Virus file gần đây đình đám, cái này thì quá rõ, nhưng để nhận ra có phải chúng ta đã nhiễm hay không thì quả thật không hề đơn giản. Trong bài này DungCoi sẽ không đi sâu vào kỹ thuật giải thích virus file là thứ quái gì, nhiễm nó sẽ ra làm sao mà thay vào đó mình sẽ cố gắng đưa ra các cách thức nhanh nhất có thể để nhận dạng có hay không sự tồn tại virus file trong máy.
Nguyên tắc :
- Khi virus file nhiễm vào file, tức là file đó đã không phải là file ban đầu.
- Virus file không nhiễm mọi file mà chỉ nhiễm trên một số file có cấu trúc nhất định, thông dụng nhất là các file thực thi (Có cấu trúc PE), môt số loại cũng nhiễm vào các định dạng như của Word (Marco), hay các tập tin web…
Chúng ta chỉ cần nhớ một nguyên tắc này thì sẽ dễ ăn nói hơn trong các thao tác nhận dạng bên dưới.
Như vậy, các phương pháp mình chỉ ra chỉ vòng lui vòng lại là làm sao nhận ra file được xét có là bị thay đổi hay không.
Nhận dạng :
1. Kích thước :
Đây có thể là cách cơ bản mà cũng là đơn giản nhất để chúng ta nhận ra sự thay đổi của các file.
Bằng cách ghi nhớ kích thước file của một số file thông thường đơn giản (Như một số tập tin hệ thống cốt lõi) chúng ta có thể nhận ra có hay tập tin đã bị virus file làm thịt
Ưu :
Nhanh và đơn giản
Khuyết :
Không phải mọi virus đều làm thay đổi kích thước file (Còn cave code +etc..)
Nếu virus file nhiễm số size quá nhỏ thì không dễ gì bạn nhận ra
2. Chữ ký chứng thực :
Một số file thực thi của các hãng lớn luôn có chữ ký chứng thực của hãng đó. Chữ ký chứng thực này tới nay chưa thể bị phá vỡ (Có vài tool hiện tại cho phép tạo ra chữ ký chứng thực nhưng chỉ là thêm 1 chữ ký chưa hợp lý).
Okie. Chúng ta đơn giản tận dụng yếu tố này.
1. Chúng ta có thể kiểm tra thủ công chữ ký chứng thực 1 file thông qua các thẻ trong Properties.
Như hình bên dưới là hình chữ ký chứng thực của hãng Google cho chương trình Google Desktop
2. Chúng ta có thể dùng 1 số tool để đơn giản hóa việc kiểm tra chứng thực này, như đơn giản nhất là dùng Autoruns (Bài viết hướng dẫn mình đã hướng dẫn trên một bài viết khác)
Ưu :
Đảm bảo tính chắc chắn tuyệt đối của việc kiểm tra
Khuyết :
Không phải mọi tập thi đều có chứng ký chứng thực này
Thao tác kiểm tra phiền hà nếu không có tool
2. Mã hash :
Sử dụng các mã hash thông dụng như MD5, CR, SHA… để kiểm tra tính toàn vẹn của file
Ở đây có 2 chiến thuật.
1. Chúng ta lấy hash thông dụng (Như MD5) rồi google xem để đảm bảo tính chắc chắc rằng file đó còn là sạch không.
2. Chúng ta lưu 1 bảng hash các file hiện tại trong hệ thống, sau đó khi có nghi ngờ thì đối chiếu.
Cách thứ nhất nghe thì hợp lý song không phải khi nào cũng hay, do không phải mọi chương trình đều có mã hash sẵn trên mạng cho bạn mà Google.
Mình muốn các bạn quan tâm tới giải pháp 2 hơn.
Mình quảng cáo luôn cái tool tên là MD5Checker để các bạn tiện dùng.
Xin nói luôn là ở đây mình chỉ giới thiệu còn dùng thì bạn chịu khó vọc, mình còn bài tập phải làm nữa
Ưu :
Ổn định
Khuyết :
Cần có 1 hệ thống ban đầu bảo đảm sạch để tiến hành đối chiếu sau này.
Anh em tiếp tục bổ sung
reflink: http://virusvn.com/forum/showthread.php?p=13388#post13388
