Virus file gần đây đ́nh đám, cái này th́ quá rơ, nhưng để nhận ra có phải chúng ta đă nhiễm hay không th́ quả thật không hề đơn giản. Trong bài này DungCoi sẽ không đi sâu vào kỹ thuật giải thích virus file là thứ quái ǵ, nhiễm nó sẽ ra làm sao mà thay vào đó ḿnh sẽ cố gắng đưa ra các cách thức nhanh nhất có thể để nhận dạng có hay không sự tồn tại virus file trong máy.
Nguyên tắc :
- Khi virus file nhiễm vào file, tức là file đó đă không phải là file ban đầu.
- Virus file không nhiễm mọi file mà chỉ nhiễm trên một số file có cấu trúc nhất định, thông dụng nhất là các file thực thi (Có cấu trúc PE), môt số loại cũng nhiễm vào các định dạng như của Word (Marco), hay các tập tin web…
Chúng ta chỉ cần nhớ một nguyên tắc này th́ sẽ dễ ăn nói hơn trong các thao tác nhận dạng bên dưới.
Như vậy, các phương pháp ḿnh chỉ ra chỉ ṿng lui ṿng lại là làm sao nhận ra file được xét có là bị thay đổi hay không.
Nhận dạng :
1. Kích thước :
Đây có thể là cách cơ bản mà cũng là đơn giản nhất để chúng ta nhận ra sự thay đổi của các file.
Bằng cách ghi nhớ kích thước file của một số file thông thường đơn giản (Như một số tập tin hệ thống cốt lơi) chúng ta có thể nhận ra có hay tập tin đă bị virus file làm thịt
Ưu :
Nhanh và đơn giản
Khuyết :
Không phải mọi virus đều làm thay đổi kích thước file (C̣n cave code +etc..)
Nếu virus file nhiễm số size quá nhỏ th́ không dễ ǵ bạn nhận ra
2. Chữ kư chứng thực :
Một số file thực thi của các hăng lớn luôn có chữ kư chứng thực của hăng đó. Chữ kư chứng thực này tới nay chưa thể bị phá vỡ (Có vài tool hiện tại cho phép tạo ra chữ kư chứng thực nhưng chỉ là thêm 1 chữ kư chưa hợp lư).
Okie. Chúng ta đơn giản tận dụng yếu tố này.
1. Chúng ta có thể kiểm tra thủ công chữ kư chứng thực 1 file thông qua các thẻ trong Properties.
Như h́nh bên dưới là h́nh chữ kư chứng thực của hăng Google cho chương tŕnh Google Desktop
2. Chúng ta có thể dùng 1 số tool để đơn giản hóa việc kiểm tra chứng thực này, như đơn giản nhất là dùng Autoruns (Bài viết hướng dẫn ḿnh đă hướng dẫn trên một bài viết khác)
Ưu :
Đảm bảo tính chắc chắn tuyệt đối của việc kiểm tra
Khuyết :
Không phải mọi tập thi đều có chứng kư chứng thực này
Thao tác kiểm tra phiền hà nếu không có tool
2. Mă hash :
Sử dụng các mă hash thông dụng như MD5, CR, SHA… để kiểm tra tính toàn vẹn của file
Ở đây có 2 chiến thuật.
1. Chúng ta lấy hash thông dụng (Như MD5) rồi google xem để đảm bảo tính chắc chắc rằng file đó c̣n là sạch không.
2. Chúng ta lưu 1 bảng hash các file hiện tại trong hệ thống, sau đó khi có nghi ngờ th́ đối chiếu.
Cách thứ nhất nghe th́ hợp lư song không phải khi nào cũng hay, do không phải mọi chương tŕnh đều có mă hash sẵn trên mạng cho bạn mà Google.
Ḿnh muốn các bạn quan tâm tới giải pháp 2 hơn.
Ḿnh quảng cáo luôn cái tool tên là
MD5Checker để các bạn tiện dùng.
Xin nói luôn là ở đây ḿnh chỉ giới thiệu c̣n dùng th́ bạn chịu khó vọc, ḿnh c̣n bài tập phải làm nữa
Ưu :
Ổn định
Khuyết :
Cần có 1 hệ thống ban đầu bảo đảm sạch để tiến hành đối chiếu sau này.
Anh em tiếp tục bổ sung
Nhận dạng tồn tại hay không virus file trong máy
Dạng hẹp
