Thaigaming Network the 10th: evolution of the future.

สมัครสมาชิก | รายชื่อสมาชิก | Social Groups | ปฏิทิน | ค้นหา | ข้อความใหม่วันนี้ | ทำสัญลักษณ์ว่าอ่านแล้ว |


กลับไป   Thaigaming > Thaigaming Contents > Articles


  • วันนี้ท่านสามารถ ใช้โทรศัพท์ หรือ Tablet ของท่านเล่น TG : Portal Game Mobile ได้แล้ววันนี้ เพียงเข้าทาง m.thaigaming.com


  • Comment
     
    Share เครื่องมือ แสดงผล
    Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม
    Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม
    เขียนโดย Hitzuja
    01 Feb 2009
    Talking Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม

    Click the image to open in full size.

    เชื่อเลยครับว่าหลายๆคน ไม่ว่าจะใช้ Windows เป็นหรือไม่เป็นก็ตาม ต้องได้เจอกับ virus มีหลายรูปแบบด้วยกัน วันนี้ผมจะยกเฉพาะ virus ที่ติดต่อๆกันมาบน FlashDrive ว่ามันฝักตัวอ่อนยังไง (พูดเป็นหนัง Alien เลย) และเมื่อวิ่งเข้าไปอยู่ในเครื่องแล้วจะเป็นยังไง...

    อย่างแรกเลยนะครับ คำศัพท์แบบไม่เป็นทางการของนักคอมพิวเตอร์ เขาเรียกเครื่องที่ติด virus ระยะรุนแรงกันว่า "Zombie!!!" โดยเครื่องจะกระจายเชื้อทาง USB ไม่ว่าจะ FlashDrive, External Hard Disk, Card Reader และที่โปราณที่สุดคือ Floppy Disk (A:,B:)

    มองด้วยตาเปล่าอาจไม่เห็นครับ ดังนั้นจะรู้ได้ไงว่า เครื่องที่คุณกำลังนั่งอยู่ข้างหน้านั้น เป็น Zombie หรือยัง... วิธีง่ายๆครับ เข้า My Computer ไปก่อนแล้วลองมองด้านบนตรง Tools แค่ชี้ ึคุณจะเห็นว่ามี Folder Options... อยู่หรือไม่

    Click the image to open in full size.

    ถามว่าดูแค่นั้นจะรู้เหรอครับ ตามรูปที่เห็นนั้นครับ ถ้า Folder Option หายไป หมายถึงว่า Registry โดนแก้เรียบร้อยแล้ว แต่ว่ามี 2 กรณีได้อีก คือ เป็นฝีมือของ Virus เอง หรือว่า Admin (Super User) เป็นคนแก้ แต่โดยส่วนมากแล้วเป็นผลงานจาก Virus ดังนั้น ถ้า Folder Options... หายไป ผมไม่แนะนำให้เสียบ โอกาสติดมีสูงมาก แต่โอกาสรอดตายก็มีนะครับ (เหมือนในหนัง Zombie เลย) โดยเงื่อนไขที่ทำให้ติดเชื้อหลักๆ คือ การมีการ Read/Write บน FlashDriver ที่เป็นเช่นนั้นก็เพราะ Virus ไม่ได้เปลี่ยน Registry แค่ตรง Folder Options... ที่เดียว แต่ยังปรับให้สร้างไฟล์อันตรายอย่างน้อย 2 ไฟล์ด้วยกัน คือ autorun.inf และ Virus (หรือ Trojan ด้วย แล้วแต่ประเภท)

    แล้ว autorun.inf และ virus ทำงานร่วมกันอย่างไร มาดูกันครับ (แบบพื้นๆนะครับ)
    code:
    [autorun]
    open=Main_Folder\Virus.exe 
    
    shell\1=Open
    shell\1\Command=Main_Folder\Being_a_jerk\blank(mouse).exe
    
    shellexecute=Main_Folder\Virus.exe
    open นั้นยังไม่ค่อยเท่าไหร่ครับ จะมีผลมากก็ต่อเมื่อ ใช้กับแผ่น CD/DVD ที่มีผลมากคือ
    shell\1=Open
    - หมายถึงว่า เวลากด Rick-Click บน FlashDrive ใน My Computer
    shell\1\Command=Main_Folder\Virus.exe
    - ต่อจากอันบนครับ ว่า กด Rick-Click แล้วเลือก Open จะไปเรียกโปรแกรมอะไรทำงาน
    shellexecute=Main_Folder\Virus.exe
    - นี่ก็เช่นกันครับ อธิบายง่ายๆ ก็เมื่อว่ามันคือ Default ของการกด Double-Click บน FlashDrive

    นี่หละครับเป็นคำตอบได้ว่าทำไมกด Double-Click แล้วติด Virus

    ยั่งงี้เราจะทำไงให้ปลอดภัยที่สุด

    แนะนำอย่างแรกเลยครับให้คุณสร้าง Autorun.inf เอง เพื่ออะไร? มีประโยชน์มากเลยครับ ด้วยการสร้าง Icon ของ FlashDrive ไว้เลย ช่วยได้ครับเพราะว่า Virus มีความจำเป็นต้องสร้าง autorun.inf ขึ้นมาบน FlashDrive ทุกครั้งเวลาจะแพร่้เชื้อ ดังนั้นเมื่อคุณมี Icon บน FlashDrive แล้ว ถ้าอยู่ๆ Icon เปลี่ยนไป นั้นล่ะครับ มี 2 กรณี คือ Virus สร้าง autorun.inf ทับ autorun.inf ของคุณแล้ว (โอ้วไม่นะ...) หรืออีกอย่างคือเป็นการรักษาความปลอดภัยของโปแกรม Anti-Autorun ที่โ่ด่งดังก็ CPE17 Autorun Killer สรุปก็คือถ้า Icon ที่คุณสร้างหายไป นั้นดูท่าไม่ดีแล้ว

    อยากรู้วิธีทำ Icon แล้วละสิครับ เอาแบบง่ายๆก็พอ เริ่มต้นด้วยหารูปภาพมาสักรูป นามสกุลอะไรก็ได้ เช่น
    Click the image to open in full size.
    จากนั้นเราก็ตัดให้ได้สี่เหลียมจัตตุรัสพอดี (48x48 ถึง 64x64) แล้ว save เป็น *.BMP
    Click the image to open in full size.
    แล้วมาเปลี่ยน นามสกุลอีกที จาก *.bmp เป็น *.ico ได้แล้วครับ icon ของเรา
    จากนั้นเอา *.ico มาใส่ใน Flashdrive แล้วสร้าง text document นามสกุล *.txt 1 อันไว้ที่เดียวกับ icon ตั้งชื่อว่า autorun.inf ภายในนั้นใส่คำสั่งว่า
    code:
    [autorun]
    icon=*.ico ใส่ชื่อ icon ของเราลงไป
    ให้ลองเปลี่ยนชื่อ Flashdrive ดูนะครับ icon ของ Flashdrive จะเปลี่ยนเป็นรูปที่เราสร้างไว้

    ฉนั้นถ้า icon ของเราเปลี่ยนไปเอง นั้นดูท่าไม่ดีแน่ แบบนี้ครับ
    Click the image to open in full size.

    ต่อมาครับ เราจะไปลบ virus ใน Flashdrive ได้อย่างไร (เอาแบบอย่าให้ virus รู้ตัว) ไม่ต้องใช้ Anti-Virus ด้วยครับ
    โดยใช้ Command Prompt (บางคนเรียก DOS ทั้งๆที่ไม่ใช่) เพราะถ้าเราเข้าไปหามันโดยตรงมันจะ Active ตัวมันเอง คราวนี้ละครับมีเรื่องแล้ว
    แต่คุณต้องรู้คำสั่งง่ายๆของ DOS ก่อน
    Click the image to open in full size.

    อย่างแรกคือพิมพ์ Directory ของ Flashdrive ก่อน ในตัวอย่างคือ N: แล้วตามด้วยคำสั่ง attrib ย่อมาจาก Attributes ครับหมาถึงให้แสดงคุณสมบัติของไฟล์ คราวนี้เราจะมานั่งมองกันว่า ไฟล์ไหนคือ virus ดูที่ Attributes ว่าตรงตามลักษณะของ virus หรือไม่ คือ

    A SHR *:\Virus.exe
    สำคัญที่ A SHR ครับ ย่อมากจาก ACTIVE SYSTEM HIDE READ-ONLY
    ACTIVE = พร้อมทำงาน
    SYSTEM + HIDE = ซ่อนอย่างมิดชิด แบบเดียวกับไฟล์ของ Windows
    R
    EAD-ONLY = อ่านอย่างเดียว ห้ามแก้
    ไม่ใช่แค่ *.exe มีหลายนามสกุลโดยแต่ละตัวจะแตกต่างกันไป จะบอกคราวๆ
    *.exe = Execution พร้อมทำงาน แค่เพียง Active วิธีต่างๆอย่างไงก็ได้
    *.bat = Batch-File เป็นชุดคำสั่ง dos ที่จะไปเรียกไฟล์ที่เป็น virus อีกที
    *.* = นอกจากนี้ จะ Active เองไม่ได้ต้องอาศัยโปรแกรมเสริมหรือ plug-in ต่างๆ เช่น ไฟล์ *.vbs, *.dll, *.x ....... อาจอาศัยการ Active จาก Batch-File ได้

    ผมขออนุญาติใช้ศัพท์ส่วนตัวนะครับ เครื่องคุณโดน RASH แล้วล่ะครับ
    *RASH (adj.) ซึ่งแปลว่า "การระบาด" มาจาก การใช้คำสั่งโดย ไวรัส คือ "attrib *.* +r +a +s +h" คือ +r = เพิ่ม Read-only, +a = เพิ่ม Active, +h = Hide และ +s +h = System-Hide

    เมื่อเราพบไฟล์ต้องสงสัยตามลักษณะัที่บอกมา วิธีลบโดยทั่วไปคงเอาไม่อยู่ครับ นี่คือทั่วไป
    del Virus.exe แค่นี้ไม่พอครับเพราะว่า Windows ไม่เห็นไฟล์ที่มีลักษณะ SH ต้องใช้คำสั่งพิเศษเพิ่ม Parameter คือ /a /f จะได้คำสั่งใหม่ คือ
    del Virus.exe /a /f /a = ทุกๆ Attributes และ /f = Force คือให้ลบแบบไม่มีเงื่อนไขใดๆเพราะว่า virus มักจะ Active อยู่ตอนเรากำลังจะลบ เราจึงต้อง Force

    ต่อมาถ้า virus หลุดเข้าเครื่องแล้วมันจะไปไหน มันจะทิ้งร่องรอยไว้เป็นลูกโซ่ครับ แต่ต้องเป็นระยะเริ่มต้นนะครับ ถ้าเครื่องโดนหนักแล้วคงใช้ไม่ได้
    1. Run > msconfig เข้ามาถึงดูที่ Startup นะครับ นี่คือเวลา Windows เริ่มทำงานอะไรจะเปิดบ้างส่วนมากคือ Background Service แต่ virus มักจะมาในรูปแบบนี้ด้วยครับ... สังเกตชื่อแปลก เช่น IEXPROLERi.exe, m9ma.bat อยู่ล่างๆครับ virus มักจะมาทีหลังเลยอยู่ข้างล่าง ถ้าเจอแล้ว กดให้ช่องว่างไว้
    Click the image to open in full size.
    สังเกตนะครับข้างหลัง ตรง Location จะบอกว่า อยู่ตรงไหนของ Registry แล้วเราจะไปตามต่อใน Regedit
    2. Run > Regedit ส่วนนี้เรียกได้ว่าเป็นเกนหลักของ Windows เลยก็ได้ ไปตาม Location ที่บอกไว้ใน msconfig นะครับ
    Click the image to open in full size.
    แล้วเราก็ลบมันออกไปซะ สังเกตต่ออีกครั้งครับ ข้างหลังเขียนบอกที่อยู่ของมันไว้แล้ว แล้วตามไปลบมันใน Directory นั้นเลยครับ
    3. My Computer ที่อยู่จริงของ virus ระบุไว้แล้วข้างหลังใน regedit ส่วนมากแล้วจะอยู่กับ Directory ที่มี Windows (C: เป็นปกติ)

    ....ผิดอย่างไร ขออภัยด้วยนะครับ เพราะข้อมูลทั้งหมดนี้ผมทำเองหมด

    บทความนี้เป็นข้อมูลของผมเองทั้งหมด ดังนั้นจึงไม่มี Credit าบทความนี้เกิดประโยชน์ไม่มากก็น้อย ผมจะมีความสุขมากครับ ต่อภาค 2 Click-Here (Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม (ภาค 2))

    งงอย่างไร ไม่ค่อยเข้าใจ ลองมาคุยกันเล่นๆได้ครับที่ hitzujaa@hotmail.com

    เครื่องมือ

    articles ล่าสุด

    สมาชิกจำนวน 16 คน ที่ได้ขอบคุณ Hitzuja สำหรับโพสที่มีประโยชน์นี้
     
    ความคิดเห็น: SuperFat on 02 Feb 2009, 15:39
    ดีครับบอกได้ละเอียดดี
    ตอบพร้อมอ้างอิงข้อความเดิม
      #1 (permalink)  
    ความคิดเห็น: spectrehot on 02 Feb 2009, 17:30
    ขอบคุณที่บอกครับ

    Click the image to open in full size.
    ตอบพร้อมอ้างอิงข้อความเดิม
      #2 (permalink)  
    ความคิดเห็น: striderblue on 02 Feb 2009, 17:53
    ขอบคุณมากครับ.....สำหรับบทความดีๆ
    และช่วยเตือนความจำ
    ตอบพร้อมอ้างอิงข้อความเดิม
      #3 (permalink)  
    ความคิดเห็น: kotake on 02 Feb 2009, 18:11
    Werry GooD!
    ตอบพร้อมอ้างอิงข้อความเดิม
      #4 (permalink)  
    ความคิดเห็น: Pongpat86 on 02 Feb 2009, 20:43
    มีประโยชน์สำหรับผู้ที่ไม่รู้มากมายเลยคับ
    ตอบพร้อมอ้างอิงข้อความเดิม
      #5 (permalink)  
    ความคิดเห็น: Flame_of_Recca on 02 Feb 2009, 21:48
    ขอบคุณสำหรับบทความดีๆที่นำมาแบ่งปันกันครับ
    ตอบพร้อมอ้างอิงข้อความเดิม
      #6 (permalink)  
    ความคิดเห็น: miststar on 02 Feb 2009, 22:45
    เจ้าตัว boot.exe ทำวิธีนี้ก็ได้ใช่มั้ยครับ = = ว่าแล้วก็ลองทำเลยดีกว่า =w=
    ตอบพร้อมอ้างอิงข้อความเดิม
      #7 (permalink)  
    ความคิดเห็น: dantemaster on 03 Feb 2009, 16:03
    ขอบคุณสำหรับคำแนะนำที่มีประโยชน์ครับ
    ตอบพร้อมอ้างอิงข้อความเดิม
      #8 (permalink)  
    ความคิดเห็น: NarutozII on 03 Feb 2009, 18:14
    ขอบคุณมากๆ เลยคับ ได้ความรู้เพียบเลย
    ตอบพร้อมอ้างอิงข้อความเดิม
      #9 (permalink)  
    ความคิดเห็น: samsoft on 03 Feb 2009, 20:42
    สวยงามมาก...
    ตอบพร้อมอ้างอิงข้อความเดิม
      #10 (permalink)  
    ความคิดเห็น: mrtk on 04 Feb 2009, 09:52
    Thank You Very Much
    ตอบพร้อมอ้างอิงข้อความเดิม
      #11 (permalink)  
    ความคิดเห็น: Boonmagic on 04 Feb 2009, 20:56
    - - ถ้าโดนไป แล้วเป็นไงอ่ะ
    ตอบพร้อมอ้างอิงข้อความเดิม
      #12 (permalink)  
    ความคิดเห็น: Hitzuja on 04 Feb 2009, 23:17
    อ้างอิง:
    ข้อความของ Boonmagic อ่านข้อความ
    - - ถ้าโดนไป แล้วเป็นไงอ่ะ
    บอกไม่ได้ครับ แล้วแต่บุญแต่กรรม
    ตอบพร้อมอ้างอิงข้อความเดิม
      #13 (permalink)  
    ความคิดเห็น: Dusk on 05 Feb 2009, 16:40
    ไม่เข้าใจครับ
    ตอบพร้อมอ้างอิงข้อความเดิม
    Comment


    เครื่องมือ
    แสดงผล

    กฎการส่งข้อความ
    You may not post new threads
    You may not post replies
    You may not post attachments
    You may not edit your posts

    BB code is ใช้ได้
    Smilies are ใช้ได้
    [IMG] code is ใช้ได้
    HTML code is ใช้ได้
    Trackbacks are ใช้ได้
    Pingbacks are ใช้ได้
    Refbacks are งดใช้


    Home | News | Event | Article | Howto | Preview | Review | Cheat | Play | Anime | Club | Download | Blog | Group | Service | Forum

    Copyright © 2000-2013 Thaigaming Network. All Right Reserved.