วันพฤหัสบดีที่ 20 มิถุนายน พ.ศ. 2556

การตรวจหาไวรัส


ารตรวจหาไวรัส

การสแกน


        
โปรแกรมตรวจหาไวรัสที่ใช้วิธีการสแกน (Scanning) เรียกว่า สแกนเนอร์ (Scanner) โดยจะมีการดึงเอาโปรแกรมบางส่วนของตัวไวรัส มาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเราเรียกว่า ไวรัสซิกเนเจอร์ (VirusSignature) และเมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงาน ก็จะเข้าตรวจหาไวรัสในหน่วยความจำ บูตเซกเตอร์ และไฟล์โดยใช้ ไวรัสซิกเนเจอร์ที่มีอยู่ ข้อดีของวิธีการนี้ก็คือ เราสามารถตรวจสอบซอฟต์แวร์ที่มาใหม่ ได้ทันทีเลยว่าติดไวรัสหรือไม่ เพื่อป้องกันไม่ให้ไวรัสถูกเรียกขึ้นมาทำงานตั้งแต่เริ่มแรก แต่วิธีนี้มีจุดอ่อนอยู่หลายข้อ คือ

    *
ฐาน ข้อมูลที่เก็บไวรัสซิกเนเจอร์ จะต้องทันสมัยอยู่เสมอ และครอบคลุมไวรัสให้มากที่สุดเท่าที่จะทำได้ เพราะสแกนเนอร์จะไม่สามารถตรวจจับไวรัส ที่ยังไม่มี ซิกเนเจอร์ของไวรัสนั้น เก็บอยู่ในฐานข้อมูลได้
    *
ยาก ที่จะตรวจจับไวรัสประเภทโพลีมอร์ฟิก เนื่องจากไวรัสประเภทนี้เปลี่ยนแปลง ตัวเองได้ จึงทำให้ไวรัสซิกเนเจอร์ที่ใช้สามารถนำมาตรวจสอบได้ก่อนที่ไวรัส จะเปลี่ยนตัวเองเท่านั้น
    *
ถ้า มีไวรัสประเภทสทีลต์ไวรัสติดอยู่ในเครื่องตัวสแกนเนอร์อาจจะไม่สามารถ ตรวจหาไวรัสนี้ได้ ทั้งนี้ขึ้นอยู่กับ ความฉลาดและเทคนิคที่ใช้ของตัวไวรัส และของตัวสแกนเนอร์เองว่าใครเก่งกว่า เนื่องจากไวรัสมีตัวใหม่ ๆ ออกมาอยู่เสมอ ๆ ผู้ใช้จึงจำเป็นจะต้องหาสแกนเนอร์ ตัวที่ใหม่ที่สุดมาใช้ มีไวรัสบางตัวจะเข้าไปติดในโปรแกรมทันทีที่โปรแกรมนั้นถูกอ่าน และถ้าสมมติ ว่าสแกนเนอร์ที่ใช้ไม่สามารถตรวจจับได้ และถ้าเครื่องมีไวรัสนี้ติดอยู่ เมื่อมีการ เรียกสแกนเนอร์ขึ้นมาทำงาน สแกนเนอร์จะเข้าไปอ่านโปรแกรมทีละโปรแกรม เพื่อตรวจสอบ ผลก็คือจะทำให้ไวรัสตัวนี้เข้าไปติดอยู่ในโปรแกรมทุกตัวที่ถูก สแกนเนอร์นั้นอ่านได้ สแกนเนอร์รายงานผิดพลาดได้ คือ ไวรัสซิกเนเจอร์ที่ใช้บังเอิญไปตรงกับที่มี อยู่ในโปรแกรมธรรมดาที่ไม่ได้ติดไวรัส ซึ่งมักจะเกิดขึ้นในกรณีที่ไวรัสซิกเนเจอร์ ที่ใช้มีขนาดสั้นไป ก็จะทำให้โปรแกรมดังกล่าวใช้งานไม่ได้อีกต่อไป การตรวจการเปลี่ยนแปลง 

การตรวจการเปลี่ยนแปลง


        
การหาค่าพิเศษอย่างหนึ่งที่เรียกว่า เช็คซัม (Checksum) ซึ่งเกิดจากการนำเอาชุดคำสั่งและ ข้อมูลที่อยู่ในโปรแกรมมาคำนวณ หรืออาจใช้ข้อมูลอื่น ๆ ของไฟล์ ได้แก่ แอตริบิวต์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่งหรือข้อมูลที่อยู่ในโปรแกรม จะถูกแทนด้วยรหัสเลขฐานสอง เราจึงสามารถนำเอาตัวเลขเหล่านี้มาผ่านขั้นตอนการคำนวณทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรม ภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหม่ จะเปลี่ยนไปจากที่คำนวณได้ก่อนหน้านี้ ข้อดีของการตรวจการเปลี่ยนแปลงก็คือ สามารถตรวจจับไวรัสใหม่ ๆ ได้ และยังมีความสามารถในการตรวจจับไวรัสประเภทโพลีมอร์ฟิกไวรัสได้อีกด้วย แต่ก็ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาดของโปรแกรมตรวจหาไวรัสเองด้วยว่าจะสามารถถูกหลอก โดยไวรัสประเภทนี้ได้หรือไม่ และมีวิธีการตรวจการเปลี่ยนแปลงนี้จะตรวจจับไวรัสได้ก็ต่อเมื่อไวรัสได้เข้า ไปติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือต้องไม่มีโปรแกรมใด ๆ ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป

การเฝ้าดู


        
เพื่อที่จะให้โปรแกรมตรวจจับไวรัสสามารถเฝ้าดูการทำงานของเครื่องได้ตลอด เวลานั้น จึงได้มีโปรแกรมตรวจจับไวรัสที่ถูกสร้งขึ้นมาเป็นโปรแกรมแบบเรซิเดนท์หรือ ดีไวซ์ไดรเวอร์ โดยเทคนิคของการเฝ้าดูนั้นอาจใช้วิธีการสแกนหรือตรวจการเปลี่ยนแปลงหรือสอง แบบรวมกันก็ได้ การทำงานโดยทั่วไปก็คือ เมื่อซอฟต์แวร์ตรวจจับไวรัสที่ใช้วิธีนี้ถูกเรียกขึ้นมาทำงาน ก็จะเข้าไปตรวจในหน่วยความจำของเครื่องก่อน ว่ามีไวรัสติดอยู่หรือไม่โดยใช้ไวรัสซิกเนเจอร์ ที่มีอยู่ในฐานข้อมูล จากนั้นจึงค่อยนำตัวเองเข้าไปฝังอยู่ในหน่วยความจำ และต่อไปถ้ามีการเรียกโปรแกรมใดขึ้นมาใช้งาน โปรแกรมเฝ้าดูนี้ก็จะเข้าไปตรวจโปรแกรมนั้นก่อน โดยใช้เทคนิคการสแกนหรือตรวจการเปลี่ยนแปลงเพื่อหาไวรัส ถ้าไม่มีปัญหา ก็จะอนุญาตให้โปรแกรมนั้นขึ้นมาทำงานได้ นอกจากนี้โปรแกรมตรวจจับ ไวรัสบางตัวยังสามารถตรวจสอบขณะที่มีการคัดลอกไฟล์ได้อีกด้วย ข้อดีของวิธีนี้คือ เมื่อมีการเรียกโปรแกรมใดขึ้นมา โปรแกรมนั้นจะถูกตรวจสอบก่อนทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์ จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น ข้อเสียของโปรแกรมตรวจจับไวรัสแบบเฝ้าดูก็คือ จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเดนท์หรือดีไวซ์ไดรเวอร์ จึงจำเป็นจะต้องใช้หน่วยความจำส่วนหนึ่ง ของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ ก็คือ จำเป็นจะต้องมีการปรับปรุงฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ
paste20.jpg (300×198)

ประเภทของไวรัสคอมพิวเตอร์ แบ่งตามลักษณะแฟ้มที่ติดไวรัส


การแก้ปัญหาเมื่อคอมพิวเตอร์เจอไวรัสเมื่อเครื่องคอมพิวเตอร์ติดไวรัสคอมพิวเตอร์ ไม่ควรตกในจนเกินเหตุเพราะสามารถแก้ไขปัญหาได้ ไม่ว่าจะเป็นคอมพิวเตอร์รุ่นใด ยี่ห้อใด โดยจะต้องปฏิบัติดังนี้

   1. ปิด เครื่อง เมื่อพบไวรัสในเครื่องคอมพิวเตอร์ให้ทำการบันทึกข้อมูลที่กำลังทำงานอยู่ ทั้งหมด แล้วออกจากระบบงาน ปิดเครื่องคอมพิวเตอร์ เพราะไวรัสคอมพิวเตอร์ แพร่กระจายได้โดยการโหลดเข้าหน่วยความจำ และกระจายสู่โปรแกรมต่างๆ แม้ว่าเราจะสามารถทำงานต่อไปได้ บนระบบที่ติดไวรัสแล้ว ยิ่งเรารีบกำจัดไวรัสให้เร็วเท่าใดโอกาศที่จะถู้งานเรากลับมาได้ก็จะมากขึ้น เท่านั้น

   2. ใส่ แผ่นดิสก์ที่มีไฟล์ระบบ (สามารถบูตเครื่องได้) ในไดร์ฟ A: โปรแกรมตรวจจับและกำจัดไวรัสคอมพิวเตอร์ทุกโปรแกรมจะมีข้อแนะนำเป็นขึ้นตอน ในการสร้าง แผ่นดิสก์ที่ใช้สำหรับบูคเครื่องในเวลาที่เครื่องคอมพิวเตอร์มีปัญหาไม่สามา รถบูตเครื่องได้ โดยนำแห่นดิสก์ที่มีไฟล์ระบบแบะแน่ใจว่าไม่มีไวรัสใส่ในไดร์ฟ A: แล้วเปิดเครื่องจะทำให้มั่นใจได้ว่าไม่มีไวรัสอยู่ในหน่วยความจำของเครื่อง   

 3. ใช้ โปรแกรมตรวจจับไวรัส สแกนฮาร์ดดิสก์ตามคำแนะนำของ โปรแกรมตรวจจับและกำจัดไวรัส เพื่อป้องกันและกำจัดไวรัสจากระบบ ให้หลีกเลี่ยงการซ่อมไฟล์ที่ติดไวรัสแล้ว เพราะการซ่อมไฟล์หมายถึง การที่โปรแกรมจะเข้าไปลบรหัสที่ไวรัสเข้าไปเขียนทับ   

 4. สแกนแผ่นดิสก์ทุกแผ่นที่ใช้งานอยู่ เพื่อเป็นการป้องกันที่ดี ดังนั้นเราจึงควรปฏิบัติดังนี้           * สแกนแผ่นดิสก์ทุกแผ่นที่ใช้งานอยู่แม้ว่าจะเป็นแผ่นว่าง เพราะแผ่นดิกส์ที่ไม่มีข้อมูลอยู่เลย ก็อาจจะติดไวรัสมาจากการฟอร์แมตได้           * สแกนไฟล์เครือข่าย ถ้าเราอยู่ในระบบเครือข่าย หรือาจแจ้งผู้ดูแลระบบเครือข่ายให้ดำเนินการ           * สแกน แผ่นสำรองข้อมูลทุกแผ่น และเมื่อเรามั่นใจว่าแผ่นสำรองข้อมูลของเราไม่ติดไวรัสแน่นอน ให้เราทำการ Restore ข้อมูลที่ถูกทำลายในฮาร์ดิสก์โดยข้อมูลเหล่านี้จะไปแทนที่ไฟล์บนฮาร์ดดิสก์ อีกครั้งหนึ่ง และให้สแกนฮาร์ดดิสก์บ่วยครั้งขึ้นหลังจากนั้น 2-3 สัปดาห์ เพื่อให้แน่ใจว่าเราปลอดภัยจากไวรัสแล้วจริงๆฃ




วันพฤหัสบดีที่ 30 พฤษภาคม พ.ศ. 2556

วิธีการที่ใช้ในการตรวจหาไวรัส


วิธีการที่ใช้ในการตรวจหาไวรัส 

โปรแกรมป้องกันไวรัสมีวิธีค้นหาไวรัสอยู่หลายวิธีดังนี้
ตรวจสอบ Virus signature
ไวรัสซิกเนเจอร์ คือ สัญลักษณ์ของไวรัส ซึ่งไวรัสแต่ละตัว จะมี สัญลักษณ์ที่แตกต่างกันออกไป เปรียบเหมือนลายเซ็นของคนทั่วไป ที่ล้วนแตกต่างกันออกไป โดยหลักการทำงาน นั้น โปรแกรมป้องกันไวรัส จะมีการตรวจสอบไฟล์ว่ามีรหัสเหมือนกับไวรัสซิกเนเจอร์หรือไม่ ซึ่งหากใช่นั้นหมายถึงว่า ไฟล์ตัวนั้นคือไวรัส
โปรแกรมป้องกันไวรัส จึงควรต้องหมั่นอัปเดตอยู่เป็นประจำ เพื่อให้การป้องกันไวรัส เป็นไปได้อย่างทั่วถึง
วิธีนี้เป็นวิธีที่ใช้กันแพร่หลาย ในปัจจุบัน
ตรวจสอบ คอมเปลี่ยนแปลงของข้อมูล
เป็นการตรวจหาค่าพิเศษที่เรียกว่า Checksum ของไฟล์ ซึ่งถ้าหากเกิดการเปลี่ยนแปลงในตัวไฟล์ ซึ่งอาจเกิดจากไวรัส ค่านี้ก็จะเปลี่ยนแปลง ข้อดีคือ จะตรวจจับไวรัสชนิคใหม่ๆได้ ปัญหาคือต้องแน่ใจว่าตัวเครื่องนั้น ไม่มีการติดเชื้อ
ตรวจสอบการกระทำแปลกปลอม
คอยตรวจสอบการกระทำที่แปลกปลอม จากไวรัสต่างๆ
อาทิเช่น พยายามทำลาย เปลี่ยนแปลง หรือแก้ไขข้อมูลระบบโดยไม่ได้รับอนุญาต พยายามจดตัวเองในระบบรูต พยายามดาวน์โหลด และ อัปโหลดข้อมูล และไฟล์ต่างๆ
ตรวจสอบการกระทำ
เป็นวิธีตรวจจับไวรัสโดยสร้าง Virual machine ที่จุดอ่อนด้านความปลอดภัยจำนวนมาก เมื่อมีการรันโปรแกรมขึ้นมา ตัวโปรแกรมตรวจจับไวรัสจะตรวจสอบการกระทำหากมีการกระทำที่อาจเป็นอันตรายเช่น พยายามเขียนข้อมูลลงบนบูตเซกเตอร์ก็จะแจ้งไปยังผู้ใช้ หากว่าสิ่งที่ผู้ใช้กำลังทำไม่เกี่ยวกับสิ่งที่แจ้ง เช่นกำลังเล่นเกมอยู่แต่มีความพยายามเขียนข้อมูลลงบูตเซกเตอร์ ก็สามารถหยุดการทำงานนั้นลงได้




ข้อดี ข้อเสียของไวรัสคอมพิวเตอร์

ข้อดี
คนโดนไวรัสเล่นงาน ได้เรียนรู้อะไรใหม่ๆ เพราะเวลาเราติดไวรัสเราก็ต้องแสวงหาอะไรมาฆ่า มาป้องกัน
คนโดนไวรัสเล่นงาน ได้เพื่อนใหม่ เพราะต้องบากหน้าไปถามผุ้รู้ว่าต้องแก้ยังไง เย้ๆ ได้เพื่อนใหม่
คนผลิตไวรัส ได้สร้างสรรไวรัสตัวใหม่ๆออกมาเรือ่ยๆ เพราะว่าออกมากี่ตัวๆ ก็โดนพวก anti virus หาทางแก้หมด :P
คนผลิต anti virus รวย [$02$]
ข้อเสีย
เสียเงินไปซ่อม บางทีเผลอๆเสียจนต้องเปลี่ยน HDD [$6$]
อารมณ์เสีย เพราะไปร้านแล้วมันซ่อมไม่ได้
โดนแม่ด่า เพราะร้านซ่อมไม่ได้เลยต้องซื้อใหม่
ทะเลาะกะเพื่อนเพราะว่า มันเอาแฟลชไดวฟ์มาดูดเพลงแล้วดันเอาไวรัสมาปล่อยเครื่องเราทำให้เกิดผลข้อที่ 1-3 ข้างต้น


วันพฤหัสบดีที่ 16 พฤษภาคม พ.ศ. 2556


ไวรัสคอมพิวเตอร์




        ไวรัสคอมพิวเตอร์ (computer virus) ซึ่งเรียกชื่อเลียนแบบ ไวรัส ที่เป็นสิ่งมีชีวิต แต่เป็นคำเรียกแบบย่อของ โปรแกรมคอมพิวเตอร์ ที่มีชุดคำสั่งระบบปฏิบัติการใดๆก็ตามเท่าที่โปรแกรมถูกเขียนขึ้นมาเพื่อการใดการหนึ่งทั้งที่มีประโยนช์ทางการทำงานตามผู้เขียนโปรแกรมนั้นขึ้นมา

ประเภทของไวรัสคอมพิวเตอร์ 
      บูตไวรัส 
บูตไวรัส (boot virus) คือไวรัสคอมพิวเตอร์ที่แพร่เข้าสู่เป้าหมายในระหว่างเริ่มทำการบูตเครื่อง ส่วนมาก มันจะติดต่อเข้าสู่แผ่นฟลอปปี้ดิสก์ระหว่างกำลังสั่งปิดเครื่อง เมื่อนำแผ่นที่ติดไวรัสนี้ไปใช้กับเครื่องคอมพิวเตอร์เครื่องอื่นๆ ไวรัสก็จะเข้าสู่เครื่องคอมพิวเตอร์ตอนเริ่มทำงานทันทีบูตไวรัสจะติดต่อเข้าไปอยู่ส่วนหัวสุดของฮาร์ดดิสก์ ที่มาสเตอร์บูตเรคคอร์ด (master boot record) และก็จะโหลดตัวเองเข้าไปสู่หน่วยความจำก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน ทำให้เหมือนไม่มีอะไรเกิดขึ้น

ไฟล์ไวรัส 

ไฟล์ไวรัส (file virus) ใช้เรียกไวรัสที่มีการแทรกตามไฟล์ที่นำมาให้บันทึกสู่คอมพิวเตอร์ของผู้ใช้

หนอน 

หนอน (Worm) เป็นรูปแบบหนึ่งของไวรัส มีความสามารถในการทำลายระบบในเครื่องคอมพิวเตอร์สูงที่สุดในบรรดาไวรัสทั้ง หมด สามารถกระจายตัวได้รวดเร็ว ผ่านทางระบบอินเทอร์เน็ต ซึ่งสาเหตุที่เรียกว่าหนอนนั้น คงจะเป็นลักษณะของการกระจายและทำลาย ที่คล้ายกับหนอนกินผลไม้ ที่สามารถกระจายตัวได้มากมาย รวดเร็ว และเมื่อยิ่งเพิ่มจำนวนมากขึ้น ระดับการทำลายล้างยิ่งเพิ่มมากขึ้น ไวรัสที่ไม่สามารถสแกนได้
โทรจัน 
ม้าโทรจัน (Trojan) คือโปรแกรมจำพวกหนึ่งที่ถูกออกแบบขึ้นมาเพื่อแอบแฝง กระทำการบางอย่าง ในเครื่องของเรา จากผู้ที่ไม่หวังดี ชื่อเรียกของโปรแกรมจำพวกนี้ มาจากตำนานของม้าไม้แห่งเมืองทรอยนั่นเอง ซึ่งการติดนั้น ไม่เหมือนกับไวรัส และหนอน ที่จะกระจายตัวได้ด้วยตัวมันเอง แต่โทรจัน (คอมพิวเตอร์)จะถูกแนบมากับ อีการ์ด อีเมล หรือโปรแกรมที่มีให้ดาวน์โหลดตามอินเทอร์เน็ตในเว็บไซต์ใต้ดิน และสุดท้ายที่มันต่างกับไวรัสและเวิร์ม คือ มันจะสามารถเข้ามาในเครื่องของเรา โดยที่เราเป็นผู้รับมันมาโดยไม่รู้ตัวนั่นเอง
โปรแกรมป้องกันไวรัส หรือ แอนติไวรัส ( antivirus software





เป็นโปรแกรมที่สร้างขึ้นเพื่อคอยตรวจจับ ป้องกัน และกำจัดโปรแกรมคุกคามทางคอมพิวเตอ ร์หรือมัลแวร์ ซึ่งหมายถึง ไวรัส เวิร์ม โทรจัน สปายแวร์แอดแวร์ และซอฟต์แวร์คุกคามประเภทอื่นๆ
โปรแกรมป้องกันไวรัสมี 2 แบบหลักๆ คือ
1.               แอนติไวรัส (Anti-Virus) เป็นโปรแกรมโปรแกรมป้องกันไวรัสทั่วๆไป จะค้นหาและทำลายไวรัสในคอมพิวเตอร์ของเรา
2.               แอนติสปายแวร์ (Anti-Spyware) เป็นโปรแกรมป้องกันการโจรกรรมข้อมูล จากไวรัสสปายแวร์ และจากแฮ็กเกอร์ รวมถึงการกำจัด Adsware ซึ่งเป็นป๊อปอัพโฆษณาอีกด้วย
โปรแกรมป้องกันไวรัสจะค้นหาและทำลายไวรัสที่ไฟล์โดยตรง แต่ในทุกๆวันจะมีไวรัสชนิดใหม่เกิดขึ้นมาเสมอ ทำให้เราต้องอัปเดตโปรแกรมป้องกันไวรัสตลอดเวลาเพื่อให้คอมพิวเตอร์ของเราปลอดภัย โดยแอนติไวรัสจะมีหลายรูปแบบตามบริษัทกันไปและแต่ละบริษัทจะมีการอัปเดตและการป้องกันไม่เหมือนกัน แต่ในคอมพิวเตอร์เครื่องเดียวไม่ควรมีแอนติไวรัส 2 โปรแกรมเพราะจะทำให้โปรแกรมขัดแย้งกันเองจนไม่สามารถใช้งานได้




อ้างอิง