วันพุธที่ 12 กันยายน พ.ศ. 2555

ไฟล์ไวรัส ( File Virus )



ไฟล์ไวรัส ( File Virus )                                                                                     


ในคอมพิวเตอร์ virus (ไวรัส) เป็นโปรแกรมหรือคำสั่งโปรแกรมที่จำลองโดยการทำสำเนาหรือเริ่มต้นคัดลอกไปยังอีกโปรแกรม boot sector ของเครื่องคอมพิวเตอร์หรือเอกสาร ไวรัสสามารถได้รับการส่งผ่านเป็นไฟล์แนบในอีเมล์หรือไฟล์ดาวน์โหลด หรือปรากฎบนดิสเก็ตหรือซีดี แหล่งตัวกลางนี้ของอีเมล์ ไฟล์ดาวน์โหลดหรือดิสเก็ตที่ได้รับมักจะไม่ได้ระวังว่าบรรจุไวรัสไว้ ไวรัสบางชนิดให้ผลทันทีที่มีการประมวลผล ไวรัสจะรอกว่าสภาพแวดล้อมที่คำสั่งนี้ได้รับการประมวลผลโดยเครื่องพิวเตอร์นั้น ไวรัสบางชนิดเป็นเนื้องอกไม่อันตรายหรือชอบล้อเล่นและมีผลเพียง (บอกว่า “Happy Birthday”) แต่บางตัวอันตรายมาก เช่น ลบข้อมูล หรือเป็นสาเหตุให้ฮาร์ดดิสก์ต้องฟอร์แม็ตใหม่ ไวรัสที่จำลองตัวเองโดยส่งตัวเองใหม่เป็นไฟล์แนบอีเมล์ หรือเป็นส่วนหนึ่งของข่าวสารเครือข่ายที่เรียกว่า worm


โดยทั่วไป ไวรัสมีสามชั้นหลัก


File infectors. ไวรัสติดต่อบางชนิดแนบตัวเองกับไฟล์โปรแกรม ปกติเป็นไฟล์ .COM หรือ .EXE บางชนิดสามารถติดต่อกับโปรแกรมซึ่งต้องมีการประมวลผล รวมถึงไฟล์ .SYS, .OVL, .PRG และ .MNU เมื่อโปรแกรมได้รับการโหลด ไวรัสได้รับการโหลดไปด้วย ไวรัสติดต่ออื่นมาถึงทั้งบรรจุในโปรแกรมและสคริปต์ที่ส่งเป็นไฟล์แนบกับอีเมล์



System or boot-record infectors. ไวรัสติดต่อที่มีคำสั่งประมวลผลเหล่านี้พบในพื้นที่ของระบบแน่นอนบนดิสก์ ไวรัสเหล่านี้ติดกับ boot sector ของ DOS บนดิสก์หรือ Master Boot Record บนฮาร์ดดิสก์ สถานการณ์จำลองได้รับดิสก์เก็ตจากแหล่งบริสุทธิ์ที่บรรจุไวรัส boot disk เมื่อระบบปฏิบัติการกำลังเรียกใช้ ไฟล์บนดิสก์สามารถได้รับการอ่านโดยไม่เปลี่ยนไปที่ไวรัส boot disk อย่างไรก็ตาม ถ้าทิ้งดิส์เก็ตไว้ในไดร์ฟ จากนั้นปิดเครื่องคอมพิวเตอร์หรือโหลดระบบปฏิบัติการใหม่ คอมพิวเตอร์จะมองไปที่ไดร์ฟ A ก่อน ค้นหาดิสก์เก็ตที่มีไวรัส boot disk แล้วโหลด และทำให้ความเป็นไปได้อย่างชั่วคราวเพื่อใช้ฮาร์ดดิสก์ (ใช้เวลาหลายวันในการฟื้นฟู) สิ่งนี้จึงทำให้ต้องมั่นใจว่าต้องมีฟล๊อปปีไดร์ฟ


Macro viruses. นี่เป็นไวรัสทั่วไปและทำให้เสียหายน้อย Macro viruses ของโปแกรมประยุกต์ Microsoft Word และแทรกคำหรือวลีที่ไม่ต้องการ


การป้องกันดีที่สุดต่อไวรัสคือรู้แหล่งของโปรแกรมหรือไฟล์ที่โหลดเข้าสู่เครื่องคอมพิวเตอร์หรือเปิดจากโปรแกรมอีเมล์ เพราะสิ่งนี้ลำบาก จึงต้องซื้อซอฟต์แวร์ต่อต้านไวรัสที่สามารถสแกนไฟล์แนบอีเมล์และตรวจสอบไฟล์ทั้งหมดตามระยะเวลาและลบไวรัสที่พบ จากครั้งต่อครั้ง อาจจะรับข่าวสารการเตือนอีเมล์ของไวรัสใหม่ ถ้าไม่มีการเตือนจากต้นแหล่งที่รู้จัก โอกาสที่ดีที่การเตือนคือ virus hoax ไวรัสคอมพิวเตอร์ ดึงจากประวัติไวรัส คำนี้มาจากภาษาลาตินว่า ของเหลวบอบบางหรือยาพิษ


ไฟล์ไวรัส (file virus) ใช้เรียกไวรัสที่ติดไฟล์โปรแกรม เช่นโปรแกรมที่ดาวน์โหลดจากอินเทอร์เน็ต นามสกุล.exe โปรแกรมประเภทแชร์แวร์เป็นต้น


การแทรกตัวของไวรัสสามารถแบ่งได้ 8 วิธีดังนี้


1. Overwriting Viruses (OV)                                                                   



จากรูปไวรัสจะเขียนตัวเองทับลงไปในไฟล์เป้าหมาย เมื่อมีการเรืยกใช้ไฟล์เป้าหมายจะเรียกโปรแกรมและไวรัสทำงานทันที เครื่องก็จะติดไวรัสไป


ลักษณะนี้จะยากต่อการตรวจจับของโปรแกรม Antivirus ที่อ่านขนาดไฟล์ เพราะไฟล์ที่ติดไวรัสจะมีขนาดเท่าเดิม แต่ถือว่ามีการเปลี่ยนแปลง


2. Random Overwritten Virus (ROV)







การทำงานจะคล้ายๆข้อแรก แต่เขียนแบบสุ่ม ไม่ได้เริ่มที่ Byte แรกเสมอไป ไฟล์ยังมีขนาดเท่าเดิม แต่ถือว่าถูกเปลี่ยนแปลง


การรันไฟล์ที่ติดไวรัส โปรแกรมจะทำงานก่อนไวรัส ทำให้เหมือนกับว่าไม่มีอะไรเกิดขึ้น และถ้า Antivirus ที่ทำงานช้าหรือไม่มีความคล่องตัว โอกาศที่จะพลาดสูงมาก



3. Appending Virus (AV)




ไวรัสจะแทรกตัวเองลงไปที่ Byte สุดท้ายของไฟล์เป้าหมาย แต่มีการแก้ไขที่ Byte แรกของเป้าหมาย ให้มารันตัวเองก่อน ไฟล์ที่โดนไวรัสลักษณะนี้มีโอกาสเสียค่อนข้างสูง ไฟล์เป้าหมายมักจะเป็นนามสกุล .com ที่เขียนขึ้นจากดอส


แต่ไวรัสลักษณะนี้จะถูกแก้ไขได้ง่ายจากโปรแกรมครับ เพราะไฟล์มีขนาดใหญ่ขึ้นจากเดิม ถ้าโปรแกรมมีความคล่องตัวมากพอ ก็จะแก้ไขเฉพาะส่วนของไวรัสได้


4. Prepending Virus (PV)



คล้ายๆข้อ 1 และ 3 แต่ไฟล์ที่ติดไวรัสจะมีขนาดเปลี่ยนแปลงไปครับ




5. Classic Parasitic Virus (CPV)                                                                  





จัดว่าเป็น Variants ของไวรัสประเภทที่ 4 ครับ ไวรัสพวกนี้จะถูกตรวจจับได้จากการอ่านขนาดไฟล์ของ Antivirus ชาติเกา แต่ประเภทที่ไม่เปลี่ยนแปลงขนาดไฟล์จะมีโอกาสพลาดได้


6. Cavity Virus (CV)
แปลเป็นภาษาชาวบ้านว่า "ฟันผุ" การทำงานจะคล้ายๆข้อ 3 แต่แทนที่จะไปเขียนตรง Byte สุดท้าย กลายเป็นว่าไวรัสแทรกตัวลงไปแบบสุ่มเหมือนข้อ 2


การทำงานของไวรัสลักษณะนี้จะคล้ายๆกับ Rootkit แต่ต่างกันตรงที่ Rootkit ไม่เปลี่ยนแปลงไฟล์ แต่แทรกตัวลงไปในโปรเซสเพื่อหลบการตรวจจับของโปรแกรม


7. Compressing Virus ไวรัสจะบีบอัดขนาดไฟล์เป้าหมายพร้อมทั้งแทรกตัวลงไป นอกจากบีบอัดแล้วบางทีอาจจะมีการเข้ารหัสไว้ เพื่อไม่ให้ Antivirus แก้ไขไฟล์ แต่ยังเรียกใช้ไฟล์ได้ตามปกติ








การบีบอัดหรือแก้ไขไฟล์อาจจะใช้ Runtime packers แบบอัลกอริทึ่ม PKLITE, LZEXE, UPX, ASPACK ในการแก้ไข


ลักษณะนี้เมื่อโดนจับได้อาจจะคลีนไม่ได้ ต้องลงไฟล์ทิ้ง ซึ่งเวลาตรวจเจออาจจะมีคำว่า PCK หรือ Packed ไว้ เพื่อบอกว่าไฟล์นี้โดนแก้ไขให้ขนาดเล็กลง


8.Amoeba Infection Technique (AIT)




ไวรัสจะแทรกลงไปที่ Byte แรกและ Byte สุดท้าย แปลว่าถ้ารันไฟล์เป้าหมาย อาจจะยังไม่ติดไวรัสตอนเรียกใช้ แต่จะติดตอนที่รันได้สำเร็จ


                       



3 ความคิดเห็น:

  1. ขอไฟล์ Overwriting Viruses (OV)
    มาหน่อยได้ไม่

    ตอบลบ
  2. ติด.reco​ทำไง... เปิดไฟล์ใช้งานไม่ได้

    ตอบลบ
  3. The Star Gold Coast - JT Hub
    With more 의왕 출장샵 than 화성 출장안마 30 성남 출장안마 luxury hotel and casino venues and 10 bars and lounges, The Star 파주 출장안마 Gold Coast is a perfect 의정부 출장샵 blend of adventure and leisure.

    ตอบลบ