วีธีในการตรวจหาไวรัส
มี 3 แบบ
ดังนี้
1. การสแกน
การใช้โปรแกรมในการตรวจหาไวรัส โดยการดึงโปรแกรมบางส่วนของตัวไวรัสมาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเรียกว่า ไวรัสซิกเนเจอร์ (Virus Signature) เมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงานก็จะเข้าตรวจหาไวรัสในหน่วยความจำ บู๊ตเซ็กเตอร์และไฟล์โดยใช้ไวรัสซิกเนเจอร์ที่มีอยู่
ข้อดี สามารถตรวจสอบหาไวรัสที่มาใหม่ได้ทันที
จุดอ่อน ฐานข้อมูลที่เก็บไวรัสซิกเนเจอร์จะต้องทันสมัยอยู่เสมอ และครอบคลุมไวรัสทุกตัว และมากที่สุดด้วย ดังนั้นการตรวจหาไวรัสแบบนี้จะขึ้นอยู่กับเทคนิคที่ใช้สร้างไวรัสกับสแกนเนอร์ว่าใครจะเก่งกว่า
1. การสแกน
การใช้โปรแกรมในการตรวจหาไวรัส โดยการดึงโปรแกรมบางส่วนของตัวไวรัสมาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเรียกว่า ไวรัสซิกเนเจอร์ (Virus Signature) เมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงานก็จะเข้าตรวจหาไวรัสในหน่วยความจำ บู๊ตเซ็กเตอร์และไฟล์โดยใช้ไวรัสซิกเนเจอร์ที่มีอยู่
ข้อดี สามารถตรวจสอบหาไวรัสที่มาใหม่ได้ทันที
จุดอ่อน ฐานข้อมูลที่เก็บไวรัสซิกเนเจอร์จะต้องทันสมัยอยู่เสมอ และครอบคลุมไวรัสทุกตัว และมากที่สุดด้วย ดังนั้นการตรวจหาไวรัสแบบนี้จะขึ้นอยู่กับเทคนิคที่ใช้สร้างไวรัสกับสแกนเนอร์ว่าใครจะเก่งกว่า
2. การตรวจการเปลี่ยนแปลง
การหาค่าพิเศษ เรียกว่า เช็คซัม (Checksum) เกิดจากการนำเอาชุดคำสั่งและข้อมูลที่อยู่ในโปรแกรมมาคำนวณหรืออาจใช้ข้อมูลอื่นๆ ของไฟล์ ได้แก่ แอตริบิวส์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่งหรือข้อมูลที่อยู่ในโปรแกรมจะถูกแทนด้วยรหัสเลขฐานสอง จึงสามารถนำเอาตัวเลขเหล่านี้มาผ่านขั้นตอนการคำนวณทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรมภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหม่จะเปลี่ยนไปจากที่คำนวณได้ก่อนหน้านี้
ข้อดี สามารถตรวจจับไวรัสใหม่ๆ ได้ และยังมีความสามารถในการตรวจจับไวรัสประเภทโพลีเมอร์ฟิกไวรัสได้อีกด้วย แต่ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาดของโปรแกรมตรวจหาไวรัสเองด้วยว่าจะสามารถถูกหลอกโดยไวรัสประเภทนี้ได้หรือไม่
จุดอ่อน จะตรวจจับไวรัสได้ก็ต่อเมื่อไวรัสได้เข้าไปติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือ ต้องไม่มีโปรแกรมใด ๆ ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป
การหาค่าพิเศษ เรียกว่า เช็คซัม (Checksum) เกิดจากการนำเอาชุดคำสั่งและข้อมูลที่อยู่ในโปรแกรมมาคำนวณหรืออาจใช้ข้อมูลอื่นๆ ของไฟล์ ได้แก่ แอตริบิวส์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่งหรือข้อมูลที่อยู่ในโปรแกรมจะถูกแทนด้วยรหัสเลขฐานสอง จึงสามารถนำเอาตัวเลขเหล่านี้มาผ่านขั้นตอนการคำนวณทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรมภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหม่จะเปลี่ยนไปจากที่คำนวณได้ก่อนหน้านี้
ข้อดี สามารถตรวจจับไวรัสใหม่ๆ ได้ และยังมีความสามารถในการตรวจจับไวรัสประเภทโพลีเมอร์ฟิกไวรัสได้อีกด้วย แต่ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาดของโปรแกรมตรวจหาไวรัสเองด้วยว่าจะสามารถถูกหลอกโดยไวรัสประเภทนี้ได้หรือไม่
จุดอ่อน จะตรวจจับไวรัสได้ก็ต่อเมื่อไวรัสได้เข้าไปติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือ ต้องไม่มีโปรแกรมใด ๆ ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป
3. การเฝ้าดู
เป็นการสร้างโปรแกรมตรวจจับไวรัสสามารเฝ้าดูการทำงานของเครื่องได้ตลอดเวลา
เรียกว่า เรซิเดนท์หรือดีไวซ์ไดร์ฟเวอร์
โดยเทคนิคของการเฝ้าดูนั้นอาจใช้วิธีการสแกนหรือตรวจการเปลี่ยนแปลงหรือสองแบบรวมกันก็ได้
หลักการทำงานโดยทั่วไป คือ เมื่อซอฟท์แวร์ตรวจจับไวรัสที่ใช้วิธีนี้ถูกเรียกขึ้นมาทำงานก็จะเข้าไปตรวจในหน่วยความจำของเครื่องก่อนว่ามีไวรัสติดอยู่หรือไม่
โดยใช้ไวรัสซิกเนเจอร์ที่มีอยู่ในฐานข้อมูลจากนั้นจึงค่อยนำตัวเองเข้าไปฝังอยู่ในหน่วยความจำและต่อไปถ้ามีการเรียกโปรแกรมเข้ามาใช้งาน
โปรแกรมเฝ้าดูนี้ก็จะเข้าไปตรวจโปรแกรมนั้นก่อน
โดยใช้เทคนิคการสแกนหรือตรวจการเปลี่ยนแปลง เพื่อหาไวรัส
ถ้าไม่มีปัญหาก็จะอนุญาตให้โปรแกรมนั้นขึ้นมาทำงานได
นอกจากนี้โปรแกรมตรวจจับไวรัสบางตัวยังสมารถตรวจสอบขณะที่มีการคัดลอกไฟล์ได้อีกด้วย
ข้อดี เมื่อมีการเรียกโปรแกรมใดขึ้นมาโปรแกรมนั้นจะถูกตรวจสอบก่อนทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น
ข้อเสีย จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเตนท์หรือดีไวซ์ไดร์ฟเวอร์ จึงจำเป็นจะต้องใช้หน่วยความจำส่วนหนึ่งของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ก็คือ จำเป้นจะต้องมีการปรับปรุงฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ
ข้อดี เมื่อมีการเรียกโปรแกรมใดขึ้นมาโปรแกรมนั้นจะถูกตรวจสอบก่อนทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น
ข้อเสีย จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเตนท์หรือดีไวซ์ไดร์ฟเวอร์ จึงจำเป็นจะต้องใช้หน่วยความจำส่วนหนึ่งของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ก็คือ จำเป้นจะต้องมีการปรับปรุงฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น