Wednesday, August 10, 2011

การเฝ้าระวังและการตรวจสอบการบุกรุก

0 comments
 

ในการเฝ้าระวังและการตรวจสอบให้พ้นภัยจากการบุกรุก  ซึ่งในโปรแกรมป้องกันภัยที่มีประสิทธิภาพสูงจะสามารถเข้าถึงในการทำงานเฝ้าระวังและตรวจจับ นอกจากนี้ ผู้ใช้ ยังควร ช่วยตรวจสอบเครื่องคอมพิวเตอร์ของท่านอีกทางหนึ่งด้วย ซึ่งสภาพโดยรวมแล้ว มี 3 วิธีการ คือ


  • การสแกน
            เป็นวิธีที่ง่าย ได้ผล และแม่นยำ รู้ผลทันที ปัจจุบันพบว่าเครื่องคอมพิวเตอร์เกือบทุกเครื่องจะติดตั้งโปรแกรมป้องกันไวรัสแทบทั้งนั้น โปรแกรมตรวจหาไวรัสที่ใช้วิธีการสแกน (Scanning) เรียกว่า สแกนเนอร์ (Scanner) โดยจะมีการดึงเอา โปรแกรมบางส่วน ของตัวไวรัสมาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเราเรียกว่า ไวรัสซิกเนเจอร์ (Virus Signature)และเมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงาน ก็จะเข้าตรวจหาไวรัสในหน่วยความจำ บูตเซกเตอร์และไฟล์โดยใช้ ไวรัสซิกเนเจอร์ที่มีอยู่
    ข้อดีของวิธีการนี้ก็คือ เราสามารถตรวจสอบซอฟแวร์ที่มาใหม่ได้ทันทีเลยว่าติดไวรัสหรือไม่ เพื่อป้องกันไม่ให้ไวรัส ถูกเรียกขึ้นมา ทำงาน ตั้งแต่เริ่มแรก แต่วิธีนี้มีจุดอ่อนอยู่หลายข้อ คือ ฐานข้อมูลที่เก็บไวรัสซิกเนเจอร์จะต้องทันสมัยอยู่เสมอ แลครอบคลุมไวรัสทุกตัว มากที่สุด เท่าที่จะทำได้ เพราะสแกนเนอร์ จะไม่สามารถตรวจจับไวรัสที่ยังไม่มี ซิกเนเจอร์ของไวรัสนั้นเก็บอยู่ในฐานข้อมูลได้ ยากที่จะตรวจจับ ไวรัสประเภทโพลีมอร์ฟิก เนื่องจากไวรัสประเภทนี้เปลี่ยนแปลง ตัวเองได้ จึงทำให้ไวรัสซิกเนเจอร์ที่ใช้สามารถนำมาตรวจสอบได้ก่อนที่ไวรัส จะเปลี่ยนตัวเองเท่านั้น ถ้ามีไวรัสประเภทสทีลต์ไวรัสติดอยู่ในเครื่องตัวสแกนเนอร์อาจจะไม่สามารถ ตรวจหาไวรัสนี้ได้ ทั้งนี้ขึ้นอยู่กับ ความฉลาดและเทคนิค ที่ใช้ของตัวไวรัสและ ของตัวสแกนเนอร์เองว่าใครเก่งกว่า เนื่องจากไวรัสมีตัวใหม่ ๆ ออกมาอยู่เสมอ ๆ ผู้ใช้จึงจำเป็น จะต้องหาสแกนเนอร์ตัวที่ใหม่ที่สุดมาใช้
    ปัจจุบันพบว่ามีไวรัสบางตัวจะเข้าไปติดในโปรแกรมทันทีที่โปรแกรมนั้นถูกอ่าน และถ้าสมมติ ว่าสแกนเนอร์ที่ใช้ไม่ปัจจุบันทำให้ไม่มีข้อมูลไวรัสตัวใหม่ๆ ดังนั้นหากเครื่องติดไวรัสตัวนี้เมื่อทำการสแกนก็จะไม่สามารถตรวจจับได้ และบังเกิดผลร้ายตามมาคือ โปรแกรมทุกตัวที่สแกนเนอร์อ่านก็จะติดไวรัสไปด้วยทันที
     
  • การเฝ้าดู
    เพื่อที่จะให้โปรแกรมตรวจจับไวรัสสามารถเฝ้าดูการทำงานของเครื่องได้ตลอดเวลานั้น จึงได้มีโปรแกรมตรวจจับ ไวรัสที่ถูกสร้างขึ้นมา เป็นโปรแกรมแบบเรซิเดนท์หรือ ดีไวซ์ไดรเวอร์ โดยเทคนิคของการเฝ้าดูนั้นอาจใช้วิธีการสแกน หรือตรวจการเปลี่ยนแปลงหรือสองแบบรวมกันก็ได้ การทำงานโดยทั่วไปก็คือ เมื่อซอฟแวร์ตรวจจับไวรัส ที่ใช้วิธีนี้ถูกเรียกขึ้นมาทำงาน ก็จะเข้าไปตรวจในหน่วยความจำ ของเครื่องก่อน ว่ามีไวรัสติดอยู่หรือไม่ โดยใช้ไวรัสซิกเนเจอร์ ที่มีอยู่ในฐานข้อมูล จากนั้นจึงค่อยนำตัวเองเข้าไปฝังอยู่ในหน่วยความจำ และต่อไป ถ้ามีการเรียก โปรแกรมใด ขึ้นมาใช้งาน โปรแกรมเฝ้าดูนี้ก็จะเข้าไปตรวจโปรแกรมนั้นก่อน โดยใช้เทคนิคการสแกน หรือตรวจ การเปลี่ยนแปลง เพื่อหาไวรัส ถ้าไม่มีปัญหา ก็จะอนุญาตให้โปรแกรมนั้นขึ้นมาทำงานได้ นอกจากนี้โปรแกรมตรวจจับ ไวรัสบางตัว ยังสามารถ ตรวจสอบ ขณะที่มีการคัดลอก ไฟล์ได้อีกด้วย ข้อดีของวิธีนี้คือ เมื่อมีการเรียกโปรแกรมใดขึ้นมา โปรแกรมนั้น จะถูกตรวจสอบก่อน ทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์ จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น ข้อเสียของโปรแกรม ตรวจจับไวรัส แบบเฝ้าดูก็คือ จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเดนท์หรือดีไวซ์ไดรเวอร์ จึงจำเป็น จะต้องใช้หน่วยความจำส่วนหนึ่งของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ ก็คือ จำเป็นจะต้องมีการปรับปรุง ฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ

  • การตรวจการเปลี่ยนแปลง
    การตรวจการเปลี่ยนแปลง คือ การหาค่าพิเศษอย่างหนึ่งที่เรียกว่า เช็คซัม (Checksum) ซึ่งเกิดจากการนำเอาชุดคำสั่งและ ข้อมูลที่อยู่ในโปรแกรม มาคำนวณ หรืออาจใช้ข้อมูลอื่น ๆ ของไฟล์ ได้แก่ แอตริบิวต์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่ง หรือข้อมูลที่อยู่ในโปรแกรม จะถูกแทนด้วยรหัสเลขฐานสอง เราจึงสามารถนำเอาตัวเลข เหล่านี้มาผ่านขั้นตอน การคำนวณ ทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรม ภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหม่ จะเปลี่ยนไปจาก ที่คำนวณได้ก่อนหน้านี้ ข้อดีของการตรวจการเปลี่ยนแปลงก็คือ สามารถตรวจจับไวรัสใหม่ ๆ ได้ และยังมีความสามารถ ในการตรวจจับไวรัส ประเภทโพลีมอร์ฟิกไวรัสได้อีกด้วย แต่ก็ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาด ของโปรแกรมตรวจหาไวรัสเอง ด้วยว่า จะสามารถถูกหลอกโดยไวรัสประเภทนี้ได้หรือไม่ และมีวิธีการตรวจการเปลี่ยนแปลง นี้จะตรวจจับไวรัสได้ ก็ต่อเมื่อไวรัสได้เข้าไป ติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือต้องไม่มี โปรแกรมใด ๆ ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป

คำแนะนำและการป้องกันไวรัส
  • :::สำรองไฟล์ข้อมูลที่สำคัญ สำหรับเครื่องที่มีฮาร์ดดิสก์
  • :::อย่าเรียกโปรแกรมที่ติดมากับดิสก์อื่น
  • :::เสาะหาโปรแกรมตรวจหาไวรัสที่ใหม่และมากกว่าหนึ่งโปรแกรมจากคนละบริษัท
  • :::เรียกใช้โปรแกรมตรวจหาไวรัสเป็นช่วง ๆ
  • :::เรียกใช้โปรแกรมตรวจจับไวรัสแบบเฝ้าดูทุกครั้ง
  • :::เลือกคัดลอกซอฟแวร์เฉพาะที่ถูกตรวจสอบแล้วในบีบีเอส
  • :::สำรองข้อมูลที่สำคัญของฮาร์ดดิสก์ไปเก็บในดิสก์

Leave a Reply

ขอบคุณที่ได้ให้ความสนใจบทความ ใน mediathailand network ครับ

สาระ เนื้อหา เรื่องราว ที่ปรากฎอยู่ในบล็อกแห่งนี้ จัดทำขึ้นเพื่อรวบรวมผลงาน แนวคิด จากการศึกษาเรียนรู้ และประสบการณ์ในการทำงาน รวมถึงการนำมาจากแหล่งข้อมูลอื่น(ซึ่งจะแจ้ง links ต้นทาง) นำมาเผยแพร่ให้กับท่านที่สนใจ ผ่านช่องทางและเวทีบล็อกแห่งนี้ หากท่านต้องการที่จะแนะนำ หรือแสดงความคิดเห็นที่เป็นประโยชน์ในการจัดทำบล็อกความรู้นี้ ติดต่อพูดคุย(ฝากข้อความ) ได้นะครับ

ขอบคุณที่กรุณาเข้าเยี่ยมชม
mediathailand
สุวัฒน์ ธรรมสุนทร
ข้าราชการบำนาญ สำนักงาน กศน.




ข้อเสนอแนะจากเพื่อนสมาชิก Facebook