วันพฤหัสบดีที่ 20 มิถุนายน พ.ศ. 2556

การตรวจหาไวรัส


ารตรวจหาไวรัส

การสแกน


         โปรแกรมตรวจหาไวรัสที่ใช้วิธีการสแกน (Scanning) เรียกว่า สแกนเนอร์ (Scanner) โดยจะมีการดึงเอาโปรแกรมบางส่วนของตัวไวรัส มาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเราเรียกว่า ไวรัสซิกเนเจอร์ (VirusSignature) และเมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงาน ก็จะเข้าตรวจหาไวรัสในหน่วยความจำ บูตเซกเตอร์ และไฟล์โดยใช้ ไวรัสซิกเนเจอร์ที่มีอยู่ ข้อดีของวิธีการนี้ก็คือ เราสามารถตรวจสอบซอฟต์แวร์ที่มาใหม่ ได้ทันทีเลยว่าติดไวรัสหรือไม่ เพื่อป้องกันไม่ให้ไวรัสถูกเรียกขึ้นมาทำงานตั้งแต่เริ่มแรก แต่วิธีนี้มีจุดอ่อนอยู่หลายข้อ คือ

    * ฐาน ข้อมูลที่เก็บไวรัสซิกเนเจอร์ จะต้องทันสมัยอยู่เสมอ และครอบคลุมไวรัสให้มากที่สุดเท่าที่จะทำได้ เพราะสแกนเนอร์จะไม่สามารถตรวจจับไวรัส ที่ยังไม่มี ซิกเนเจอร์ของไวรัสนั้น เก็บอยู่ในฐานข้อมูลได้
    * ยาก ที่จะตรวจจับไวรัสประเภทโพลีมอร์ฟิก เนื่องจากไวรัสประเภทนี้เปลี่ยนแปลง ตัวเองได้ จึงทำให้ไวรัสซิกเนเจอร์ที่ใช้สามารถนำมาตรวจสอบได้ก่อนที่ไวรัส จะเปลี่ยนตัวเองเท่านั้น
    * ถ้า มีไวรัสประเภทสทีลต์ไวรัสติดอยู่ในเครื่องตัวสแกนเนอร์อาจจะไม่สามารถ ตรวจหาไวรัสนี้ได้ ทั้งนี้ขึ้นอยู่กับ ความฉลาดและเทคนิคที่ใช้ของตัวไวรัส และของตัวสแกนเนอร์เองว่าใครเก่งกว่า เนื่องจากไวรัสมีตัวใหม่ ๆ ออกมาอยู่เสมอ ๆ ผู้ใช้จึงจำเป็นจะต้องหาสแกนเนอร์ ตัวที่ใหม่ที่สุดมาใช้ มีไวรัสบางตัวจะเข้าไปติดในโปรแกรมทันทีที่โปรแกรมนั้นถูกอ่าน และถ้าสมมติ ว่าสแกนเนอร์ที่ใช้ไม่สามารถตรวจจับได้ และถ้าเครื่องมีไวรัสนี้ติดอยู่ เมื่อมีการ เรียกสแกนเนอร์ขึ้นมาทำงาน สแกนเนอร์จะเข้าไปอ่านโปรแกรมทีละโปรแกรม เพื่อตรวจสอบ ผลก็คือจะทำให้ไวรัสตัวนี้เข้าไปติดอยู่ในโปรแกรมทุกตัวที่ถูก สแกนเนอร์นั้นอ่านได้ สแกนเนอร์รายงานผิดพลาดได้ คือ ไวรัสซิกเนเจอร์ที่ใช้บังเอิญไปตรงกับที่มี อยู่ในโปรแกรมธรรมดาที่ไม่ได้ติดไวรัส ซึ่งมักจะเกิดขึ้นในกรณีที่ไวรัสซิกเนเจอร์ ที่ใช้มีขนาดสั้นไป ก็จะทำให้โปรแกรมดังกล่าวใช้งานไม่ได้อีกต่อไป การตรวจการเปลี่ยนแปลง 

การตรวจการเปลี่ยนแปลง


         การหาค่าพิเศษอย่างหนึ่งที่เรียกว่า เช็คซัม (Checksum) ซึ่งเกิดจากการนำเอาชุดคำสั่งและ ข้อมูลที่อยู่ในโปรแกรมมาคำนวณ หรืออาจใช้ข้อมูลอื่น ๆ ของไฟล์ ได้แก่ แอตริบิวต์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่งหรือข้อมูลที่อยู่ในโปรแกรม จะถูกแทนด้วยรหัสเลขฐานสอง เราจึงสามารถนำเอาตัวเลขเหล่านี้มาผ่านขั้นตอนการคำนวณทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรม ภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหม่ จะเปลี่ยนไปจากที่คำนวณได้ก่อนหน้านี้ ข้อดีของการตรวจการเปลี่ยนแปลงก็คือ สามารถตรวจจับไวรัสใหม่ ๆ ได้ และยังมีความสามารถในการตรวจจับไวรัสประเภทโพลีมอร์ฟิกไวรัสได้อีกด้วย แต่ก็ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาดของโปรแกรมตรวจหาไวรัสเองด้วยว่าจะสามารถถูกหลอก โดยไวรัสประเภทนี้ได้หรือไม่ และมีวิธีการตรวจการเปลี่ยนแปลงนี้จะตรวจจับไวรัสได้ก็ต่อเมื่อไวรัสได้เข้า ไปติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือต้องไม่มีโปรแกรมใด ๆ ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป

การเฝ้าดู


         เพื่อที่จะให้โปรแกรมตรวจจับไวรัสสามารถเฝ้าดูการทำงานของเครื่องได้ตลอด เวลานั้น จึงได้มีโปรแกรมตรวจจับไวรัสที่ถูกสร้งขึ้นมาเป็นโปรแกรมแบบเรซิเดนท์หรือ ดีไวซ์ไดรเวอร์ โดยเทคนิคของการเฝ้าดูนั้นอาจใช้วิธีการสแกนหรือตรวจการเปลี่ยนแปลงหรือสอง แบบรวมกันก็ได้ การทำงานโดยทั่วไปก็คือ เมื่อซอฟต์แวร์ตรวจจับไวรัสที่ใช้วิธีนี้ถูกเรียกขึ้นมาทำงาน ก็จะเข้าไปตรวจในหน่วยความจำของเครื่องก่อน ว่ามีไวรัสติดอยู่หรือไม่โดยใช้ไวรัสซิกเนเจอร์ ที่มีอยู่ในฐานข้อมูล จากนั้นจึงค่อยนำตัวเองเข้าไปฝังอยู่ในหน่วยความจำ และต่อไปถ้ามีการเรียกโปรแกรมใดขึ้นมาใช้งาน โปรแกรมเฝ้าดูนี้ก็จะเข้าไปตรวจโปรแกรมนั้นก่อน โดยใช้เทคนิคการสแกนหรือตรวจการเปลี่ยนแปลงเพื่อหาไวรัส ถ้าไม่มีปัญหา ก็จะอนุญาตให้โปรแกรมนั้นขึ้นมาทำงานได้ นอกจากนี้โปรแกรมตรวจจับ ไวรัสบางตัวยังสามารถตรวจสอบขณะที่มีการคัดลอกไฟล์ได้อีกด้วย ข้อดีของวิธีนี้คือ เมื่อมีการเรียกโปรแกรมใดขึ้นมา โปรแกรมนั้นจะถูกตรวจสอบก่อนทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์ จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น ข้อเสียของโปรแกรมตรวจจับไวรัสแบบเฝ้าดูก็คือ จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเดนท์หรือดีไวซ์ไดรเวอร์ จึงจำเป็นจะต้องใช้หน่วยความจำส่วนหนึ่ง ของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ ก็คือ จำเป็นจะต้องมีการปรับปรุงฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ
paste20.jpg (300×198)

เขียนโดย ที่ ไม่มีความคิดเห็น:

ประเภทของไวรัสคอมพิวเตอร์ แบ่งตามลักษณะแฟ้มที่ติดไวรัส


การแก้ปัญหาเมื่อคอมพิวเตอร์เจอไวรัสเมื่อเครื่องคอมพิวเตอร์ติดไวรัสคอมพิวเตอร์ ไม่ควรตกในจนเกินเหตุเพราะสามารถแก้ไขปัญหาได้ ไม่ว่าจะเป็นคอมพิวเตอร์รุ่นใด ยี่ห้อใด โดยจะต้องปฏิบัติดังนี้

   1. ปิด เครื่อง เมื่อพบไวรัสในเครื่องคอมพิวเตอร์ให้ทำการบันทึกข้อมูลที่กำลังทำงานอยู่ ทั้งหมด แล้วออกจากระบบงาน ปิดเครื่องคอมพิวเตอร์ เพราะไวรัสคอมพิวเตอร์ แพร่กระจายได้โดยการโหลดเข้าหน่วยความจำ และกระจายสู่โปรแกรมต่างๆ แม้ว่าเราจะสามารถทำงานต่อไปได้ บนระบบที่ติดไวรัสแล้ว ยิ่งเรารีบกำจัดไวรัสให้เร็วเท่าใดโอกาศที่จะถู้งานเรากลับมาได้ก็จะมากขึ้น เท่านั้น

   2. ใส่ แผ่นดิสก์ที่มีไฟล์ระบบ (สามารถบูตเครื่องได้) ในไดร์ฟ A: โปรแกรมตรวจจับและกำจัดไวรัสคอมพิวเตอร์ทุกโปรแกรมจะมีข้อแนะนำเป็นขึ้นตอน ในการสร้าง แผ่นดิสก์ที่ใช้สำหรับบูคเครื่องในเวลาที่เครื่องคอมพิวเตอร์มีปัญหาไม่สามา รถบูตเครื่องได้ โดยนำแห่นดิสก์ที่มีไฟล์ระบบแบะแน่ใจว่าไม่มีไวรัสใส่ในไดร์ฟ A: แล้วเปิดเครื่องจะทำให้มั่นใจได้ว่าไม่มีไวรัสอยู่ในหน่วยความจำของเครื่อง   

 3. ใช้ โปรแกรมตรวจจับไวรัส สแกนฮาร์ดดิสก์ตามคำแนะนำของ โปรแกรมตรวจจับและกำจัดไวรัส เพื่อป้องกันและกำจัดไวรัสจากระบบ ให้หลีกเลี่ยงการซ่อมไฟล์ที่ติดไวรัสแล้ว เพราะการซ่อมไฟล์หมายถึง การที่โปรแกรมจะเข้าไปลบรหัสที่ไวรัสเข้าไปเขียนทับ   

 4. สแกนแผ่นดิสก์ทุกแผ่นที่ใช้งานอยู่ เพื่อเป็นการป้องกันที่ดี ดังนั้นเราจึงควรปฏิบัติดังนี้           * สแกนแผ่นดิสก์ทุกแผ่นที่ใช้งานอยู่แม้ว่าจะเป็นแผ่นว่าง เพราะแผ่นดิกส์ที่ไม่มีข้อมูลอยู่เลย ก็อาจจะติดไวรัสมาจากการฟอร์แมตได้           * สแกนไฟล์เครือข่าย ถ้าเราอยู่ในระบบเครือข่าย หรือาจแจ้งผู้ดูแลระบบเครือข่ายให้ดำเนินการ           * สแกน แผ่นสำรองข้อมูลทุกแผ่น และเมื่อเรามั่นใจว่าแผ่นสำรองข้อมูลของเราไม่ติดไวรัสแน่นอน ให้เราทำการ Restore ข้อมูลที่ถูกทำลายในฮาร์ดิสก์โดยข้อมูลเหล่านี้จะไปแทนที่ไฟล์บนฮาร์ดดิสก์ อีกครั้งหนึ่ง และให้สแกนฮาร์ดดิสก์บ่วยครั้งขึ้นหลังจากนั้น 2-3 สัปดาห์ เพื่อให้แน่ใจว่าเราปลอดภัยจากไวรัสแล้วจริงๆฃ
เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)