ระยะนี้ยังไม่ได้ยินข่าวคราวภัยคุกคามที่น่าสนใจครับ ยังไงก็ ใช้คอมกันดีๆแล้วกันนะครับ

เพราะไวรัสใหม่ๆ ออกมาเร็วมาก จนเดี่ยวนี้การอัพเดตฐานข้อมูลต้องนับกันเป็นชั่วโมง

แต่สุดท้าย ไวรัสก็หลุดมาป่วนเครื่องอีกอยู่ดี อันนี้น่าจะเป็นจากการดูแลไม่ทั่วถึง ต้องใช้วิธีเดิมคือ "ส่งไฟล์ไปให้เขา"

แล้วเราจะป้องกันไวรัสกันยังไงล่ะเนี่ย

ไม่ยากครับ มันขึ้นอยู่กับพฤติกรรมการใช้คอมของคุณล้วนๆ แต่ก็นะ บางคน เค้ารู้และใช้คอมเป็นเฉพาะกับเรื่องที่ใช้

ประมาณว่านอกจาก Office แล้วเปิดอย่างอื่นไม่เป็น มันเด้งอะไรมาฉันก็ปิดแล้ว Work งานต่อไป งานนี้แผนก IT เหงื่อตกมาหลายคนแล้ว

กลับมาที่หัวข้อดีกว่าครับ

เทคโนโลยีซอฟท์แวร์พัฒนาค่อนข้างช้า เมื่อเทียบกับฮาร์ดแวร์ครับเห็นได้ชัดเรื่อง CPU64 บิตและเรื่อง CPU หลายๆแกน ที่ทำเอาผู้พัฒนาซอฟท์แวร์เหนื่อยไปเลย

ทีนี้ เข้าคอนเซปต์บล๊อคนี้เลย การป้องกันไวรัสสมัยใหม่ๆ ก็ต้องพัฒนาเทคโนโลยีมาใช้ เพื่อป้องกันพวกมัน แม้จะไม่ 100%

ก่อนอื่นเรามาทบทวนการทำงานของโปรแกรมกัน

 

ยุคแรก ยุค Signature/Database

 

โปรแกรมป้องกันไวรัส จะใช้การเทียบไฟล์หรือ Code กับฐานข้อมูลตลอด ดังนั้น มันจะจับได้น้อยหรือมาก ก็ขึ้นอยู่กับว่าเรา Update บ่อยแค่ไหน

แต่ก็อย่างว่า ถึงเราจะ Update รายชั่วโมง ไวรัสก็รอดมาป่วนได้ เพราะว่ามันไม่มีฐานข้อมูลที่ตรงกับตัวมันนั่นเอง

สังเกตได้ชัดกับพวกโปรแกรมของพวกเกาหลีที่ใช้หลักการอ่านขนาดไฟล์ทั้งหลาย ว่ามันจะตรวจจับไม่ค่อยได้  แต่เค้าแก้ตัวว่า "มันจะทำให้ FP น้อยลง"

ก็เรื่องของคุณเหอะ เพราะผมไม่กลัว Online Game Hack หรอก เพราะไม่ได้บ้าเกมออนไลน์หัวแถวที่มันขยันดักกันจัง

และผมมันไม่ใช่พวก "ปิดโน่นปิดนี่ก่อนเข้าเกม เพราะตัวปัญหาที่คุณสร้าง"

(ว่าจะไม่จิกกัดแล้วนะเนี่ย แต่อดไม่ไหวจริงๆ)

 

 

ยุคต่อมา ยุค Heuristic

 

เมื่อไวรัสหลุดมาแล้ว เพราะไม่มีฐานข้อมูล ก็จึงต้องใช้การ "ตรวจจับแบบไม่ใช้ฐานข้อมูล"

กล่าวคือเป็นการอ่านไฟล์ แล้วดูว่ามี Code น่าสงสัยรึเปล่า เรียกว่าทำงานนอกขอบเขดนิดนึง

ถ้ามีก็คือเด้งมาเตือนเลย แต่ก็ บางทีก็มีการทำงานผิดพลาดเกิดขึ้น เช่น Avira ที่ใครๆก็ยอมรับว่าจับเก่งมาก ทั้งไวรัสและไม่ใช่ไวรัส

ซึ่งทางอาวีร่าก็รู้เรื่องนี้ดี เลยพัฒนาเอ็นจินเรื่อยๆ สังเกตได้ว่า ช่วงหลังๆชื่อไวรัสจะมีแบบปกติ และแบบอ่านขนาดไฟล์ เพื่อลด FP ลง นับว่าเป็นข้อดีมากๆ

 เทคโนโลยี Heurestic หลายๆค่ายก็จะเรียกต่างๆกันออกไปครับ เช่น

  • Avira - Advanced Heuristic Analysis Detection (Ahead)
  • Panda - TruPrevent
  • Eset (Nod32) - ThreatSense
  • QuickHeal - DNAScan

และอื่นๆ ที่เรียกต่างๆกันไป

ข้อสรุปคือ เทคโนโลยีนี้ใช้การวิเคราะห์ไฟล์เพื่อหาสิ่งที่แอบซ่อนอยู่ เพื่อรายงานว่าเป็นมัลแวร์ ให้ผู้ใช้ตัดสินใจ

ข้อสังเกตอีกอย่างคือ เวลาไวรัสตัวใหม่ๆ โดนตรวจจับได้ มันจะไม่มีคำสั่ง Delete เพราะกลัวว่าจะลบมั่วครับ

 

 

ยุคปัจจุบัน Behavior/Proactive

 

ถ้าไวรัสดื้อนัก มันก็ต้องเจอไม้ตายคือการ "ห้ามไว้ก่อนจะรัน"

โปรแกรมในระดับนี้ที่เรียกกันว่า Zero-Day Malware Protection ครับ คือไม่ต้องใช้ฐานข้อมูลเลย

ผมเคยเขียนเรื่อง ตอบปัญหา Top10 เกี่ยวกับไวรัสและการป้องกัน (มี Update เรื่อยๆนะ)

ในข้อสุดท้ายผมเขียนเรื่อง Proactive กับ Heurestic อันไหนจะดีกว่ากันนะ

สองอันนี้มีข้อแตกต่างที่ว่ากันตามภาษาชาวบ้านกันคือ

  • Heurestic ใช้ตรวจจับเมื่อไวรัส "ยังไม่ได้รัน"
  • Proactive ใช้ตรวจจับเมื่อไวรัส "กำลังจะรัน"

กลับมาที่ Behavior/Proactive/HIPS กัน

มันก้คือการวิเคราะห์ฟฤติกรรมของไวรัสนั่นเอง แม้ว่าจะใช้ Heurestic ตรวจแล้ว แต่ก็ยังไม่เจอ แล้วถ้าเราบังเอิญกดรันไป Heurestic ก็ไม่ได้ช่วยอะไรแล้ว

แต่ทั้งหมดนี้จะถูกตรวจเจอจากโมดูลวิเคราะห์พฤติกรรมการคุกคามของไวรัสในตัว เช่นถ้าไวรัสกำลังจะแก้ไข Registry หรือ ส่วนสำคัญๆในระบบ ก็จะมีการเตือนทันที 

บางทีมันก็เตือนจุกจิกมาก บางทีที่เตือนมาไม่ใช่ไวรัสก็มี เช่นการลงไดรเวอร์ หรือลงโปรแกรมที่ควบคุมเครื่องได้ จนหลายๆคนต้องไปปิดมัน

หรือบางตัวก็ถูกตั้งค่าจากโรงงานมาว่าให้ปิดมาเลย ให้ User มาเปิดเอง

แต่สมัยนี้บางโปรแกรมก็ตัดสินใจเองแล้ว ไม่ต้องถามจุกจิก และที่มันคิดให้ไม่ค่อยพลาดครับ แต่บางตัวมันก้ไม่แน่ใจ ถามเราก่อนก็มี

ดังนั้น ผมขอบอกว่าโปรแกรมพวกนี้ไม่เหมาะกับมือใหม่ เพราะกดผิดไวรัสก็หลุดมาอมยิ้มในเครื่อง หนักหน่อยก็ Os เจ๊งไปเลยครับ

โปรแกรมที่ทำงานแบบ Behavior จะไม่ค่อยเป็นที่ได้รับความนิยมสูงครับ เพราะบางทีมันก็ตื่นตูม

ส่วนใครที่กำลังมองหาโปรแกรมจำพวกนี้ ผมก็มีมาแนะนำครับ

  • ThreatFire  ของ PcTools (ไปเทคโอเวอร์ Novatix มา)
  • BitDefender ถูกตั้งให้ปิดมาแบบอัตโนมัติ
  • Kaspersky ไม่ขี้ถาม
  • Rising ทำงานได้ดีกับไวรัสที่มาทางแฟลชไดรฟ์
  • Comodo ขี้ถามมาก แต่ชัวร์ เพราะคนใช้ต้องตัดสินเอง

ที่ฟรีก็มีแค่ Rising, Comodo และ ThreatFire ครับ

 

สุดท้ายก็อยากฝากไว้เช่นเคยว่า ยังไงซะ

 

"ไม่ประมาท"

 

คือสิ่งที่ดีที่สุดครับ

Comment

Comment:

Tweet

โอว... ผมไม่รู้เรื่องเลย...
ใช้เป็นอย่างเดียว

#13 By hodecore on 2009-02-11 14:43

ขอให้คอมทุกคนปลอดภัยนะคะconfused smile sad smile
Hot! Hot! Hot! Hot! Hot! big smile

#11 By เซงครับ on 2009-02-07 10:17

แก้ด้วยทำ folder จะหายไหมคับ ป้องกันการauto runsad smile sad smile

#10 By เซงครับ on 2009-02-07 10:16

ละเอียดดีจัง confused smile เมื่อไหร่มันจะหมดโลกไปซักทีนะ sad smile

#9 By NOT_KUNG on 2009-02-06 23:06

เบื่อครับ ไม่กล้าเอาแฟลชไดรฟ์ไปใส่เครื่องอื่นเลยครับ เบื่อ - -*
ขอบคุณมากครับสำหรับเนื้อหาดีๆ^^

#8 By Mahou on 2009-02-06 22:57

เขาบอกว่าคนเขียนไวรัสก็เป็นคนทำ antivirus ใช่มั้ยอ่ะครับ sad smile

#7 By Krai W. on 2009-02-06 19:16

ไวรัสนี้เป็นเรื่องน่าปวดหัวจริงๆ แต่ไม่ประมาทก็ดีที่สุดเนอะdouble wink

#6 By cherried on 2009-02-06 18:23

ขอบคุณสำหรับข้อมูลดีๆครับ
Hot! Hot! Hot!

#5 By Seam - C on 2009-02-06 17:33

สัจธรรมชีวิตเลยนะนี่big smile

#4 By (^_^)/nana on 2009-02-06 14:10

ถูกครับไม่ประมาทbig smile

#3 By iQ180 on 2009-02-06 13:46

ห้ามไว้ก่อนรันbig smile

#2 By Meowzilla Zilla on 2009-02-06 13:37

ขอบคุณค่ะ big smile

#1 By iDoi* on 2009-02-06 12:44