10.7 โปรแกรมป้องกันไวรัสทำงานกันอย่างไร

ไวรัสคอมพิวเตอร์เป็นภัยคุกคามที่สร้างความเสียหายให้กับระบบได้อย่างรุนแรงมาก ดังนั้นโปรแกรมป้องกันไวรัสจึงเป็นปัจจัยที่สำคัญมากที่จะช่วยให้เครื่องปลอดภัยจากการคุกคามของไวรัสคอมพิวเตอร์ ในปัจจุบันโปรแกรมป้องกันไวรัสก็มีมากขึ้น เทคนิคในการตรวจจับไวรัสได้ถูกพัฒนาขึ้นเพื่อตรวจจับไวรัสแตกต่างกันออกไป ซึ่งเทคนิคในการตรวจจับไวรัสโดยทั่วไป แบ่งได้ 4 เทคนิคคือ

• การตรวจหา (Scanning)

เป็นเทคนิคที่ใช้ตัวตรวจหา (Scanner) เข้าไปค้นหาไฟล์ที่ถูกบ่งบอกว่าถูกไวรัสแฝงตัวอยู่ ในหน่วยความจำ ส่วนเริ่มต้นในการบูต (Boot sector) และไฟล์ที่ถูกเก็บอยู่ในฮาร์ดดิสก์ โดยใช้หลักการ Checksum ซึ่งมีวิธีการทำงานคือ ในไฟล์ทุกไฟล์จะมีส่วนที่เก็บข้อมูลว่ามีจุดเริ่มต้น จุดสิ้นสุดของไฟล์ที่ตำแหน่งใด ตามด้วยข้อมูลของไฟล์ และปิดท้ายด้วยค่า Checksum ตัวตรวจหาจะคำนวณหาค่า Checksum ของแต่ละไฟล์แล้วนำไปทำการเปรียบเทียบกับค่า Checksum ของไฟล์นั้นๆ ดังนั้นถ้าไฟล์ใดถูกไวรัสแฝงตัวก็จะทำให้ค่า Checksum ที่คำนวณได้จะไม่เท่ากับค่า Checksum ที่เป็นข้อมูลของไฟล์ดังกล่าว โปรแกรมป้องกันไวรัสทั่วๆ ไป จะมีวิธีการตรวจหา 2 ชนิดคือ

• การตรวจหาชนิด On - access เป็นวิธีการตรวจหาไฟล์ก่อนที่จะถูกโหลดเข้าหน่วยความจำ เพื่อทำการเอ็กซิคิวต์
• การตรวจหาชนิด On - demand เป็นวิธีการตรวจหาในหน่วยความจำหลัก ส่วนเริ่มต้นในการบูต และฮาร์ดดิสก์ ผู้ใช้งานยังสามารถเรียกใช้งานวิธีการตรวจหาชนิดนี้ตามความต้องการได้

ข้อดีของเทคนิคนี้คือตัวตรวจหาสามารถพบไวรัสก่อนที่จะทำการเอ็กซิคิวต์

• การตรวจสอบความคงอยู่ (Integrity Checking)

เทคนิคนี้อาศัยตัวตรวจสอบความคงอยู่ (Integrity Checker) ที่เก็บข้อมูลความคงอยู่ (Integrity Information) ของไฟล์สำคัญไว้สำหรับเปรียบเทียบ ตัวอย่างข้อมูลเช่น ขนาดไฟล์ เวลาแก้ไขครั้งล่าสุด และค่า Checksum เป็นต้น ส่วนมากจะใช้ค่าของ Checksum ในการเปรียบเทียบ เมื่อมีไฟล์เปลี่ยนแปลงที่มีสาเหตุอันเนื่องจากไวรัสหรือความผิดพลาดใดๆ จนทำให้ข้อมูลความคงอยู่ต่างจากข้อมูลเดิมที่เคยเก็บไว้ ระบบก็จะแจ้งให้ผู้ใช้งานทราบถึงความผิดปกติและยังสามารถมีทางเลือกให้ผู้ใช้สามารถกู้ไฟล์ข้อมูลดังกล่าวคืนไปเป็นไฟล์ก่อนที่จะติดไวรัสได้
ข้อดีของเทคนิคนี้คือ เป็นเทคนิคเดียวที่จะตรวจสอบว่ามีไวรัสทำลายไฟล์หรือไม่ และเกิดความผิดพลาดน้อย ตัวตรวจสอบความคงอยู่ในปัจจุบันมีความสามารถที่จะตรวจจับการทำลายข้อมูลชนิดต่างๆ ได้ เช่นไฟล์ไม่สมบูรณ์ (corruption) และยังสามารถกู้ไฟล์คืนได้

• การตรวจจับไวรัสโดยใช้การวิเคราะห์พฤติกรรม (Heuristic)

เป็นเทคนิคทั่วไปที่นิยมใช้ในการตรวจจับไวรัส โดยจะเปรียบเทียบการทำงานของไวรัสกับกฏ Heuristic (Rules Based System) และชุดกฏ Heuristic ถูกพัฒนาให้สามารถแยกแยะพฤติกรรมการทำงานว่าเป็นการทำงานของไวรัสหรือไม่ มีการเก็บข้อมูลของไวรัสที่รู้จักเพื่อใช้ในการจับคู่แพตเทิร์น และชุดกฏนี้ถูกพัฒนาโดยผู้พัฒนาโปรแกรมป้องกันไวรัส ยกตัวอย่างวิธีการตรวจจับไวรัสชนิดนี้เช่น โปรแกรมป้องกันไวรัสรู้จักพฤติกรรมการทำงานของไวรัสทั่วไป (เช่น การอ่าน/เขียนลงใน Master Boot Record ซึ่งโปรแกรมทั่วๆ ไปจะไม่ทำเช่นนี้) เมื่อโปรแกรมป้องกันไวรัสตรวจพบว่ามีการทำงานที่ผิดปกติขึ้นในเครื่อง โปรแกรมป้องกันไวรัสจะใช้กฏ Heuristic เปรียบเทียบกับลักษณะดังกล่าว เพื่อที่จะระบุว่าเป็นพฤติกรรมการทำงานของไวรัสชนิดใด
ข้อดีของเทคนิคนี้คือมีความยืดหยุ่นในการตรวจจับ และสามารถรู้จักไวรัสชนิดใหม่ๆ ได้เอง

• การตรวจจับไวรัสโดยการดักจับ (Interception)

เทคนิคนี้จะเริ่มต้นด้วยการที่โปรแกรมป้องกันไวรัสจะสร้าง virtual machine ที่มีความอ่อนแอมากไว้ภายในเครื่อง คอยล่อให้โปรแกรมประเภทไวรัสโจมตี และยังมีหน้าที่เฝ้าดูว่ามีไวรัสหรือโปรแกรมใดบ้างที่มีพฤติกรรมผิดปกติน่าสงสัยเข้ามาทำงานใน virtual machine ตัวอย่างเช่น มีโปรแกรมที่ทำการติดตั้งตัวเอง รวมทั้งมีการส่ง request ผิดปกติออกมาเพื่อทำให้เครื่องทำงานผิดพลาด เป็นต้น โปรแกรมที่ผิดปกติหรือน่าสงสัยนี้อาจจะเป็นไวรัสก็ได้
ข้อดีของการใช้เทคนิคนี้คือจะหยุดการทำงานของโปรแกรมไวรัสที่พยายามที่จะฝังตัวในหน่วยความจำได้ดี
เทคนิคในการตรวจจับไวรัสทั้ง 4 เทคนิค เป็นเทคนิคพื้นฐานที่พัฒนาขึ้นเพื่อใช้ในการตรวจจับไวรัส โดยโปรแกรมป้องกันไวรัสทั่วไป จะอาศัยเทคนิคที่กล่าวมา โดยอาจรวบรวมเอาจุดเด่นของแต่ละเทคนิคมาพัฒนาจนเป็นเทคนิคใหม่ๆ เพื่อใช้กำจัดไวรัสในยุคใหม่ๆ
ข้อมูลอ้างอิง

• http://www.sophos.com/virusinfo/whitepapers/savdetection.html
• http://www.stiller.com/avsw.htm
• http://www-cse.stanford.edu/classes/cs201/projects-00-01/viruses/anti-virus.html