ไวรัสคอมพิวเตอร์ใกล้ตัวกว่าที่คุณคิด ภาค 4
อืม...และก็เลยมาถึงเดือน กุมภาพันธ์ จนได้
ผมยังไม่ได้มีโอกาศเขียนบล็อกมานานเลย...มั่วแต่ยุ่งเกี่ยวกับการเขียน
โปรแกรม "กันยา" อยู่ซึ่งก็แย่พอสมควรครับ...โปรเจ็คที่ทำไว้ผิดพลาด
อย่างมาก... 3 อัลกอลิทึม...แทบออกจากวงการเลย...เฮ้อ...อะไรๆ ก็เกิด
ขึ้นได้ครับ...ในโลกใบนี้...แต่ที่ไม่อยากให้เกิดเลยคือข้อผิดพลาด...
และช่วงนี้ก็เป็นอะไรไม่รู้...ไม่เคยชอบดาราคนไหนเลย...มาตั้งแต่วัยรุ่น
ดันมาถูกใจ "นักร้องหญิง" คนหนึ่ง...เฮ้อ...ช่วงนี้โลกก็ดูจะหม่นๆ แต่สดใส
อย่างบอกไม่ถูก...บางครั้ง..."นรกๆ อย่างเรา...ก็ยังเฝ้ามองนางฟ้าบนสวรรค์
อยู่เหมือนกัน" 555 "เป็นเอามาก [CatEye]"
อ่า...เขาเรื่อง
พอดี...พิมพ์งานอยู่ในเครื่องเจ้าปัญหาพอดี...คือย่างนี้...หลายคนคงเจอ
ปัญหาที่ไม่รู้จักจบจักสิ้น...ของไวรัสคอมพิวเตอร์ ครับ...เช่นกัน...ในเครื่อง
นี้เอง...คนจับเป็นสิบ...เพราะเป็นเครื่องที่ทำงาน...และก็จัดการล็อกเครื่อง
ด้วย "หมีแช่แข็ง" คับ...แต่...มันมีอายุใช้งาน 30 วัน...และหมดลงไปแล้ว
ที่นี้...ปัญหาที่ตามมายิ่งกว่าไวรัสคือ...มันทำการ "ยกเลิกการติดตั้งแล้ว
แต่ DF 5 ของมันยังฝั่งในเครื่องเรา" และเป็นสาเหตุให้เครื่องไม่สามารถ
ทำอะไรได้ซักไดร์ฟ เพราะถูกล็อกหมดเลย...ทุกๆ ไดร์ฟ และ Services
ตัวนี้ก็เซียน...โครต... ได้แก่ DF5Serv สถานะ Started ส่วน DFServEx ก็
รอการทำงานแบบ Automatic อยู่ (ถ้าคุณใช้ "หมีแช่แข็ง" กันอยู่ ลองไปที่
Start...run...พิมพ์ Services.msc {enter} จากนั้นให้ดูข้อความที่ผมกล่าว)
ซึ่งมันก็คือโปรแกรมหลักๆ ของ "ดีฟฟรีส" มีหน้าที่ในการล็อกการทำงาน
ของเครื่องคุณ จากการโจมตีของไวรัสและแฮกเกอร์ในทุกๆ รูปแบบฉนั้น
ผมไม่ใช่ Hacker จึง...ต้องตายตามระเบียบของ ละครไทย อืม...เซ็ง...เป็ด
เซ็งไก่...
และหากน้องๆ จะถามพี่ว่าพอมีวิธีลบบริการของ "ดีฟฟรีส" ตัวนี้ไหม...พี่ก็
ต้องบอกว่า...หามาหลายกระทู้ในคอมฯ แล้ว...และวิธีการเด็ดๆ จากเวป
ต่างประเทศแล้วก็ตาม...ยังไม่พบไม่เจอเลย...อืม...และทำไมถึงเป็นเช่นนั้น
เราต้องมาทำความเข้าใจถึงหลักการทำงานของมันก่อนดังนี้
1. มันจะฝังตัวเองอยู่ในบริการขั้นสูง...แล้วแต่บริษัทที่ทำการผลิต "ฟรีส"
ต่างๆ จะถนัด...ซึ่งถ้าเป็นไปได้...มันจะอยู่ลึกพอๆ กับโปรแกรมฆ่าไวรัส
ชั้น 1 ที่ฝังตัวเองให้ลึกในระดับที่ผู้ใช้งานลบบริการของมันไม่ได้รวมถึง
ไวรัสเองก็ไม่อาจแทรกแซงการทำงาน...เพื่อให้เป็นระบบแช่แข็งที่สมบรูณ์
2. มันจะทำการเก็บข้อมูลของ "พาร์ทิชั่น" และ "ไฟล์อะโลเคชั่นเทเบิล"
ทั้งหมดเพื่อเป็นฐานในการแช่แข็ง...กล่าวคือ ถ้ามีการเพิ่มเติม "ไฟล์อะโล
เคชั่นเทเบิล" ใดๆ หลังการแช่แข็งจะถูกปฏิเสธ ไม่ให้บันทึก...ถึงแม้ว่ามัน
จะเขียนลงไปในฮาร์ดดิสก์เมื่อตะกี้...แล้ว....แต่ "ไฟล์อะโลเคชั่น" ตัวใหม่
จะถูกเปรียบเทียบกับไฟล์ "ไฟล์อะโลเคชั่น" ตัวเก่า...เพื่อดูว่าอะไรถูกเพิ่ม
เข้ามาถ้าไม่ใช่ระบบ ก็จะถูกกำจัดออกไป "จึงเขียนได้แต่บันทึกเก็บไว้ไม่
ได้เท่านั้นเอง"
3. คุณสังเกตุไหมว่า..."ฟรีส" ต่างๆ สามารถทำการ "ดีแฟกดิสก์" ได้...นั้น
เป็นเพราะมันอนุญาติ....ให้แก่ไขตำแหน่งของ "FAT หรือ ไฟล์อะโลเคชั่น"
ได้ต่างหาก...โดยบริการในการแก้ไขนี้...โปรแกรมเมอร์ชั่นสูงนั้นสามารถ
ทำได้...อย่างง่าย...(ซึ่งผมเป็นโปรแกรมเมอร์ใน อินเตอร์เฟส ยุคโบราณ
จึงทำงานได้ยากมาก) จึงเป็นสาเหตุให้คิดต่อว่า...อย่างนั้น "พาร์ทิชั่นไวรัส"
ก็สามารถทำงานได้...อืม...ผมว่าน่าจะได้แต่ไม่สะดวก
4. ทั้งหมดเป็นการคาดเดาของผมจากการทดลองใช้งาน ทั้ง "ดีฟฟรีส" และ
"ชาโดว์ยูสเซอร์" ซึ่งมันมีเอกสารภาษาอังกฤษประกอบ...บอกถึงระดับการ
ทำงานของพวกมัน...แต่ไม่ได้บอกถึงรายละเอียดในการโครงสร้างของ
โปรแกรม จึงมีสิ่งที่ผมยังสงสัยอยู่ก็คือ
4.1. ถ้ามันแช่แข็งเนื้อที่ C: ทั้งหมด...จะเป็นไปได้อย่างไรที่มันจะตรวจสอบ
เนื้อที่ทั้งหมดได้...โดยไม่มีแบ็กอัป (สมมุติฐานนี้ถูกหักล้างจากการเก็บค่า
ไฟล์อะโลเคชั่นทั้งหมดในไดร์ฟเก็บเอาไว้)
4.2. และถ้าอย่างนั้นไวรัสแบบเขียนทับไฟล์มันทำการเขียนทับเฉพาะ
"เซกเตอร์" โดยคง "ไฟล์อะโลเคชั่น" เดิมเอาไว้มันก็น่าจะแพ่เชื้อใน "ฟรีส"
ได้...(ผมยังไม่เคยลอง...แต่เท่าที่ทดสอบคือ...ไฟล์ Excel ตัวที่ "ฟรีส"
เอาไว้...เมื่อแก้อักษร "ก" เป็น "ฮ" มันถูกย้อนกลับเป็น "ก" เช่นเดิมโดย
ผมไม่เคยยุ่งเกี่ยวส่วนอื่นๆ ให้ขนาดไฟล์เปลี่ยนไปเลย...) จึงทำให้หมด
ปัญหาเรื่องไวรัส...เขียนทับ...และผมเองก็ยังไม่มีวิธีการมาหักล้างวิธีการ
เก็บข้อมูลแบบนี้ได้..."สุดยอด" จริงๆ มีวิธีการทางคณิตศาสตร์แบบเดียว
เท่านั้นที่ทำได้คือ "พาร์ติตี้...หรือเก็บค่า CRC ของ ข้อมูลเอาไว้ทุก Sector
ซึ่งทำให้ต้องเสียเนื้อที่ 1 : 1024 ไบต์ต่อไดร์ฟข้อมูล (ผมเดาว่าน่าจะวิธีนี้)
4.3. นโยบายแทรกแซงการทำงานผ่าน "อินเตอร์รัฟต์" เพื่อดูว่ามีการแก้
ไขข้อมูลส่วนใด...และรีแอ็คชั่นกลับ....ซึ่งวิธีนี้น่าจะเป็นไปได้มาก ที่สุด...
หรือมันอาจจะทำทุกๆ ข้อ...เลยก็เป็นไปได้...
อย่างไรก็ดี...ผมคิดว่า...ณ ปัจจุบัน...การแช่แข็งข้อมูล ดูจะเป็นทางเลือก
ที่ดีที่สุดสำหรับนักท่อง อินเตอร์เน็ต และ ผู้ชอบลงโปรแกรมเถื่อนๆ เพราะ
มันดูจะปลอดภัย...และง่ายต่อการควบคุม ถึงแม้มันจะมีกฎเหล็กที่มากกว่า
"แอนตี้ไวรัส" ก็ตาม อย่างไรก็ดี การ "ฟรีส" นั้นผมแน่นำว่า...ควรกระทำ
เฉพาะในเครื่องที่คุณ ต้องใช้งานหลายๆ คน แต่ถ้าคุณใช้งานอยู่คนเดียว
หรือกระทำการ Complirer โปรแกรม หรือเขียนโปรแกรม...คงไม่เหมาะ
เพราะ "โปรแกรมพันล้านที่คุณเขียนในวันนี้ อาจจะกลายเป็นจินตนาการ
เมื่อ รีสตราท์เครื่องกลับมาอีกครั้ง..." (เฮ้อ...ผมเจอมาแล้ว)
อ่ะเดียวมาต่อ....
ผมยังไม่ได้มีโอกาศเขียนบล็อกมานานเลย...มั่วแต่ยุ่งเกี่ยวกับการเขียน
โปรแกรม "กันยา" อยู่ซึ่งก็แย่พอสมควรครับ...โปรเจ็คที่ทำไว้ผิดพลาด
อย่างมาก... 3 อัลกอลิทึม...แทบออกจากวงการเลย...เฮ้อ...อะไรๆ ก็เกิด
ขึ้นได้ครับ...ในโลกใบนี้...แต่ที่ไม่อยากให้เกิดเลยคือข้อผิดพลาด...
และช่วงนี้ก็เป็นอะไรไม่รู้...ไม่เคยชอบดาราคนไหนเลย...มาตั้งแต่วัยรุ่น
ดันมาถูกใจ "นักร้องหญิง" คนหนึ่ง...เฮ้อ...ช่วงนี้โลกก็ดูจะหม่นๆ แต่สดใส
อย่างบอกไม่ถูก...บางครั้ง..."นรกๆ อย่างเรา...ก็ยังเฝ้ามองนางฟ้าบนสวรรค์
อยู่เหมือนกัน" 555 "เป็นเอามาก [CatEye]"
อ่า...เขาเรื่อง
พอดี...พิมพ์งานอยู่ในเครื่องเจ้าปัญหาพอดี...คือย่างนี้...หลายคนคงเจอ
ปัญหาที่ไม่รู้จักจบจักสิ้น...ของไวรัสคอมพิวเตอร์ ครับ...เช่นกัน...ในเครื่อง
นี้เอง...คนจับเป็นสิบ...เพราะเป็นเครื่องที่ทำงาน...และก็จัดการล็อกเครื่อง
ด้วย "หมีแช่แข็ง" คับ...แต่...มันมีอายุใช้งาน 30 วัน...และหมดลงไปแล้ว
ที่นี้...ปัญหาที่ตามมายิ่งกว่าไวรัสคือ...มันทำการ "ยกเลิกการติดตั้งแล้ว
แต่ DF 5 ของมันยังฝั่งในเครื่องเรา" และเป็นสาเหตุให้เครื่องไม่สามารถ
ทำอะไรได้ซักไดร์ฟ เพราะถูกล็อกหมดเลย...ทุกๆ ไดร์ฟ และ Services
ตัวนี้ก็เซียน...โครต... ได้แก่ DF5Serv สถานะ Started ส่วน DFServEx ก็
รอการทำงานแบบ Automatic อยู่ (ถ้าคุณใช้ "หมีแช่แข็ง" กันอยู่ ลองไปที่
Start...run...พิมพ์ Services.msc {enter} จากนั้นให้ดูข้อความที่ผมกล่าว)
ซึ่งมันก็คือโปรแกรมหลักๆ ของ "ดีฟฟรีส" มีหน้าที่ในการล็อกการทำงาน
ของเครื่องคุณ จากการโจมตีของไวรัสและแฮกเกอร์ในทุกๆ รูปแบบฉนั้น
ผมไม่ใช่ Hacker จึง...ต้องตายตามระเบียบของ ละครไทย อืม...เซ็ง...เป็ด
เซ็งไก่...
และหากน้องๆ จะถามพี่ว่าพอมีวิธีลบบริการของ "ดีฟฟรีส" ตัวนี้ไหม...พี่ก็
ต้องบอกว่า...หามาหลายกระทู้ในคอมฯ แล้ว...และวิธีการเด็ดๆ จากเวป
ต่างประเทศแล้วก็ตาม...ยังไม่พบไม่เจอเลย...อืม...และทำไมถึงเป็นเช่นนั้น
เราต้องมาทำความเข้าใจถึงหลักการทำงานของมันก่อนดังนี้
1. มันจะฝังตัวเองอยู่ในบริการขั้นสูง...แล้วแต่บริษัทที่ทำการผลิต "ฟรีส"
ต่างๆ จะถนัด...ซึ่งถ้าเป็นไปได้...มันจะอยู่ลึกพอๆ กับโปรแกรมฆ่าไวรัส
ชั้น 1 ที่ฝังตัวเองให้ลึกในระดับที่ผู้ใช้งานลบบริการของมันไม่ได้รวมถึง
ไวรัสเองก็ไม่อาจแทรกแซงการทำงาน...เพื่อให้เป็นระบบแช่แข็งที่สมบรูณ์
2. มันจะทำการเก็บข้อมูลของ "พาร์ทิชั่น" และ "ไฟล์อะโลเคชั่นเทเบิล"
ทั้งหมดเพื่อเป็นฐานในการแช่แข็ง...กล่าวคือ ถ้ามีการเพิ่มเติม "ไฟล์อะโล
เคชั่นเทเบิล" ใดๆ หลังการแช่แข็งจะถูกปฏิเสธ ไม่ให้บันทึก...ถึงแม้ว่ามัน
จะเขียนลงไปในฮาร์ดดิสก์เมื่อตะกี้...แล้ว....แต่ "ไฟล์อะโลเคชั่น" ตัวใหม่
จะถูกเปรียบเทียบกับไฟล์ "ไฟล์อะโลเคชั่น" ตัวเก่า...เพื่อดูว่าอะไรถูกเพิ่ม
เข้ามาถ้าไม่ใช่ระบบ ก็จะถูกกำจัดออกไป "จึงเขียนได้แต่บันทึกเก็บไว้ไม่
ได้เท่านั้นเอง"
3. คุณสังเกตุไหมว่า..."ฟรีส" ต่างๆ สามารถทำการ "ดีแฟกดิสก์" ได้...นั้น
เป็นเพราะมันอนุญาติ....ให้แก่ไขตำแหน่งของ "FAT หรือ ไฟล์อะโลเคชั่น"
ได้ต่างหาก...โดยบริการในการแก้ไขนี้...โปรแกรมเมอร์ชั่นสูงนั้นสามารถ
ทำได้...อย่างง่าย...(ซึ่งผมเป็นโปรแกรมเมอร์ใน อินเตอร์เฟส ยุคโบราณ
จึงทำงานได้ยากมาก) จึงเป็นสาเหตุให้คิดต่อว่า...อย่างนั้น "พาร์ทิชั่นไวรัส"
ก็สามารถทำงานได้...อืม...ผมว่าน่าจะได้แต่ไม่สะดวก
4. ทั้งหมดเป็นการคาดเดาของผมจากการทดลองใช้งาน ทั้ง "ดีฟฟรีส" และ
"ชาโดว์ยูสเซอร์" ซึ่งมันมีเอกสารภาษาอังกฤษประกอบ...บอกถึงระดับการ
ทำงานของพวกมัน...แต่ไม่ได้บอกถึงรายละเอียดในการโครงสร้างของ
โปรแกรม จึงมีสิ่งที่ผมยังสงสัยอยู่ก็คือ
4.1. ถ้ามันแช่แข็งเนื้อที่ C: ทั้งหมด...จะเป็นไปได้อย่างไรที่มันจะตรวจสอบ
เนื้อที่ทั้งหมดได้...โดยไม่มีแบ็กอัป (สมมุติฐานนี้ถูกหักล้างจากการเก็บค่า
ไฟล์อะโลเคชั่นทั้งหมดในไดร์ฟเก็บเอาไว้)
4.2. และถ้าอย่างนั้นไวรัสแบบเขียนทับไฟล์มันทำการเขียนทับเฉพาะ
"เซกเตอร์" โดยคง "ไฟล์อะโลเคชั่น" เดิมเอาไว้มันก็น่าจะแพ่เชื้อใน "ฟรีส"
ได้...(ผมยังไม่เคยลอง...แต่เท่าที่ทดสอบคือ...ไฟล์ Excel ตัวที่ "ฟรีส"
เอาไว้...เมื่อแก้อักษร "ก" เป็น "ฮ" มันถูกย้อนกลับเป็น "ก" เช่นเดิมโดย
ผมไม่เคยยุ่งเกี่ยวส่วนอื่นๆ ให้ขนาดไฟล์เปลี่ยนไปเลย...) จึงทำให้หมด
ปัญหาเรื่องไวรัส...เขียนทับ...และผมเองก็ยังไม่มีวิธีการมาหักล้างวิธีการ
เก็บข้อมูลแบบนี้ได้..."สุดยอด" จริงๆ มีวิธีการทางคณิตศาสตร์แบบเดียว
เท่านั้นที่ทำได้คือ "พาร์ติตี้...หรือเก็บค่า CRC ของ ข้อมูลเอาไว้ทุก Sector
ซึ่งทำให้ต้องเสียเนื้อที่ 1 : 1024 ไบต์ต่อไดร์ฟข้อมูล (ผมเดาว่าน่าจะวิธีนี้)
4.3. นโยบายแทรกแซงการทำงานผ่าน "อินเตอร์รัฟต์" เพื่อดูว่ามีการแก้
ไขข้อมูลส่วนใด...และรีแอ็คชั่นกลับ....ซึ่งวิธีนี้น่าจะเป็นไปได้มาก ที่สุด...
หรือมันอาจจะทำทุกๆ ข้อ...เลยก็เป็นไปได้...
อย่างไรก็ดี...ผมคิดว่า...ณ ปัจจุบัน...การแช่แข็งข้อมูล ดูจะเป็นทางเลือก
ที่ดีที่สุดสำหรับนักท่อง อินเตอร์เน็ต และ ผู้ชอบลงโปรแกรมเถื่อนๆ เพราะ
มันดูจะปลอดภัย...และง่ายต่อการควบคุม ถึงแม้มันจะมีกฎเหล็กที่มากกว่า
"แอนตี้ไวรัส" ก็ตาม อย่างไรก็ดี การ "ฟรีส" นั้นผมแน่นำว่า...ควรกระทำ
เฉพาะในเครื่องที่คุณ ต้องใช้งานหลายๆ คน แต่ถ้าคุณใช้งานอยู่คนเดียว
หรือกระทำการ Complirer โปรแกรม หรือเขียนโปรแกรม...คงไม่เหมาะ
เพราะ "โปรแกรมพันล้านที่คุณเขียนในวันนี้ อาจจะกลายเป็นจินตนาการ
เมื่อ รีสตราท์เครื่องกลับมาอีกครั้ง..." (เฮ้อ...ผมเจอมาแล้ว)
อ่ะเดียวมาต่อ....