คุยเฟื่องเรื่อง Malware : introduction
Malware? อะไรวะ เหมือน Shareware ปล่าววะ หรือเหมือน วอแว? ผมว่าถ้าจะเรียกมันว่า “มารแวร์” ก็จะเหมาะสมดี
Malware: ชุดคำสั่งที่ทำงานบนเครื่อง “ของเรา” แต่ทำงานบางอย่างที่ “attacker” ต้องการ
ชุดคำสั่ง นี่คืออะไรเหรอ กำปั้นทุบดินไปเลยก็คือ บึ้กๆ ชุดคำสั่งคือ บึ้กๆ นั่นเอง........... “ชิ้ง” (เสียงเข็มตกในความเงียบ)
ชุดคำสั่ง คืออะไรก็ได้ที่สามารถทำงานบนเครื่องเรา ตั้งแต่ exe (binary executable), script, ไปจนถึง macro บน word/excel แล้วแต่ความสามารถและจินตนาการของ attacker
Attacker? คืออะไร เกี่ยวอะไรกับซัดดัม ฮุดเซนป่าว?
Attacker ก็คือไอ้บ้าที่มันปล่อย malware มาบนเครื่องเราเพื่อใช้เครื่องเราทำงานสกปรกให้มัน (อาจจะสะอาดก็ได้ แต่มันสกปรกตรงที่เสือกมาใช้ CPU และ Memory อันจ้อยร่อยของเรา)
แล้วงานที่มันต้องการให้ทำนี่มีอะไรบ้าง.... ขอตัวอย่างหน่อย
-ลบไฟล์ที่สำคัญกับ windows มาก จนเครื่องเราเดี้ยงทำงานไม่ได้ (อืม เริ่มสกปรกละ)
-เอาเครื่องเราเป็นพาหะนำ malware แพร่พันธุ์ไปยังเครื่องเพื่อนเราอีกที (สกปรกอีกละ)
-จับการกดคีย์บอร์ดของเรา ดูว่าเราเล่นเพลงอะไร เอ๊ย พิมพ์อะไรไปบ้าง เช่น URL พาสเวิร์ด เลขที่บัญชี เบอร์โทรสาวที่ไม่ใช่แฟน (โอ๊ว สกปรก!!!)
-จับตามองการเข้าเน็ทของเรา ดูว่าเข้าเว็บ (โป๊) ไหนบ้าง เวลาไหน รวมถึงข้อมูลส่วนตัวอื่นๆ
-ส่งภาพหน้าจอของเราไปให้มันดู(สอดจริงแฮะ)
-อันนี้เด็ดมาก ใช้ webcam ของเรา ไมโครโฟนของเราส่งภาพเราไปให้มันหรือแพร่ออก internet อืม จะโด่งดังเป็นดารากันก็คราวนี้แหละ
-มาแอบใช้เครื่องเราถอดรหัสคนอื่น อันนี้ต้องอธิบายนิดนึง คงเคยได้ยิน (ถ้าไม่เคยก็กำลังจะเคย) ว่าข้อมูลสำคัญๆของบางคนเขาจะเข้ารหัสไว้ ซึ่งบางทีถ้าใช้ computer ธรรมดา ในการถอดรหัสก็จะใช้เวลาเป็นโกฏิปี นอกจากจะฟลุกจริงๆ ทีนี้ไอ้คุณ attacker เนี่ยเขาอาจเป็นสายลับเป็นห่าอะไรก็แล้วแต่ เขาไปได้รหัสลับเปิดตู้เซฟธนาคารชาติไหนซักชาติมาแต่มันดันเข้ารหัสไว้ แล้วแทนที่จะใช้ CPU และ Memory อันมีค่าของมัน มันก็กระจายความฟลุกมาที่เครื่องชาวบ้าน(เรานั่นเอง) โดยส่งรหัสพร้อมตัวถอดรหัสมาทำงานบนเครื่องเรา ถ้าฟลุกเกิดถอดรหัสได้ก่อนโกฏิปี เครื่องเราก็จะทำตัวเป็นทาสผู้แสนดี(เจ็บใจแฮะ) ส่งข้อมูลรหัสลับกลับไปให้มัน
-เอารูปโป๊ โปรแกรมละเมิดลิขสิทธ์ มาไว้บนเครื่องเรา (ขอบคุณ) แล้วใช้เครื่องเราเป็นจุดกระจายสินค้า ให้ลูกค้าของมันมาเอาไฟล์บนเครื่องเรา
-ใช้เครื่องเราเป็นเครื่องมือเพื่อโจมตีชาวบ้าน เวลาตำรวจมาก็มาจับเราแทน
-คล้ายๆข้างบน แต่อันนี้จงใจโจมตีเรา สร้างหลักฐานต่างๆไว้บนเครื่องเรา ตำรวจมาก็จับเราอีก (ขอบพระคุณมาก)
-และอื่นๆอีกมากมาย ที่ไม่รู้ อื่นๆอีกมากมาย อีกมากมาย.... ร้องเพลงเฉลียง 100 รอบก็ยังไล่ไม่หมด แต่เท่าที่ดูล้วนแต่สกปรกทั้งสิ้น
เอาละ ถึงตอนนี้คงรู้กันแล้วว่า(ถ้าไม่เบื่อเลิกอ่านไปซะก่อน) คุณ attacker และ มารแวร์ ของเขาทำอะไรให้เราได้บ้าง ตอนต่อไปเราจะมาดูว่าทำไมมันถึงมีเยอะนัก และที่ว่ามีเยอะนี่มันมีชนิดไหนบ้าง
(Malware อาจเรียกอีกอย่างว่า Malicious Code)
ลอกและบิดเบือนจาก Ed Skoudis, Lenny Zeltser, Malware: Fighting Malicious Code
คุยเฟื่องเรื่อง Malware : Virus ตอนที่ 1
ไวรัส คือ code ที่สามารถเพิ่มจำนวนตัวเองได้ และเกาะติดกับโปรแกรมอื่น โดยส่วนใหญ่มักต้องการการกระตุ้นจากคนจึงจะแพร่กระจายได้ ลักษณะสำคัญของไวรัสคือ มันไม่สามารถทำอะไรได้ด้วยตัวเอง ต้องอาศัยโปรแกรม หรือไฟล์อื่น ซึ่งเราจะเรียกว่า Host
Host แทบจะเป็นอะไรก็ได้ เป็นโปรแกรมอย่าง notepad.exe เป็นไฟล์ word หรือ excel
หรือจะเป็นชุดคำสั่งทีอยู่ชั้นต่ำๆ (low level) …. ชั้นต่ำนี่ไม่ได้หมายถึงสถุล หรือไพร่อะไรนะ แต่ชั้นหรือ level หมายถึงความใกล้ชิดกับ hardware ชั้นต่ำๆก็พวก driver หรืออะไรที่บังคับให้เครื่องทำงาน ซึ่งถ้าไวรัสไปติดตรงนั้นมันจะเจ็บแสบมากเลยทีเดียวเชียว
ลักษณะต่อไปคือมันจะแพร่พันธุ์ได้ด้วยตัวเอง ไม่ต้องง้อตัวผู้ตัวเมียที่ไหน โดยไม่ต้องให้คนมานั่ง copy .....แต่คนมีส่วนช่วยสำคัญ คือจุดประกาย เช่นเปิดไฟล์ รันโปรแกรม ซึ่งหลังจากนั้นไวรัสมันก็จะ copy ตัวเองเสร็จสรรพ นึกถึง Agent Smith (ในหนังเรื่อง Matrix) แฮะ อืมน่าคิดว่า Smith เป็นไวรัสหรือเป็นอะไร เดี๋ยวพอพูดถึงตัวอื่นๆนอกจากไวรัสแล้วจะมาวิเคราะห์ว่า Smith เป็นอะไรดีกว่า)
I'd like to share a revelation that I've had during my time here. It came to me when I tried to classify your species… You move to an area, and you multiply, and multiply, until every natural resource is consumed. The only way you can survive is to spread to another area. There is another organism on this planet that follows the same pattern. A virus. Human beings are a disease, a cancer of this planet…
—Agent Smith
เอ...ดูเหมือนคุณ Smith จะมองเราเป็นไวรัสซะเองแฮะ....
นอกเหนือจากการแพร่พันธุ์ ไวรัสยังมีพฤติกรรมที่เป็นอันตรายหรือคุกคามต่อ Matrix เอ๊ย ต่อระบบของเรา ซึ่งส่วนของ code ที่ทำหน้าที่นี้ในตัวไวรัสเราจะเรียกว่า payload เจ้า payload นี่อาจจะถูกโปรแกรมให้ทำอะไรๆ เช่น ลบไฟล์ ส่งข้อมูลไปให้คนโปรแกรมหรือส่งมั่วๆ ไปจนถึงสร้าง backdoor .....
เอาหละ จบตอนก่อน คราวหน้ามาเจาะลึกเกี่ยวกับไวรัสกันต่อ
คุยเฟื่องเรื่อง Malware : Virus ตอนที่ 2
A virus is a piece of bad news wrapped up in protein.
—Sir Peter Medawar, Nobel Prize-winning biologist
Actually, a computer virus is a piece of bad news wrapped up in software.
—Modern retake on Medawar's observation
วันนี้จะเล่าถึงการติดไวรัส (Infection) ว่ามันจะติดยังไงได้บ้าง
1.ติดกับ executable files
----พวกไฟล์ .com อันนี้ไม่ได้หมายถึงเว็บไซต์หรืออะไรนะ แต่หมายถึงไฟล์จริงๆที่ลงท้ายด้วย .com เช่น ntdetect.com
----ไฟล์ .exe เช่นอะไรดีล่ะ เยอะแยะไปหมด .exe นี่จะติดยากกว่า .com หน่อยนึง
นอกจากไวรัสจะติดที่ไฟล์เดี่ยวๆแล้ว ยังมีโอกาสที่มันจะไปติดกับสิ่งที่เรียกว่า kernel ซึ่งแปลตรงๆว่า “แก่น” แก่นนี่ไม่ใช่ซน หรือว่า ดื้ออะไรนะ แต่หมายถึงไม่เชื่อฟัง (ฮา) ..... ชิ้ง ...... Kernel ตามพจนานุกรมฉบับทุบดิน แปลว่า แก่นของ OS
เทคนิคที่ไวรัสใช้ติดต่อทาง executable files ก็ประกอบไปด้วย
1.1 ปลอมตัว (Companion infection) มันจะปลอมเป็นไฟล์ที่เราใช้ประจำ แต่เปลี่ยนนามสกุล เช่น ตั้งชื่อไฟล์ว่า notepad.com หลอกเราว่ามันคือnotepad.exeวิธีนี้โบราณแล้วใช้กับคนสมัยก่อนที่พิมพ์ชื่อโปรแกรมทาง command line นึกถึงคนส่วนใหญ่ที่ใช้โปรแกรมคงไม่พิมพ์ว่า notepad.exe เต็มๆแต่พิมพ์ว่า notepad ทีนี้ .com มันมาก่อน .exe มันก็จะไปเปิดเจ้าตัวปลอม เจ้าตัวปลอมเนี่ยมักจะเป็น hidden file ซึ่งจะ dir ไม่เจอ และให้แนบเนียนไปกว่านั้น เจ้าตัวปลอมพอมันรันเสร็จก็จะมีคำสั่งต่อท้ายให้รันตัวจริง.......เดี๋ยวนี้เราไม่ได้ใช้วิธีพิมพ์โปรแกรมลงบน command line แล้ว แต่ใช้ shortcut หรืออื่นๆซึ่งมันจะเฉพาะเจาะจงกว่า ดังนั้นวิธีนี้จะไม่ได้ผล
แต่ไม่ต้องกลัวว่ามัน(ไวรัส)จะไม่มีทางแก้ วิธีของมันก็จะหนักข้อขึ้นหน่อยคือ เปลี่ยนชื่อตัวจริงแล้ว save ทับสวมรอย เช่นเปลี่ยนตัวจริงเป็น notepad.ex_ แล้วมันเองก็มาสวมรอยแทน หรือวิธีที่ sophisticate กว่านั้นหน่อยเช่นใช้ Data Stream ของ windows2000 อืม....อธิบายง่ายๆคืองี้ ใน 1 ไฟล์อาจมีหลาย stream ของข้อมูล ไวรัสที่ใช้ตรงนี้มาเล่นงานก็จะย้าย stream จริงไปเป็น stream สำรอง ส่วนมันเองก็เข้ายึด stream จริง ซึ่งวิธีนี้ทำให้ไวรัสไม่ต้องสร้างไฟล์จริงๆขึ้นมา แต่พอคนเปิดไฟล์จริงก็จะได้ stream ปลอมไปแทน..............นี่อธิบายง่ายๆจริงเหรอวะ? ...........
เอางี้... นึกถึงแทงค์น้ำอันนึงเขียนไว้ว่า “น้ำเปล่า” เราไปเปิดก๊อกกินน้ำทุกวัน อยู่มาวันนึงมีคนเอาถังอีกใบมาตั้งแล้วเขียนว่า “น้ำเปล้า” เราไม่ดูตามาตาเรือก็จะกินน้ำเปล้า เข้าไป ---อันนี้คือการเปลี่ยนไฟล์ธรรมดา
ทีนี้นึกถึงแทงค์น้ำเดิมแต่เราต่อสายยางเส้นนึงยาวมากจนเรามองไม่เห็นตัวแทงค์ ทุกๆวันเราก็จะรองน้ำไปกินจากสายยาง มีอยู่วันนึงก็มีคนเอาถังน้ำเปล้ามาตั้งแล้วก็ต่อสายยางปลอมๆแทนให้เรา เราก็ไม่เห็นอยู่แล้วก็รับประทาน น้ำเปล้า เข้าไปอีก ---อันนี้แหละคือการใช้ Stream เช่น Win2K.Stream
1.2 save ทับกันดื้อๆ วิธีนี้ก็นึกถึงเหมือนคนเอาถังน้ำเปล่าไปทิ้ง เอาน้ำเปล้า ซึ่งเขียนว่า “น้ำเปล่า” มาตั้งแทน
1.3 Prepending อันนี้พัฒนากว่า 1.2 หน่อยนึง คือจะใช้ไฟล์เดิม แต่เพิ่ม code แปลกปลอมเข้าไปตอนต้น file อันนี้เหมือนเอาน้ำเปล้ามาใส่ปนในถังน้ำเปล่าโดยใส่ตรงก๊อกน้ำ
1.4 Appending เหมือน 1.3 แต่ใส่ไว้ตรงฝาแทงค์(ท้ายไฟล์)
เอาหละ วันนี้พอแค่นี้ก่อน ตอนต่อไปจะเป็นแบบที่ 2...... การติดที่ Boot sector โปรดติดตาม
คุยเฟื่องเรื่อง Malware : ทำไมมันเยอะงี้อ้ะ?
1.การรวมตัวกันของ data กับ executable มันคืออะไรวะ เหมือน NUVO มารวมตัวกันใหม่ป่าว? ก็เป็นไปได้ ถ้าในโลกนี้เสือกมีสิ่งที่เรียกว่า Human Scripting Language (HSL) ที่สามารถฝังตัวในข้อความและถ้ามนุษย์ได้อ่านหรือได้ฟังและดันปฏิบัติตาม (excecute) ก็จะเป็นไปตามความต้องการของคนแต่ง
“รักกันไหม ไร้กันมัก บาม็อก บอกมา บาม็อก”
เราฟังแล้วก็โอเค เพราะดี แต่ถ้าเกิดก้องนูโวไส้แห้ง อยากได้ตังค์ง่ายๆ ก็ใช้ HSL ฝังไว้ในเพลง
รักกันไหม 
<script HSL เริ่ม> เดินไปหยิบสมุดเช็คมา <script HSL จบ>
ไร้กันมัก
<script HSL เริ่ม> เขียนเช็คให้ก้องนูโว 10 ล้าน <script HSL จบ>
บาม็อก บอกมา บาม็อก
<script HSL เริ่ม> ส่งมาที่บริษัทแกรมมี่จำกัด <script HSL จบ>
เราฟังแล้วไม่รู้ตัวเผลอไป execute เจ้า Human Scripting Language เข้าไป ผลลัพธ์ก็คงรู้ๆกันอยู่............. ก้องนูโวจะได้เช็คเด้ง ................. อิๆ (กูจะโดนฟ้องไหมเนี่ย)
เพราะระบบคอมพิวเตอร์มีอะไรทำนองนี้มากมาย เมื่อก่อนเราอาจต้องระวังแค่ exe อย่างเดียว แต่เดี๋ยวนี้ไม่ใช่ เราต้องระวังทุกอย่าง!
2. คนทำระบบไม่คิดว่าจะมี Malicious User คนร้ายๆมีอยู่เยอะแยะ คนที่สร้างระบบอาจจะคิดไม่ถึงเลยไม่ได้ป้องกันในบางจุด ตัวอย่างง่ายๆเลยคือ Buffer overflow อะไรนะ? บุฟเฟต์ไหลล้น? ไม่ใช่!! เกิดจากการที่คนเขียนระบบไม่ได้ดักไว้ว่า user อาจใส่ input ใหญ่มากๆทำให้ผู้ไม่หวังดีใช้จุดนี้เป็นประโยชน์ในการเข้าควบคุมระบบ
3.ระบบเดี๋ยวนี้เหมือนๆกันหมด โรคสัตว์(ยกเว้นไข้หวัดนก) ย่อมติดต่อมายังคนได้ยาก แต่โรคคนย่อมติดคนด้วยกันง่ายๆ เมื่อก่อนโลกเต็มไปด้วยคอมพิวเตอร์หลากหลาย แต่เดี๋ยวนี้โลกเต็มไปด้วย windows, Unix หรืออย่างน้อยก็ใช้ TCP/IP ดังนั้นเขียนไวรัสตัวเดียวก็ติดต่อได้เพียบ
4.การเชื่อมต่อกันของคอมพิวเตอร์ในโลก
5.คนที่ใช้คอม ไม่ค่อยมีความรู้ลึกเหมือนเมื่อก่อน (เพราะทุกคนอยากเป็น user มากกว่า Admin)
6.โลกนี้ไม่ค่อยโสภา เต็มไปด้วยผู้ก่อการร้าย และผู้อยากก่อการร้าย
ชนิดของ Malicious Code
1. Virus พวกนี้จะอยู่ได้ต้องมี host
คือตัวแม่ เช่นไฟล์ word, excel, e-mail และมันก็จะเกาะกินและแพร่พันธุ์ได้
คำพูดที่ว่า “ไวรัสแดก” จึงไม่ผิดนัก
ไวรัสส่วนใหญ่ต้องอาศัยการกระทำของคน จึงจะแพร่ได้ (เช่นเปิดไฟล์)
2.Worm หนอน พวกนี้แพร่พันธ์ได้โดยไม่ต้องใช้คน แพร่กระจายผ่าน network
3.Malicious Mobile Code พวกนี้ได้แก่ script, activx ต่างๆเช่น Javascript, vbscript ที่ดาวโหลดจากเครื่องอื่นมารัยบนเครื่องเราได้แบบอัตโนมัติ
4.Backdoor อันนี้หลายคนอาจชอบ (เช่น...) พวกนี้จะมา bypass ระบบความปลอดภัยของเราเพื่อเตรียมตัวให้ attacker เข้ามาได้ (เหมือนวางยาสลบยาม หรืออย่างเบาก็แอบเปิดกลอนประตู)
5.Trojan Horse ใครเพิ่งดูหนังคงเข้าใจ ลักษณะจะคล้ายๆ Backdoor แต่มันจะไม่แอบๆเข้ามา มันจะมาโต้งๆเลยโดยปลอมตัวเป็นโปรแกรมที่น่าสนใจหรือปลอมตัวเป็นโปรแกรมของระบบเราเอง เรานี่แหละที่ไปลากมันเข้าเมือง
6.User-level RootKit ไอ้พวกนี้แสบ จะมาแอบเปลี่ยนโปรแกรมที่เราใช้งานจริงๆ เป็นเวอร์ชั่นใหม่ (ขอบคุณครับ) ซึ่งจะทำหน้าที่อื่นแทนเช่น (นี่สมมตินะ จริงๆมันใช้ทำอย่างอื่น) เราจะคลิก word มันดันเปิด excel
7.Combination Malware อันนี้ก็คือพวกลูกผสมของข้างต้น
ถามว่าทำไมจะต้องมาแบ่งหมวดหมู่ให้มันวุ่นวายไป? ทำไมไม่เรียกมันว่าไวรัสให้หมดเลยจบเรื่องไป (นั่นดิ กูจะได้ไม่ต้องเขียนยาว) คำตอบคือ ลองนึกถึงหมอเวลาก่อนรักษาโรค เขาต้องวินิจฉัยก่อน ไม่งั้นไปหาหมอ หมอก็จะบอกว่าสรุปแล้วคุณเป็นโรคนะครับ เดี๋ยวหมอจะให้พยาบาลจัดยารักษาโรคให้ ........ ก็นี่แหละเหตุผล ......... เพราะเราไม่สามารถใช้วิธีเดียวกันในการตรวจหรือรักษาทุกๆโรคฉันใด เราก็ไม่ได้จัดการ malware ด้วยวิธีการเดียวกันทุกตัว นั่นคือ “ไม่ใช่ว่ามี Anti-virus แล้วจะจบเรื่อง” ครับ .... เป็นอย่างนั้นจริงๆ
วันนี้ก็จบแค่นี้ก่อน ใครมีความคิดเห็นยังไงก็ว่ามา เช่นยาวไปไหม น่าเบื่อไปไหม อะไรแบบเนี้ย
สามสิ่งแรกที่อยากให้ทุกคนเข้าใจคือ
ระบบการทำงานของวินโดว์ และคำสั่งที่จำเป็น เพราะว่ามันเป็นหลักสำคัญที่สุด เป็นหัวใจเลยก็ว่าได้ ถ้าใครไม่เข้าใจหรือไม่พยายามตรงส่วนนี้ และถ้าคุณไม่คิดจะลงมือทำเองบ้าง ผมก็คงสอนไม่ได้ และคุณก็จะไม่ได้อะไรนอกเสียจากความรู้ครึ่งๆกลางๆที่เอาไปช่วยอะไรใครไม่ได้เลยแม้แต่ตัวคุณเอง แต่การที่จะทดลองหรือทดสอบตัวคุณเอง สิ่งที่จำเป็นอย่างยิ่งคือ backup ไดร์วระบบเอาไว้ก่อน(ไดร์วที่ลงวินโดว์)
ผมจะพูดแบบภาษาชาวบ้านนะ อาจมีศัพท์เทคนิคบ้างนิดหน่อยที่เป็นคำที่คุ้นเคย ไม่อยากทำให้มันยาก
เอาล่ะ ระบบการทำงานของวินโดว์ที่จะโดนเล่นงาน คุณจะต้องเข้าใจมันมีอะไรบ้างผมจะแจงหลักๆก่อน
1. Registry มันจะเป็นส่วนกำหนดรูปแบบของวินโดว์ที่คุณใช้ สามารถกำหนดให้วินโดว์คุณได้ทุกอย่าง ห้ามนู่นห้ามนี่ได้ แก้ไขรูปแบบการใช้งานได้ ถ้าคุณสามารถเข้าใจในแต่ละส่วน เช่น Key กับ Value บางตัวได้(ไม่จำเป็นต้องจำค่าทุกอย่าง อยากให้เข้าใจมากกว่า) คุณก็จะสามารถแก้ไขเวลาไวรัสมันแอบมาเปลี่ยนแปลงค่าเหล่านั้น ซึ่งไวรัสมันจะทำให้วินโดว์คุณเอ๋อนั่นเอง แต่ค่าต่างๆใน Registry นั้นมีเยอะมาก ถ้าเราใช้ google ค้นหาทางแก้ไข ผมว่าไม่น่าจะยากจนเกินไป เพราะมีผู้รู้หรือเว็บต่างๆสอนเอาไว้
2. Process ของวินโดว์เอง มันคือโปรแกรมต่างๆที่กำลังทำงานอยู่ในวินโดว์ และโปรแกรมต่างๆที่คุณเอามาติดตั้งทีหลัง รวมไปถึง Services ด้วยนะครับ ส่วนต่างๆเหล่านี้มองข้ามไปไม่ได้เช่นกัน การดู Process ก็ทำได้โดยการกดปุ่ม Ctrl+Alt+Del คุณก็จะเห็นว่ามีโปรแกรมอะไรกำลังทำงานอยู่ บางทีไวรัสมันก็อาจทำงานอยู่ด้วยในนั้น คุณจะเห็นว่ามีหลายๆไฟล์หรือหลายๆโปรแกรมกำลังทำงาน การที่จะกำจัดไวรัสนั้นคุณต้องรู้บ้างว่าแต่ละตัวในนั้นคือโปรแกรมอะไร (อย่าพึ่งร้องว่าเยอะ) ผมไม่อยากให้คุณขี่ช้างจับตั๊กแตน การดูที่ง่ายๆที่สุดคือ
ลงวินโดว์ใหม่ สดๆซิงๆ เซตค่าต่างๆให้เป็นที่เรียบร้อยให้พร้อมใช้งานแล้วเปิด Process ขึ้นมาดู คุณจะเห็นว่ามีโปรแกรมหรือไฟล์ต่างๆที่กำลังทำงานไม่เท่าไหร่ อีกที่ก็
ตรงโปรแกรมที่รันตอนเปิดเครื่อง วิธีไปหาก็คือ Start > Run พิมพ์ msconfig แล้วหาเมนู startup ให้ดูแล้วจำค่าเหล่านั้นเอาไว้ เป็นอันจบหลักสูตรนี้ ง่ายมั้ยคุณ
ในการใช้คอม คุณต้องมีการลงโปรแกรมต่างๆเสริมเข้าไปเพื่อใช้งาน โปรแกรมเหล่านี้มันก็จะไปอยู่ใน Process (กดปุ่ม Ctrl+Alt+Del ) นั่นเอง ยิ่งบางโปรแกรมก็จะมีการบังคับให้โปรแกรมนั้นทำงานตอนคุณเปิดเครื่อง อย่างเช่นโปรแกรมดูหนังฟังเพลงและโปรแกรมแชทเป็นต้น
แต่ทีนี้ไวรัสมันก็จะมามั่วนิ่มอยู่ในนี้ด้วย สิ่งที่ควรดูบ่อยๆอีกแห่งคือ โปรแกรมที่รันตอนเปิดเครื่อง(msconfig) ถ้าเราไม่รู้ว่าตอนลงวินโดว์ใหม่ๆนั้นควรจะมี Process อะไรบ้างและโปรแกรมหรือไฟล์ที่เกินมานั้นคืออะไร ตรงนี้สำคัญอะไรที่ไม่ใช่ Process ของวินโดว์ตอนที่ลงใหม่ๆคุณสามารถปิด(End Process)ได้เลยทันที แต่ถ้าคุณไม่รู้จัก Process ในตอนลงวินโดว์ใหม่ๆกับโปรแกรมที่รันตอนคุณเปิดเครื่องมันก็จะมั่วจริงมั้ย เกิดอาการงง เอ๋อ สติแตก ทำอะไรไม่ถูก ผมถึงอยากเน้นส่วนนี้อีกเช่นกัน
3. คำสั่งในดอส(DOS) สิ่งนี้คือตัวที่ทำให้เราเป็นพระเอกตัวจริง ไม่ว่าจะโดนไวรัสมันห้ามปรับแต่งยังไง แม้กระทั่งห้ามเข้าไปแก้ไข Registry หรือเปิด Process ไม่ได้ แต่ถ้าคุณสามารถรู้และใช้คำสั่งในดอสได้เป็นอย่างคล่องแล้ว ก็ไม่ใช่เรื่องยากอีกต่อไป ถึงแม้ว่าจะไม่สามารถเข้าดอสเพื่อพิมพ์คำสั่งก็ตาม แต่เราสามารถทำเป็นไฟล์ .bat แล้วใส่คำสั่งต่างๆหลายๆคำสั่งเพื่อไปกำจัดหรือจัดการกับไวรัสได้อยู่ดี คำสั่งต่างๆที่ใช้บ่อยๆมีดังนี้
taskkill เป็นคำสั่งใช้ปิดการทำงานไฟล์ต่างๆของไวรัส หรือบางโปรแกรม ที่กำลังทำงานอยู่ใน Process รวมถึงสั่งหยุดการทำงานของไฟล์ .dll ได้อีกด้วย
tasklist เป็นคำสั่งเอาไว้ดูใน Process ว่าในตอนนี้มีโปรแกรมหรือไวรัสกำลังทำงานอยู่
del เป็นคำสั่งลบไฟล์ต่างๆ(ไฟล์ของไวรัส)
reg เป็นคำสั่งจัดการกับ Registry ได้อย่างดี สามารถที่จะลบ/สร้างและแก้ไข Key Value ได้
attrib บางไฟล์คุณจะเห็นมันทำงานใน Process แต่คุณไม่สามารถหาไฟล์เจอเพราะมันโดนซ่อนอยู่(hidden) คำสั่งนี้จะสามารถกำหนดคุณสมบัติของไฟล์เหล่านี้ให้กลับมาเห็นได้ แต่คำสั่งนี้อาจแทบไม่จำเป็นในบางกรณี
regsvr32 เป็นคำสั่งเอาไว้จัดการไฟล์ .dll ที่ไวรัสหรือ Malware มันสร้างขึ้นมา และคุณสามารถใช้คำสั่งนี้แก้ไขวินโดว์เอ๋อได้อีกด้วย
(ผมขอข้ามการใช้คำสั่งในดอสนะครับ เพราะอาจยากเกินความเข้าใจ แต่จะไปเน้นกำจัดโดยโปรแกรม HijackThis)
ทีนี้เรามาลองคิดถึงเวลาโดนไวรัสหรือ malware เล่นงาน
ในเรื่องของอาการที่โดนไวรัสหรือ malware เล่นงานนั้น ผู้ที่ใช้คอมบ่อยๆมักจะรู้เองได้เลยทันทีว่าคอมที่ใช้อยู่แปลกไป ไม่สามารถใช้งานบางอย่างหรือบางโปรแกรมได้ มีเว็บที่ไม่ต้องการเช่นเว็บ โป๊ เด้งขึ้นมาทำงานเป็นระยะ(โอ๊วว ขอบคุณ) ความเร็วเน็ตช้าผิดปรกติเป็นต้น
เมื่อโดนเล่นงานไปแล้วการติดไวรัสหรือ malware นั้นแบ่งเป็น 2 ระยะ(ผมคิดเองนะ)
ระยะแรกนั้น ไวรัสหรือ malware ที่เข้ามาเล่นงานเรานั้นจะกำจัดได้ง่าย เป็นเพราะว่ามันยังทำงานได้ไม่เต็มที่ ส่วนใหญ่พวกนี้จะแอบไปสร้างไฟล์ไวรัสหรือ malware เพิ่มในเครื่องคุณ และไปเพิ่มค่าหรือเปลี่ยนแปลงค่าใน Registry ให้เครื่องคุณไม่สามารถใช้โปรแกรมบางโปรแกรม หรือเข้าไปเซตค่าบางอย่างเพื่อไปเรียกไฟล์ต่างๆ(เพื่อนมัน)ที่มันแอบสร้างเอาไว้ให้ทำงานได้หลังจาก restart แต่ระยะแรกนี้ ในการเปลี่ยนเปลงค่าใน Registry ก็ดี หรือไฟล์ไวรัสหรือ malware นั้นบางค่าและบางไฟล์มันยังไม่ได้ทำงานเต็มที่จนกว่าคุณจะ restart ในช่วงนี้คุณสามารถใช้คำสั่งดู Process หรือยังเข้าไปเซตค่าใน Registry ได้อยู่ถ้าเปรียบเทียบคือ
เหมือนๆกับคุณลงโปรแกรมอะไรก็ได้บางอย่างลงไป ทีนี้โปรแกรมที่คุณลงไปนั้นมันจำเป็นต้อง restart เครื่องเพื่อที่ค่าต่างๆที่คุณติดตั้งโปรแกรมไปนั้นทำงานได้เต็มที่ แต่ถ้ายังไม่ restart ค่าต่างๆที่ไวรัสมันเซตใน registry ก็ตาม ไฟล์ .dll อีก มันยังไม่ได้ทำงานเต็มที่ เพียงแต่ไปเซตค่ารอเพื่อให้ทำงานหลังจาก restart
อาศัยหลักการที่ว่านี้ ในการกำจัดระยะแรกนี้จึงเป็นไปได้ง่ายกว่า แต่หลักการกำจัดไม่ว่าระยะไหนก็ทำเหมือนๆกัน แต่ยุ่งยากต่างกัน
ระยะที่สอง ระยะนี้คือติดแบบเต็มตัว ทั้งไวรัสหรือ malware ต่างๆรวมถึงพวกพ้องมัน และค่าใน Registry ที่มันได้แอบเซตเอาไว้ทำงานครบ การกำจัดจะยากขึ้น ในช่วงนี้คุณจะไม่สามารถใช้คำสั่งดู Process หรือยังเข้าไปเซตค่าใน Registry ได้หรือไม่สามารถเรียกโปรแกรมอะไรได้เลย(ไวรัสส่วนใหญ่จะทำงานแบบนี้ ผมแค่ยกตัวอย่าง)
อย่าพึ่งคิดว่าจะจบ ไวรัสบางตัวมันไม่จบเท่านี้ มันอาจสร้างเครื่องคุณให้เป็นตัวแพร่เชื้อ ถอดรหัส ดึงเอาไวรัสสายพันธุ์อื่นๆในเน็ตมาไว้ในเครื่องคุณ บางทีใช้เครื่องคุณเจาะข้อมูลระบบต่างๆ กลายเป็น hacker จำเป็นล่ะทีนี้ ทั้งๆที่ไม่รู้เรื่องอะไร
วิธีการกำจัด
หลักการในการกำจัดไวรัสนั้น ไม่ว่าจะติดระยะไหนๆ ก็ทำเหมือนๆกันครับ แต่ความยากง่ายจะต่างกันนิดหน่อย หลักใหญ่ๆเลยผมขอสรุปให้คุณได้ทราบตามขั้นตอนมีดังนี้
1. พยายามหาไฟล์ไวรัสที่มันกำลังทำงานให้เจอ แล้วปิดหรือหยุดการทำงานมันให้ได้(End Process) ที่ผมบอกมาแบบนี้เพราะว่า ไม่ว่าคุณจะใช้ Antivirus ตัวไหนก็ตามหรือ Hijackthis ก็ดี ไวรัสบางตัวถ้ามันกำลังทำงาน คุณคงจะเคยเจอว่าไม่สามารถลบมันได้ ถึงแม้ว่าจะลบยังไง มันก็กลับมาทำงานอีกเหมือนเดิม และก็เป็นอย่างนั้นจริงๆ และคำสั่งที่ใช้หยุดการทำงานของมันก็คือ taskkill ผมชอบคำสั่งนี้มากกว่า แต่บางคนมักจะใช้ tskill แล้วแต่ถนัดครับ มันดีตรงที่ สั่งปิด (End Process) หลายตัวพร้อมๆกัน
2. ขั้นตอนต่อไปก็คือ Uninstall มันออกจากเครื่องไปซะ โดนการค้นหาไฟล์มันให้เจอ บางคนอาจเถียงนิดๆว่า อ่าว... ไวรัสมันชอบซ่อนตัว ผมขอบอกว่าคำสั่งในดอสที่ใช้หาไฟล์ไวรัสหรือโปรแกรมต่างๆที่รันใน Process คือ tasklist พอเรารู้ว่ามันอยู่ไหนแล้ว ถึงแม้ว่ามันจะซ่อนตัวเองอยู่ก็ตาม เราใช้คำสั่ง del ตามไปลบมันได้อย่างสบาย แต่ถ้าเปิด My Computer มานั่งไล่หา คุณอาจจะไม่เห็นไฟล์เหล่านี้ เห็นมั้ยในดอสนั้นมันก็ดีไปอีกแบบ
และทีนี้ไวรัส Malware บางตัวมันอาจไม่ได้มีไฟล์ .exe แต่เพียงอย่างเดียวใช่มั้ย บางตัวก็เป็นไฟล์ .dll ด้วยก็มี การที่จะเอาโปรแกรมแบบนี้ออกหรือ Uninstall อาจต้องใช้คำสั่งถึง 2 คำสั่ง เพราะอย่างที่รู้ๆ ถ้าไฟล์ .dll มันกำลังทำงานอยู่ เราก็ลบมันไม่ได้ แล้วไฟล์พวกนี้แสบมาก มันจะไปสร้างค่าใน Registry อีกด้วย คำสั่งแรกเราต้องปิดการทำงานของมันด้วย taskkill จากนั้นค่อยใช้คำสั่ง regsvr32 เพื่อ Uninstall ไฟล์ .dll ตามอีกทีเพื่อลบค่าต่างๆในระบบที่มันได้สร้างเอาไว้
3. เมื่อคุณสามารถปิดการทำงานของ ไวรัส Malware ไปแล้ว แต่ค่าต่างๆที่มันสร้างไว้ในระบบ Registry มันยังอยู่นะ เราก็ต้องใช้คำสั่ง reg เปลี่ยนแปลงค่าเหล่านั้นให้กลับมาเหมือนเดิม ตอนนี้ไฟล์ไวรัสต่างๆมันก็คือไฟล์ธรรมดาอย่างแค่นั้นเอง จะเก็บไว้ดูเล่นหรือลบทิ้งก็ได้ตามใจคุณ เพียงแต่อย่าไปเรียกให้มันทำงานก็แล้วกัน แล้วคุณจะสังเกตุเห็นว่า ถ้าไวรัสกำลังทำงานอยู่ ไม่ว่าเราจะใช้คำสั่ง reg เปลี่ยนค่าใน Registry ยังไงก็ตามให้หัวหงอกจนแก่ตาย ไวรัสมันก็แก้ให้เครื่องเอ๋อเหมือนเดิมภายใน ไม่กี่เสี้ยววินาทีอยู่ดี
แต่การใช้ดอส ก็มีจุดด้อย เพราะว่า บางคนอาจไม่คล่องในการใช้คำสั่ง และการค้นหาที่อยู่ของ ไวรัส บางทีอาจทำได้ยาก จึงต้องพึงโปรแกรม
Hijackthis กับ Unlocker และบางทีมันอาจฝังตัวอยู่ที่ driver ก็จะแสบมากเพราะจะลบด้วยวิธีข้างต้นไม่ได้ต้องโหลดโปรแกรม LSP-Fix
เมื่อคุณได้ทำความเข้าใจบทความขั้นต้นที่ผมได้เขียนนี้แล้ว ให้ไปโหลดไฟล์ที่ผมได้เตรียมเอาไว้
ลิ้งค์ข้างล่างครับ
|
กำจัดไวรัสด้วย HijackThis.doc Size : 1909.5 Kb Type : doc |
วิธีแก้ไขปัญหา Windows XP
เป็นวิธีสำหรับการแก้ไขระบบของ Windows XP ครับ ซึ่งอาจเกิดมาจากสาเหตุผิดพลาดในการตั้งค่าของคุณเอง หรืออาจเกิดมาจากไวรัส ซึ่งการแก้ไขในบทความนี้จะได้ผลก็ต่อเมื่อ
- ได้ลบหรือกำจัด ไวรัส ออกจากเครื่องเป็นที่เรียบร้อยแล้ว
- เกิดจากการตั้งค่าของคุณเองที่ผิดพลาดในกรณีที่ต้องการจะป้องกันเครื่อง และเกิดการลืม
- ต้องมีการ login เป็น Administrator
- บางโปรแกรมอาจมีการตั้งค่าเอาไว้โดยที่คุณไม่รู้ตัว
คำสั่งต่างๆที่ผมได้รวบรวมเอาไว้นี้ เป็นค่า Default หรือเป็นค่ามาตรฐานที่ใช้ในเครื่องทั่วๆไปครับ รับรองได้ว่าไม่สร้างปัญหาให้กับคุณอย่างแน่นอนครับ
วิธีแก้ไข
ให้คุณเปิดโปรแกรม notepad ขึ้นมาก่อนครับ จากนั้น copy ข้อความด้านล่าง(เส้นประสีชมพู)ทั้งหมดใส่ใน notepad
------------------------------------------------------------------------------------------------------------------------
@ECHO ON
ECHO ---Fix Problem---
taskkill /im explorer.exe /f
Start regsvr32 /i /s shell32.dll
Start explorer.exe
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFind /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFind /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel /v HomePage /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 1 /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0 /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2 /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0 /f
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 4 /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2 /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoStartmenuMorePrograms /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFind /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoStartMenuMFUprogramsList /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoStartMenuSubFolders /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoChangeStartMenu /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoSaveSettings /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoBandCustomize /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoMovingBands /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoCloseDragDropBands /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoSetTaskbar /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoToolbarsOnTaskbar /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoActiveDesktop /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v ClassicShell /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoClose /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoLogOff /f
REG delete HKCU\Software\Microsoft\Internet Explorer\Main /v Window Title /f
ECHO Windows Registry Editor Version 5.00 > Fix.reg
ECHO [HKEY_CLASSES_ROOT\.exe] >> Fix.reg
ECHO @="exefile" >> Fix.reg
ECHO "Content Type"="application/x-msdownload" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\.exe\PersistentHandler] >> Fix.reg
ECHO @="{098f2470-bae0-11cd-b579-08002b30bfeb}" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile] >> Fix.reg
ECHO @="Application" >> Fix.reg
ECHO "EditFlags"=hex:38,07,00,00 >> Fix.reg
ECHO "TileInfo"="prop:FileDescription;Company;FileVersion" >> Fix.reg
ECHO "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\DefaultIcon] >> Fix.reg
ECHO @="%1" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shell] >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shell\open] >> Fix.reg
ECHO "EditFlags"=hex:00,00,00,00 >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shell\open\command] >> Fix.reg
ECHO @="\"%1\" %*" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shell\runas] >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shell\runas\command] >> Fix.reg
ECHO "%1" %* >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shellex\DropHandler] >> Fix.reg
ECHO @="{86C86720-42A0-1069-A2E8-08002B30309D}" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers] >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser] >> Fix.reg
ECHO @="{09A63660-16F9-11d0-B1DF-004F56001CA7}" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps] >> Fix.reg
ECHO @="{86F19A00-42A0-1069-A2E9-08002B30309D}" >> Fix.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page] >> Fix.reg
ECHO @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" >> Fix.reg
Start regedit /s Fix.reg
ECHO ----- Restart Windows -----
pause
shutdown -r -f
------------------------------------------------------------------------------------------------------------------------
จากนั้น เซฟ ให้เป็นชื่ออะไรก็ได้ครับ แต่ต้องให้มีนามสกุล .bat เช่น FixError.bat (เซฟไว้ที่ไหนก็ได้ครับ) จากตัวอย่างผมตั้งชื่อไฟล์ว่า FixError.bat เรียกให้ทำงานโดยดับเบิ้ลคลิกเพื่อเป็นการเรียกขึ้นมาทำงานครับ โปรแกรมก็จะซ่อมแซมส่วนต่างๆตามคำสั่งข้างบนที่ผมได้ทำเอาไว้ครับ หลังจากมันทำงานเสร็จ เครื่องคุณจะ Restart ครับ
