โปรแกรมนี้พัฒนาโดย นายธงชัย  แสงสว่าง นักเรียน ชั้น ม.6/1
โรงเรียนบรรหารแจ่มใสวิทยา ๑

  การทำงานของ ARDV

ARDV ได้แบ่งการตรวจสอบไฟล์และลักษณะไฟล์ที่เข้าข่ายรูปแบบของไวรัสซึ่งแบ่งออกเป็น 3 กลุ่มดังนี้
1. Auto Run Spreading คือเทคนิคที่กำลังถูกนำมาใช้เป็นอย่างมากเนื่องจากมีโอกาสที่แพร่กระจายได้มาก ไวรัสจะสร้างไฟล์ autorun.inf ในการรันตัวเองสู่ระบบ ไวรัสประเภทนี้เช่น Hacked By Godzilla
รูปแบบ ไฟล์ autorun.inf + ไฟล์ไวรัส[นามสกุลที่รันได้] -> เชื่อมต่อกับเครื่องคอมพิวเตอร์ทางพอร์ต USB -> ระบบปฎิบัติการรับตำแหน่งไฟล์ไวรัส -> ดับเบิลคลิกไดร์ว -> ไวรัสถูกรันบนเครื่อง
2. Fake Folder Spreading คือ เทคนิคที่ทำให้โฟลเดอร์จริงถูกซ่อนไว้ ไวรัสจะทำตัวเองเหมือนโฟลเดอร์ ไวรัสจะสามารถแพร่กระจายได้ เนื่องจากผู้ใช้จำเป็นจะต้องเข้าไปทำงานในโฟลเดอร์ ไวรัสที่ใช้เทคนิคนี้ เช่น Flashy
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]โดยใช้ชื่อโฟลเดอร์หรือบางส่วนที่พบมาตั้งชื่อ -> ซ่อนโฟลเดอร์จริงจากผู้ใช้ -> สร้างฟังก์ชั่นเพื่อจัดการโฟลเดอร์นั้นๆ -> คลิกเรียกดูงานในโฟลเดอร์ -> ไวรัสถูกรันบนเครื่อง
3. Sub Folder Spreading คือ เทคนิคที่ไวรัสนำชื่อโฟลเดอร์ไปเป็นส่วนหนึ่งของชื่อไฟล์ไวรัสในโฟลเดอร์นั้นๆ เทคนิคนี้ถือเป็นเทคนิคในไวรัสรุ่นแรกๆที่ได้อาศัยแฮนดี้ไดร์วในการแพร่กระจายก็ว่าได้ ไวรัสที่ใช้เทคนิคนี้ เช่น Brontok.A
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]ซ้อนลงไปในโฟลเดอร์นั้นๆโดยใช้ชื่อโฟลเดอร์หรือบางส่วนที่พบมาตั้งชื่อ -> คลิกเรียกดูงานในโฟลเดอร์ -> คลิกไฟล์ไวรัส -> ไวรัสถูกรันบนเครื่อง

จากรูป คือแผนภาพแสดงวิธีการทำงานเพื่อตรวจสอบไวรัสที่อยู่ในแฮนดี้ไดร์ว ซึ่งเป็นรูปแบบ Fake Folder และ Sub Folder Spreading โดย ARDV จะค้นหาโฟลเดอร์ที่อยู่ช้นแรก สุดในไดร์วนั้น (หมายเลข 1 ซ้ายสุด)จากนั้นจะเริ่มตรวจสอบชื่อไฟล์ เปรียบเทียบกับชื่อโฟลเดอร์ ทั้งในตำแหน่งเดียวกัน(Fake Folder,หมายเลข 2)และลึกลงไปด้านในอีกหนึ่งชั้น(Sub Folder,หมายเลข 1 ถัดไป) จากนั้นจะบันทึกจำนวนโฟลเดอร์ที่พบทั้งหมด และไฟล์ต้องสงสัยไว้ และจะค้นหาต่อไปโดยจะทำต่อในโฟลเดอร์ที่ลึกลงไป อย่างนี้ไปเรื่อยๆและเก็บค่าไฟล์ต้องสงสัย จนกระทั่งการทำงานอยู่ในตำแหน่งลึกที่สุด(หมายเลข 3) คือไม่มีโฟลเดอร์ต่อไปอีกแล้ว หรือระยะความลึก ถึงตามที่ ARDV กำหนด ซึ่งได้กำหนดไว้ให้ทำงานกับโฟลเดอร์ลึกที่สุด 13 โฟลเดอร์(หากไม่ระบุ อาจจะทำให้เสียเวลาในการทำงานเนื่องจากจำนวนโฟลเดอร์มีจำนวนมาก) ก็จะเริ่มตัดสินใจที่จะบอกว่าพบไฟล์ต้องสงสัยหรือไม่ โดยอาศัยการเปรียบเทียบชื่อไฟล์ โดยจะไม่สนใจอักขระ " ,!@#$%^&(?=)_+-;'{}[]~`" หากพบชื่อไฟล์มีส่วนเหมือนกันและจำนวนที่พบเท่ากับโฟลเดอร์ในชั้นนั้นๆก็ย้ายไฟล์เหล่านี้ ไปเก็บในโฟลเดอร์ที่ ARDV จะสร้างขึ้นในแฮนดี้ไดร์ ไฟล์ต้องสงสัยทั้งหมด จะถูกย้ายเข้าไปในโฟลเดอร์ที่ ARDV ได้สร้างขึ้นโดยการสร้างโฟลเดอร์นี้ จะอยู่ในตำแหน่งเดียวกับที่ไฟล์เดิมอยู่ หากเกินความผิดพลาด ผู้ใช้สามารถเข้าไปหาไฟล์ที่อยู่ในโฟลเดอร์นั้นๆ ได้ทันที ในกรณีที่ไฟ์ในโฟลเดอร์ ARDV มีอยู่แล้วไฟล์ใหม่ที่เพิ่มเข้าไปจะถูกเปลี่ยนชื่อ เพื่อป้องกันการสูญหายของไฟล์ เมื่อตัดสินใจแล้วก็จะเริ่มย้อนหลังขึ้นมายังฟังก์ชันเดิมก่อนที่ะเรียกใช้ เพือตัดสินใจกับโฟลเดอร์บนๆ จะเป็นอย่างนี้จะถึงโฟลเดอร์บนสุด(โฟลเดอร์ที่ทำงานด้วยครั้งแรกสุด) ก็จะจบการทำงาน

นอกจากรูปแบบทั้ง 3 แล้วยังมีรูปแบบรูปแบบอื่นๆที่ไม่สามารถจัดเข้ากลุ่มได้ เช่น ไวรัสสร้างไฟล์โดยตั้งชื่อไม่เกี่ยวกับเงื่อนไขเลย กล่าวคือ สร้างชื่อใหม่ขึ้นมาเอง ซึ่งผู้ใช้ที่สังเกตจะรู้ได้ทันทีว่าเป็นไวรัส รูปแบบอีกชนิดที่พบคือ นำเอาข้อมูลจากเครื่องที่แพร่เชื่อมาเกี่ยวโยง ทั้งหมดนี้ ARDV ไม่สามารถตรวจสอบได้ เพราะไม่ได้ใช้การ ตรวจสอบโค้ดในไฟลไวรัส แต่อย่างไรก็ตามไวรัสส่วนใหญ่ที่ประสบความสำเร็จนั้นจะเข้าข่ายในทั้ง 3 รูปแบบที่จัดไว้โดยเฉพาะ Auto Run Spreading

ARDV ช่วยป้องกันอะไรได้บ้าง?

1.สามารถป้องกันไวรัสที่ใช้วิธีการสร้างไฟล์ autorun.inf ลงในอุปกรณ์ดิสแบบถอดได้ทุกชนิด และแพร่กระจายตัวเองไปเรื่อยๆ ARDV จะใช้วิธีการตรวจสอบไฟล์ autorun.inf และยกเลิกคำสั่งของไฟล์ ซึ่งทำให้ไวรัสไม่สามารถรันตัวเองเข้าสู่ระบบได้โดยเทคนิค autorun อีกต่อไป(หมายเหตุ:สามารถป้องกันไวรัสรูปแบบนี้ใหม่ๆ ต่อไปในอนาคตด้วย)
2.ลดโอกาสเสี่ยงที่จะติดไวรัสที่สร้างไฟล์เลียนแบบชื่อโฟลเดอร์ โดยใช้วิธีการวิเคราะห์ชือไฟล์กลุ่มเสี่ยง(รันได้)กับชื่อโฟลเดอร์ร่วมกับวิเคราะห์จำนวนไฟล์ที่พบในโฟลเดอร์นั้นๆ และจะย้ายไฟล์เสี่ยงทั้งหมดไปกักไว้ในโฟลเดอร์ "ardv_suspicious_file(s)" ผู้ใช้สามารถตรวจสอบไฟล์และสามารถลบโฟลเดอร์นี้ทิ้งได้ทันทีเมื่อเห็นว่าเป็นไฟล์ที่ไม่รู้จัก อย่างไรก็ตามควรระวังอย่างรันไฟล์ในโฟลเดอร์ "ardv_suspicious_file(s)" นอกจากว่ามั่นใจว่าเป็นไฟล์ที่คุณเป็นเจ้าของ

เพิ่มเติม:ผู้พัฒนาหวังเป็นอย่างยิ่งว่านี่คือจุดจบของไวรัส Autorun อย่างสมบูรณ์ในเครือข่ายคอมพิวเตอร์!

ผลการทดสอบ ARDV เบื้องต้น

จากการทดสอบการทำงานบนระบบปฎิบัติการ Windows XP รายชื่อไวรัสที่ร่วมทดสอบแล้วมีดังนี้ Hacked by Godzilla, Hacked by Mozilla, Hacked by (ComputerName), Hacked by 8BIT, HELLO WORLD i am VB, killVBS.vbs, CHEAT.VBS ORIGINAL SILLE.B run on GAME ONLINE, Flashy.exe ,Music.exe, AdobeR.exe, BrontokA-B-Al และไวรัสที่เขียนขึ้นเพื่อทดสอบประสิทธิภาพ ARDV อีก 2 ตัวที่สามารถแก้ไขรูปแบบชื่อโฟลเดอร์(ทดสอบฟังก์ชั่น Sub&Fake) ผลออกมาอยู่ ในระดับที่น่าพอใจ แต่อย่างไรก็ตาม หากพบข้อผิดพลาดจะได้ดำเนินการแก้ไขในรุ่นต่อๆไป ทั้งนี้ต้องได้รับความร่วมมือและความกรุณาจากผู้ใคอมพิวเตอร์ให้ช่วยกันรายงานข้อผิดพลาดที่พบกับมาที่ผู้พัฒนาด้วย

ดาวน์โหลด ARDV

ข้อตกลงการใช้งาน :
1.โปรแกรมนี้ใช้งานได้ฟรีสำหรับผู้ที่สนใจ อนุญาติให้มีการคัดลอก แจกจ่าย โดยไม่ต้องเสียค่าใช้จ่ายใดๆทั้งสิ้น และห้ามทำการซื้อขายโปรแกรมนี้อย่าเด็ดขาด
2.ไม่อนุญาติให้แก้ไขหรือดัดแปลงโค้ด ไม่ว่าจะด้วยวิธีและเหตุผลใดๆก็ตามที่ทำให้การทำงานไม่เหมือนเดิม
3.โปรดทำความเข้าใจ โปรแกรมมีขีดจำกัดในการทำงาน
4.ต้องตรวจสอบระบบที่โปรแกรมรองรับก่อนใช้งาน
5.ผู้พัฒนาไม่ขอรับผิดชอบหากการทำงานของโปรแกรมส่งผลต่อบุคคลหรือขัดขวางการทำงาน กรณีเป็นเครื่องคอมพิวเตอร์ส่วนรวม ผู้ดูแลระบบควรเป็นผู้ควบคุมการใช้งานเท่านั้น

ระบบปฎิบัติการที่รองรับ:
Microsoft Windows 98 SE
Microsoft Windows Server 2003
Microsoft Windows XP
หมายเหตุ:ระบบปฏิบัติการนอกเหนือจากนี้ที่เป็นตระกูล Windows NT อาจจะรองรับทั้งหมด(ยังไม่เคยทดสอบ)

ARDV 1.02
ดาวน์โหลด:ardv102_setup.zip
ขนาด: 89KB
วันที่นำเสนอ:21 พฤษภาคม 2550
ข้อผิดพลาดที่ตรวจพบแล้ว:
        - พบข้อผิดพลาดเมื่อติดตั้งบน Microsoft Windows ME - 24 พฤษภาคม 2550

ข้อผิดพลาดจะได้รับการแก้ไขในเวอร์ชั่นต่อไป ขอขอบคุณผู้รายงานข้อผิดพลาดทุกท่านไว้ ณ ที่นี้ด้วย