หน่วยที่ 5 การตรวจและกำจัดไวรัส

237 ไวรัสคอมพวิ เตอร นาย สญั ญา คลอ งในวัยหนว ยปฏิบัติการวิจัยและพฒั นาเทคโนโลยคี อมพวิ เตอรและระบบอตั โนมัติ ศนู ยเ ทคโนโลยอี เิ ล็กทรอนิกสแ ละคอมพิวเตอรแ หง ชาติ สํานักงานพฒั นาวิทยาศาสตรและเทคโนโลยแี หง ชาติ กระทรวงวทิ ยาศาสตร เทคโนโลยีและส่ิงแวดลอ มABSTRACT – In the past, computer viruses have created a huge damage to the computer systemsover the world. The objective of the new viruses is to destroy the system and cause the effects to thesocieties and economics. Virus's development and concepts of writing it has trended to be more powerfuland cause more damage everyday. This paper presents information about computer viruses in the detail oftechniques and concepts of the way they work, objective of the attack, trend, producing techniques,protection methods, and the future technology.KEY WORDS – Computer Virus, Virus Techniqueบทคดั ยอ – ระยะเวลาท่ีผา นมาไวรสั คอมพิวเตอร ไดสรา งความเสยี หายแกระบบคอมพวิ เตอรท วั่ โลกเปนอยา งมาก เปาหมายการสรา งความเสียหายทเี่ กิดจากไวรสั คอมพิวเตอรช นดิ ใหมๆ ในปจจบุ ัน ไดสรา งผลกระทบตอสงั คมและเศรษฐกิจในทกุ ๆดาน การพัฒนาการของไวรสั โดยเทคนิคแบบใหม แนวคดิ ในการเขยี นโปรแกรมมแี นวโนมสูความรุนแรง และสรางความเสียหายในวงกวางมากขึ้น บทความนี้เปนการนําเสนอขอมูลเกี่ยวกับไวรัสคอมพิวเตอร แนวคิดเทคนคิ การทาํ งาน เปา หมายการโจมตี แนวโนม ของการเกิดไวรัสเทคนคิ , แนวคดิ ใหมในการสรางไวรัสคอมพิวเตอร, การปองกนั ไวรัส และเทคโนโลยีในอนาคตคําสําคญั – ไวรสั คอมพิวเตอร, เทคนิคไวรสั1. บทนํา ใชวันท่ใี นการทํางาน ( Date Trigger) หรอื การลกั ลอบ ทําสําเนาเชลลค วบคุมการเซ็ต uid, การทําสําเนาไฟลไวรัสคอมพิวเตอรเปนโปรแกรมสาํ หรับทํางานบนระบบ บัญชรี ายช่ือผูใชระบบ และรหัสผาน วิธที ใี่ ชคอื การวางคอมพิวเตอรประเภทหน่ึงมีการทํ างานเหมือนกับ หลมุ พราง การใชโปรแกรมพวก Trojan ทําสําเนาไฟลโปรแกรมประยุกตโดยท่ัวไป แตวัตถุประสงคในการ ไปยังไดเรกทอรท่ี ่สี ามารถเขาถึงโดยทัว่ ไป เชน การทํางานของไวรัสคอมพิวเตอรเปนไปในทางลบมากกวา เพิ่มคําส่ัง suid ลงในไฟล “.login” ดังตัวอยางการสรางสรรค มรี ปู แบบการทํางานเฉพาะตัวการแพร “cp/bin/sh/tmp/gotu ; chmod 4777 /tmp/gotu สําเนากระจาย, การฟกตัว, การทําลายท่ีคลายคลึงกับการ ของขอ มูลทีส่ รางขน้ึ จะถูกเกบ็ ทไ่ี ดเรกทอร่ี /tmp (ไฟลทํางานของเช้ือไวรัส แนวคิดของโปรแกรมเชิงทําลาย หรือขอ มูลตางๆ จะเขา ถงึ ไดโ ดยผูเปน เจา ของไฟลและในยุคแรกเกิดขน้ึ บนระบบยนู กิ ซ ซ่ึงมีการพฒั นามาจาก การตรวจสอบ uid ท่ีถูกตองเทา น้ัน) นอกจากน้ียงั มีการเขียนโปรแกรมสคริปตบนยูนิกซเพื่อความสะดวก โปรแกรมประเภทหนอน (Worm) ซ่ึงฝงตวั เองภายในในการทํางาน เชน การเขยี นเชลลส คริปตใหมีการลบ ระบบพยายามทําลายระบบรักษาความปลอดภัยของไฟลท่ีไมตอ งการเม่ือถงึ กําหนดเวลา, วันท่ี ท่ตี งั้ ไว โดย ระบบปฏิบัติการ โปรแกรมหนอน เร่ิมมีการแพรโปรแกรมพวกนีย้ ังไมน ับวา เปน “ไวรัส” เพราะยังไมมี กระจายตัวเองซึ่งเปนจุดเริ่มตนของไวรัสหนอน และการแพรกระจาย แตตอมาไดพ ฒั นากลายมาเปน ไวรัสที่

238เร่ิมมีการใชคาํ วาไวรสั คอมพิวเตอร ในป 1988 ไวรสั ได เคยระบาดในเมืองไทยชวงหน่งึ หรือไวรัสหลอกลวงท่ีแพรกระจายบนระบบเน็ตเวิรคแตการทําลายไมรุนแรง เปนจดหมายเวียนตางๆ ( Hoax Virus ) ซึ่งไดสรา งมากนักเน่ืองจากขณะน้ันระบบเน็ตเวิรคถูกใชในวง ความต่นื ตระหนก และการกอกวนมากกวาการมงุ เนนจํากัด จากน้ันการพัฒนาของไวรัสก็เปล่ียนจาการ ทําลายระบบเปน ตนทํางานบนระบบยนู กิ ซ ซึง่ มหี ลายตระกูล มาเปน ไวรสั ที่ทํางานบนระบบดอส และโคด แบบ X86 ซ่ึงมกี ารใชงาน 2.1 วงจรชีวิตของไวรสั คอมพิวเตอรอยางกวางขวาง การเพิ่มจํานวนของไวรัสคอมพวิ เตอรในปจจุบันมีอัตราคงที่ ในแตล ะปจ ะมไี วรสั ทถ่ี ูกคน พบ การทํางานของไวรัสคอมพิวเตอร มีรูปแบบเฉพาะที่ประมาณ 1,000 ตัวตอป หรือกลาวไดวามีไวรัส แตกตางจากโปรแกรมโดยทั่วไป ซ่ึงลักษณะหรือพฤติคอมพิวเตอรเ กิดข้นึ วันละ 2 – 3 ตวั [1] การศกึ ษาทาํ กรรมท่ีแสดงออกน้ันทําใหสามารถศึกษาถึงวงจรชีวิตความเขาใจเกีย่ วกบั ไวรสั เปนสง่ิ จาํ เปนเพอื่ นํามาใชใน และการทํางานในแตล ะชวงของการทาํ งานของไวรัสการควบคุมการแพรกระจาย การปกปองขอมูลและระบบไมใ หถ กู ทําลายจากไวรัสคอมพิวเตอร วงจรชวี ิตของไวรสั คอมพิวเตอรแ บง ออกไดเปน 3 ชว ง คือ แหลงที่มาของไวรัส (Source) ชวงการติดเชื้อ2. ไวรสั คอมพวิ เตอร (Infection) และชว งการแพรกระจาย (Spread) แหลง ที่ มาของไวรัสจะมาไดจากสื่อตางๆ โดยในชวงการติดไวรัสคอมพิวเตอร สามารถแพรกระจายไปกับ เช้ือนี้เปน ชว งท่ีเครือ่ งคอมพิวเตอรมีไวรสั จากนั้นไวรสัโปรแกรมไฟล, แฟมขอมลู เอกสาร, สเปรดชีต, ไฟล ก็พรอมทจี่ ะแพรก ระจายตอ ไประบบปฏบิ ตั ิการ, แผนดสิ กข อ มูล, การแลกเปลยี่ นขอมูลโดยแผน ดิสกเ ก็ต, การบูตระบบจากแผนดิสกเ ก็ตที่ Sourceไมปลอดภัย, การแนบไฟลตางๆ ไปกับจดหมายอิเล็กทรอนิกส ไวรัสจะทํางานตามรหัสของโปรแกรมที่ การใชด สิ กเ กต็ จากแหลง ทเ่ี สย่ี งบรรจุเอาไวเพ่ือสรางความเสียหายแกขอมูล หรือ โหลดโปรแกรมจากอินเตอรเน็ตโปรแกรมระบบ ไวรสั คอมพวิ เตอรจ ะไมสามารถทําลาย โปรแกรมผิดกฏหมายระบบฮารดแวร เชน โพรเซสเซอร จอภาพ หรือคียบ อรด ได แตไวรัสสามารถควบคุม หรอื กอ กวนการ Sourceทํางานของระบบฮารดแวร ทําใหระบบไมสามารถทํางานไดตามปกตเิ ชน การเขาทําลายขอ มลู ของ BIOS Spread Infectionที่ใช FLASH BIOS [ไวรัสเชอรโนบิล, Win CIH] ทําใหไมสามารถบูตระบบได หรอื ไวรัสบางตัวจะเขา ควบคุม Spread Infectionการทํางานของการด แสดงผล ทาํ ใหภ าพท่ีปรากฏหนา ใชไฟลที่มีไวรัสรวมกันจอหายไป ไมแ สดงตวั อักษร มตี วั อกั ษรที่อยบู รรทดั บน การลอกเขาสูเน็ตเวิรค  บูตระบบจากแผนที่มีไวรัสของจอตกลงมาขณะใชงาน หรือกาํ หนดคา ทผ่ี ิดพลาด การรันโปรแกรมที่มีไวรัสใหแกตัวควบคุมบังคับใหลําอิเล็กตรอนในหลอดภาพยงิ เปดไฟลเอกสาร หรือสเปรดชีทท่ีตําแหนงเดิมเปนเวลานานๆ จะทาํ ใหส ารฟอสเฟอรท ่ี ที่มีไวรัสเคลือบจอภาพใหเรอื งแสงเกิดการไหมเ ปนจุดได นอกจากนี้ยังมีไวรัสที่สรางข้ึนเพื่อความสนุกสนานมีเสียง รูปท่ี 1. แสดงวงจรชีวิตของไวรัสคอมพวิ เตอรดนตรีขณะท่ีไวรสั ทํางาน เชน ไวรัส ลาวดวงเดอื นที่ 2.2 เทคโนโลยขี องไวรัสคอมพิวเตอร เทคนิคตางๆ ถูกนํ ามาใชในการพัฒนาขีดความ สามารถของไวรัสเพื่อใหสามารถหลบหลีกการตรวจ สอบและคนหา โดยเทคนิคเหลานีม้ กี ารเปลี่ยนแปลงไป ในทางท่ีซับซอ นมากขน้ึ ตามประเภทการทาํ ลาย 2.2.1 Stealth เปนเทคนิคที่ออกแบบใหโปรแกรม สามารถปองกนั ตวั เองจากการคน หา หรือกําจัดได โดย ท่ัวไปจะใชวิธีขัดขวาง (Interrupt) การทํางานของ กระบวนการอานของระบบดิสกโดยเมื่อไฟลท ่ไี มม ไี วรสั ถูกอานข้ึนมามันจะถูกแทรกรหัสของไวรัสเขาไป

239(Read Stealth Virus) นอกจากนไ้ี วรสั ทที่ าํ การเปลยี่ น หลักการในการรันโปรแกรมแบบลําดับ ถาช่ือไฟลแปลงขนาดของไฟลขอมูล, ไดเรกทรอรี่ของขอมูล เหมอื นกัน ไฟลท ีม่ ีนามสกลุ เปน .COM จะทํางานกอน(Size Stealth Virus) เมื่อไวรัสทํางานจะทําการแทรก ไฟลท่ีมีนามสกุลเปน .EXE เสมอ เมื่อไฟลรหัสระหวางการอานขอมูล เชน ไวรัสมีขนาดขอมูล CHKDSK.EXE ติดไวรัส ไวรสั จะทําการสรางไฟลใ หม1,024 ไบต และไฟลข อมูลเดิมมขี นาด 4,096 ไบต ในชื่อ CHKDSK.COM ซ่ึงเปนโปรแกรมไวรัส เมอื่ เราขนาดของไฟลจ ะเปน (1,024 + 4,096) 5,120 ไบต ซึง่ เรียกไฟล CHKDSK มาทํางานในครั้งตอไปไฟลขนาดของไฟลถูกเปลี่ยนแปลง และจะถูกตรวจพบได CHKDSK.COM ซึ่งเปนไวรัสจะทํางานกอ นไวรัสจะขัดขวางการทํางานระบบของไดเรกทอร่ี โดยการอา นคาขนาดไฟลท ีเ่ ปน 5,120 ไบตข ้นึ มา และลบ 2.2.5 Malicious Programs เทคนิคเปนเทคนคิ ทเ่ี กิดออกดวยขนาดของตวั เอง และจะสงผลทไี่ ดไ ปยังระบบ ขึ้นในชวงหลังๆ จากที่มีการใชโปรแกรมภาษาจาวาเพื่อแสดงผลอกี คร้งั และ Active X ซึ่งเปนภาษาท่ีนยิ มใชกบั อนิ เทอรเน็ต โดยอาศัยชองวางของตัวรักษาความปลอดภัยภายใน2.2.2 Polymorphic อาศยั การเปล่ยี นแปลงรูปแบบของ โปรแกรม Browser, E-mail, โปรแกรมทใี่ ชก ารสื่อสารไวรัส มกี ารแบงรหสั ของตัวไวรัสเปนสว นยอ ยแทรกอยู พูดคุยผานเน็ตเวิรค โดยไวรสั จะเขา ควบคุมระบบจากระหวางแฟมขอมูล เม่ือแฟมขอมูลทาํ งานรหัสไวรสั จะ ระยะไกล หรือการขโมยขอ มูลรหสั ผานเขา สรู ะบบจากถูกนําไปรวมกันในหนวยความจํา การใชการเขารหัส เคร่ืองเปา หมายสง คืนไปยงั ผทู ี่เขา โจมตีระบบ ลักษณะและการถอดรหัสกอนการทํางานดวยคียเฉพาะ ทาํ ให เหลาน้ีมักจะเปนโปแกรมประเภทหลุมพลาง (Trojanยากตอการตรวจสอบจากรหสั ลายเซ็นไวรสั (รหัสลาย Horse) เปาหมายจะไมไดเนนการทําลายไฟลหรือเซน็ ไวรัส Virus Signature เปนรหสั เฉพาะของไวรสั ที่ผู ขอมลู แตม ีจุดประสงคในการเขายดึ ครองระบบเขียนโปรแกรมปองกันไวรัสไดทําการถอดรหัสออกมาซ่ึงไวรัสแตละตัวก็จะมีรูปแบบของขอมูลที่แตกตางกัน) 2.3 ประเภทของไวรัสคอมพวิ เตอรโดยพื้นฐานของไวรัสประเภทน้ีมาจากโครงสรางของTPE (Trident Polymophic Engine) และ MtE ไวรัสคอมพิวเตอรที่มีอยูในปจจุบันสามารถจัดประเภท(Mutation Engine) ซึ่งมีรายงานการคน พบในยุโรปชวง ตา งๆ ได 3 ประเภทใหญคือป1992 [2] 2.3.1 โปรแกรมไฟลไ วรสั (Program Viruses) เปน2.2.3 Multipartite การทํางานหลากรูปแบบในตัวเอง ไวรัสที่ทํางานและแพรกระจายกบั ไฟลท ั่วๆ ไป ปกตจิ ะสามารถแพรกระจายทางไฟลปกติ และสามารถแพร เปนไฟลท่ีมนี ามสกุลเปน .COM, .EXE นอกจากนี้ในกระจายในสว นของ Boot Record ของระบบดิสกไ ด ปจจุบันยังสามารถทํ างานไดกับไฟลของระบบในเม่ือไฟลขอมูลเอกสารท่ีติดไวรัสประเภทนี้ ถกู อานข้นึ ลักษณะตา งๆ เชน .SYS, .DLL, .OVL และ .SCRมาทํางาน ไวรัสก็จะทํางานโดยการคัดลอกตัวเองเขา ไวรัสแฟมขอมูลยังเปนไวรัสท่ีเฉพาะเจาะจงสําหรับแตไปบันทึกหรือเขียนทับขอมูลในสวนของระบบ Boot ละระบบปฏิบัติการอีกดวย เชน DOS, WINDOWS,Record เม่ือมกี ารบตู ระบบคร้ังตอไป ไฟลทกุ ไฟลท ถี่ ูก UNIX ฯลฯเรยี กใชง านกจ็ ะตดิ ไวรัส 2.3.2 บตู ไวรสั (Boot Viruses) เปนไวรัสท่ไี มทาํ งาน2.2.4 Companion Virus เทคนคิ นถี้ ูกคิดคน ขึ้นมาโดย กับไฟลขอมูล แตจะทํางานในพื้นท่ีเฉพาะของแผนอาศัยชองวางในการทํางานของระบบปฏิบัติการ และ ดิสกเก็ต และฮารดดิสก สามารถแพรกระจายจากการทํางานตามเงื่อนไขที่ถูกตองของระบบปฏิบัติการ เคร่ืองหน่ึงไปยังอีกเคร่ืองหน่ึงผานทางดิสกเก็ต ไวรัสในการทําลายระบบและแพรกระจาย การทําตัวเสมือน ประเภทน้ีมีการแพรกระจาย และทาํ งานไดด ีกวาไวรัสหน่ึงเปน โปรแกรมปกติของระบบถูกนาํ มาใช โดยอาศัย ประเภทแรก

240บูตไวรัสจะแฝงตวั เองในพ้ืนทีท่ ี่ เรยี กวา Boot Sector เพียงทําตามคําแนะนําก็สามารถสรางไวรัสขึ้นมาไดของระบบดิสก ซ่ึงทุกคร้ังท่ีมีการบูตระบบขอมูลที่เกบ็ โดยตัวโปรแกรมจะมีโครงสรางหลัก (Engine) ท่ีใชอยูในสวนนี้จะถูกอานไปเก็บไวในหนวยความจําเสมอ เทคนิค Polymophic Virus โดยภายในอาจมโี ครงสรางและไวรัสที่แฝงอยูก็จะทํางานดวยเชนกัน บูตไวรัส แบบ MtE หรือ TPE ไวรัส นอกจากน้ยี ังเปด โอกาสใหสามารถทํางานไดกับระบบไฟลของ DOS, Windows ผูสรางใสรหัสโปรแกรม และนําโปรแกรมตนแบบ3.X, Windows9X, Windows NT, หรือ Novell (Source Program) มาดัดแปลงเพมิ่ เติมได เครอ่ื งมือที่Netware นอกจากน้ีการกาํ จดั ไวรสั ประเภทนีอ้ าจทําให ชวยในการพัฒนาไวรัสลักษณะนี้ทําใหจํานวนไวรัสเพ่มิระบบไมสามารถบตู ระบบกลบั มาทาํ งานไดอ ีกดว ย มากข้ึน แตไวรัสท่ีสรางโดยวิธีนี้มักจะถูกตรวจพบได งายๆ เพราะรูปแบบการทาํ งานไมซ ับซอ นมาก อยางไร2.3.3 ไวรัสมาโคร (Macro Viruses) ไวรัสประเภทใหม ก็ตามหากผูพัฒนามีความรูเกี่ยวกับระบบ จะสามารถน้ี สามารถตดิ ไปกับไฟลตา งๆ ทีม่ ีความสามารถในการ ดัดแปลงใหต รวจจับยากขึน้ และการทาํ ลายสงู ขึ้นดว ยใชงานมาโครได เชน เอกสารไมโครซอฟทเวิรด มี เคร่ืองมือเหลานี้สามารถหาไดงายจากระบบอินเทอรความสามารถในการสรางเทมเพลตได มาโครไวรัสจะ เน็ตในปจจุบัน และยังเปนที่นิยมในหมูนักเรียนแฝงตัวเขากับเทมเพลต ไวรัสชนิดนี้สามารถกระจาย นักศึกษาบางกลมุ นอกจากน้ยี ังมีการแจกจายและแลกผานการดาวนโหลดขอมูลบนอินเตอรเนต การแชร เปล่ยี นไวรสั กนั ระหวา งกลุมขอมูล และการแนบเอกสารไปกับ E-Mail 3.2 การโจมตรี ะบบปองกนั เปา หมายของการโจมตีเม่ือไวรัสคอมพิวเตอรทงั้ 3 ประเภทถกู สรา งขนึ้ มาจะมี ของไวรัสคอมพิวเตอรในปจจุบันไดเปล่ียนแปลงรูปการนําเอาเทคนิคตางๆ ท่ีไดกลาวไวตอนตนมาผสม แบบตางไปจากเดิมท่ีมุง การสรางความเสียหายตอไฟลผสานเขา ไป ทาํ ใหไ วรัสในปจจุบนั มลี ักษณะเดนหลาย ขอมลู และไฟลระบบ ซ่งึ จะทาํ ใหถกู ตรวจจับจากระบบรูปแบบในตัวเอง ใชเทคนิคหลายแบบในแตล ะสว นของ ปองกันไดโดยงาย เน่ืองจากเทคโนโลยีการปองกันโคดไวรัส ทําใหยากแกการตรวจสอบและทําลาย ไวรัสในปจจุบันมกั มกี ารตรวจจับพฤตกิ รรมของไวรัสใน แบบเดิมไดด ี ปจ จุบันไวรสั จะยกเลิกการทาํ งานของตัว3. กา วตอไปของไวรสั คอมพิวเตอร ปองกันไวรัสกอนแลว จงึ เร่มิ ทาํ งานการโจมตไี ฟล และ แพรก ระจายไวรัสคอมพวิ เตอร จดั เปน รปู แบบหนึง่ ของการคกุ คามขอมูล และความปลอดภัยของระบบ ในปจจุบันน้ี 3.3 ไวรัสบนเครอื ขาย ไวรัสบนระบบเครอื ขา ยเปน อกีเทคโนโลยีของไวรัสมีการพัฒนารูปแบบท่ีแตกตางมาก รูปแบบหน่งึ ของการแพรกระจาย สามารถแพรก ระจายเมื่อไวรัสตัวหนึ่งประสบความสําเร็จในการทาํ ลายระบบ ผานการสื่อสารขอมูลภายในเครือขายทั้งภายใน และไวรัสตวั นั้นก็จะกลายมาเปนแมแบบ ของไวรสั รุนตอๆ ภายนอก รวมทั้งการดาวนโหลดขอมูลโปรแกรมจากไปและพัฒนาความรุนแรงเพิ่มขึ้นทําใหเกิดปญหาของ สถานที่ตา งๆ และการสนทนาบนระบบเครอื ขา ย โดยไวรัสมากย่ิงข้นึ และวธิ ีการท่จี ะนาํ เสนอตอ ไปนีจ้ ะถกู ใช ท่ัวไปไวรัสมักจะมีลักษณะเปนหลุมพราง (Trojanมากขึน้ ในอนาคต Horse) โดยคนหาขอมูลที่สําคัญจากเครื่องเปาหมาย เพื่อเปน ประตูนาํ ไปสกู ารเขา โจมตรี ะบบ หรือการควบ3.1 เคร่ืองมือสําหรับการพัฒนาไวรัส (Virus คุมระบบในภายหลงั [การเจาะระบบจากนักเจาะระบบAuthoring Tools) วิธีการนถ้ี ูกนํามาชวยในการสราง Hacker และการโจมตีจากเครือขายระยะไกลแบบไวรัสอยางแพรหลายในปจจุบัน เคร่ืองมือเหลานี้มี Command – Bomber]ลักษณะเปนโปรแกรมชวยสรางที่งายตอการใชงาน มีสว นเชือ่ มตอกับผใู ช (User Interface) แบบงายๆ ผู 3.4 Multi - Platform เนอ่ื งจากเทคนคิ การพฒั นารปูสรางไมจําเปนตองรูเรื่องระบบคอมพิวเตอรมากนัก แบบของโปรแกรมท่ีไมยึดติดกับระบบในปจจุบนั ทนี่ ยิ ม

241กันอยางแพรห ลาย เพราะมคี วามยดื หยนุ ในการทาํ งาน 4.1 วิธีการวิเคราะหพฤติกรรม เทคนิคน้ใี ชว ธิ ีการสูง แตจุดนี้ทําใหผูพัฒนาไวรัส อาศัยชองวางการ วิเคราะหก ารทาํ งานของโปรแกรมตา งๆ ทถ่ี กู โหลดขนึ้ทํางานของระบบมาพัฒนาโปรแกรมไวรัสในลักษณะที่ มาทํางาน โดยโปรแกรมปอ งกนั ไวรัสจะทําหนาที่ตรวจไมข้ึนกับระบบออกมา ซึ่งอาศัยเทคนิคการเขียน จับพฤติกรรมการทํางานตางๆ ที่เปนรูปแบบเฉพาะโปรแกรมโดยใช java และ Active X มากขนึ้ ของไวรัส เชน ตรวจสอบการพยายามฝงตัวของ โปรแกรมลงในหนวยความจํา (Memory Resident3.5 Hardware - Level จากแนวคิดแบบเกา ทีว่ า “ไวรัส Program) การตรวจจับโปรแกรมท่ีพยายามจะเขาแกคอมพิวเตอรเปนโปรแกรม (ซอฟตแวร) ชนิดหน่ึงที่ ไขขอมูลในสวนของบตู เรคคอรด ของฮารด ดสิ ก ซ่งึ เมอ่ืทํางานบนระบบคอมพิวเตอร จะไมส ามารถสรา งความ ตรวจจับพฤติกรรมท่ีเขาขายท่ีระบุไดวาเปนไวรัสเสียหายตอระบบฮารดแวรได” ไดถูกทาทายโดยไวรัส โปรแกรมปอ งกันก็จะแจง เตือนชนิดใหมๆ ทพ่ี ฒั นาขนึ้ มาโดยไมไ ดมุงเนน ท่ีการทาํ ลาย 4.2 วิธีการเปรียบเทียบขอมูลในระดับไบนาร่ีขอมูลอยางเดยี ว แตเ ปลีย่ นเปนการมุง เนน การทําลาย เทคนิคนี้เปนเทคนิคท่ีใชเปรียบเทียบขอมูลของไฟลขอมูลถาวรในระดับฮารดแวร การเขาควบคุมในระดับ หรือโปรแกรมในระดับไบนาร่ี โดยจะนําเอาขอมูลไวรัสฮารดแวรจะทําใหก ารทาํ ลายสูงขึ้น การเขา ไปแกไขขอ จากฐานขอมูลท่ีเก็บรหัสรายเซ็นของไวรัสมาทําการมูลท่ีสําคัญของระบบใน CMOS หรือการทําลายขอมลู เปรียบเทยี บกบั ชดุ ของขอมูลในไฟลต า งๆ ซึ่งวธิ กี ารนี้BIOS ของระบบท่ใี ชเ ทคโนโลยี Flash BIOS การเพม่ิ จะตองอาศัยการ Up-date ฐานขอมูลรหัสลายเซ็นความสามารถของไวรัสในการเขาโจมตีจุดออนของ ไวรัสอยางสม่ําเสมอเพื่อท่ีจะทําใหโปรแกรมปองกันระบบแบบน้ีกอใหเกิดความเสียหายในระดับท่ีรุนแรง ไวรัสสามารถรจู ักไวรัสชนิดใหมๆ และวธิ ีการนีจ้ ะใชไม(ไวรสั เชอรโนบลิ CIH มีความสามารถดงั กลาว) ไดผลกับไวรัสท่ีเปน Stealth และ Polymorphic นอกจากนวี้ ิธกี ารน้จี ะทําไดชา3.6 ไวรัสที่พฒั นาโดยภาษาระดับสูง ไวรสั ในปจ จุบนัไมไดมีการพัฒนามาจากภาษาภาษาระดับลางท่ีเปน เทคนิคที่กลาวขางตนเปนเทคนิคพ้ืนฐานในการตรวจแอสเซมบลี (Assembly Language) แตเ พยี งอยา ง สอบและวิเคราะหการทํางานของโปรแกรมตองสงสัยเดียว แตยังมีการนําเอาภาษาระดับสูงมาใชมากข้ึน เทคนิคแบบผสมผสานจึงถกู นํามาใชมากข้นึ นอกจากทําใหความงายในการพัฒนามีมากขึ้น นอกจากน้ีการ นี้ผูพัฒนาโปรแกรมปองกันไวรัสแตละราย ก็จะมีนําเอาความสามารถของภาษาระดับสูงมาใชเพิ่มความ เทคนิดพิเศษเฉพาะตัวในการเพ่ิมประสิทธิภาพในการสามารถใหก ับไวรัส การที่ไวรสั สามารถยกระดบั ความ คนหาไวรสั ความเร็วในการทํางานของโปรแกรม การสามารถของตัวเอง ผานการส่ือสารทางอินเทอรเน็ต กําจัดไวรัส และการคนคืนขอมูลที่เกิดความเสียหายเมื่อตวั ไวรสั ตรวจพบวามกี าร Up – Date Code และ จากไวรัส และการทําสําเนาขอมูลที่สําคัญของระบบฟงกช ่ันใหมๆ ได โดยเทคนิคนเ้ี ปนการเลียนแบบการ เก็บสํารองไวใ ชใ นกรณฉี กุ เฉินเปน ตนทํางานของโปรแกรมปอ งกันไวรัสในการ Up – Dateฐานขอมูลไวรัส และรหัสใหมๆ ของไวรัส (Virus 5. ผลกระทบตอ สังคมSignature) ไวรัสคอมพิวเตอร ไดกอใหเกิดปญหาและความเสีย4. เทคนิคในการตรวจจบั ไวรสั หายตอสังคมทั้งทางดานเศรษฐกิจ และทางดานจริย ธรรม ความเสียหายที่เกิดจากนักพัฒนาโปรแกรมที่มีเทคนิคในการตรวจจับ และวิเคราะหการทํางานของ ความสามารถสูงแตขาดความรบั ผดิ ชอบตอสงั คม จากไวรัสคอมพิวเตอรท่ีนิยมใชกันอยางแพรหลายใน ขาวการทําลายระบบของ ไวรัสที่ผานมามีมูลคาความโปรแกรมสําหรับปองกันไวรัสที่สําคัญและจะกลาวถึง เสียหายตอธุรกิจโดยรวมสงู เชน ไวรัสเชอรโนบลิ ไดในบทความนี้ 2 วธิ คี ือ

242สรางความเสียหายตอระบบคอมพิวเตอรเฉพาะใน ที่ดีในการทํางานกับระบบ แลวไวรัสคอมพิวเตอรก็ไมเอเชียมากกวา 100,000 เคร่ือง ไวรสั เมรสิ สา ไดส รา ง สามารถสรางความเสียหายตอผูใช สังคม และความเสียหายในอเมรกิ ามากกวา 200,000 เครือ่ ง [4] เศรษฐกจินอกจากความเสียหายทีเ่ กดิ ขึ้นแลว เหตุการณล กั ษณะนี้ ก็มีสวนเปนแรงกระตุนใหแกผูท่ีมีแนวคิด และ ท า ง ห น่ึ ง ใ น ก า ร ส ร  า ง วิ นั ย ท่ี ดี ใ น ก า ร ใ ช  ร ะ บ บนกั พฒั นาไวรสั รุน ใหมๆ เกิดตามมาอีกอยา งหลีกเลยี่ ง คอมพิวเตอร คือการปรับเปลี่ยนพฤติกรรมที่เส่ียงตอไมได แนวทางการปองกันดูจะเปนทางออกอยางหนึ่ง การนําเอาไวรัสคอมพิวเตอรเขา สรู ะบบ เชน การเสรมิในการปองกันความเสียหายที่เกิดจากการคุกคามโดย สรางความรูความเขาใจเกี่ยวกับการทํางานของไวรัสไวรัสคอมพวิ เตอร นักพฒั นาระบบความปลอดภยั และ การฝกอบรมการใชงานระบบพื้นฐานการฝกนิสัยที่ดีในนักวางแผนไอที จะตองลงทุนในสว นรกั ษาความปลอด การใชง านแผนดิสกเ กต็ หรือไฟลตา งๆ ท่นี าํ มาจากท่ีภัยเปนมูลคาท่ีสูงขึ้นและการทุมงบประมาณในการ อ่ืน ทแ่ี นบมากบั จดหมายอิเล็กทรอนกิ ส หรือการดาวนพัฒนา การวจิ ยั แมว า ระบบปอ งกนั จะมีการพัฒนาไป โหลดจากอินเตอรเ น็ต ควรทาํ การสแกนตรวจหาไวรสัมากข้ึนแตนักพัฒนาก็พยายามพัฒนาไวรัสเพ่ือท่ีจะ กอนการใชงานทกุ ครัง้ การหมัน่ Up-date เพมิ่ ความผานแนวปองกนั ใหไ ดเ ชนกนั สามารถของโปรแกรมปองกันไวรัสตามคําแนะนําของ โปรแกรม ส่ิงเหลาน้ีจะเปนเกราะปองกันไวรัสในบางประเทศมีการแจงขอมูลความเสียหายที่เกิดจาก คอมพวิ เตอรเขาคกุ คามระบบคอมพวิ เตอรไ ดไวรัสคอมพิวเตอร ลักษณะการทําลาย และการฝาเขาสูแนวปองกัน ตอหนวยงานท่ีดูแลดานความปลอดภัย เอกสารอางอิงของระบบคอมพิวเตอรโดยรวม เพ่อื ใชเปนบทเรียนกบัหนวยงานอน่ื สําหรับบางประเทศทาํ ในสิง่ ท่ีตรงกันขา ม [1] Vesselin Bontchev “Future Trends in Virusคือ การปกปดขอมูลที่เกิดข้ึน เพื่อเหตุผลที่ตองการ Writing”, Virus Test Center, University ofรักษาช่ือเสียง ของหนวยงาน หรือผูรับผิดชอบดูแล Hamburgระบบความปลอดภัย ทําใหการสรา งความเขาใจ และ [2] Tarkan Yetiser “Polymophic Virusesการแบงปน ประสบการณเกย่ี วกับไวรสั และพฤตกิ รรม Implementation, Detection and Protection” VDSการแพรระบาดตา งๆ ทาํ ไดน อ ยลง สงผลให การแกไ ข Advanced Research Group, Baltimore us. (1993)และปอ งกันทาํ ไดยากยิ่งข้นึ [3] VIRUS Reference Document Symantec Corp. http://www.symantec.com6. บทสรุป [4] CERT Coordination Center http://www.cert.orgจากขอมูลท่ีนําเสนอขางตน ไวรัสคอมพิวเตอรเกดิ ขึ้นมาจากการพัฒนาเทคนิคในการเขียนโปรแกรมเพือ่ การ Sanya Klongnaivaiทํางานในลักษณะของการทําลาย สรางความเสียหาย (Research Assistant) :แตเทคโนโลยีบางสวนของไวรัส เปนเทคนิคท่ีมี received his B.Eng. inป ร ะ โ ย ช น  สามารถนํ า ไ ป พัฒ น า โ ป ร แ ก ร ม ท่ัวไปใหมี Technical Education inความสามารถในการฝงตัวเองในหนวยความจํา การ Computer Technology fromปองกันการลบ เปนตน นอกจากน้ีจุดท่ีไวรัส King Mongkut’s Institute ofคอมพิวเตอรใช เพ่ืออาศัยเปนชองทางเขาสูการโจมตี Technology North Bangkok,ระบบคอื การอาศยั ผใู ชเ ปน พาหะ หากผใู ชคอมพวิ เตอร in 1996. He was a studentทุกคนมวี นิ ัยที่ดใี นการใชเ คร่ืองคอมพิวเตอร และมวี นิ ยั trainee at CTL, NECTEC, in 1994. After graduated in 1995, he started working at CTL, NECTEC, as a research assistant. His main research areas are developing the electronics and Control unit in photovoltaic system and fuzzy controller for consumer products. He is also working in PC’s performance testing project in the IND department, NECTEC and Implement algorithms for Y2K Checker Program in Y2K Project. His interests are Computer Architecture, PC Technology and Computer Virus Technology.