ตอบปัญหา Top10 เกี่ยวกับปัญหาไวรัสและการป้องกัน

posted on 15 Nov 2008 14:32 by warbandit in Basic-Security

ระยะนี้มีเมล์หรือ PM ตามเว็บบอร์ดที่ผมเล่น และข้อความใน MSN ส่งมาหาบ่อยๆ แต่ที่น่าสนใจและหยิบมาเป็นประเด็นในเอ็นทรีนี้คือข้อสงสัยเกี่ยวกับการใช้ โปรแกรมป้องกันไวรัสทั่วๆไปที่เจอ เอาล่ะเรามาดูกันดีกว่าว่าคำถามมีอะไรกันบ้าง

1.Antivirus ตัวไหนดีที่สุด

คำถามนี้เป็นคำถามที่เรียกว่า "โลกแตก" และ "น่าเบื่อมาก" เพราะคำถามนี้คำตอบถ้าตอบไม่เข้ท่า เดี๋ยวคนถามอาจจะเอาพ่อแม่คนตอบมาเล่น เพราะงั้น ขอสรุปเป็นใจความง่ายๆได้ดังนี้

Antivirus ที่ดีที่สุดก็คือ "ตัวผู้ใช้" เพราะไม่มี Antivirus ตัวไหนสามารถจับไวรัสได้ 100% แน่นอน อย่างมากก็ 90% (ไม่ใช่ของชาติเกา)

อีก 10% ก็ต้องลุ้น ว่าจะเป็นไวรัสที่ติดในบ้านเรารึเปล่า ถ้าใช่ ก็ต้องลองส่งไปหาผู้พัฒนา ให้ออกฐานข้อมุลตัวใหม่มาแก้

ที่บอกว่าขึ้นอยู่กับตัวคนใช้ในที่นี้ หมายถึงว่าคนใช้ต้องหมั่น Update บ่อยๆ เวลาโปรแกรมมันเตือนอะไรก็อ่านกันหน่อย กดเลือกให้ถูก หลายครั้งเลยที่ผมเห็นว่าบางคนใช้ Antivirus ดีๆ แต่โดนไวรัสกินเละเทะ เพราะอะไร เพราะคุณปล่อยมันเข้ามาเอง

เวลาโปรแกรมมัน Detect แล้ว คุณเลือกที่จะปล่อยมันเข้ามาเองรึเปล่าล่ะ ?

ไวรัสจะลงเครื่องแล้วน๊า ตะเอง ทำไงดีเอ่ย ?

ดังนั้น เมื่อไม่มี Antivirus ตัวไหนดีที่สุดแล้ว ผู้ใช้ควรศึกษา และหาทางป้องกันกันเอง

ซึ่งขอแนะนำการป้องกันที่ดีที่สุดคือ "หมั่น Backup เอาไว้ด้วย"

การ Backup เป็นสิ่งที่สำคัญมาก ถ้าเจอไวรัสอย่างพวก GPCode แล้วจะรู้ซึ้งถึงความสำคัญ

2.ลง Antivirus หลายๆตัวดีรึเปล่า

นี่ก็เป็นคำถามน่าเบื่อเป็นอันดับสอง เป็นความคิดที่ไม่รู้ว่าใครต้นคิดว่า "ถ้าลง Antivirus 2 ตัวจะช่วยกำจัดไวรัสได้มากขึ้น"

ผมว่านะ ลงโปรแกรมสองตัว แล้วมันจะตีกันมากกว่า เพราะคำโบราณที่ว่า "เสือสองตัวอยู่ถ้ำเดียวกันไม่ได้"

พูดไปก็เหมือนจะไก่กาอาราเล่ เดี๋ยวผมเอาหลักการทำงานเบื้องต้นของ Antivirus มาให้ดูกันดีกว่า

ถ้าเป็น Antivirus ตัวเดียว เมื่อไฟล์ถูกสแกนแล้ว มันก็จะถูกส่งออกจากแคชโปรแกรม และส่งคืนระบบไป

แต่ถ้ามีสองตัว และเป็นพวกทำงานไว หรือทำงานหนักๆ เช่น Norton, Mcafee, Kaspersky, BitDefender หรือ Sophos แล้ว โปรแกรมจะสแกนไฟล์ ทันที และเมื่อสแกนเสร็จ มันก็จะคืนระบบ แต่ว่า เมื่อคืนระบบไป อีกโปรแกรมมันก็จะพยายามทำตาม

ภาพตัวอย่าง กรณี Antivir ไปเจอไวรัสใน Cache ของ Avast

(ขอบคุณภาพประกอบจากบล๊อคของนินคุง)

ข้อสรุปคือ การทำแบบนี้จะทำให้เกิดวงจรที่ไม่มีทางออกขึ้นมา (เรียกเป็นภาษาเทคนิคว่า DeadLock) เพราะการทำงานพื้นฐานของ Anti virus คือสแกนไฟล์ที่ถูกเปลี่ยนแปลง เคลื่อนย้าย หรือถูกสร้่าง

ลองคิดเล่นๆว่า ถ้าลงมากกว่า 2 ตัวล่ะ มันจะวนยังไงดี ?

บางคนดูเผินๆ เหมือนว่ามันจะฟ้องกันเองก็มีนะ

ปัญหานี้จริงๆมีทางแก้คือ "ลง Antivirus ที่มี 2 เอ็นจินในตัว" พูดง่ายๆคือมีโปรแกรมเดียวแต่ใช้เอ็นจินสองตัวช่วยกันสแกน เช่น

AVG (เฉพาะเวอร์ชั่น 8) จะมีเอ็นจิน AVG ไว้กำจัดไวรัส และเอ็นจินของ Ewido ไว้กำจัดสปายแวร์ แต่จริงๆเป็นเพราะว่า Grisoft ไปเทคโอเวอร์ Ewido มาตั้งแต่เมื่อปี 2550 แล้ว
GData มีเอ็นจินของ Kaspersky และ Avast ดังนั้นจะตรวจจับได้ยอดมาก แต่กินทรัพยากรสูงมาด้วย
F-Secure ใช้เอ็นจินของ Kaspersky และเอ็นจินตัวเอง คือ Libra, Orion และ Draco เอาไว้เป็น Heurestic เพราะ Kaspersky ไม่ได้ให้มา
Spyware Termiantor ใช้เอ็นจินตัวเองกับ ClamAV แถมมี HIPS ด้วย
Webroot ตัวนี้จริงๆแล้วใช้เอ็นจินตัวเองกับ Sophos ค่อนข้างน่าสนใจ เพราะ Sophos ไม่ได้เน้นผลิตภัณฑ์สำหรับลูกค้าตามบ้านนัก เลยให้ Webroot ซื้อเอ็นจินมา
A-suqared มีเอ็นจินของ Ikarus มาผนวกกับเอ็นจินตัวเอง ซึ่งใช้เอ็นจินตัวเองกำจัดสปายแวร์และโทรจัน ส่วนมัลแวร์อื่นๆ ให้ Ikarus จัดการ
Trustport เป็นโปรแกรมที่มีเอ็นจินเยอะที่สุดในบรรดาโปรแกรมป้องกันไวรัส คือมีถึง 5 เอ็นจิน นั่นคือ Ewido, AVG, Dr.Web, Norman และ VirusBlokAda
nProtect อันนี้ก็ใช้เอ็นจินของตัวเองกับ Hauri และ BitDefender แต่จะเน้นใช้เอ็นจินตัวเองมากกว่า กล่้่าวคือ ถ้าเอ็นจินตัวเองจับไม่ได้ ก็จะพัฒนาเอ็นจินตัวเองจนจับได้ และลบ Database ในตัวของ Hauri และ Bitdefender ทิ้ง ด้วยเหตุผลที่ว่า "จะได้หาข้อมูลในเว็บตัวเองได้" (เจริญ)

Antivirus ที่มีเอ็นจินหลายๆตัว การทำงานจะไม่แย่งกัน คือจะค่อยๆสแกนทีละเอ็นจิน แล้วดูว่าตัวไหนเตือน ก็จะรายงานว่าเอ็นจินไหนจับได้

แต่ข้อเสียคือ จะใช่ทรัพยากรสูง, สแกนช้า และถ้าเอ็นจินไหนเกิด FP ขึ้นมา ก็จะเยอะตามจำนวนเอ็นจินไปด้วยนะ

3.On Access กับ On Demand คืออะไร

สองคำนี้แตกต่างกันนิดหน่อยคำว่า On Access กับ Realtime นี่ความหมายเดียวกันคือ Antivirus จะสแกนไฟล์ที่ถูกเปลี่ยนแปลงตลอดเวลา เมื่อเจอไฟล์ที่ติดไวรัสจะรายงานทันที ใช้กำจัดไวรัสที่กำลังจะทำงาน หรือจะเข้ามารันใน Memory นั่นเอง

แต่ On Demand คือการทำงานแบบสั่งสแกนไว้กำจัดไวรัสที่ยังไม่ได้ทำงาน ถ้าทำงานแล้ว ก็ตัวใครตัวเผือกล่ะคร๊าบ!

4.ทำไมโปรแกรม Antivirus ชอบมองว่าไฟล์แคร๊กเป็นไวรัส

อันนี้ไม่ค่อยอยากจะแนะนำซักเท่าไหร่ เดี๋ยวจะหาว่าชี้โพรงให้กระรอก แต่ก็เตือนๆกันไว้ก่อนจะสายไป

บางครั้ง Antivirus จะบอกว่าไฟล์ Crack หรือ Keygen เป็นไวรัส บางที่ก็เลยบอกว่าให้ปิด Antivirus ก่อนจะแคร๊กอะไร

แต่จากประสบการณ์ผมนะ ผมว่าถ้า Antivirus บอกว่าไฟลแคร๊กเป็นไวรัสผมเชื่อครึ่งไม่เชื่อครึ่ง เพราะเมื่อก่อนโดนของมาแล้ว

การแคร๊กไฟล์อะไรก็คือการให้ไฟล์โปรแกรมเปลี่ยนไป ซึ่งเป็นพื้นฐานการทำงานไวรัสอยู่แล้ว บางทีมันเลยเตือน

แต่ขอบอกว่า ก่อนจะเล่นอะไรแผลงๆ จะแคร๊กอะไร ลองส่งไฟล์ไปสแกนที่เว็บดูก่อน เช่น ผมลองวิชา โหลดไฟล์แคร๊ก Nero มา ไม่ขอบอกว่าโหลดจากเว็บไหน

เมื่อสแกนด้วยเว็บ Virscan แล้ว ผลออกมาแบบนี้

แล้วคุณยังจะแคร๊กกันอีกเหรอ ?

5.Antivirus แจ้งเตือนว่าเจอไวรัสตลอดเวลา ฆ่าไม่ได้ ทำยังไงดี

อันนี้จะเจอบ่อยๆ ถ้าเกิดว่าลง Antivirus ในเครื่องที่ติดไวรัส แต่ไม่ได้กำจัดไปหมด

ทำไมมันเป็นแบบนั้นล่ะ

ทั้งนี้ทั้งนั้น เวลาไวรัสทำงานในระบบแล้ว มันก็จะแพร่ไปติดไฟล์อื่น หรือสร้างไฟล์รันตัวเองขึ้นมา ทีนี้ Antivirus มันจับได้ มันก็เลยเด้งเตือน ให้เราลบหรือกำจัดออกไป

พูดง่ายๆคือมันทำงานอยู่ใน Memory แล้ว มี Process ของมันแล้ว และมันอาจจะปิด Task Manager (ตามภาพ) เพื่อไม่ให้เราไปปิดโปรเซสมัน

คิดจะปิดเราเรอะ ฝันไปเหอะ !!

แต่ว่า Antivirus ที่ Realtime มันไม่ได้สแกน Memory โดยตรงแค่ใช้ Memory แกะรอยไวรัสไปเรื่อยๆ "ซึ่งพวก Game Guard มันจะชอบมาขัดขวาง"

ถ้าไวรัสทำงานใน Memory แล้ว ไวรัสสร้างไฟล์ เราลบไฟล์ไวรัสไป แต่ไม่ได้ฆ่ามันออกจาก Process มันก็จะสร้างไปเรื่อยๆ ลบได้ก็มาใหม่เรื่อยๆ

เพราะงั้น วิธีนี้แก้ไขด้วยการสแกนไวรัสในเซฟโหมดเป็นวิธีแรก เพราะจัะได้ไม่ต้องให้ไวรัสรัน แล้วจะได้กำจัดทิ้งไป หรือวิธีที่สอง ให้ Antivirus ทำ Bootscan เช่น Avast หรือ Rising สองตัวนี้ทำได้

แต่ถ้าไม่หายอีกก็คงต้องเล่นบทโหด ถอด Harddisk ของเราไปสแกนไวรัสในเครื่องอื่นเลย ดื้อด้านนัก

6.ชื่อไวรัส อ่านยังไงให้รู้เรื่อง

โปรแกรม Antivirus ถูกสร้างขึ้นในหลายๆประเทศ ก็จะมีชื่อเรียกแตกต่างกันออกไปในแต่ละค่าย บางทีไวรัสอาจชื่อเดียวกัน แต่อาจเรียกไม่เหมือนกัน (ในตัวอย่างจะยกตัวอย่างไวรัส Flashy)

ตอนนี้ผมแยกชื่อไวรัสที่ตรวจจับได้ออกเป็น 3 แบบดังนี้

แบบที่ 1 แบบเต็มๆ

Trojan.Win32.Disabler.i

ลักษณะนี้จะพบได้กับ Antivirus อย่าง Kaspersky, Avast, Nod32, Virus Buster, Microsoft หรือ Rising

วิธีอ่านชื่อไวรัส

สีแดงหมายถึง ลักษณะของไวรัสตัวนั้นๆ ในกรณีนี้เป็น Trojan

สีเขียว ลักษณะ Platform ที่ไวรัสรันได้ กรณีนี้เป็น Os แบบ 32 บิต

สีน้ำเงิน ชื่อไวรัส ในที่นี้ชื่อ Disabler

สีม่วง สายพันธุ์ เพราะบางทีไวรัสตัวเดียวกันแต่สามารถแตกหน่อผ่าเหล่าหรือถูกแก้ไขให้เป็นตัว ใหม่ได้ง่ายๆ เลยชื่ออาจจะเหมือนเดิม แต่การทำงานก็คล้ายๆกัน แต่ไม่อยากให้ต้องรื้อเอ็นจินใหม่ เลยต้องใส่สายพันธุ์ แต่ถ้าเกิดว่าสายพันธุ์เยอะเกินไปก็อาจจะใส่เป็น Gen หรือ Variant ไปเลย

แบบนี้เรียกได้ว่าเป็นมาตรฐาน Antivirus เลยก็ว่าได้ เพราะบอกข้อมูลได้ละเอียด แถมยังอิน Platform ทำให้รู้ว่าไวรัสตัวนี้ทำงานยังไง และมีหลายๆค่ายเรียกแบบนี้ ทำให้ค้นหาข้อมูลในเน็ตได้ง่าย

แต่บางทีมันก็มากเกินไปสำหรับมือใหม่

แบบที่ 2 แบบย่อ

TR/Disabler.I

ลักษณะนี้จะพบได้กับ Antivirus อย่าง Avira, Norton, Sophos, Mcafee หรือ AVG

วิธีอ่านชื่อไวรัส

สีแดงหมายถึง ลักษณะของไวรัสตัวนั้นๆ ในกรณีนี้เป็น Trojan

สีเขียว ชื่อไวรัส

สีม่วง สายพันธุ์ ถ้าเกิดว่าสายพันธุ์เยอะเกินไปก็อาจจะใส่เป็น .Gen

จะสังเกตว่าที่หายไปคือคำว่า Win32 เพราะว่าผู้ผลิตรายนี้คงกะเอาให้จำง่ายๆ และเรียกง่ายๆ เหลือไว้ 3 ส่วน

แนะนำกับมือใหม่ เพราะจะได้อ่านเข้าใจง่ายๆ แต่น้อยไปสำหรับมือโปร

แบบที่ 3 แบบอ่านขนาดไฟล์

Win-Trojan/Disabler.21185

ลักษณะนี้จะพบได้กับ Antivirus สัญชาติเกาหลี เช่น Ahnlab, Hauri หรือ nProtect

วิธีอ่านชื่อไวรัส

สีแดงหมายถึง ลักษณะ Platform ที่ไวรัสรันได้ กรณีนี้เป็น Windows

สีเขียว ลักษณะไวรัส

สีน้ำเงิน ชื่อไวรัสตัวนั้น

สีม่วง ขนาดไฟล์ บอกเป็น Byte

ซึ่งในความคิดผมแล้ว ไม่รู้มันจะบอกขนาดไฟล์ทำไม ไม่มีความจำเป็นกับผู้ใช้เลยซักนิด คงกะว่าใช้ตัวเลขในการบอกสายพันธุ์ไวรัสไป ให้จำกันยากๆ จำเป็นรหัสกันมั้ง

เพราะว่าไวรัสที่ตัวเดียวกันแต่ถูกแก้ไขให้เป็นตัวใหม่นั้น ถ้าจะจับให้ได้ก็คงต้องรื้อเอ็นจินใหม่ไปเลย เพราะว่าขนาดไฟล์เปลี่ยนไปแล้ว ต้องเปลี่ยนตัวเลขใหม่ ทำให้จำยาก และหาข้อมูลในเน็ตได้ยากมากด้วย คงกะจะให้หาเฉพาะในเว็บของบ้านมันมั้ง

ภาพ ชื่อไวรัสที่ nProtect จับได้และดูจากข้อมูลบนเว็บ

(บนเว็บเป็นภาษาเกา ต้องใช้ Google Translate แปลให้)

แบบว่าเราอ่านภาษาอังกฤษออกบ้าง ไม่ใช่เอะอะๆก็ต้องอ่านแต่ภาษาเรา

แถมบางทีไวรัสตัวเดียวกัน แต่โปรแกรมคนละโปรแกรมกัน ยังอ่านขนาดไฟล์ได้ไม่เท่ากันด้วย เพราะงั้นผมถึงได้บอกว่า Antivirus เกาหลีนั้นพึ่งพาไม่ได้เลย

แต่ก็ยังมีดีอยู่ข้อนึงคือ จะเกิด FP น้อย เพราะโดนล๊อคขนาดไฟล์ไว้แล้ว เนื่องจากคนเกาหลีเค้ากลัวว่า Antivirus ของเมืองนอก จะมองไฟล์เกมออนไลน์ของเขาเป็นไวรัส เค้าจึงกลัวกันมาก

มากกว่าเรื่องการจับที่หวังผลไม่ได้เลย

7.ทำไม Antivirus ไม่สแกนอีเมล์

ถ้าเป็น Antivirus ที่ไม่สแกนอีเมล์อยู่แล้วอย่าง Antivir Personal จะต้องอาศัยการทำงาน RealTime ของมันตรวจตอนที่ไฟล์ลง Harddisk ไปแล้วนะ

ก่อนอื่นต้องมาทำความเข้าใจกันก่อนว่าคุณเช็คเมล์แบบไหน ด้วยอะไร

ถ้าคุณเช็คเมล์ด้วย Webmail อย่างเช่น Hotmail แล้วล่ะก็ Antivirus ที่สแกนโปรโตคอลแบบ HTTP ได้ ถ้ามีก็จะเป็นแบบ Web Shield คือสแกนข้อมูลที่ผ่านพอร์ต HTTP เช่น Port 80,8080 เป็นมาตรฐาน

แต่ถ้าคุณใช้ Mail Client อย่าง Outlook, Windows Live Mail, Thunderbird, The Bat! หรือตัวอื่นๆ คุณต้องดูว่าการดึงอีเมล์นั้นใช้เลขพอร์ตอะไร แต่ส่วนมากจะใช้ POP3 ที่พอร์ต 110 ถ้าคุณใช้ Port อื่นๆ ก็จะต้องไปตั้งค่าในโปรแกรมให้สแกนพอร์ตนี้ด้วย นี่คือขาเข้า

ส่วนขาออก โดยทั่วไปจะเป็นพอร์ต SMTP 25 แต่บางที ISP บางที่จะบล๊อคเอาไว้ ก็จะกลายเป็นพอร์ตอื่นไป ก็ไปรรับให้ตรงกันด้วยครับ

พอร์ตอืืนๆ เช่น IMAP หรือ NNTP ถ้า Antivirus คุณสแกนได้ คุณก็ต้องรู้ว่าคุณใช้พอร์ตไหนดึงข้อมูล และไปปรับในโปรแกรมเอาเองครับ

ส่วนมากแล้ว Antivirus จะถูกปรับให้สแกนพอร์ต 110 ใน POP3 และ 25 ใน SMTP โดยอัตโนมัติอยู่แล้ว

แต่ที่สำคัญเหนือสิ่งอื่นใด Protocol นั้นๆ จัต้องไม่ได้ติด SSL หรือเขารหัสมานะ ไม่งั้นจะสแกนไม่ได้อยู่ดี

8.Internet Security, Security Suite คืออะไร

ระยะนี้เราจะเห็น Internet Security ขายบ่อยมาก เพราะว่าราคาถูกลง และบ้านเราก็เริ่มมีขายโปรแกรมลิขสิทธิ์มากขึ้น

Internet Security คือชุดโปรแกรมรักษาความปลอดภัยแบบครบสูตร โดยทั่วไปจะมี Anti virus, Anti Spyware และ Firewall ในโปรแกรมเดียว

บางค่ายก็อาจจะใส่ Anti Spam, Anti Phishing, File Encryption หรือ HIPS ลงไปด้วย เพื่อเพิ่มการป้องกัน

ข้อแตกต่างที่พบได้คือ Internet Security จะมีโมดูลเยอะกว่า Anti Virus ธรรมดา ดังที่กล่าวมา หรือจะดูข้อมูลในเว็บผู้ผลิตก็ได้

และมันกินทรัพยากรมากกว่้าด้วย แต่แลกมาด้วยการป้องกันแบบท่วมท้น ก็แล้วแต่ว่าคุณต้องการแบบไหน

แต่ยังไงซะ ผมไม่ค่อยอยากแนะนำ Internet Security กับผู้ใช้มือใหม่ซักเท่าไหร่ เพราะเดี๋ยวจะปวดหัวเปล่าๆ เพราะมีการแจ้งเตือนบ่อยมาก

9.Engine (เอ็นจิน) กับ Database (ดาต้าเบส) คืออะไร ต่างกันยังไง

สองคำนี้จริงๆแล้วต่างกันสุดๆ เอ็นจินคือการทำงานขอโปรแกรมในแต่ละยี่ห้อ

ซึ่งส่วนมาก บริษัทบางที่ก็จะ "ขาย" เอ็นจินตัวเอง แต่อาจจะตัดการทำงานบางส่วนออกไป

ใน บางครั้งผู้ผลิตจะออกเวอร์ชั่นปรับปรุงโปรแกรมทั้งโปรแกรม เช่นแก้ไขบั๊ก แก้ไขเอ็นจินหรือปรับการทำงานให้ดีขึ้นที่เรียกว่า "Update ครั้งใหญ่" หรือ "เปลี่ยนเวอร์ชั่น"

การ Update ครั้งใหญ่นี้หมายถึงบางทีต้องมีการ Restart หรือปิดโปรแกรมตัวเองชั่วคราว เพื่อแก้ไขโปรแกรมนั่นเอง

แต่ Database คือฐานข้อมูลไวรัส คือแต่มาเพิ่มจากเดิม ให้จับไวรัสได้เท่านั้น ไม่ได้แก้ไขโปรแกรมใดๆ ดังนั้น Antivirus บางตัวจะให้เราเลือกได้ว่าจะอัพแค่ Database หรือเอ็นจิน เพราะถ้าเป็น Antivirus รุ่นฟรี ที่เซิฟเวอร์อัพเดตมี Bandwidth น้อยๆ ก็ควรจะอัพแค่ Database แล้วไปอัพเอ็นจินวันหลัง เพราะวันที่ออกมาใหม่ๆ เซิฟเวอร์จะล่มบ่อยเป็นเรื่องปกติ เพราะอย่าลืมว่า "เราไม่ได้ใช้อยู่คนเดียว แต่เราใช้อยู่พร้อมๆกับคนทั่วประเทศ ทั่วทวีป และทั่วโลก"

แต่ผู้ผลิต Antivirus บางรายกลับเหมารวมว่า Engine และ Database เป็นสิ่งเดียวกัน

เช่น Antivirus สัญชาติเกาหลีทั้งหลาย กล่าวคือ จะเปลี่ยนเอ็นจินใหม่วันละ 2 ครั้งหรือมากกว่า ทำให้ไฟล์ปรับปรุงขนาดใหญ่มาก ติดตั้งนาน เพราะต้องโหลดเอ็นจินทุกวัน วันละหลายๆครั้ง (ดูที่ชื่อโปรแกรมในรูป 5 ในเอ็นทรีนี้)

และต้องตามเอ็นจินให้ทัน ไม่งั้นเราจะจับไวรัสไมได้เลย (ซึ่งมันก็ไม่ได้อยู่แล้ว เพราะไม่มีใบรับรอง

)

10.Proactive กับ Heurestic อันไหนจะดีกว่ากันนะ

หมายเหตุ : เรื่องนี้อาจะเข้าใจยากซักนิด

Proactive ไม่ใช่แค่ Heuristic เท่านั้นครับ มันรวมถึงระบบการตรวจจับต่าง ๆ ไม่ว่าจะเป็น Behavior Blocking, Host-based Intrusion Prevention System (HIPS), Sandbox, DNA Scan, Intrusion Detection System (IDS) หรือ TruPrevent

การทดสอบของหลายๆที่ คือการเอาไวรัสมาฝูงใหญ่ ๆ แล้วให้โปรแกรมแสกนหา ถ้าเป็นไปตามนี้โปรแกรมไหนๆมันก็ทำงานได้ดีหมด ขึ้นอยู่กับว่า Update ฐานข้อมูลบ่อยแค่ไหน

แต่อย่าลืม ว่าไม่มีการทำงานจริงของไวรัสนะ

นี่คือเหตุผลที่ทำไม โปรแกรมดีๆหลายๆตัวที่ใช้เทคโนโลยี

Host-based Intrusion Prevention System (HIPS) เช่น Comodo, Outpost, ZoneAlarm

Behavior Blocking เช่น BitDefender,TrendMicro

Proactive Defense เช่น Kaspersky, Rising

Intrusion Detection System (IDS) เช่น Avast, VirusBuster

Sandbox เช่น Norman, PC Tools

DNA Scan เช่น QuickHeal, K7

หรือ TruPrevent เช่น Panda

ถึงได้คะแนนค่อนข้างต่ำ

เพราะไวรัสไม่ได้ ทำงานจริงๆ การตรวจจับแบบนี้ไม่ได้ใช้งาน ดังนั้นการใช้ Heuristic ซึ่งจับได้ตั้งแต่ไวรัสยังไม่ทำงานจึงได้คะแนนดี ดังนั้นคะแนนในเว็บจึงอ้างอิงได้ระดับนึงเท่านั้น แต่ในการใช้งานจริงไม่ได้เป็นแบบนั้น

ในการใช้งานจริงไวรัสมันไม่ได้นอนอยูนิ่ง ๆ เหมือนในการทดสอบ เพราะขณะที่มันเริ่มทำงานพฤติกรรมการคุกคามของมันก็จะจะถูกจับได้ในโหมด Proactive และไม่อนุญาตให้รันได้ซึ่งสิ่งเหล่านี้ ซึ่งระบบ Heuristic ไม่มีการปกป้อง Registry หรือการปกป้องตัวโปรแกรมเองก็ไม่มี ก็เลยติดกันได้ง่ายดาย ถ้าเจอไวรัสที่ไม่เคยรู้จักมาก่อน

นี่คือสิ่งที่เข้าใจได้ง่าย ๆ ว่าทำไมบางโปรแกรมทำคะแนนได้ดีในการทดสอบ แต่ทำไม คนใช้โปรแกรมหัวแถวถึงติดไวรัสได้ง่าย ๆ

ในสภาพการใช้งานจริง ไวรัสมันทำงานไปแล้วไม่ได้นอนอยู่นิ่ง ๆ เหมือนในการทดสอบ แล้วอีกอย่างบางโปรแกรมเป็นโปรแกรมที่มีความสามารถในการกำจัดต่ำ คือติดแล้ว แต่กำจัดไม่ได้ สแกนเจอก็ทำอะไรไม่ได้ ปล่อยให้ไวรัสนั่งอมยิ้มอยู่ในเครื่อง

เรื่องนี้ผมไม่ได้พูดเอง แต่เป็นเรื่องที่ถูกคอมเพลนมากันเยอะ ในฟอรั่มต่างประเทศ

ดังนั้นไม่มีโปรแกรมไหน ใช้แล้วไม่ติดไวรัสแน่นอนครับ แค่ลดความเสี่ยงได้ระดับนึง

ถ้าใช้โปรแกรมที่มีความสามารถในการป้องกันตัวได้ดี คุณก็เหนื่อยน้อยหน่อย แต่ก็ต้องเจอการแจ้งเตือนบ่อยๆ

ผมก็เคยแก้ปัญหาเครื่องให้เพือนที่ติดไวรัสมาแล้วหลายคน ขอบอกเลยว่าการแก้ มันยากกว่าการป้องกันครับ

ยังไงโปรแกรมที่มี Proactive ก็ยังช่วยผ่อนหนักเป็นเบาได้ไม่มากก็น้อย และวิธีการนี้ ก็ไม่ได้เป็นการก้าวตามหลังไวรัส เพราะถึงมันจะออกมาใหม่เมื่อไหร่ แต่ถ้ามันยังใช้ช่องทางเดิม ๆ ก็ไม่รอดครับ

แต่จุดอ่อนของ Proactive แบบเก่าๆ ซึ่งถ้าผู้ใช้กดมั่ว ไวรัสก็หลุดมาป่วนเครื่องเราได้ ในปัจจุบันโปรแกรมบางตัวก็เลิกถามจุกจิกแล้ว ตัดสินใจเองเลยแล้วมันจะบอกเราว่ามันตัดสินใจอย่างไร โดยไม่ถามเราให้ปวดหัว

จะว่าไปของเกาหลีก็มีดีแค่เข้ารหัสข้อมูล เจอไวรัสเล่นงานก็ไม่รู้ว่ามันจะทำอะไรได้ เพราะเห็นชอบจับกันจัง พวก Online Game Hack เนี่ย มีประโยชน์มั๊ยเนี่ย?

สุดท้ายผมก็อยากจะบอกว่า Anti Virus ควรมีบ้าง ไว้ป้องกัน แต่อย่าหวังผลกับมัน100%

ยามใดโดนไวรัสโจมตีแล้วถึงเราจะไปหาตัวฆ่า ไวรัสตัวใหม่มาได้ แต่สายไปแล้วครับ ความเสียหายเกิดแล้ว (เหมือนเกิดเนื้อร้ายบนตัวเรา หายแต่ไม่เหมือนก่อน) แน่นอนย่อมมีซากเน่าของไวรัสทิ้งไว้

ซากหักพังของสงครามไวรัส บางทีถึงต้องซ่อม Registry จะด้วยวิธีไหนก็แล้วแต่หรือโทรมหนักจนต้องตัดเนื้อทิ้ง พิการ

สุดท้ายที่พึ่งได้คือ "Backup" ด้วยอะไรก็แล้วแต่ นั่นคือการคือ "โคลนนิ่งตัวอ่อน" มาเกิดใหม่ เริ่มต้นชีวิตใหม่ครับ

Tags: answer, antivirus, backup, malware, question, software, top10, virus, ตอบคำถาม, ไวรัส30 Comments

มีสาระดีคับผม

#1 By WeAreRock โตๆ มันส์ๆ NO MORE TEAR on 2008-11-15 14:46

การป้องกันดีกว่าลงวินโดวส์ใหม่คับ 555+ confused smile

#2 By YiUM ชีวิตจริงไม่เหมือนฝัน on 2008-11-15 14:48

ลืมอ่ะ

#3 By YiUM ชีวิตจริงไม่เหมือนฝัน on 2008-11-15 14:49

เจ๋งเลย

แต่ดูท่าทางจะเกลียดเกาหลีมากนะเนี่ย 555

#4 By bellbell on 2008-11-15 15:02

แหม ข้อสี่ช่างใกล้ตัวนัก sad smile

#5 By ไลก้าคุง on 2008-11-15 17:11

มันยอดมาก!! จะไม่ Hot ได้ไง Hot!

#6 By NinkungZ on 2008-11-16 00:51

มันอยู่ที่พฤติกรรมการใช้งาน

แค่ปิด autorun ให้หมด

แล้วก็ไม่ทำอะไรเสี่ยง ก็แทบไม่ติดไวรัสแล้ว

#7 By book on 2008-11-16 04:34

#8 By iDoi* on 2008-11-16 04:43

โอ้ว
ขอบคุณมากค่า
เพิ่งโดนสแกนไวรัสเตือนเรื่อง crack พอดีเลย แฮะๆ

#9 By Bluemoon on 2008-11-16 04:45

เปิดร้านเนตมา มีปัญหาแก้ไม่ตก เพราะมีไวรัสที่ลบไม่ได้ซะทีมนเครื่องแม่

#10 By ก๋อง *~*$treet English *~* on 2008-11-16 06:35

เจ๋งๆ

#11 By V@R on 2008-11-16 08:06

ครบทุกลายละเอียด เอิ้กๆ big smile

#12 By amino-x on 2008-11-16 09:46

เห็นด้วยกับข้อแรกสุดๆ ครับ.. big smile

น้อยคนจริงๆ ที่จะรู้ว่า User นี่แหละ คือAntiVirus/Internet Security ที่ดีที่สุด question

#13 By VVITch on 2008-11-16 11:03

เยี่ยมครับ
open-mounthed smile

#14 By ~Lemon~cicerO~ on 2008-11-16 11:49

แอนตี้ไวรัสมีครับ
แต่โดนไวรัสมันถลัมโน๊ตบุ๊คเรียบร้อย embarrassed

เพราะคุณพ่อเค้าไม่ยอมอัพเดทเลย
ก็เลยวางแผนกันว่าคงต้องไปลงวินโดวส์กันใหม่
เพราะวินโดสว์ตัวนี้มันชั่ง... sad smile

และต่อเน็ทที่ทำงานไม่ได้ฮ่วยๆ sad smile

#16 By พี ~ 13 on 2008-11-16 13:35

มีประโยน์ดีคะ Hot!

#17 By ~memay~ on 2008-11-16 13:55

แทงกบ เอ้ย..ไม่ใช่ แท๊งงง..กิ้ววว..

แล้วเจอกันใหม่ด้วยความห่วงใย.. confused smile

#18 By ความรักสร้างฉัน on 2008-11-16 22:10

#19 By b-padung Studio on 2008-11-17 00:44

ละเอียดมาก้เลย

#20 By all4teen on 2008-11-17 15:16

มีความรู้เขาหัวมากมายขอบคุณงับ..

#21 By iblock on 2008-11-17 19:52

โอ้วววววว มันถูกต้องตามที่ท่านได้กล่าวมาทุกประการค่ะ
open-mounthed smile

#22 By eVeZaa on 2008-11-18 08:50

ผมอะ โดนทุกตัวที่ออกมาใหม่เลยอะ เซงไปเลย

#23 By ลดน้ำหนัก (124.122.182.120) on 2008-11-18 10:40

มี่ประโยชมากครับ!! big smile

#24 By FantasierzZ* on 2008-11-19 10:36

สุดยอดค๊าบบบบบบบบบบบบ Hot!

#25 By shotacon on 2008-11-28 13:33

สุโค่ยยยยยยยยยยยยยยยย

#26 By ~Lemon~cicerO~ on 2009-02-07 10:42

ขอบคุณครับเรื่องราวใหม่ๆ

#27 By นายโปรแกรมสแกนไวรัส (61.7.231.227) on 2009-02-10 14:00

ขอถามบ้างนะคับ
1.ส่ง mail โดย outlook express 1 เมล์แต่ผู้รับได้รับ เยอะมาก และ ถ้า ผู้รับใช้ nod ฉบับ แรก จะรับได้ ที่เหลือจะโดนโยนเข้า delete item แบบนี้น่าจะเป็น virus อะไร
2.เวลา click ที่ icon เพื่อ run program ต้อง 2-3-4 program จึงจะทำงาน อันนี้ น่าจะเป็น virus อะไรคับ
อนุชา

#28 By gobkero on 2009-02-19 21:00

#28
1 มันคงจะคิดว่าเป็น Spam ครับ เป็นไปได้ว่าถ้าเครื่องคุรไม่โดนไวรัสก็เป็นที่ Mail Server ครับ
2 น่าจะเป็นเพราะตัวโปรแกรม ไม่ก็เครื่องช้าครับ ถ้าไม่แน่ใจลองสแกนไวรัสดูครับ

#29 By Ratcicle on 2009-02-20 10:30

ใช้avastอยู่ถ้าเราจะสแกนไว้รัสแล้วเรารีสต๊าดเครื่องใม่หน้าจอจะรันเป็นสีฟ้าใช่มั๊ย

#30 By kitty (119.31.89.59) on 2009-10-28 18:43

Ratcicle Kingdom (Formely Virus Uncyclopedia)

Welcome to the Ratcicle Kingdom. Now I'll freeze you solid. And then shatter you into million pieces with my special ice attack !!

Pages