10.7 โปรแกรมป้องกันไวรัสทำงานกันอย่างไร

ไวรัสคอมพิวเตอร์เป็นภัยคุกคามที่สร้างความเสียหายให้กับระบบได้อย่างรุนแรงมาก ดังนั้นโปรแกรมป้องกันไวรัสจึงเป็นปัจจัยที่สำคัญมากที่จะช่วยให้เครื่องปลอดภัยจากการคุกคามของไวรัสคอมพิวเตอร์ ในปัจจุบันโปรแกรมป้องกันไวรัสก็มีมากขึ้น เทคนิคในการตรวจจับไวรัสได้ถูกพัฒนาขึ้นเพื่อตรวจจับไวรัสแตกต่างกันออกไป ซึ่งเทคนิคในการตรวจจับไวรัสโดยทั่วไป แบ่งได้ 4 เทคนิคคือ

เป็นเทคนิคที่ใช้ตัวตรวจหา (Scanner) เข้าไปค้นหาไฟล์ที่ถูกบ่งบอกว่าถูกไวรัสแฝงตัวอยู่ ในหน่วยความจำ ส่วนเริ่มต้นในการบูต (Boot sector) และไฟล์ที่ถูกเก็บอยู่ในฮาร์ดดิสก์ โดยใช้หลักการ Checksum ซึ่งมีวิธีการทำงานคือ ในไฟล์ทุกไฟล์จะมีส่วนที่เก็บข้อมูลว่ามีจุดเริ่มต้น จุดสิ้นสุดของไฟล์ที่ตำแหน่งใด ตามด้วยข้อมูลของไฟล์ และปิดท้ายด้วยค่า Checksum ตัวตรวจหาจะคำนวณหาค่า Checksum ของแต่ละไฟล์แล้วนำไปทำการเปรียบเทียบกับค่า Checksum ของไฟล์นั้นๆ ดังนั้นถ้าไฟล์ใดถูกไวรัสแฝงตัวก็จะทำให้ค่า Checksum ที่คำนวณได้จะไม่เท่ากับค่า Checksum ที่เป็นข้อมูลของไฟล์ดังกล่าว โปรแกรมป้องกันไวรัสทั่วๆ ไป จะมีวิธีการตรวจหา 2 ชนิดคือ

ข้อดีของเทคนิคนี้คือตัวตรวจหาสามารถพบไวรัสก่อนที่จะทำการเอ็กซิคิวต์

เทคนิคนี้อาศัยตัวตรวจสอบความคงอยู่ (Integrity Checker) ที่เก็บข้อมูลความคงอยู่ (Integrity Information) ของไฟล์สำคัญไว้สำหรับเปรียบเทียบ ตัวอย่างข้อมูลเช่น ขนาดไฟล์ เวลาแก้ไขครั้งล่าสุด และค่า Checksum เป็นต้น ส่วนมากจะใช้ค่าของ Checksum ในการเปรียบเทียบ เมื่อมีไฟล์เปลี่ยนแปลงที่มีสาเหตุอันเนื่องจากไวรัสหรือความผิดพลาดใดๆ จนทำให้ข้อมูลความคงอยู่ต่างจากข้อมูลเดิมที่เคยเก็บไว้ ระบบก็จะแจ้งให้ผู้ใช้งานทราบถึงความผิดปกติและยังสามารถมีทางเลือกให้ผู้ใช้สามารถกู้ไฟล์ข้อมูลดังกล่าวคืนไปเป็นไฟล์ก่อนที่จะติดไวรัสได้
ข้อดีของเทคนิคนี้คือ เป็นเทคนิคเดียวที่จะตรวจสอบว่ามีไวรัสทำลายไฟล์หรือไม่ และเกิดความผิดพลาดน้อย ตัวตรวจสอบความคงอยู่ในปัจจุบันมีความสามารถที่จะตรวจจับการทำลายข้อมูลชนิดต่างๆ ได้ เช่นไฟล์ไม่สมบูรณ์ (corruption) และยังสามารถกู้ไฟล์คืนได้

เป็นเทคนิคทั่วไปที่นิยมใช้ในการตรวจจับไวรัส โดยจะเปรียบเทียบการทำงานของไวรัสกับกฏ Heuristic (Rules Based System) และชุดกฏ Heuristic ถูกพัฒนาให้สามารถแยกแยะพฤติกรรมการทำงานว่าเป็นการทำงานของไวรัสหรือไม่ มีการเก็บข้อมูลของไวรัสที่รู้จักเพื่อใช้ในการจับคู่แพตเทิร์น และชุดกฏนี้ถูกพัฒนาโดยผู้พัฒนาโปรแกรมป้องกันไวรัส ยกตัวอย่างวิธีการตรวจจับไวรัสชนิดนี้เช่น โปรแกรมป้องกันไวรัสรู้จักพฤติกรรมการทำงานของไวรัสทั่วไป (เช่น การอ่าน/เขียนลงใน Master Boot Record ซึ่งโปรแกรมทั่วๆ ไปจะไม่ทำเช่นนี้) เมื่อโปรแกรมป้องกันไวรัสตรวจพบว่ามีการทำงานที่ผิดปกติขึ้นในเครื่อง โปรแกรมป้องกันไวรัสจะใช้กฏ Heuristic เปรียบเทียบกับลักษณะดังกล่าว เพื่อที่จะระบุว่าเป็นพฤติกรรมการทำงานของไวรัสชนิดใด
ข้อดีของเทคนิคนี้คือมีความยืดหยุ่นในการตรวจจับ และสามารถรู้จักไวรัสชนิดใหม่ๆ ได้เอง

เทคนิคนี้จะเริ่มต้นด้วยการที่โปรแกรมป้องกันไวรัสจะสร้าง virtual machine ที่มีความอ่อนแอมากไว้ภายในเครื่อง คอยล่อให้โปรแกรมประเภทไวรัสโจมตี และยังมีหน้าที่เฝ้าดูว่ามีไวรัสหรือโปรแกรมใดบ้างที่มีพฤติกรรมผิดปกติน่าสงสัยเข้ามาทำงานใน virtual machine ตัวอย่างเช่น มีโปรแกรมที่ทำการติดตั้งตัวเอง รวมทั้งมีการส่ง request ผิดปกติออกมาเพื่อทำให้เครื่องทำงานผิดพลาด เป็นต้น โปรแกรมที่ผิดปกติหรือน่าสงสัยนี้อาจจะเป็นไวรัสก็ได้
ข้อดีของการใช้เทคนิคนี้คือจะหยุดการทำงานของโปรแกรมไวรัสที่พยายามที่จะฝังตัวในหน่วยความจำได้ดี
เทคนิคในการตรวจจับไวรัสทั้ง 4 เทคนิค เป็นเทคนิคพื้นฐานที่พัฒนาขึ้นเพื่อใช้ในการตรวจจับไวรัส โดยโปรแกรมป้องกันไวรัสทั่วไป จะอาศัยเทคนิคที่กล่าวมา โดยอาจรวบรวมเอาจุดเด่นของแต่ละเทคนิคมาพัฒนาจนเป็นเทคนิคใหม่ๆ เพื่อใช้กำจัดไวรัสในยุคใหม่ๆ
ข้อมูลอ้างอิง

<< ก่อนหน้า -- กลับหน้าแรก >>