Bài giảng An toàn mạng máy tính - Bài 2b: Các phần mềm gây hại - Tô Nguyễn Nhật Quang

pdf 73 trang ngocly 70
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng An toàn mạng máy tính - Bài 2b: Các phần mềm gây hại - Tô Nguyễn Nhật Quang", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_an_toan_mang_may_tinh_bai_2b_cac_phan_mem_gay_hai.pdf

Nội dung text: Bài giảng An toàn mạng máy tính - Bài 2b: Các phần mềm gây hại - Tô Nguyễn Nhật Quang

  1. Trường ĐạiHọc Công Nghệ Thông Tin Khoa Mạng Máy Tính và Truyền Thông AN TOÀN MẠNG MÁY TÍNH ThS. Tô NguyễnNhậtQuang
  2. NỘI DUNG MÔN HỌC 1. Tổng quan về an ninh mạng 2. Các phầnmềmgâyhại 3. Các giảithuật mã hoá dữ liệu 4. Mã hoá khoá công khai và quản lý khoá 5. Chứng thựcdữ liệu 6. Mộtsố giao thứcbảomậtmạng 7. Bảomậtmạng không dây 8. Bảomậtmạng vành đai 9. Tìm kiếmpháthiện xâm nhập 2
  3. BBààii 22 CCÁÁCC PHPHẦẦNN MMỀỀMM GÂYGÂY HHẠẠII
  4. B. VIRUS MÁY TÍNH 4
  5. NỘI DUNG Tổng quan về Virus máy tính Các kỹ thuậtcủa Virus máy tính Các kỹ thuậtcủa Virus máy tính trên mạng Phòng chống Virus máy tính Mộtsố bài tập 5
  6. 1. Tổng quan về Virus máy tính ™Virus máy tính là gì? ™So sánh Virus, Worm, Zombie, Trojan 6
  7. 1. Tổng quan về Virus máy tính ™Chương trình Virus thường thựchiệncác bướcsau: ƒ Tìm cách gắnvàođốitượng chủ, sửa đổi dữ liệu sao cho virus nhận đượcquyền điềukhiểnmỗikhichương trình chủđược thựcthi. ƒ Khi đượcthựchiện, virus tìm kiếmnhững đốitượng khác, sau đó lây nhiễmlên những đốitượng này. ƒ Tiến hành những hoạt động phá hoại, do thám. ƒ Trả lạiquyền thi hành cho chương trình chủ hoạt động như bình thường. 7
  8. 1. Tổng quan về Virus máy tính Đốitượng lây nhiễm Các file Các tài liệuvăn chương trình bản Word, .BAT, .EXE, Excel, .COM, PowerPoint, 8
  9. 1. Tổng quan về Virus máy tính 9
  10. 1. Tổng quan về Virus máy tính Top 10 Viruses (2008) 10
  11. 1. Tổng quan về Virus máy tính ™Virus máy tính và mạng máy tính: ƒ Virus máy tính có khả năng sử dụng những tính năng củahệđiều hành/ứng dụng để truyền bá, lây nhiễmtrênmạng -> khả năng lây lan nhanh chóng và rộng rãi. ƒ Virus máy tính có khả năng tiến hành những hoạt động phá hoại, do thám trên mạng máy tính, gây ảnh hưởng nghiêm trọng đếnsựổn định, tin cậy và an toàn củamạng. 11
  12. 1. Tổng quan về Virus máy tính 1. Lây lan 5. Phát triểnkế thừa Tính chấtcủa 2. Phá hoại Virus máy tính 4. Tương thích 3. Nhỏ gọn 12
  13. 1. Tổng quan về Virus máy tính Phương 1. Virus thường trú pháp tìm đốitượng 2. Virus không thường trú lây nhiễm 1. Ghi đè 2. Ghi đèbảotoàn 3. Dịch chuyển Đối tượng 4. Song hành lây nhiễm và PhânPhân 5. Nốithêm môi trường loloạạii 6. Chèn giữa hoạt động 7. Định hướng lại lệnh nhảy 8. Điềnkhoảng trống 1. Boot Virus 2. File-System Virus Phương pháp 3. File-Format Virus lây nhiễm 4. Macro Virus 5. Script Virus 6. Registry Virus 13
  14. 1. Tổng quan về Virus máy tính ™ Một cách phân loạikhác: 1. System Sector or Boot Virus: lây nhiễmtrên cung boot của đĩa. 2. File Virus: lây nhiễm trên các file thựcthi. 3. Macro Virus: lây nhiễmtrêncáctập tin word, excel, access 4. Source Code Virus: ghi đoạn code củaTrojan đè hoặcnốitiếpvàođoạn code củatậptin chủ. 5. Network Virus: tự phát tán theo email bằng cách sử dụng lệnh và các giao thứccủamạng máy tính. 14
  15. 1. Tổng quan về Virus máy tính ™ Một cách phân loạikhác: 6. Stealth Virus: có thểẩnvớicácchương trình chống virus. 7. Polymorphic Virus: có thể thay đổi đặc điểmcủa nó vớimỗilầnlâynhiễm. 8. Cavity Virus: duy trì kích thước file không thay đổitrongkhilâynhiễm. 9. Tunneling Virus: tự che giấudướinhững dạng anti-virus khi lây nhiễm. 10. Camouflage Virus: ngụy trang dướidạng những ứng dụng chính hãng củangười dùng. 15
  16. 1. Tổng quan về Virus máy tính ™ Một cách phân loạikhác: 11. Shell Virus: đoạnmãcủavirus sẽ tạo thành một shell xung quanh đoạnmãcủachương trình bị lây nhiễm, tương tự như mộtchương trình con trên chương trình gốcnguyênthủy. 12. Add-on Virus: ghi đoạnmãcủanónốitiếpvào điểmbắt đầucủachương trình bị lây nhiễmvà không tạorathêmbấtkỳ thay đổi nào khác. 13. Intrusive Virus: viết đè đoạn code củanólênmột phầnhoặc hoàn toàn đoạn code củafile bị lây nhiễm. 16
  17. 1. Tổng quan về Virus máy tính I Love You Virus 17
  18. 1. Tổng quan về Virus máy tính Klez Virus (1) 18
  19. 1. Tổng quan về Virus máy tính Klez Virus (2) 19
  20. 1. Tổng quan về Virus máy tính Klez Virus (3) 20
  21. 1. Tổng quan về Virus máy tính Klez Virus (4) 21
  22. 1. Tổng quan về Virus máy tính Klez Virus (5) 22
  23. 1. Tổng quan về Virus máy tính W32/Divvi 23
  24. 1. Tổng quan về Virus máy tính Disk Killer 24
  25. 1. Tổng quan về Virus máy tính ™Cấu trúc một chương trình Virus đơn giản 25
  26. 1. Tổng quan về Virus máy tính 26
  27. 1. Tổng quan về Virus máy tính 27
  28. 1. Tổng quan về Virus máy tính Viếtmộtchương trình virus đơngiản 28
  29. 1. Tổng quan về Virus máy tính Công cụ viếtvirus 29
  30. 2. Các kỹ thuậtcủaVirus máytính Các kỹ thuật Các kỹ Các kỹ thuậtcơ thuật bản đặcbiệt 30
  31. 2. Các kỹ thuậtcủaVirus máytính Các kỹ thuậtcơ bản 1. Kỹ thuật lây nhiễm 2. Kỹ thuật định vị trên vùng nhớ 3. Kỹ thuậtkiểmtrasự tồntại 4. Kỹ thuậtthường trú 5. Kỹ thuật mã hoá 6. Kỹ thuật nguỵ trang 7. Kỹ thuật phá hoại 8. Kỹ thuậtchống bẫy 9. Kỹ thuậttối ưu 31
  32. 2. Các kỹ thuậtcủaVirus máytính 1. Kỹ thuật lây nhiễm Là kỹ thuậtcơ bảncầnphảicócủamỗi virus. Có thểđơngiảnhoặcphứctạptuỳ loạivirus. ™ Kỹ thuật lây nhiễm Boot Record / Master Boot của đĩa: thay thế BR hoặcMB trên phânvùnghoạt động vớichương trình virus. ™ Kỹ thuật lây nhiễm file thi hành: chương trình virus sẽđược ghép vào file chủ bằng cách nối thêm, chèn giữa, điềnvàokhoảng trống, ghi đè 32
  33. 2. Các kỹ thuậtcủaVirus máytính ™ Thuậttoánthường dùng để lây nhiễmmột file .COM: ƒ Mở file ƒ Ghi lạithời gian/ngày tháng/thuộc tính ƒ Lưutrữ các byte đầutiên(thường là 3 byte) ƒ Tính toán lệnh nhảymới ƒ Đặtlệnh nhảy ƒ Chèn thân virus chính vào ƒ Khôi phụcthời gian/ngày tháng/thuộctính ƒ Đóng file. 33
  34. 2. Các kỹ thuậtcủaVirus máytính 34
  35. 2. Các kỹ thuậtcủaVirus máytính 35
  36. 2. Các kỹ thuậtcủaVirus máytính 36
  37. 2. Các kỹ thuậtcủaVirus máytính 2. Kỹ thuật định vị trên vùng nhớ ™ Phân phốimột vùng nhớđểthường trú, chuyển toàn bộ chương trình virus tới vùng nhớ này, sau đó chuyển quyền điềukhiển cho đoạnmãtại vùng nhớ mớivới địachỉ segment:offset mới. ™ Là mộtkỹ thuật quan trọng đốivớicác chương trình virus dạng mã máy (virus Boot, virus file). Virus macro và virus Script thựcchấtlàcáclệnh củachương trình ứng dụng nên không cầntiến hành kỹ thuật này. 37
  38. 2. Các kỹ thuậtcủaVirus máytính 3. Kỹ thuậtkiểmtrasự tồntại ™ Mỗi virus chỉ nên lây nhiễm/kiểm soát một lần để đảmbảo không làm ảnh hưởng đến tốc độ làm việccủa máy tính. ™ Virus phảikiểmtrasự tồntạicủachính mình trước khi lây nhiễmhoặcthường trú. ƒ Kiểmtratrênđốitượng bị lây nhiễm ƒ Kiểmtratrênbộ nhớ ™ Kỹ thuậtkiểmtrathường là: ƒ Dò tìm đoạnmãnhậndiệntrênfile hoặcbộ nhớ. ƒ Kiểm tra theo kích thướchoặc nhãn thời gian của file. 38
  39. 2. Các kỹ thuậtcủaVirus máytính 4. Kỹ thuậtthường trú ™ Các virus boot phảiphânphốimột vùng nhớ riêng để lưugiữ chương trình virus bao gồmmãlệnh, biến, vùng đệm. ™ Các virus file cầnphảikiểmtraxem chương trình đãthường trú chưa, nếu chưasẽđịnh rõ vùng nhớ muốnsử dụng, copy phầnvirus vàobộ nhớ, sau đókhôi phục file chủ và trả quyền điềukhiểnvề cho file chủ. 39
  40. 2. Các kỹ thuậtcủaVirus máytính 5. Kỹ thuật mã hoá: ™ Nhằm che giấumãlệnh thựcsự của chương trình virus. Thủ tục mã hoá cũng chínhlàthủ tụcgiảimã. 6. Kỹ thuật nguỵ trang: ™ nhằmgiấugiếm, nguỵ trang sự tồntạicủa virus trên đốitượng chủ. ™ Những virus sử dụng kỹ thuậtnàythường chậmbị phát hiện nên có khả năng lây lan mạnh. 40
  41. 2. Các kỹ thuậtcủaVirus máytính ™ Sơđồnén file chủđểnguỵ trang sự tồntạicủaVirus: ƒ Kiểmtrakíchthướcfile chủđịnh lây nhiễm ƒ Nén file chủ ƒ Gắn đoạnmãcần lây nhiễm vào file chủ ƒ Có thể chèn thêm những đoạnkýtự vô nghĩa khi kích thước file chủ + virus vẫnnhỏ hơnkíchthướcfile chủ nguyên thuỷ. ƒ Giải nén file chủ trướckhifile nàythựcthi. 41
  42. 2. Các kỹ thuậtcủaVirus máytính 7. Kỹ thuật phá hoại: ™ Đadạng ™ Phá hoạidữ liệutrênmáytính ™ Phá hỏng mộtphần máy tính 8. Kỹ thuậtchống bẫy: ™ Chọnlọc file trước khi lây nhiễm theo mộtsố tiêu chí nào đónhằmtránhnhững file bẫy củachương trình Antivirus. ƒ Không lây nhiễm các file có số trong tên file ƒ Không lây nhiễmnhững chương trình sử dụng nhiềumãlệnh đặcbiệt. 42
  43. 2. Các kỹ thuậtcủaVirus máytính ƒ Không lây nhiễm các file có tên liên tục (ví dụ aaaaa.com ). ƒ Không lây nhiễm các file liên tục có cùng kích thước. ƒ Không lây nhiễm các file ở thư mụcgốc. ƒ Không lây nhiễm các file có lệnh nhảyvàlệnh gọi zero. ƒ . 9. Kỹ thuậttối ưu: ™ Gồmcáckỹ thuậtviếtmãvàthiếtkế nhằm tối ưuchương trình về tốc độ và kích thước. 43
  44. 2. Các kỹ thuậtcủaVirus máytính Các kỹ thuật đặcbiệt 1. Kỹ thuậttạovỏ bọc 2. Kỹ thuật đahình 3. Kỹ thuậtbiếnhình 4. Kỹ thuậtchống mô phỏng 5. Kỹ thuậtchống theo dõi 44
  45. 2. Các kỹ thuậtcủaVirus máytính 1. Kỹ thuậttạovỏ bọc: ™ Là kỹ thuậtchống gỡ rối/ dịch ngượcmã lệnh virus nhằmchống lạiphầnmềm antivirus. ™ Thường mã hoá hoặcsử dụng các lệnh JMP và CALL để chương trình lộnxộn, phứctạp. ™ Sử dụng các thủ tụcgiảđểphân tích viên gặpkhókhăn khi phân biệtcáctácvụ 45
  46. 2. Các kỹ thuậtcủaVirus máytính 2. Kỹ thuật đa hình: ™ Là kỹ thuậtchống lạiphương pháp dò tìm đoạnmãmàcácchương trình antivirus thường sử dụng để nhậndạng mộtvirus đã biếtbằng cách tạoracácbộ giảimãkhácbiệt. 3. Kỹ thuậtbiến hình: ™ Cũng là mộtkỹ thuậtchống lạicáckỹ thuật nhậndạng củachương trình antivirus bằng cách sinh ra cảđoạnmãmới hoàn toàn. ™ Là mộtkỹ thuật khó, phứctạp. 46
  47. 2. Các kỹ thuậtcủaVirus máytính 4. Kỹ thuậtchống mô phỏng và theo dõi: ™ Mộtsố chương trình antivirus hiện đạisử dụng phương pháp heuristic để phát hiện virus dựa trên hành vi củachương trình. Kỹ thuật này nhằmchống lạisự phát hiệncủa chương trình antivirus như vậy. ™ Thông thường là chèn thêm những đoạnmã lệnh “rác” không ảnh hưởng đếnlogic của chương trình xen kẻ giữanhững mã lệnh thựcsự. 47
  48. 3. Các kỹ thuậtcủa Virus máy tính trên mạng 1. Kỹ thuật lây nhiễmtrênmạng ™ Sử dụng hàm GetLogicalDriveStrings để lây lan qua các ổđĩachiasẻ từ xa được ánh xạ thành ổđĩacụcbộ. ™ Sử dụng các hàm API để liệtkêcácổđĩa mà ngườisử dụng đãkếtnối. 48
  49. 3. Các kỹ thuậtcủa Virus máy tính trên mạng 2. Kỹ thuật phát tán virus trên mạng ™ Sử dụng sự phổ biếncủathưđiệntử ™ ChặncáchàmAPI hỗ trợ mạng 3. Kỹ thuật phá hoạitrênmạng ™ Tạocáccổng nghe đợisẵn để virus có thể tiến hành các hoạt động phá hoại hay do thám như lấytrộmmậtkhẩu, khởi động máy, phá hoạihệ thống ™ Tấn công từ chốidịch vụ (DOS) ™ 49
  50. 4. Phòng chống virus máy tính 1. Ý nghĩa: ™ Đảmbảo máy tính hoạt động ổn định. ™ Chống mấtcắp các thông tin mật. ™ Bảovệ dữ liệu an toàn. 50
  51. 4. Phòng chống virus máy tính 2. Các dấuhiệu máy tính nhiễmvirus: ™ Máy không khởi động đượchoặc không vào Windows được. ™ Máy hoặc ứng dụng dễ bị treo ™ Máy chạychậmhơnbìnhthường, ổ cứng đọc liên tục. ™ Không in được ™ Máy báo thiếu file nào đó. ™ Xuấthiện nhiều file lạ không rõ nguồngốc. ™ Thông báo thiếubộ nhớ ™ Mấtdữ liệu 51
  52. 4. Phòng chống virus máy tính 3. Cách phòng chống virus máy tính: ™ Hạnchế sử dụng đĩamềmhoặcUSB không rõ nguồngốcmàchưacósự kiểmtrabằng các phầnmềmdiệtvirus. ™ Không cài đặtcácphầnmềm không cầnthiết hoặc download từ trên mạng về. ™ Không sử dụng các phầnmềm không có bản quyền. ™ Không nên mở xem các thưđiệntử lạ. ™ Phảicàicácphầnmềmchống virus tốtnhất. ™ Phảisaolưudữ liệuthường xuyên ™ 52
  53. 4. Phòng chống virus máy tính 53
  54. 4. Phòng chống virus máy tính ™ Các chương trình tìm diệtVirus sẽ quét các tập tin thực thi, tập tin office, tậptin đính kèm E-mail, các tậptin được download và những dạng tập tin khác có thể trở thành host của Virus (Hostable files). ™ Các phương pháp quét chuẩn bao gồm: ƒ Basic scanning: • Tìm chữ ký của virus đã được biết đến trong các tập tin hostable, bao gồm cả cấu trúc, định dạng, các mẫu, và những đặctrưng khác. •Kiểm tra kích thước của các file hệ thống đã bị thay đổi để phát hiện nhiễmvirus. 54
  55. 4. Phòng chống virus máy tính ƒ Heuristic scanning: quét các đoạn mã đáng ngờ trong các tập tin thực thi dựa trên công nghệ heuristics. ƒ ICV scanning: •Sử dụng giảithuậtHMAC để tính toán giá trị kiểm tra tính toàn vẹncủatập tin thựcthichưabị nhiễm virus và một khoá mã hoá cốđịnh. •Mộtgiátrị ICV đượcnốivàocuốicủatập tin thực thi không bị nhiễmvirus. • Các virus không biếtmậtmãsẽ không thể thay đổi ICV. •Khimộttậptin bị nhiễm virus, giá trị ICV củanósẽ thay đổiso vớigiáitrị ICV nguyên thuỷ. 55
  56. 4. Phòng chống virus máy tính 56
  57. 4. Phòng chống virus máy tính 57
  58. 4. Phòng chống virus máy tính 58
  59. 4. Phòng chống virus máy tính 59
  60. 4. Phòng chống virus máy tính 60
  61. 4. Phòng chống virus máy tính 61
  62. 4. Phòng chống virus máy tính 62
  63. 4. Phòng chống virus máy tính 63
  64. 4. Phòng chống virus máy tính 64
  65. 4. Phòng chống virus máy tính 65
  66. 5. Bài tập 1. Dưới đây liệtkêmộtsố Worm phổ biếnvàport tương ứng. Tìm kiếmtàiliệu liên quan và mô tả cách hoạt động của5 Worm khác nhau trong danh sách. 66
  67. 5. Bài tập 2. Dưới đây liệtkêmộtsố Trojan phổ biếnvàport tương ứng. Tìm kiếmtàiliệu liên quan và mô tả cách hoạt động của 5 Trojan khác nhau trong danh sách. 67
  68. 5. Bài tập 3. Xây dựng những quy tắcACL để chặn các Worm và các Trojan (đã nêu trong bài 1 và 2) xâm nhậpvàomạng nộibộ. 4. Mô tả chứcnăng quét Heuristic để tìm Virus. 5. Mô tả sự giống nhau và khác nhau trong cách hoạt động giữa các phầnmềm McAfee VirusScan và Norton AntiVirus. 6. Tìm kiếmtừ các trang web có liên quan danh sách Virus và Trojan mớixuấthiện trong 2 tuần qua. Nêu mộtsốđặc điểmchínhcủa chúng. 7. Giải thích tại sao System Administrator không nên sử dụng một tài khoảnngười dùng có mậtkhẩu super-user để duyệt Web hoặcgởivànhận E-Mail. 68
  69. 5. Bài tập 8. Web 2.0 xuấthiệnvàonăm 2004, đạidiệnchothế hệ thứ hai của công nghệ Web. Bảng dưới đây mô tả vài kỹ thuật tương ứng giữa Web 2.0 và Web 1.0 thế hệ trước: Web 2.0 có cùng mộtsố vấn đề về bảomậtnhư Web 1.0 và còn phát sinh thêm mộtsố vấn đề mới. Tìm các tài liệu liên quan và mô tả 5 vấn đề bảomật trong Web 2.0. 69
  70. 5. Bài tập 9. Vào trang download về và cài đặt trên máy tính các phầnmềm: 1. Windows Defender 2. Microsoft Security Essentials ƒ Chạy Windows Defender để quét Spyware, giải thích cơ chế hoạt động củaphầnmềmnày. ƒ Đánh giá Microsoft Security Essentials vớimộtsố phần mềmtương tự phổ biếnnhấthiện nay về: 1. Khả năng chống mã độchại 2. Tường lửa tích hợpvàoIE 3. Hệ thống giám sát mạng để tăng khả năng ngănchậntấn công từ bên ngoài 4. Tiêu tốn tài nguyên, thờigianhoạt động 70
  71. 5. Bài tập 10. Trong hệ điều hành Windows, cookies của trình duyệt IE được lưu trữ trên ổ đĩa C trong thư mục Documents and Settings. Vào thư mục là tên người dùng, vào thư mục Cookies. Chọn và mở ngẫu nhiên một tập tin cookie. Giải thích những gì bạn thấy, và trả lời các câu hỏi: 1. Nếu cookie được truyền tới các máy chủ Web dướidạng plaintext, liệtkêvàmô tả các mối đe dọa bảo mật tiềm tàng mà người dùng có thể sẽ gặp. 2. Nếu người dùng được phép chỉnh sửa các tập tin cookie lưu trữ trên máy tính cụcbộ, liệtkêvàmô tả các mối đe dọa bảo mật tiềmtàngcóthể xảy ra cho các máy chủ Web. 71
  72. 5. Bài tập 11. Nêu chứcnăng và cách sử dụng các công cụ: ™ Netstat ™ Fport ™ TCPView ™ CurrPorts Tool ™ Process Viewer ™ What’s running ™ One file exe maker 72