CivilClub เว็บบอร์ดองค์ความรู้ทางด้านวิศวกรรมโยธา วิศวกรโยธาและสำหรับผู้สนใจ

Computer & Other => Tip Comp. Club => ข้อความที่เริ่มโดย: USS Submarine ที่ ธันวาคม 14, 2009, 10:53:25 PM



หัวข้อ: Antivirus ทำงานอย่างไร
เริ่มหัวข้อโดย: USS Submarine ที่ ธันวาคม 14, 2009, 10:53:25 PM
โปรแกรม Antivirus เปรียบเสมือนยาสามัญประจำบ้านที่เราจำเป็นต้องมีติดไว้เพื่อใช้รักษาโรค  ซึ่งโรคเหล่านั้นก็เปรียบได้กับ virus ประเภทต่าง ๆ และหากมีโรคชนิดใหม่เกิดขึ้นเราก็จำเป็นจะต้องหายามาเตรียมพร้อมไว้ซึ่งก็ คือการอัพเดตโปรแกรม Antivirus ให้รู้จัก virus และวิธีการกำจัด virus นั่นเอง

หน้าที่หลักของโปรแกรม Antivirus คือ
1.ป้องกันเครื่องคอมพิวเตอร์จาก virus ที่บุกรุกเข้ามา
2.ตรวจสอบภายในเครื่องว่ามี virus หรือไม่
3.กำจัด virus ที่ตรวจพบ

ขั้นตอนสำคัญคือการระบุว่าข้อมูลเหล่านั้นคือ virus หรือไม่ มีเทคนิคที่ถูกพัฒนาขึ้นเพื่อใช้ในการตรวจสอบซึ่ง สามารถแบ่งเป็นวิธีหลัก ๆ ได้ 4 วิธีดังนี้

1.การตรวจหา (Scanning)
     เป็นการใช้ตัวตรวจหา(Scanner) เข้าไปค้นหาไฟล์ที่ถูกสงสัยว่ามี virus แฝงตัวอยู่ในหน่วยความจำ ส่วนเริ่มต้นในการบูต (Boot sector) และไฟล์ที่ถูกเก็บอยู่ในฮาร์ดดิสก์ โดยใช้หลักการ Checksum

มีหลักการทำงานดังนี้
     ทุกไฟล์จะมีส่วนที่เก็บข้อมูลจุดเริ่มต้นและจุดสิ้นสุดของไฟล์ว่าอยู่ที่ ตำแหน่งใด ตามด้วยข้อมูลของไฟล์ และปิดท้ายด้วยค่า Checksum ตัวตรวจหาจะคำนวณหาค่า Checksum ของแต่ละไฟล์แล้วนำไปทำการเปรียบเทียบกับค่า Checksum ของไฟล์นั้นๆ หากไฟล์ใดถูก virus แฝงตัวก็จะทำให้ค่า Checksum ที่ได้จากการคำนวณของโปรแกรม antivirus มีค่าไม่เท่ากับ Checksum ของไฟล์ดังกล่าว โปรแกรม Anti virus ทั่วๆ ไป จะมีวิธีการตรวจหา 2 ชนิดคือ

การตรวจหาชนิด On - access เป็นวิธีการตรวจหาไฟล์ก่อนที่จะถูกโหลดเข้าหน่วยความจำ เพื่อทำการ execute
การ ตรวจหาชนิด On - demand เป็นวิธีการตรวจหาในหน่วยความจำหลัก ส่วนเริ่มต้นในการบูต และฮาร์ดดิสก์ ผู้ใช้งานยังสามารถเรียกใช้งานวิธีการตรวจหาชนิดนี้ตามความต้องการได้
ข้อดีของเทคนิคนี้คือ
   สามารถตรวจพบ virus ก่อนทำการ execute

2.การตรวจสอบความคงอยู่ (Integrity Checking)
     วิธีคือใช้ตัวตรวจสอบความคงอยู่ (Integrity Checker) ที่เก็บข้อมูลความคงอยู่ (Integrity Information) ของไฟล์สำคัญไว้สำหรับเปรียบเทียบ ตัวอย่างข้อมูลเช่น ขนาดไฟล์ เวลาแก้ไขครั้งล่าสุด และค่า Checksum เป็นต้น ส่วนมากจะใช้ค่าของ Checksum ในการเปรียบเทียบ เมื่อมีไฟล์เปลี่ยนแปลงที่มีสาเหตุจาก virus หรือความผิดพลาดใดๆ จนทำให้ข้อมูลความคงอยู่เปลี่ยนแปลงไป ระบบจะแจ้งให้ผู้ใช้งานทราบถึงความผิดปกติและมีทางเลือกให้ผู้ ใช้สามารถกู้ไฟล์ข้อมูลดังกล่าวคืนได้
ข้อดีของเทคนิคนี้คือ
   เป็น เทคนิคเดียวที่ตรวจสอบได้ว่ามี virus ทำลายไฟล์หรือไม่ เกิดความผิดพลาดน้อย ตัวตรวจสอบความคงอยู่ในปัจจุบันมีความสามารถที่จะตรวจจับการทำลายข้อมูลชนิด ต่างๆ ได้ เช่นไฟล์ไม่สมบูรณ์ (corruption) และยังสามารถกู้ไฟล์คืนได้

3.การตรวจจับ virus โดยใช้การวิเคราะห์พฤติกรรม (Heuristic)
     เป็นเทคนิคที่นิยมใช้ในการตรวจจับ virusโดยจะเปรียบเทียบการทำงานของ virus กับกฏ Heuristic (Rules Based System) และชุดกฏ Heuristic ถูกพัฒนาให้สามารถแยกแยะพฤติกรรมการทำงานว่าเป็นการทำงานของ virus หรือไม่ มีการเก็บข้อมูลของ virus ที่รู้จักเพื่อใช้ในการจับคู่แพตเทิร์น และชุดกฏนี้ถูกพัฒนาโดยผู้พัฒนาโปรแกรม Antivirus ยกตัวอย่างวิธีการตรวจจับ virus ชนิดนี้เช่น โปรแกรมAntivirus รู้จักพฤติกรรมการทำงานของ virus ทั่วไป (เช่น การอ่าน/เขียนลงใน Master Boot Record ซึ่งโปรแกรมทั่วๆ ไปจะไม่ทำเช่นนี้) เมื่อโปรแกรมAntivirus ตรวจพบว่ามีการทำงานที่ผิดปกติขึ้นในเครื่อง โปรแกรมAntivirus จะใช้กฏ Heuristic เปรียบเทียบกับลักษณะดังกล่าว เพื่อที่จะระบุว่าเป็นพฤติกรรมการทำงานของ virus ชนิดใด
ข้อดีของเทคนิคนี้คือ
      มีความยืดหยุ่นในการตรวจจับ และสามารถรู้จัก virus ชนิดใหม่ๆ ได้เอง

4.การตรวจจับ virus โดยการดักจับ (Interception)
     วิธีนี้เริ่มต้นด้วยการที่โปรแกรมAntivirus จะสร้าง virtual machine ที่มีความอ่อนแอมากไว้ภายในเครื่อง คอยล่อให้โปรแกรมประเภท virusโจมตี และยังมีหน้าที่เฝ้าดูว่ามี virus หรือโปรแกรมใดบ้างที่มีพฤติกรรมผิดปกติน่า สงสัยเข้ามาทำงานใน virtual machine ตัวอย่างเช่น มีโปรแกรมที่ทำการติดตั้งตัวเอง รวมทั้งมีการส่ง request ผิดปกติออกมาเพื่อทำให้เครื่องทำงานผิดพลาด เป็นต้น โปรแกรมที่ผิดปกติหรือน่าสงสัยนี้อาจจะเป็น virus ก็ได้
ข้อดีของเทคนิคนี้คือ
     สามารถหยุดการทำงานของโปรแกรม virus ที่พยายามที่จะฝังตัวในหน่วยความจำ

     เทคนิคทั้ง 4 นี้เป็นเทคนิคพื้นฐานที่พัฒนาขึ้นเพื่อใช้ในการตรวจจับ virus โดยโปรแกรมAntivirus ทั่วไป จะอาศัยเทคนิคที่กล่าวมา โดยอาจรวบรวมเอาจุดเด่นของแต่ละเทคนิคมาพัฒนาจนเป็นเทคนิคใหม่ เพื่อใช้กำจัด virus ที่เกิดขึ้นใหม่ในปัจจุบัน

เครดิต ๏อิเล็กฯตรัง๏  http://www.zone-it.com/114729
                        http://1490700919.exteen.com/20090920/antivirus