tự gửi các bản sao của nó qua mạng đến các

nút khác mà không cần đến tác động của người dùng (ví dụ gửi chính nó

tới tất cả địa chỉ mail trong danh

sách …)

Không giống virus, worm không cần đến chương trình chủ để ký sinh mà

có thể tự tồn tại độc lập

Chương trình mã độc

Zombie: Một chương trình chiếm

quyền điều khiển một máy tính có nối mạng và sau đó sử dụng máy tính này để thực thi các hành động phá hoại (gửi spam email hoặc

dùng để tấn công DDOS)

Viruses: Đoạn mã được nhúng vào chương trình máy tính, và có thể tự nhân bản nó bằng cách gây ra

hành động chèn bản sao của nó

vào các chương trình khác và thực hiện các hành vi phá hoại

Virus chỉ có thể lây nhiễm khi có sự tác động của người dùng

Hành vi chèn bản sao gọi là Lây

nhiễm

bộ nhớ, đĩa …

else prepend V to file;}

special marker determines if infected

transfer control to the original program

Tránh phát hiện

Phiên bản bị nhiễm của chương

trình dài hơn so với phiên bản gốc (chưa nhiễm)

Giải pháp: Nén file chương trình ->

độ dài chương trình đã nhiễm và

chưa nhiễm bằng nhau

Tránh phát hiện

Chương trình nén

infected uninfected

Các loại virus

Virus ký sinh: gắn vào các file thực thi, nhân bản khi chương trình được chạy

Virus thường trú bộ nhớ: là một

phần của chương trình thường trú

bộ nhớ, nhiễm vào tất cả các

chương trình được thực thi

Virus boot sector: Nhiễm vào

master boot record và lây lan khi

hệ thống được khởi động từ đĩa bị virus

virus qua các mẫu trở nên khó khăn hơn nhiều.

Macro virus: Lấy nhiễm các tài liệu

Microsoft Word Chiếm 2/3 số virus

hiện có

Tràn bộ đệm

Chương trình thực hiện ghi dữ liệu

vào bộ đệm nhiều hơn dung lượng bộ đệm

-> dữ liệu ghi đè lên các vùng nhớ

lân cận, gây ra lỗi

Khi ghi đè lên bộ nhớ stack, kẻ tấn

công có thể lợi dụng để thực thi các

mã độc theo ý muốn (thay đổi địa chỉ trả về của chương trình cho trỏ đến địa chỉ mã độc)

Cơ chế tấn công tràn bộ đệm stack

Stack được xem như 1

chồng đĩa

Khi 1 hàm được gọi, địa

chỉ trả về được lưu vào

local stack memory

return function

y s s

0X0123

\0

Khi hàm copy dữ liệu

vượt quá kích thước biến

trên stack

địa chỉ trả về của hàm

bị ghi đè

Quyền điều khiển không

được trả lại cho chương

trình ban đầu trước khi

local stack memory

return function 0X0123

X X X X

Cơ chế tấn công tràn bộ đệm stack

Các bước tìm diệt virus

Phát hiện – xác định virus xuất hiện

và định vị vị trí của virus

Nhận diện – nhận diện loại virus cụ thể

Gỡ bỏ – gỡ bỏ các mã độc và khôi phục nguyên trạng chương trình

ban đầu

Fourth: bảo vệ nhiều mặt (tập hợp các kỹ thuật chống virus, điều

khiển truy nhập)

Các kỹ thuật tiên tiến

Giải mã họ virus

Hệ thống miễn dịch số

Phần mềm theo dõi hành vi

Bộ quét nhận diện mẫu virus – quét các chương trình để nhận diện các

mẫu virus đã biết

Điều khiển giả lập – Điều khiển việc thực thi mã mã độc trong môi trường giả lập.

Tạo môi trường ảo, trong đó các file

bị nhiễm được thực thi mà không

ảnh hưởng tới hệ thống

Khi các file bị nhiễm thực thi, phần mềm quét sẽ tiến hành rà soát và nhận diện mẫu virus sinh ra

Hệ thống miễn dịch số

Phát minh bởi IBM

Biện pháp ngăn chặn tốc độ lây lan virus

Các hệ thống mail tích hợp - Outlook Các hệ thống chương trình động –

Digital Immune System

Phần mềm theo dõi hành

vi

Quan sát hành vi của các chương trình theo thời gian thực để phát hiện ra các hành động phá hoại – hoạt động như 1 phần của hệ điều hành.

Giám sát các hành động can thiệp hệ thống có thể gây nguy hại như hành

động truy cập file hệ thống, format đĩa, thay đổi cấu hình … và cảnh báo người dùng.

Các dạng phần mềm ngăn

mã độc

Scanners – nhận diện mã độc – tìm kiếm

Integrity Checkers – xác định chương trình

có bị thay đổi hay không – dựa trên