ซอฟต์แวร์ anti-virus มีการทำงานอย่างไร

ผลิตภัณฑ์ที่เกี่ยวข้องกับซอฟต์แวร์ anti-virus มีหลายรูปแบบ แต่ละแบบมีวิธีการทำงานที่แตกต่างกันไปขึ้นกับผู้ผลิตว่า จะให้ซอฟต์แวร์ของตนเป็นอย่างไร ส่วนที่ซอฟต์แวร์เหล่านี้ทำงานเหมือนกันคือ การตรวจหารูปแบบภายในไฟล์ หรือหน่วยความจำของเครื่องคอมพิวเตอร์ของผู้ใช้เพื่อบ่งชี้ว่า มีส่วนใดที่อาจจะมีไวรัสแฝงตัวอยู่ ผลิตภัณฑ์ anti-virus เหล่านี้จะมีการเก็บข้อมูลประวัติของไวรัสแต่ละตัวไว้ (บางครั้งเรียกว่า “signatures”) เพื่อใช้เป็นต้นแบบในการค้นหา ซึ่งผู้ผลิตซอฟต์แวร์จะเป็นผู้ทำการรวบรวมและจัดเตรียมข้อมูลประวัติของไวรัส ในขณะที่มีการตรวจพบไวรัสชนิดใหม่ๆ อยู่ทุกวัน ดังนั้นประสิทธิภาพของซอฟต์แวร์ anti-virus จึงขึ้นอยู่กับการที่เครื่องคอมพิวเตอร์เครื่องนั้นจะต้องมีข้อมูลประวัติของไวรัสล่าสุดอยู่ตลอดเวลา เพื่อให้ซอฟต์แวร์ anti-virus ตรวจพบไวรัสชนิดล่าสุดในเครื่องคอมพิวเตอร์ได้ ดังนั้น สิ่งสำคัญที่สุดก็คือผู้ใช้จะต้องปรับปรุงให้ข้อมูลประวัติไวรัสในเครื่องคอมพิวเตอร์ของตนทันสมัยอยู่ตลอดเวลา ไวรัสคอมพิวเตอร์เป็นภัยคุกคามที่สร้างความเสียหายให้กับระบบได้อย่างรุนแรงมาก ดังนั้นโปรแกรมป้องกันไวรัส จึงเป็นปัจจัยที่สำคัญมากที่จะช่วยให้เครื่องปลอดภัยจากการคุกคามของไวรัสคอมพิวเตอร์ ในปัจจุบันโปรแกรมป้องกันไวรัสก็มีมากขึ้น เทคนิคในการตรวจจับไวรัสได้ถูกพัฒนาขึ้น เพื่อตรวจจับไวรัสแตกต่างกันออกไป ซึ่งเทคนิคในการตรวจจับไวรัสโดยทั่วไป แบ่งได้ 4 เทคนิค คือ

1. การตรวจหา (Scanning)เป็นเทคนิคที่ใช้ตัวตรวจหา (Scanner) เข้าไปค้นหาไฟล์ที่ถูกบ่งบอกว่าถูกไวรัสแฝงตัวอยู่ ในหน่วยความจำ ส่วนเริ่มต้นในการบูต (Boot sector) และไฟล์ที่ถูกเก็บอยู่ในฮาร์ดดิสก์ โดยใช้หลักการ Checksum ซึ่งมีวิธีการทำงานคือ ในไฟล์ทุกไฟล์จะมีส่วนที่เก็บข้อมูลว่ามีจุดเริ่มต้น จุดสิ้นสุดของไฟล์ที่ตำแหน่งใด ตามด้วยข้อมูลของไฟล์ และปิดท้ายด้วยค่า Checksum ตัวตรวจหาจะคำนวณหาค่า Checksum ของแต่ละไฟล์แล้วนำไปทำการเปรียบเทียบกับค่า Checksum ของไฟล์นั้นๆ ดังนั้นถ้าไฟล์ใดถูกไวรัสแฝงตัว ก็จะทำให้ค่า Checksum ที่คำนวณได้จะไม่เท่ากับค่า Checksum ที่เป็นข้อมูลของไฟล์ดังกล่าว โปรแกรมป้องกันไวรัสทั่วๆ ไป จะมีวิธีการตรวจหา 2 ชนิดคือการตรวจหาชนิด On – access เป็นวิธีการตรวจหาไฟล์ก่อนที่จะถูกโหลดเข้าหน่วยความจำ เพื่อทำการเอ็กซิคิวต์การตรวจหาชนิด On – demand เป็นวิธีการตรวจหาในหน่วยความจำหลัก ส่วนเริ่มต้นในการบูต และฮาร์ดดิสก์ ผู้ใช้งานยังสามารถเรียกใช้งานวิธีการตรวจหาชนิดนี้ตามความต้องการได้ข้อดีของเทคนิคนี้คือตัวตรวจหาสามารถพบไวรัสก่อนที่จะทำการเอ็กซิคิวต์

2. การตรวจสอบความคงอยู่ (Integrity Checking)เทคนิคนี้อาศัยตัวตรวจสอบความคงอยู่ (Integrity Checker) ที่เก็บข้อมูลความคงอยู่ (Integrity Information) ของไฟล์สำคัญไว้สำหรับเปรียบเทียบ ตัวอย่างข้อมูลเช่น ขนาดไฟล์ เวลาแก้ไขครั้งล่าสุด และค่า Checksum เป็นต้น ส่วนมากจะใช้ค่าของ Checksum ในการเปรียบเทียบ เมื่อมีไฟล์เปลี่ยนแปลงที่มีสาเหตุอันเนื่องจากไวรัส หรือความผิดพลาดใดๆ จนทำให้ข้อมูลความคงอยู่ต่างจากข้อมูลเดิมที่เคยเก็บไว้ ระบบก็จะแจ้งให้ผู้ใช้งานทราบ ถึงความผิดปกติและยังสามารถมีทางเลือกให้ผู้ใช้สามารถกู้ไฟล์ข้อมูลดังกล่าวคืนไปเป็นไฟล์ก่อนที่จะติดไวรัสได้ ข้อดีของเทคนิคนี้คือ เป็นเทคนิคเดียวที่จะตรวจสอบว่ามีไวรัสทำลายไฟล์หรือไม่ และเกิดความผิดพลาดน้อย ตัวตรวจสอบความคงอยู่ในปัจจุบันมีความสามารถที่จะตรวจจับการทำลายข้อมูลชนิดต่างๆ ได้ เช่นไฟล์ไม่สมบูรณ์ (corruption) และยังสามารถกู้ไฟล์คืนได้

3. การตรวจจับไวรัสโดยใช้การวิเคราะห์พฤติกรรม (Heuristic)เป็นเทคนิคทั่วไปที่นิยมใช้ในการตรวจจับไวรัส โดยจะเปรียบเทียบการทำงานของไวรัสกับกฏ Heuristic (Rules Based System) และชุดกฏ Heuristic ถูกพัฒนาให้สามารถแยกแยะพฤติกรรมการทำงานว่า เป็นการทำงานของไวรัสหรือไม่ มีการเก็บข้อมูลของไวรัสที่รู้จักเพื่อใช้ในการจับคู่แพตเทิร์น และชุดกฏนี้ถูกพัฒนาโดยผู้พัฒนาโปรแกรมป้องกันไวรัส ยกตัวอย่างวิธีการตรวจจับไวรัสชนิดนี้ เช่น โปรแกรมป้องกันไวรัสรู้จักพฤติกรรมการทำงานของไวรัสทั่วไป (เช่น การอ่าน/เขียนลงใน Master Boot Record ซึ่งโปรแกรมทั่วๆ ไปจะไม่ทำเช่นนี้) เมื่อโปรแกรมป้องกันไวรัสตรวจพบว่ามีการทำงานที่ผิดปกติขึ้นในเครื่อง โปรแกรมป้องกันไวรัสจะใช้กฏ Heuristic เปรียบเทียบกับลักษณะดังกล่าว เพื่อที่จะระบุว่าเป็นพฤติกรรม การทำงานของไวรัสชนิดใด ข้อดีของเทคนิคนี้คือมีความยืดหยุ่นในการตรวจจับ และสามารถรู้จักไวรัสชนิดใหม่ๆ ได้เอง

4. การตรวจจับไวรัสโดยการดักจับ (Interception)เทคนิคนี้จะเริ่มต้นด้วยการที่โปรแกรมป้องกันไวรัสจะสร้าง virtual machine ที่มีความอ่อนแอมากไว้ภายในเครื่อง คอยล่อให้โปรแกรมประเภทไวรัสโจมตีและยังมีหน้าที่เฝ้าดูว่ามีไวรัสหรือโปรแกรมใดบ้างที่มีพฤติกรรมผิดปกติน่าสงสัย เข้ามาทำงานใน virtual machine ตัวอย่างเช่น มีโปรแกรมที่ทำการติดตั้งตัวเอง รวมทั้งมีการส่ง request ผิดปกติออกมาเพื่อทำให้เครื่องทำงานผิดพลาด เป็นต้น โปรแกรมที่ผิดปกติหรือน่าสงสัยนี้อาจจะเป็นไวรัสก็ได้ ข้อดีของการใช้เทคนิคนี้คือจะหยุดการทำงานของโปรแกรมไวรัสที่พยายามที่จะฝังตัวในหน่วยความจำได้ดี เทคนิคในการตรวจจับไวรัสทั้ง 4 เทคนิค เป็นเทคนิคพื้นฐานที่พัฒนาขึ้นเพื่อใช้ในการตรวจจับไวรัส โดยโปรแกรมป้องกันไวรัสทั่วไปจะอาศัยเทคนิคที่กล่าวมาโดยอาจรวบรวมเอาจุดเด่นของแต่ละเทคนิค มาพัฒนาจนเป็นเทคนิคใหม่ๆ เพื่อใช้กำจัดไวรัสในยุคใหม่ๆ

แหล่งที่มา : http://thaicert.nectec.or.th

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s


%d bloggers like this: