Docstoc

ไวรัสคอมพิวเตอร์

Document Sample
ไวรัสคอมพิวเตอร์ Powered By Docstoc
					                                                                                                             237




                                              ไวรัสคอมพิวเตอร
                                       นาย สัญญา คลองในวัย
                หนวยปฏิบัติการวิจัยและพัฒนาเทคโนโลยีคอมพิวเตอรและระบบอัตโนมัติ
                       ศูนยเทคโนโลยีอิเล็กทรอนิกสและคอมพิวเตอรแหงชาติ
                         สํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
                           กระทรวงวิทยาศาสตร เทคโนโลยีและสิ่งแวดลอม

 ABSTRACT – In the past, computer viruses have created a huge damage to the computer systems
 over the world. The objective of the new viruses is to destroy the system and cause the effects to the
 societies and economics. Virus's development and concepts of writing it has trended to be more powerful
 and cause more damage everyday. This paper presents information about computer viruses in the detail of
 techniques and concepts of the way they work, objective of the attack, trend, producing techniques,
 protection methods, and the future technology.

 KEY WORDS – Computer Virus, Virus Technique
 บทคัดยอ – ระยะเวลาที่ผานมาไวรัสคอมพิวเตอร ไดสรางความเสียหายแกระบบคอมพิวเตอรทั่วโลกเปนอยาง
 มาก เปาหมายการสรางความเสียหายที่เกิดจากไวรัสคอมพิวเตอรชนิดใหมๆ ในปจจุบัน ไดสรางผลกระทบตอ
 สังคมและเศรษฐกิจในทุกๆดาน การพัฒนาการของไวรัสโดยเทคนิคแบบใหม แนวคิดในการเขียนโปรแกรมมีแนว
 โนมสูความรุนแรง และสรางความเสียหายในวงกวางมากขึ้น บทความนี้เปนการนําเสนอขอมูลเกี่ยวกับไวรัส
 คอมพิวเตอร แนวคิดเทคนิคการทํางาน เปาหมายการโจมตี แนวโนมของการเกิดไวรัสเทคนิค, แนวคิดใหมในการ
 สรางไวรัสคอมพิวเตอร, การปองกันไวรัส และเทคโนโลยีในอนาคต
 คําสําคัญ – ไวรัสคอมพิวเตอร, เทคนิคไวรัส

1. บทนํา                                                     ใชวันที่ในการทํางาน ( Date Trigger) หรือการลักลอบ
                                                             ทําสําเนาเชลลควบคุมการเซ็ต uid, การทําสําเนาไฟล
ไวรัสคอมพิวเตอรเปนโปรแกรมสําหรับทํางานบนระบบ
                                                             บัญชีรายชื่อผูใชระบบ และรหัสผาน วิธีที่ใชคือการวาง
คอมพิ ว เตอร ป ระเภทหนึ่ ง มี ก ารทํ างานเหมื อ นกั บ
                                                             หลุมพราง การใชโปรแกรมพวก Trojan ทําสําเนาไฟล
โปรแกรมประยุกตโดยทั่วไป แตวัตถุประสงคในการ
                                                             ไปยังไดเรกทอรี่ที่สามารถเขาถึงโดยทั่วไป เชน การ
ทํางานของไวรัสคอมพิวเตอรเปนไปในทางลบมากกวา
                                                             เพิ่มคํ าสั่ง suid ลงในไฟล “.login” ดังตัวอยาง
การสรางสรรค มีรูปแบบการทํางานเฉพาะตัวการแพร
                                                             “cp/bin/sh/tmp/gotu ; chmod 4777 /tmp/gotu สําเนา
กระจาย, การฟกตัว, การทําลายที่คลายคลึงกับการ
                                                             ของขอมูลที่สรางขึ้นจะถูกเก็บที่ไดเรกทอรี่ /tmp (ไฟล
ทํางานของเชื้อไวรัส แนวคิดของโปรแกรมเชิงทําลาย
                                                             หรือขอมูลตางๆ จะเขาถึงไดโดยผูเปนเจาของไฟลและ
ในยุคแรกเกิดขึ้นบนระบบยูนิกซ ซึ่งมีการพัฒนามาจาก
                                                             การตรวจสอบ uid ที่ถูกตองเทานั้น) นอกจากนี้ยังมี
การเขียนโปรแกรมสคริปตบนยูนิกซเพื่อความสะดวก
                                                             โปรแกรมประเภทหนอน (Worm) ซึ่งฝงตัวเองภายใน
ในการทํางาน เชน การเขียนเชลลสคริปตใหมีการลบ
                                                             ระบบพยายามทํ าลายระบบรักษาความปลอดภัยของ
ไฟลที่ไมตองการเมื่อถึงกําหนดเวลา, วันที่ ที่ตั้งไว โดย
                                                             ระบบปฏิ บั ติ ก าร โปรแกรมหนอน เริ่ ม มี ก ารแพร
โปรแกรมพวกนี้ยังไมนับวาเปน “ไวรัส” เพราะยังไมมี
                                                             กระจายตัวเองซึ่งเปนจุดเริ่มตนของไวรัสหนอน และ
การแพรกระจาย แตตอมาไดพัฒนากลายมาเปนไวรัสที่
 238

เริ่มมีการใชคําวาไวรัสคอมพิวเตอร ในป 1988 ไวรัสได           เคยระบาดในเมืองไทยชวงหนึ่ง หรือไวรัสหลอกลวงที่
แพรกระจายบนระบบเน็ตเวิรคแตการทําลายไมรุนแรง                  เปนจดหมายเวียนตางๆ ( Hoax Virus ) ซึ่งไดสราง
มากนั ก เนื่ อ งจากขณะนั้ น ระบบเน็ ต เวิ ร  ค ถู ก ใช ใ นวง   ความตื่นตระหนก และการกอกวนมากกวาการมุงเนน
จํ ากั ด จากนั้ น การพั ฒ นาของไวรั ส ก็ เ ปลี่ ย นจาการ         ทําลายระบบเปนตน
ทํางานบนระบบยูนิกซ ซึ่งมีหลายตระกูล มาเปนไวรัสที่              2.1 วงจรชีวิตของไวรัสคอมพิวเตอร
ทํางานบนระบบดอส และโคดแบบ X86 ซึ่งมีการใชงาน
อยางกวางขวาง การเพิ่มจํานวนของไวรัสคอมพิวเตอร                 การทํ างานของไวรัสคอมพิวเตอร มีรูปแบบเฉพาะที่
ในปจจุบันมีอัตราคงที่ ในแตละปจะมีไวรัสที่ถูกคนพบ             แตกตางจากโปรแกรมโดยทั่วไป ซึ่งลักษณะหรือพฤติ
ประมาณ 1,000 ตัวตอป หรือกลาวไดวามีไวรัส                     กรรมที่แสดงออกนั้นทํ าใหสามารถศึกษาถึงวงจรชีวิต
คอมพิวเตอรเกิดขึ้นวันละ 2 – 3 ตัว [1] การศึกษาทํา               และการทํางานในแตละชวงของการทํางานของไวรัส
ความเขาใจเกี่ยวกับไวรัส เปนสิ่งจําเปนเพื่อนํามาใชใน          วงจรชีวิตของไวรัสคอมพิวเตอรแบงออกไดเปน 3 ชวง
การควบคุมการแพรกระจาย การปกปองขอมูลและ                        คือ แหลงที่มาของไวรัส (Source) ชวงการติดเชื้อ
ระบบไมใหถูกทําลายจากไวรัสคอมพิวเตอร                           (Infection) และชวงการแพรกระจาย (Spread) แหลงที่
                                                                 มาของไวรัสจะมาไดจากสื่อตางๆ โดยในชวงการติด
2. ไวรัสคอมพิวเตอร                                              เชื้อนี้เปนชวงที่เครื่องคอมพิวเตอรมีไวรัส จากนั้นไวรัส
                                                                 ก็พรอมที่จะแพรกระจายตอไป
ไวรั ส คอมพิ ว เตอร สามารถแพร ก ระจายไปกั บ
โปรแกรมไฟล, แฟมขอมูลเอกสาร, สเปรดชีต, ไฟล                                                                                      Source
                                                                                                                               ิ                ่ ่
                                                                                                                        การใชดสกเก็ตจากแหลงทีเสียง
ระบบปฏิบัติการ, แผนดิสกขอมูล, การแลกเปลี่ยนขอ                                                                       โหลดโปรแกรมจากอินเตอรเน็ต
                                                                                                                        โปรแกรมผิดกฏหมาย
มูลโดยแผนดิสกเก็ต, การบูตระบบจากแผนดิสกเก็ตที่                                                       Source

ไม ปลอดภัย, การแนบไฟลตางๆ ไปกั บ จดหมาย
อิเล็กทรอนิกส ไวรัสจะทํางานตามรหัสของโปรแกรมที่
บรรจุ เ อาไว เ พื่ อ สร า งความเสี ย หายแก ข  อ มู ล หรื อ                                   Spread            Infection

โปรแกรมระบบ ไวรัสคอมพิวเตอรจะไมสามารถทําลาย                                  Spread
                                                                                                                                 Infection
                                                                                                                        บูตระบบจากแผนที่มีไวรัส
ระบบฮารดแวร เชน โพรเซสเซอร จอภาพ หรือ                             ใชไฟลที่มีไวรัสรวมกัน
                                                                      การลอกเขาสูเน็ตเวิรค
                                                                                                                        การรันโปรแกรมที่มีไวรัส
                                                                                                                        เปดไฟลเอกสาร หรือสเปรดชีท

คียบอรดได แตไวรัสสามารถควบคุม หรือกอกวนการ                                                                         ที่มีไวรัส


ทํ างานของระบบฮาร ดแวร ทํ าใหระบบไมสามารถ                    รูปที่ 1. แสดงวงจรชีวิตของไวรัสคอมพิวเตอร
ทํางานไดตามปกติเชน การเขาทําลายขอมูลของ BIOS                 2.2 เทคโนโลยีของไวรัสคอมพิวเตอร
ที่ใช FLASH BIOS [ไวรัสเชอรโนบิล, Win CIH] ทําให
ไมสามารถบูตระบบได หรือไวรัสบางตัวจะเขาควบคุม                  เทคนิ ค ต า งๆ ถู ก นํ ามาใช ใ นการพั ฒ นาขี ด ความ
การทํางานของการดแสดงผล ทําใหภาพที่ปรากฏหนา                    สามารถของไวรัสเพื่ อ ใหสามารถหลบหลีกการตรวจ
จอหายไป ไมแสดงตัวอักษร มีตัวอักษรที่อยูบรรทัดบน                สอบและคนหา โดยเทคนิคเหลานี้มีการเปลี่ยนแปลงไป
ของจอตกลงมาขณะใชงาน หรือกําหนดคาที่ผิดพลาด                     ในทางที่ซับซอนมากขึ้นตามประเภทการทําลาย
ใหแกตัวควบคุมบังคับใหลําอิเล็กตรอนในหลอดภาพยิง                2.2.1 Stealth เปนเทคนิคที่ออกแบบใหโปรแกรม
ที่ตําแหนงเดิมเปนเวลานานๆ จะทําใหสารฟอสเฟอรที่               สามารถปองกันตัวเองจากการคนหา หรือกําจัดได โดย
เคลือบจอภาพใหเรืองแสงเกิดการไหมเปนจุดได นอก                  ทั่วไปจะใชวิธีขัดขวาง (Interrupt) การทํ างานของ
จากนี้ยังมีไวรัสที่สรางขึ้นเพื่อความสนุกสนานมีเสียง             กระบวนการอานของระบบดิสกโดยเมื่อไฟลที่ไมมีไวรัส
ดนตรีขณะที่ไวรัสทํางาน เชน ไวรัส ลาวดวงเดือนที่                 ถู ก อ า นขึ้ น มามั น จะถู ก แทรกรหั ส ของไวรั ส เข า ไป
                                                                                                        239

(Read Stealth Virus) นอกจากนี้ไวรัสที่ทําการเปลี่ยน     หลั ก การในการรั น โปรแกรมแบบลํ าดับ ถา ชื่ อไฟล
แปลงขนาดของไฟลข อมูล, ไดเรกทรอรี่ของขอมูล            เหมือนกัน ไฟลที่มีนามสกุลเปน .COM จะทํางานกอน
(Size Stealth Virus) เมื่อไวรัสทํางานจะทําการแทรก       ไฟล ที่ มี น ามสกุ ล เป น .EXE เสมอ เมื่ อ ไฟล
รหัสระหวางการอานขอมูล เชน ไวรัสมีขนาดขอมูล         CHKDSK.EXE ติดไวรัส ไวรัสจะทําการสรางไฟลใหม
1,024 ไบต และไฟลขอมูลเดิมมีขนาด 4,096 ไบต           ในชื่อ CHKDSK.COM ซึ่งเปนโปรแกรมไวรัส เมื่อเรา
ขนาดของไฟลจะเปน (1,024 + 4,096) 5,120 ไบต ซึ่ง       เรี ย กไฟล CHKDSK มาทํ างานในครั้งตอ ไปไฟล
ขนาดของไฟลถูกเปลี่ยนแปลง และจะถูกตรวจพบได             CHKDSK.COM ซึ่งเปนไวรัสจะทํางานกอน
ไวรัสจะขัดขวางการทํางานระบบของไดเรกทอรี่ โดย            2.2.5 Malicious Programs เทคนิคเปนเทคนิคที่เกิด
การอานคาขนาดไฟลที่เปน 5,120 ไบตขึ้นมา และลบ        ขึ้นในชวงหลังๆ จากที่มีการใชโปรแกรมภาษาจาวา
ออกดวยขนาดของตัวเอง และจะสงผลที่ไดไปยังระบบ          และ Active X ซึ่งเปนภาษาที่นิยมใชกับอินเทอรเน็ต
เพื่อแสดงผลอีกครั้ง                                     โดยอาศัยชองวางของตัวรักษาความปลอดภัยภายใน
2.2.2 Polymorphic อาศัยการเปลี่ยนแปลงรูปแบบของ          โปรแกรม Browser, E-mail, โปรแกรมที่ใชการสื่อสาร
ไวรัส มีการแบงรหัสของตัวไวรัสเปนสวนยอยแทรกอยู      พูดคุยผานเน็ตเวิรค โดยไวรัสจะเขาควบคุมระบบจาก
ระหวางแฟมขอมูล เมื่อแฟมขอมูลทํางานรหัสไวรัสจะ      ระยะไกล หรือการขโมยขอมูลรหัสผานเขาสูระบบจาก
ถูกนําไปรวมกันในหนวยความจํา การใชการเขารหัส          เครื่องเปาหมายสงคืนไปยังผูที่เขาโจมตีระบบ ลักษณะ
และการถอดรหัสกอนการทํางานดวยคียเฉพาะ ทําให          เหลานี้มักจะเปนโปแกรมประเภทหลุมพลาง (Trojan
ยากตอการตรวจสอบจากรหัสลายเซ็นไวรัส (รหัสลาย            Horse) เปาหมายจะไมไดเนนการทํ าลายไฟลหรือ
เซ็นไวรัส Virus Signature เปนรหัสเฉพาะของไวรัสที่ผู   ขอมูล แตมีจุดประสงคในการเขายึดครองระบบ
เขียนโปรแกรมปองกันไวรัสไดทําการถอดรหัสออกมา
ซึ่งไวรัสแตละตัวก็จะมีรูปแบบของขอมูลที่แตกตางกัน)    2.3 ประเภทของไวรัสคอมพิวเตอร
โดยพื้นฐานของไวรัสประเภทนี้มาจากโครงสรางของ            ไวรัสคอมพิวเตอรที่มีอยูในปจจุบันสามารถจัดประเภท
TPE (Trident Polymophic Engine) และ MtE
                                                        ตางๆ ได 3 ประเภทใหญคือ
(Mutation Engine) ซึ่งมีรายงานการคนพบในยุโรปชวง
ป1992 [2]                                              2.3.1 โปรแกรมไฟลไวรัส (Program Viruses) เปน
                                                        ไวรัสที่ทํางานและแพรกระจายกับไฟลทั่วๆ ไป ปกติจะ
2.2.3 Multipartite การทํางานหลากรูปแบบในตัวเอง          เปนไฟลที่มีนามสกุลเปน .COM, .EXE นอกจากนี้ใน
สามารถแพรกระจายทางไฟลปกติ และสามารถแพร
                                                        ป จ จุ บั น ยั ง สามารถทํ างานได กั บ ไฟล ข องระบบใน
กระจายในสวนของ Boot Record ของระบบดิสกได
                                                        ลักษณะตางๆ เชน .SYS, .DLL, .OVL และ .SCR
เมื่อไฟลขอมูลเอกสารที่ติดไวรัสประเภทนี้ ถูกอานขึ้น   ไวรัสแฟมขอมูลยังเปนไวรัสที่เฉพาะเจาะจงสําหรับแต
มาทํางาน ไวรัสก็จะทํางานโดยการคัดลอกตัวเองเขา
                                                        ละระบบปฏิบัติการอีกดวย เชน DOS, WINDOWS,
ไปบันทึกหรือเขียนทับขอมูลในสวนของระบบ Boot            UNIX ฯลฯ
Record เมื่อมีการบูตระบบครั้งตอไป ไฟลทุกไฟลที่ถูก
เรียกใชงานก็จะติดไวรัส                                 2.3.2 บูตไวรัส (Boot Viruses) เปนไวรัสที่ไมทํางาน
                                                        กับไฟลขอมูล แตจะทํ างานในพื้นที่เฉพาะของแผน
2.2.4 Companion Virus เทคนิคนี้ถูกคิดคนขึ้นมาโดย
                                                        ดิสกเก็ต และฮารดดิสก สามารถแพรกระจายจาก
อาศัยชองวางในการทํางานของระบบปฏิบัติการ และ           เครื่องหนึ่งไปยังอีกเครื่องหนึ่งผานทางดิสกเก็ต ไวรัส
การทํ างานตามเงื่อนไขที่ถูกตองของระบบปฏิบัติการ
                                                        ประเภทนี้มีการแพรกระจาย และทํางานไดดีกวาไวรัส
ในการทําลายระบบและแพรกระจาย การทําตัวเสมือน            ประเภทแรก
หนึ่งเปนโปรแกรมปกติของระบบถูกนํามาใช โดยอาศัย
 240

บูตไวรัสจะแฝงตัวเองในพื้นที่ที่ เรียกวา Boot Sector      เพี ยงทํ าตามคํ าแนะนํ าก็สามารถสรางไวรัสขึ้นมาได
ของระบบดิสก ซึ่งทุกครั้งที่มีการบูตระบบขอมูลที่เก็บ     โดยตัวโปรแกรมจะมีโครงสรางหลัก (Engine) ที่ใช
อยูในสวนนี้จะถูกอานไปเก็บไวในหนวยความจําเสมอ         เทคนิค Polymophic Virus โดยภายในอาจมีโครงสราง
และไวรัสที่แฝงอยูก็จะทํ างานดวยเชนกัน บูตไวรัส         แบบ MtE หรือ TPE ไวรัส นอกจากนี้ยังเปดโอกาสให
สามารถทํางานไดกับระบบไฟลของ DOS, Windows                ผู  ส ร า งใส ร หั ส โปรแกรม และนํ าโปรแกรมต น แบบ
3.X, Windows9X, Windows NT, หรือ Novell                   (Source Program) มาดัดแปลงเพิ่มเติมได เครื่องมือที่
Netware นอกจากนี้การกําจัดไวรัสประเภทนี้อาจทําให         ชวยในการพัฒนาไวรัสลักษณะนี้ทําใหจํานวนไวรัสเพิ่ม
ระบบไมสามารถบูตระบบกลับมาทํางานไดอีกดวย               มากขึ้น แตไวรัสที่สรางโดยวิธีนี้มักจะถูกตรวจพบได
2.3.3 ไวรัสมาโคร (Macro Viruses) ไวรัสประเภทใหม          งายๆ เพราะรูปแบบการทํางานไมซับซอนมาก อยางไร
นี้ สามารถติดไปกับไฟลตางๆ ที่มีความสามารถในการ          ก็ตามหากผูพัฒนามีความรูเกี่ยวกับระบบ จะสามารถ
ใชงานมาโครได เชน เอกสารไมโครซอฟทเวิรด มี             ดัดแปลงใหตรวจจับยากขึ้น และการทําลายสูงขึ้นดวย
ความสามารถในการสรางเทมเพลตได มาโครไวรัสจะ               เครื่องมือเหลานี้สามารถหาไดงายจากระบบอินเทอร
แฝงตัวเขากับเทมเพลต ไวรัสชนิดนี้สามารถกระจาย             เน็ ต ในป จ จุ บั น และยั ง เป น ที่ นิ ย มในหมู  นั ก เรี ย น
ผานการดาวนโหลดขอมูลบนอินเตอรเนต การแชร               นักศึกษาบางกลุม นอกจากนี้ยังมีการแจกจายและแลก
ขอมูล และการแนบเอกสารไปกับ E-Mail                        เปลี่ยนไวรัสกันระหวางกลุม

เมื่อไวรัสคอมพิวเตอรทั้ง 3 ประเภทถูกสรางขึ้นมาจะมี      3.2 การโจมตีระบบปองกัน เปาหมายของการโจมตี
การนําเอาเทคนิคตางๆ ที่ไดกลาวไวตอนตนมาผสม            ของไวรั ส คอมพิ ว เตอร ใ นป จ จุ บั น ไดเ ปลี่ยนแปลงรูป
ผสานเขาไป ทําใหไวรัสในปจจุบันมีลักษณะเดนหลาย                                
                                                          แบบตางไปจากเดิมที่มุงการสรางความเสียหายตอไฟล
รูปแบบในตัวเอง ใชเทคนิคหลายแบบในแตละสวนของ             ขอมูล และไฟลระบบ ซึ่งจะทําใหถูกตรวจจับจากระบบ
โคดไวรัส ทําใหยากแกการตรวจสอบและทําลาย                 ปองกันไดโดยงาย เนื่องจากเทคโนโลยีการปองกัน
                                                          ไวรัสในปจจุบันมักมีการตรวจจับพฤติกรรมของไวรัสใน
                                                          แบบเดิมไดดี ปจจุบันไวรัสจะยกเลิกการทํางานของตัว
3. กาวตอไปของไวรัสคอมพิวเตอร
                                                          ปองกันไวรัสกอนแลวจึงเริ่มทํางานการโจมตีไฟล และ
ไวรัสคอมพิวเตอร จัดเปนรูปแบบหนึ่งของการคุกคาม           แพรกระจาย
ขอมูล และความปลอดภัยของระบบ ในปจจุบันนี้
                                                          3.3 ไวรัสบนเครือขาย ไวรัสบนระบบเครือขายเปนอีก
เทคโนโลยีของไวรัสมีการพัฒนารูปแบบที่แตกตางมาก
                                                          รูปแบบหนึ่งของการแพรกระจาย สามารถแพรกระจาย
เมื่อไวรัสตัวหนึ่งประสบความสําเร็จในการทําลายระบบ
                                                          ผานการสื่อสารขอมูลภายในเครือขายทั้งภายใน และ
ไวรัสตัวนั้นก็จะกลายมาเปนแมแบบ ของไวรัสรุนตอๆ
                                                          ภายนอก รวมทั้งการดาวนโหลดขอมูลโปรแกรมจาก
ไปและพัฒนาความรุนแรงเพิ่มขึ้นทําใหเกิดปญหาของ
                                                          สถานที่ตางๆ และการสนทนาบนระบบเครือขาย โดย
ไวรัสมากยิ่งขึ้น และวิธีการที่จะนําเสนอตอไปนี้จะถูกใช
                                                          ทั่ ว ไปไวรั ส มั ก จะมี ลั ก ษณะเป น หลุ ม พราง (Trojan
มากขึ้นในอนาคต
                                                          Horse) โดยคนหาขอมูลที่สําคัญจากเครื่องเปาหมาย
3.1 เครื่ อ งมื อ สํ าหรั บ การพั ฒ นาไวรั ส (Virus       เพื่อเปนประตูนําไปสูการเขาโจมตีระบบ หรือการควบ
Authoring Tools) วิธีการนี้ถูกนํามาชวยในการสราง         คุมระบบในภายหลัง [การเจาะระบบจากนักเจาะระบบ
ไวรัสอยางแพรห ลายในป จ จุบัน เครื่องมือเหลานี้มี      Hacker และการโจมตี จ ากเครือข ายระยะไกลแบบ
ลักษณะเปนโปรแกรมชวยสรางที่งายตอการใชงาน มี          Command – Bomber]
สวนเชื่อมตอกับผูใช (User Interface) แบบงายๆ ผู
                                                          3.4 Multi - Platform เนื่องจากเทคนิคการพัฒนารูป
สรา งไม จํ าเปน ตองรู เรื่องระบบคอมพิวเตอรมากนัก
                                                          แบบของโปรแกรมที่ไมยึดติดกับระบบในปจจุบันที่นิยม
                                                                                                                           241

กันอยางแพรหลาย เพราะมีความยืดหยุนในการทํางาน               4.1 วิธีการวิเคราะหพฤติกรรม เทคนิคนี้ใชวิธีการ
สูง แตจุดนี้ทํ าใหผูพัฒนาไวรัส อาศัยชองวางการ            วิเคราะหการทํางานของโปรแกรมตางๆ ที่ถูกโหลดขึ้น
ทํางานของระบบมาพัฒนาโปรแกรมไวรัสในลักษณะที่                   มาทํางาน โดยโปรแกรมปองกันไวรัสจะทําหนาที่ตรวจ
ไม ขึ้ น กั บ ระบบออกมา ซึ่ ง อาศั ย เทคนิ ค การเขี ย น      จับพฤติกรรมการทํ างานตางๆ ที่เปนรูปแบบเฉพาะ
โปรแกรมโดยใช java และ Active X มากขึ้น                       ของไวรั ส เช น ตรวจสอบการพยายามฝ งตัวของ
3.5 Hardware - Level จากแนวคิดแบบเกาที่วา “ไวรัส            โปรแกรมลงในหนวยความจํา (Memory Resident
คอมพิวเตอรเปนโปรแกรม (ซอฟตแวร) ชนิดหนึ่งที่               Program) การตรวจจับโปรแกรมที่พยายามจะเขาแก
ทํางานบนระบบคอมพิวเตอร จะไมสามารถสรางความ                  ไขขอมูลในสวนของบูตเรคคอรดของฮารดดิสก ซึ่งเมื่อ
เสียหายตอระบบฮารดแวรได” ไดถูกทาทายโดยไวรัส              ตรวจจั บ พฤติ ก รรมที่ เ ข า ข า ยที่ ร ะบุ ไ ด ว  า เป น ไวรั ส
ชนิดใหมๆ ที่พัฒนาขึ้นมาโดยไมไดมุงเนนที่การทําลาย         โปรแกรมปองกันก็จะแจงเตือน
ขอมูลอยางเดียว แตเปลี่ยนเปนการมุงเนนการทําลาย           4.2 วิ ธี ก ารเปรี ย บเที ย บข อ มู ล ในระดั บ ไบนารี่
ขอมูลถาวรในระดับฮารดแวร การเขาควบคุมในระดับ               เทคนิค นี้เปนเทคนิคที่ใชเปรียบเทียบขอมูลของไฟล
ฮารดแวรจะทําใหการทําลายสูงขึ้น การเขาไปแกไขขอ           หรือโปรแกรมในระดับไบนารี่ โดยจะนําเอาขอมูลไวรัส
มูลที่สําคัญของระบบใน CMOS หรือการทําลายขอมูล                จากฐานขอมูลที่ เก็ บรหัสรายเซ็นของไวรัสมาทํ าการ
BIOS ของระบบที่ใชเทคโนโลยี Flash BIOS การเพิ่ม               เปรียบเทียบกับชุดของขอมูลในไฟลตางๆ ซึ่งวิธีการนี้
ความสามารถของไวรั ส ในการเข า โจมตี จุ ด อ อ นของ           จะตองอาศัยการ Up-date ฐานขอมูลรหัสลายเซ็น
ระบบแบบนี้กอใหเกิดความเสียหายในระดับที่รุนแรง               ไวรัสอย างสมํ่ าเสมอเพื่อที่จะทํ าใหโปรแกรมปองกัน
(ไวรัสเชอรโนบิล CIH มีความสามารถดังกลาว)                    ไวรัสสามารถรูจักไวรัสชนิดใหมๆ และวิธีการนี้จะใชไม
                                                              ไดผลกับไวรัสที่เปน Stealth และ Polymorphic
3.6 ไวรัสที่พัฒนาโดยภาษาระดับสูง ไวรัสในปจจุบัน              นอกจากนี้วิธีการนี้จะทําไดชา
ไมไดมีการพัฒนามาจากภาษาภาษาระดับลางที่เปน
แอสเซมบลี (Assembly Language) แตเพียงอยาง                   เทคนิคที่กลาวขางตนเปนเทคนิคพื้นฐานในการตรวจ
เดียว แตยังมีการนํ าเอาภาษาระดับสูงมาใชมากขึ้น              สอบและวิเคราะหการทํ างานของโปรแกรมตองสงสัย
ทําใหความงายในการพัฒนามีมากขึ้น นอกจากนี้การ                เทคนิคแบบผสมผสานจึงถูกนํามาใชมากขึ้น นอกจาก
นําเอาความสามารถของภาษาระดับสูงมาใชเพิ่มความ                 นี้ ผู  พั ฒ นาโปรแกรมป อ งกั น ไวรั ส แต ล ะราย ก็ จ ะมี
สามารถใหกับไวรัส การที่ไวรัสสามารถยกระดับความ                เทคนิดพิเศษเฉพาะตัวในการเพิ่มประสิทธิภาพในการ
สามารถของตัวเอง ผานการสื่อสารทางอินเทอรเน็ต                 คนหาไวรัส ความเร็วในการทํางานของโปรแกรม การ
เมื่อตัวไวรัสตรวจพบวามีการ Up – Date Code และ                กํ าจัดไวรัส และการคนคืนขอมูลที่เกิดความเสียหาย
ฟงกชั่นใหมๆ ได โดยเทคนิคนี้เปนการเลียนแบบการ             จากไวรัส และการทํ าสํ าเนาขอมูลที่สํ าคัญของระบบ
ทํางานของโปรแกรมปองกันไวรัสในการ Up – Date                   เก็บสํารองไวใชในกรณีฉุกเฉินเปนตน
ฐานขอมูลไวรัส และรหัสใหมๆ ของไวรัส (Virus
                                                              5. ผลกระทบตอสังคม
Signature)
                                                              ไวรัสคอมพิวเตอร ไดกอใหเกิดปญหาและความเสีย
4. เทคนิคในการตรวจจับไวรัส                                    หายตอสังคมทั้งทางดานเศรษฐกิจ และทางดานจริย
เทคนิคในการตรวจจับ และวิเคราะหการทํางานของ                   ธรรม ความเสียหายที่เกิดจากนักพัฒนาโปรแกรมที่มี
ไวรั ส คอมพิ ว เตอร ที่ นิ ย มใช กั น อย า งแพร ห ลายใน   ความสามารถสูงแตขาดความรับผิดชอบตอสังคม จาก
โปรแกรมสํ าหรับปองกันไวรัสที่สํ าคัญและจะกลาวถึง            ขาวการทําลายระบบของ ไวรัสที่ผานมามีมูลคาความ
ในบทความนี้ 2 วิธีคือ                                         เสียหายตอธุรกิจโดยรวมสูง เชน ไวรัสเชอรโนบิลได
 242

สร า งความเสี ย หายต อ ระบบคอมพิ ว เตอร เ ฉพาะใน               ที่ดีในการทํางานกับระบบ แลวไวรัสคอมพิวเตอรก็ไม
เอเชียมากกวา 100,000 เครื่อง ไวรัสเมริสสา ไดสราง               สามารถสร า งความเสี ย หายต อ ผู  ใ ช สั ง คม และ
ความเสียหายในอเมริกามากกวา 200,000 เครื่อง [4]                   เศรษฐกิจ
นอกจากความเสียหายที่เกิดขึ้นแลว เหตุการณลักษณะ                  ท า ง ห นึ่ ง ใ น ก า ร ส ร  า ง วิ นั ย ที่ ดี ใ น ก า ร ใ ช  ร ะ บ บ
นี้ ก็ มี สวนเปน แรงกระตุนใหแกผูที่มีแนวคิด และ             คอมพิวเตอร คือการปรับเปลี่ยนพฤติกรรมที่เสี่ยงตอ
นักพัฒนาไวรัสรุนใหมๆ เกิดตามมาอีกอยางหลีกเลี่ยง                การนําเอาไวรัสคอมพิวเตอรเขาสูระบบ เชน การเสริม
ไมได แนวทางการปองกันดูจะเปนทางออกอยางหนึ่ง                   สรางความรูความเขาใจเกี่ยวกับการทํ างานของไวรัส
ในการปองกันความเสียหายที่เกิดจากการคุกคามโดย                     การฝกอบรมการใชงานระบบพื้นฐานการฝกนิสัยที่ดีใน
ไวรัสคอมพิวเตอร นักพัฒนาระบบความปลอดภัย และ                      การใชงานแผนดิสกเก็ต หรือไฟลตางๆ ที่นํามาจากที่
นักวางแผนไอที จะตองลงทุนในสวนรักษาความปลอด                      อื่น ที่แนบมากับจดหมายอิเล็กทรอนิกส หรือการดาวน
ภั ย เป น มู ล ค า ที่ สู ง ขึ้ น และการทุ  ม งบประมาณในการ    โหลดจากอินเตอรเน็ต ควรทําการสแกนตรวจหาไวรัส
พัฒนา การวิจัย แมวาระบบปองกันจะมีการพัฒนาไป                    กอนการใชงานทุกครั้ง การหมั่น Up-date เพิ่มความ
มากขึ้ น แต นั ก พั ฒ นาก็ พ ยายามพั ฒ นาไวรั ส เพื่ อ ที่ จ ะ   สามารถของโปรแกรมปองกันไวรัสตามคําแนะนําของ
ผานแนวปองกันใหไดเชนกัน                                       โปรแกรม สิ่ ง เหล า นี้ จ ะเป น เกราะป อ งกั น ไวรั ส
ในบางประเทศมีการแจงขอมูลความเสียหายที่เกิดจาก                   คอมพิวเตอรเขาคุกคามระบบคอมพิวเตอรได
ไวรัสคอมพิวเตอร ลักษณะการทําลาย และการฝาเขาสู
                                                                  เอกสารอางอิง
แนวปองกัน ตอหนวยงานที่ดูแลดานความปลอดภัย                      [1] Vesselin Bontchev “Future Trends in Virus
ของระบบคอมพิวเตอรโดยรวม เพื่อใชเปนบทเรียนกับ                   Writing”, Virus Test Center, University of
                                                                  Hamburg
หนวยงานอื่น สําหรับบางประเทศทําในสิ่งที่ตรงกันขาม               [2] Tarkan Yetiser “Polymophic Viruses
คือ การปกปดขอมูลที่เกิดขึ้น เพื่อเหตุผลที่ตองการ               Implementation, Detection and Protection” VDS
                                                                  Advanced Research Group, Baltimore us. (1993)
รักษาชื่อเสียง ของหนวยงาน หรือผูรับผิดชอบดูแล                   [3] VIRUS Reference Document Symantec Corp.
ระบบความปลอดภัย ทําใหการสรางความเขาใจ และ                      http://www.symantec.com
                                                                  [4] CERT Coordination Center
การแบงปนประสบการณเกี่ยวกับไวรัส และพฤติกรรม                    http://www.cert.org
การแพรระบาดตางๆ ทําไดนอยลง สงผลให การแกไข
และปองกันทําไดยากยิ่งขึ้น                                                            Sanya Klongnaivai
                                                                                       (Research Assistant) :
                                                                                       r e c e i v e d h i s B . E n g . in
6. บทสรุป                                                                              T e c h n i c a l E d u c a t ion in
                                                                                       Computer Technology from
จากขอมูลที่นําเสนอขางตน ไวรัสคอมพิวเตอรเกิดขึ้น                                    King Mongkut’s Institute of
                                                                                       Technology North Bangkok,
มาจากการพัฒนาเทคนิคในการเขียนโปรแกรมเพื่อการ                                           in 1996. He was a student
ทํางานในลักษณะของการทําลาย สรางความเสียหาย                       trainee at CTL, NECTEC, in 1994. After graduated
                                                                  in 1995, he started working at CTL, NECTEC, as a
แต เ ทคโนโลยี บ างส ว นของไวรั ส เป น เทคนิ ค ที่ มี           research assistant. His main research areas are
ประโยชน ส ามารถนํ าไปพั ฒ นาโปรแกรมทั่ ว ไปให มี                developing the electronics and Control unit in
                                                                  photovoltaic system and fuzzy controller for
ความสามารถในการฝงตัวเองในหนวยความจํา การ                        consumer products. He is also working in PC’s
ป อ งกั น การลบ เป น ต น นอกจากนี้ จุ ด ที่ ไ วรั ส            performance testing project in the IND department,
                                                                  NECTEC and Implement algorithms for Y2K
คอมพิวเตอรใช เพื่ออาศัยเปนชองทางเขาสูการโจมตี               Checker Program in Y2K Project. His interests are
ระบบคือการอาศัยผูใชเปนพาหะ หากผูใชคอมพิวเตอร                Computer Architecture, PC Technology and
                                                                  Computer Virus Technology.
ทุกคนมีวินัยที่ดีในการใชเครื่องคอมพิวเตอร และมีวินัย

				
DOCUMENT INFO
Shared By:
Stats:
views:4
posted:10/8/2012
language:
pages:6
Description: ไวรัสคอมพิวเตอร์