การตรวจหาไวรัส

การตรวจหาไวรัส

การตรวจหาไวรัส

1.    การสแกน การใช้โปรแกรมในการตรวจหาไวรัส โดยการดึงโปรแกรมบางส่วนของตัวไวรัสมาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเรียกว่า ไวรัสฃิกเนเจอร์ (Virus Signature) เมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงานก็จะเข้าตรวจหาไวรัสในหน่วยความจำ บู๊ตเซ็กเตอร์และไฟล์โดยใช้ไวรัสซิกเนเจอร์ที่มีอยู่ ข้อดี      สามารถตรวจสอบซอฟต์แวร์ที่มาใหม่ได้ทันที จุดอ่อน              ฐานข้อมูลที่เก็บไวรัสซิกเนเจอร์จะต้องทันสมัยอยู่เสมอ และครอบคลุมไวรัสทุกตัว และมากที่สุดด้วย ดังนั้นการตรวจหาไวรัสแบบนี้จะขึ้นอยู่กับเทคนิคที่ใช้สร้างไวรัสกับสแกนเนอร์ว่าใครจะเก่งกว่า 2.    การตรวจการเปลี่ยนแปลง การหาค่าพิเศษ เรียกว่า เช็คซัม (Checksum) เกิดจากการนำเอาชุดคำสั่งและข้อมูลที่อยู่ในโปรแกรมมาคำนวณหรืออาจใช้ข้อมูลอื่น ๆ ของไฟล์ ได้แก่ แอตริบิวส์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่งหรือข้อมูลที่อยู่ในโปรแกรมจะถูกแทนด้วยรหัสเลขฐานสอง จึงสมารถนำเอาตัวเลขเหล่านี้มาผ่านขั้นตอนการคำนวณทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรมภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหม่จะเปลี่ยนไปจากที่คำนวณได้ก่อนหน้านี้ ข้อดี สามารถตรวจจับไวรัสใหม่ๆ ได้ และยังมีความสามารถในการตรวจจับไวรัสประเภทโพลีเมอร์ฟิกไวรัสได้อีกด้วย แต่ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาดของโปรแกรมตรวจหาไวรัสเองด้วยว่าจะสามารถถูกหลอกโดยไวรัสประเภทนี้ได้หรือไม่ จุดอ่อน จะตรวจจับไวรัสได้ก็ต่อเมื่อไวรัสได้เข้าไปติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือ ต้องไม่มีโปรแกรมใด ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป 3.    การเฝ้าดู เป็นการสร้างโปรแกรมตรวจจับไวรัสสามารเฝ้าดูการทำงานของเครื่องได้ตลอดเวลา เรียกว่า เรซิเดนท์หรือดีไวซ์ไดร์ฟเวอร์ โดยเทคนิคของการเฝ้าดูนั้นอาจใช้วิธีการสแกนหรือตรวจการเปลี่ยนแปลงหรือสองแบบรวมกันก็ได้ หลักการทำงานโดยทั่วไป คือ เมื่อซอฟท์แวร์ตรวจจับไวรัสที่ใช้วิธีนี้ถูกเรียกขึ้นมาทำงานก็จะเข้าไปตรวจในหน่วยความจำของเครื่องก่อนว่ามีไวรัสติดอยู่หรือไม่ โดยใช้ไวรัสซิกเนเจอร์ที่มีอยู่ในฐานข้อมูลจากนั้นจึงค่อยนำตัวเองเข้าไปฝังอยู่ในหน่วยความจำและต่อไปถ้ามีการเรียกโปรแกรมเข้ามาใช้งาน โปรแกรมเฝ้าดูนี้ก็จะเข้าไปตรวจโปรแกรมนั้นก่อน โดยใช้เทคนิคการสแกนหรือตรวจการเปลี่ยนแปลง เพื่อหาไวรัส ถ้าไม่มีปัญหาก็จะอนุญาตให้โปรแกรมนั้นขึ้นมาทำงานได นอกจากนี้โปรแกรมตรวจจับไวรัสบางตัวยังสมารถตรวจสอบขณะที่มีการคัดลอกไฟล์ได้อีกด้วย ข้อดี    เมื่อมีการเรียกโปรแกรมใดขึ้นมาโปรแกรมนั้นจะถูกตรวจสอบก่อนทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น ข้อเสีย จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเตนท์หรือดีไวซ์ไดร์ฟเวอร์ จึงจำเป็นจะต้องใช้หน่วยความจำส่วนหนึ่งของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ก็คือ จำเป้นจะต้องมีการปรับปรุงฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ      

บันทึกนี้เขียนที่ GotoKnow โดย  ใน kitty

คำสำคัญ (Tags)#การตรวจหาไวรัส

หมายเลขบันทึก: 125084, เขียน: 04 Sep 2007 @ 21:58 (), แก้ไข: 11 Feb 2012 @ 20:14 (), สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ, อ่าน: คลิก


ความเห็น (0)