ตามล่า ฆ่าล้างเผ่าพันธุ์โค้ดร้ายกันเถอะ!

[jimrim]

<h3>7 ขั้นตอนที่นำไปสู่การตรวจสอบหาไวรัส และม้าโทรจันในระบบของคุณ</h3>

ข้อความเสียงตามสายโทรศัพท์ ในห้องเจ้าหน้าที่ฝ่ายพิฆาตไวรัสมักมีลีลาเริ่มต้นเหมือนกันหมด... "โปรแกรมสแกนของผมค้นหาไวรัสไม่เจอ แต่ผมรู้ว่าอะไรบางอย่างต้องเกิดขึ้นในเครื่องแน่ๆ เลยครับ " โดยปกติ พวกเราจะไม่ติดต่อเจ้าหน้าที่เพื่อขอความช่วยเหลือ จนกว่าโปรแกรมแอนตี้ไวรัสตัวที่ใช้ประจำจะปฏิบัติงานล้มเหลว และประโยคของผู้ที่โทรหาก็ไม่ทำให้เรารู้สึกประหลาดใจเลย เราสะสมไวรัสต้นแบบไว้ในเครื่องมากกว่า 20,000 ตัว (ซึ่งยังไม่ถึงครึ่งหนึ่งของทั้งหมดที่มีอยู่ในโลก) และนับร้อยๆ ชนิดที่ไม่สามารถตรวจจับได้โดยใช้โปรแกรมสแกนที่ขายกันทั่วไป เพราะอันที่จริง การเปลี่ยนขนาดแค่ไม่กี่ไบต์ หรือการใช้อุบายการเข้ารหัสที่แยบคายกว่าเดิม ก็ทำให้โค้ดตัวร้ายรอดพ้นจากสายตาของโปรแกรมสแกนที่ขึ้นชื่อว่าดีที่สุดได้แล้ว
<p class=Paragraph>ดังนั้น คุณจะกระชากหน้ากากโค้ดตัวร้าย (เช่น เวิร์ม ไวรัส ม้าโทรจัน หรือ Backdoor) ที่โปรแกรมสแกนมองข้ามไปได้อย่างไร? บันไดเจ็ดขั้นจะช่วยคุณตะลุยหาไวรัส และโค้ดตัวร้ายชนิดอื่นๆ ที่แฝงตัวอยู่บนระบบวินโดวส์ทั้งหมด ซึ่งในที่นี้เราไม่ขอเอ่ยถึงไวรัสมาโครหรือ Boot-Virus เนื่องจากการอธิบายวิธีเสาะหาโค้ดสองชนิดนี้ จะทำให้บทความมีขนาดยาวเกินควร อีกทั้ง Boot-Virus ก็ไม่มีการแพร่กระจายมากเหมือนเช่นเมื่อครั้งอดีตด้วย

<h3>บันไดขั้นที่ 1: ปลดสายที่ต่ออินเทอร์เน็ตออก</h3>
ถ้าคุณกำลังเชื่อมต่อกับอินเทอร์เน็ต ก็ให้ปลดสายที่ต่อนั้นออก โปรแกรมตัวร้ายในระบบของคุณ อาจกำลังตกค้างอยู่ในช่วงดาวน์โหลดข้อมูล หรือติดตั้งโค้ดที่ชั่วร้ายเพิ่มเติมอยู่ หากผู้บุกรุกได้ส่งม้าโทรจันมาที่พีซี เพื่อติดตามความเคลื่อนไหวทุกอิริยาบถในระบบของคุณ คุณคงจำเป็นที่ต้องตัดการเชื่อมต่อทาง "ประตูหลังบ้าน" เสียก่อนที่ผู้บุกรุกจะรู้ตัวว่าคุณดักจับมันได้


โปรแกรมตัวร้ายจำนวนมากมีแบตช์ไฟล์ "นักฆ่า" ที่ลบล้างหลักฐาน หรือระบบทำลายที่แฮกเกอร์สามารถจุดชนวนให้ระเบิดได้ทันที ที่เขาทราบว่าคุณพบร่องรอยของพวกมันแล้ว วินโดวส์เอ็กซ์พี และวินโดวส์ 2000 ยอมให้คุณยกเลิกความสามารถในการเชื่อมต่อเครือข่ายจากใน My Network Places แต่บางครั้ง เครื่องของคุณอาจยังเชื่อมต่ออยู่ ทั้งๆ ที่คุณนึกว่าไม่ได้เชื่อมต่อก็ได้ ฉะนั้น การปลดสายออกจึงเป็นวิธีที่ปลอดภัยที่สุด แล้วให้คงอยู่เช่นนั้น จนกว่าคุณได้ทำความสะอาดระบบ หรือแน่ใจว่าเครื่องไม่มีโค้ดร้ายใดๆ หลงเหลืออยู่

<h3>บันไดขั้นที่ 2: รันแอนตี้ไวรัสซ้ำอีกรอบ</h3>
ถึงคุณได้รันโปรแกรมแอนตี้ไวรัสไปแล้ว แต่เราก็อยากให้คุณทำซ้ำอีกครั้งหนึ่ง โดยปิดแอพพลิเคชันอื่นๆ ที่ทำงานอยู่ขณะนั้นก่อน ปิดโปรแกรมต่างๆ ในซิสเต็มเทรย์ (โดยปกติ คุณสามารถทำได้โดยการคลิ้กขวาที่ไอคอนของโปรแกรม แล้วเลือก Close หรือ Exit) ต่อจากนั้น กดปุ่ม Ctrl+Alt+Del เพื่อรันโปรแกรม Task Manager และปิดโปรแกรมอื่นๆ ซึ่งไม่จำเป็นต้องใช้ทิ้งให้หมด การปิดโปรแกรมต่างๆ แล้วรันโปรแกรมสแกนไวรัสรอบที่สองนั้น เป็นความคิดที่ดีแม้ว่าสแกนเนอร์จะตรวจพบไวรัสไปแล้วตั้งแต่รอบแรกก็ตาม เพราะในหลายครั้งที่ผมใช้โปรแกรมสแกนเนอร์ แล้วพบไฟล์ที่ติดไวรัส จากนั้นพอปิดโปรแกรมอื่นๆ แล้วตรวจซ้ำอีกหน ปรากฏว่าผมพบไฟล์ที่ติดไวรัสจำนวนมากกว่ารอบแรกเสียอีก ดังนั้นจึงสรุปได้ว่า ยิ่งมีโปรแกรมรันอยู่ในเมโมรีน้อยเท่าไหร่ โปรแกรมสแกนก็ยิ่งตรวจสอบไวรัสได้ถูกต้องแม่นยำขึ้นเท่านั้น คุณจึงควรปิดทุกอย่างที่ไม่จำเป็นเสียให้หมด โปรดสังเกตว่าผมไม่แนะนำให้บูตเครื่องไปที่เซฟโหมด เพราะการทำเช่นนี้ อาจทำให้โปรแกรมแอนตี้ไวรัสถูกดิสเอเบิล หรือทำให้กระบวนการดักจับไวรัสยุ่งเหยิงมากขึ้น
<p class=Paragraph>นอกจากนี้ จงแน่ใจว่าได้เลือกโหมดสแกนที่ระดับละเอียดสุด เท่าที่โปรแกรมแอนตี้ไวรัสของคุณจะมีด้วย ก่อนหน้านี้ คุณอาจสแกนไวรัสโดยใช้อาศัยค่าเริ่มต้นที่ทางผู้พัฒนาตั้งมาให้สำหรับใช้งานทั่วไปๆ แต่ค่าเหล่านี้เป็นแค่สิ่งที่ผู้พัฒนาคิดว่ามีประสิทธิภาพคุ้มเวลาที่เสียไปกับการสแกนมากที่สุด เพื่อให้สามารถสแกนไวรัสเสร็จเร็วขึ้น โดยกระโดดข้ามการค้นหาไฟล์ต้องสงสัยประเภทที่มีโอกาสเกิดน้อยไป หาใช่ค่าที่สแกนไวรัสได้ละเอียดลงลึกที่สุดไม่ ยกตัวอย่างเช่น โปรแกรมสแกนหลายตัวเมื่อใช้ค่าดีฟอลต์จะไม่ยอมสแกน Recycle Bin ซึ่งเป็นโฟลเดอร์ที่โค้ดร้ายบางตัวใช้ประโยชน์ได้ ฉะนั้น ถ้าคุณต้องการความถี่ถ้วน ก็ต้องตั้งค่าให้โปรแกรมสแกนทุกสิ่งทุกอย่าง ในทุกตำแหน่งของดิสก์ แม้กระทั่งในไฟล์ที่บีบขนาดเช่นไฟล์ Zip ด้วย

<h3>3. มองหาไส้ศึกในไฟล์เริ่มต้นระบบ</h3>
ผู้ก่อการร้ายบนอินเทอร์เน็ตส่วนมาก ต้องการให้ไวรัสและม้าโทรจันของตนโหลดเข้าไปในเมโมรีของระบบให้บ่อยครั้งที่สุดเท่าที่จะเป็นไปได้ ซึ่งโปรแกรมไส้ศึกนี้จะสามารถวางตัวเองในจุดอ่อนได้หลายตำแหน่ง เพื่อให้ตัวมันถูกเอ็กซิคิวต์อัตโนมัติ เมี่อผู้ใช้เปิดเครื่องหรือเรียกแอพพลิเคชันอันใดอันหนึ่งขึ้นทำงาน คุณจำเป็นต้องค้นหาในแต่ละตำแหน่งและกำจัดทุกโปรแกรมที่โหลดตัวเองอัตโนมัติเสีย ขั้นตอนนี้น่าจะเป็นขั้นที่ทำได้ยากที่สุด และเสียเวลามากที่สุดของกระบวนการตามล่าหาความจริง เพราะคุณควรทราบให้แน่ชัดก่อนว่าโปรแกรมอะไรบ้างที่ปลอดภัย ไม่สร้างภัยอันตรายให้กับระบบ ซึ่งคุณต้องอาศัยการศึกษาวิเคราะห์อย่างจริงจังทีเดียว

<table align=left cellspacing=2 cellpadding=5 class=pic><tr><td align=center></td></tr><tr><td align=center><font class=picdesc>
รูปที่ 2: เส้นทางการเริ่มต้นทำงานของระบบ

วินโดวส์เอ็กซ์พี, 2000 และเอ็นที </td></tr></table>

<p class=Paragraph>ในแต่ละครั้งที่คุณเปิดเครื่อง เครื่องก็จะก้าวเข้าสู่ขั้นตอนต่างๆ ของการโหลดโอเอส และโปรแกรมที่เริ่มต้นได้ตัวเองเป็นจำนวนมาก กว่าจะลงเอยที่หน้าจอสุดสวยของวินโดวส์ เวลาที่คุณจะคลิ้กเรียกโปรแกรมใดๆ ขึ้นทำงาน ทราบไหมว่าพีซีอาจได้เรียกโปรแกรมเป็นสิบๆ และไฟล์อื่นที่โอเอสกับซอฟต์แวร์ตัวอื่นจำเป็นต้องพึ่งพาอาศัยเป็นร้อยๆ ตัดหน้าคุณก่อนแล้ว เช่น Task Scheduler, AOL, RealPlayer หรือโปรแกรมที่มากับการ์ดแสดงผลก็ตาม เหล่านี้ล้วนเป็นโปรแกรมที่โหลดขึ้นเองโดยที่ผู้ใช้ไม่ได้สั่งทั้งสิ้น ในหลายๆ อาณาบริเวณของวินโดวส์จะทำหน้าที่โหลดโปรแกรมและไฟล์ ดังรูปที่ 1 แสดงตำแหน่งที่สามารถโหลดโปรแกรมได้ระหว่างขั้นตอนการสตาร์ตอัพวินโดวส์ Me และ 9x เรียงตามลำดับเกิดก่อนหลัง ส่วนรูปที่ 2 ก็เป็นเส้นทางลำดับการเรียกโปรแกรมตอนสตาร์ตอัพของวินโดวส์เอ็กซ์พี, 2000 และเอ็นที
<p class=Paragraph>ไฟล์ และบริเวณที่จะนำเสนอต่อไปนี้ เป็นจุดอ่อนที่สามารถเอ็กซิคิวต์โค้ดร้ายให้ทำงานได้ ซึ่งอย่างน้อยที่สุด คุณก็ควรตรวจสอบส่วนประกอบเหล่านี้ และสังเกตบรรทัดคำสั่งสำหรับโหลดโปรแกรมที่คุณไม่รู้จักชื่อเสียงเรียงนามไว้ เสร็จแล้วตอนท้ายของบทความ เราจะสอนวิธีตรวจสอบว่าโปรแกรมที่สงสัยนั้นมีอันตรายหรือไม่แก่คุณทีหลัง
<p class=Paragraph>config.sys หรือ config.nt ไฟล์ config.sys ของวินโดวส์ Me และ 9x ทำหน้าที่ระบุสภาพของการทำงานในระบบ (เช่น ระบุจำนวนไฟล์สูงสุดที่ระบบสามารถเปิดได้พร้อมกัน และจำนวนเมโมรีที่ยอมให้สแต็กหรือบัฟเฟอร์ใช้งาน) และโหลดไดรเวอร์ของอุปกรณ์ (Device Driver) ถึงแม้ผู้เจาะระบบไม่นิยมใช้ config.sys เป็นเป้าโจมตีเหมือนบริเวณอื่นๆ ในวินโดวส์ แต่ไฟล์นี้ก็สามารถโหลดโค้ดร้ายในฐานะไดรเวอร์หรือไฟล์เอ็กซิคิวต์ได้ ให้ใส่ใจเป็นพิเศษกับบรรทัด DEVICE = ซึ่งทำหน้าที่โหลดไดรเวอร์ของอุปกรณ์ และ SHELL = ซึ่งทำหน้าที่บอกวินโดวส์รุ่นเก่าๆ ว่าให้โหลดเชลล์ของอินเทอร์เฟซดอสตัวไหนขึ้นทำงานให้ดี ถ้า DEVICE = เอ่ยถึงชื่อไฟล์ลอยๆ โดยไม่มีพาธ ก็แสดงว่าไดรเวอร์นั้นอยู่ในระบบของวินโดวส์บริเวณใดบริเวณหนึ่งเช่นรูตไดเรกทอรี, ไดเรกทอรี Windows หรือไดเรกทอรี System โค้ดร้ายบางชนิดจะสร้างไฟล์สายลับม้าโทรจันโดยใช้ชื่อเหมือนไฟล์ระบบของวินโดวส์ แต่วางอยู่ผิดที่ผิดทาง ยกตัวอย่างเช่น DEVICE = IFSHLP.SYS อย่างนี้เป็นไฟล์ของวินโดวส์แน่นอน แต่หากโผล่มาเป็น DEVICE = C:WINDOWSSYSTEMIFSHLP.SYS ก็ไม่น่าใช่ไฟล์ที่ปลอดภัยเป็นต้น ให้จดบันทึกชื่อโปรแกรมหรือไดรเวอร์ที่สงสัยไว้ ส่วน SHELL = ตามปกติควรชี้ไปที่ command.com แต่บางโอกาส ก็สามารถชี้ไปที่เชลล์โปรแกรมที่ไม่มีอันตรายอื่นๆ ได้เหมือนกัน
<p class=Paragraph>วินโดวส์ Me และ 9x จะเอ็กซิคิวต์ไฟล์และบรรทัดพื้นฐานต่างๆ ของ config.sys บางตัวได้ แม้กระทั่งว่า config.sys จริงๆ จะไม่อยู่ในเครื่องเลยก็ตาม (จงจำกฎข้อนี้ไว้เพื่อที่คุณจะไม่ต้องกังวลเกินไปว่าทำไมไฟล์ที่ไม่ได้ระบุไว้ใน config.sys ถึงโหลดเข้าไปในเมโมรี และคำสั่งที่ไม่ได้ระบุไว้ใน config.sys ถึงทำงานอยู่ได้) อีกทั้งไฟล์ io.sys ในวินโดวส์เวอร์ชันเหล่านี้ ก็จะเก็บไฟล์ต่างๆ ของ config.sys และการตั้งค่าเริ่มต้นต่อไปนี้ไว้ ได้แก่ himem.sys, ifshlp.sys, server.exe, dblspace.bin หรือ dvrspace.bin, DOS = HIGH, FILES = 60, LASTDRIVE = Z, BUFFERS = 30, STACKS=9,256, SHELL = C:COMMAND.COM /p และ FCBS = 4 ในระหว่างการบูต io.sys จะตรวจสอบการมีอยู่ของ config.sys ในรูตไดเรกทอรี ซึ่งถ้าพบ config.sys ไฟล์ io.sys ก็จะเอ็กซิคิวต์ทุกบรรทัดในนั้น แล้วค่อยประมวลผลค่าเริ่มต้นใน io.sys เฉพาะอันที่ config.sys ไม่ได้แย่งไปทำเอง
<p class=Paragraph>ในวินโดวส์รุ่นใหม่ๆ เริ่มมีการพึ่งพาอาศัย config.sys ซึ่งเป็นสไตล์มรดกตกทอดจากดอสน้อยลงแล้ว โดยในวินโดวส์เวอร์ชัน 32 บิต (เอ็กซ์พี, 2000 และเอ็นที) config.sys จะได้รับการตั้งชื่อใหม่ว่า config.nt และมีประโยชน์เฉพาะกับโปรแกรมยุคโบราณๆ เท่านั้น ถ้าพบว่ามี config.nt ในระบบ 32 บิตของคุณ ก็ให้ตรวจสอบโดยใช้วิธีเดียวกับที่อธิบายไว้ข้างต้นได้ทันที
<p class=Paragraph>autoexec.bat หรือ autoexec.nt ไฟล์ autoexec.bat หรือ autoexec.nt ซึ่งทำงานถัดจากไฟล์ config.sys หรือ config.nt ตามลำดับนี้ จะรับหน้าที่จัดการสภาพแวดล้อมการทำงานของระบบในมุมมองที่กว้างขึ้น (เช่น การเซตพาธ) และโหลดโปรแกรมในส่วนที่ไม่ได้ระบุไว้ในไฟล์คอนฟิก นอกจากนี้ คุณอาจพบไฟล์ autoexec.dos และ config.dos ซึ่งวินโดวส์จะโหลดเมื่อคุณรันโปรแกรมของดอสในวินโดวส์ Me หรือ 9x ด้วย สิ่งที่ควรทำ คือตรวจสอบไฟล์ Autoexec ทั้งปวงเพื่อให้เข้าใจในสิ่งที่มันทำและโหลด โดย Autoexec และ Config มักจะโหลดไฟล์ไดรเวอร์ซีดีรอมและซาวนด์การ์ด เมื่อโค้ดร้ายเพิ่มตัวเองลงใน Autoexec ก็มักกระทำที่ส่วนท้ายของ Autoexec กับ Config เพราะฉะนั้น ขอให้อ่านไฟล์สองตัวนี้ไล่จากล่างขึ้นบนและจดชื่อไฟล์ที่ต้องสงสัยไว้ตรวจสอบทีหลัง
<p class=Paragraph>คุณจะทราบอย่างไรว่าบรรทัดคำสั่งใดเป็นของใคร? ของคุณตั้งแต่แรก? หรือของโค้ดตัวร้าย? วิธีหนึ่งคือการก๊อบปี้สำเนาของไฟล์ Autoexec และ Config ไว้ในไดเรกทอรีแบ็กอัพ เพื่อที่คุณจะสามารถเปรียบเทียบ Autoexec กับ Config ชุดปัจจุบันกับสำเนาในแบ็กอัพ และดูว่าบรรทัดใดมีการแก้ไขเปลี่ยนแปลงหรือไม่ ส่วนอีกวิธีหนึ่ง คือ การตรวจสอบ Autoexec และ Config ชุดปัจจุบันกับไฟล์ autoexec.bak และ config.bak ที่คุณอาจพบในระบบ แต่วิธีนี้จะมีความน่าเชื่อถือน้อยกว่าแบบแรก
<p class=Paragraph> winstart.bat ถ้าคุณพบไฟล์ winstart.bat หรือ dosstart.bat ก็ให้ตรวจสอบสิ่งที่มันพยายามโหลด วินโดวส์ 9x ใช้ไฟล์เหล่านี้โหลดโปรแกรมต่างๆ เมื่อวินโดวส์หรือดอสเริ่มต้นทำงาน ยกตัวอย่างเช่น ในวินโดวส์ 98 ถ้าคุณเปิด Dos Prompt ระบบก็จะรันคำสั่งที่อยู่ใน dosstart.bat แล้วเมื่อคุณออกจากเชลล์คำสั่งดอส กลับไปยังวินโดวส์ winstart.bat ก็จะถูกเอ็กซิคิวต์ ถึงแม้ตามปกติ โค้ดร้ายมักไม่ค่อยซ่อนตัวตรงนี้สักเท่าไหร่ แต่ถ้าคุณเสียเวลาหามันแล้วพบก็ย่อมคุ้มค่าเหนื่อยแน่นอน จดรายชื่อโปรแกรมที่คุณไม่รู้จักไว้ แล้วผมจะอธิบายวิธีการศึกษาโปรแกรมจำพวกนี้ไว้ในขั้นตอนที่ 6 ส่วนในวินโดวส์เอ็กซ์พี, 2000 และเอ็นทีจะไม่มีการใช้ไฟล์ winstart.bat และ dosstart.bat แต่อย่างใด
<p class=Paragraph>system.ini หรือซับคีย์ ...Shell ในส่วนหัวข้อ [boot] ของไฟล์ system.ini ในวินโดวส์ Me และ 9x จะมีบรรทัดคำสั่ง SHELL = explorer.exe ซึ่งระบุว่าโปรแกรมวินโดวส์เอ็กซ์พลอเรอร์เป็นไฟล์ GUI ที่จะโหลด อย่าสับสนกับโปรแกรมอินเทอร์เน็ตเอ็กซ์พลอเรอร์ (IE - iexplorer.exe) เพราะเป็นโปรแกรมคนละตัวกัน พวกไวรัส รวมถึงม้าโทรจันทั้งหลาย มักเปลี่ยนแปลงแก้ไขบรรทัด SHELL = explorer.exe นี้ เพื่อให้มันสามารถโหลดเข้าไปในเมโมรี พร้อมโปรแกรมวินโดวส์เอ็กซ์พลอเรอร์ทุกครั้งที่วินโดวส์เริ่มทำงาน เช่น ในบรรทัด SHELL = explorer.exe thing.exe คำว่า thing.exe ก็น่าจะเป็นม้าโทรจัน นอกจากนี้ ไฟล์ system.ini ยังมีหน้าที่โหลดสกรีนเซฟเวอร์ ซึ่งผู้รุกรานมักแก้ไขบรรทัด SCRNSAVE.EXE = โดยแทนที่ชื่อสกรีนเซฟเวอร์ดั้งเดิมด้วยชื่อของโค้ดร้าย ส่วนกรณีของวินโดวส์เอ็กซ์พี, 2000 และวินโดวส์เอ็นที จะไม่พึ่ง system.ini ในการโหลด GUI และสกรีนเซฟเวอร์แล้ว แต่จะไปโหลดจากซับคีย์ HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell แทน
<p class=Paragraph>win.ini ไฟล์เริ่มต้นการทำงานอีกตัวหนึ่ง ที่วินโดวส์มองหาระหว่างการสตาร์ตอัพก็คือ win.ini ซึ่งมีบรรทัดคำสั่งต่างๆ กำหนดลักษณะหน้าตาโดยรวมๆ ของวินโดวส์เอง โดยภารกิจของเราจะมุ่งพิจารณาเฉพาะหัวข้อ [windows] ในไฟล์นี้เป็นหลัก บรรทัด LOAD = และ RUN = ทำหน้าที่เอ็กซิคิวต์โปรแกรมทุกครั้งที่วินโดวส์เริ่มทำงาน โดยโปรแกรมที่ LOAD = อ้างถึงจะรันในแบ็กกราวนด์ ส่วนโปรแกรมที่ RUN = อ้างถึงจะรันในหน้าต่างปกติ ไวรัสและม้าโทรจันสามารถแทรกตัวอยู่ในบรรทัดเหล่านี้เพื่อเข้าคุมระบบเมื่อวินโดวส์ทำงาน แต่ในกรณีของวินโดวส์เอ็กซ์พี, 2000 และเอ็นที จะไม่ใช้ win.ini ในการโหลดโปรแกรมอีก ซึ่งในตอนท้ายของบทความ เราจะพูดถึงซับคีย์ในรีจีสทรีที่มีคุณสมบัติเทียบเท่าไฟล์นี้ต่อไป
<p class=Paragraph>wininit.ini ไฟล์ .ini อีกตัวหนึ่ง ซึ่งไม่ค่อยมีใครพูดถึงกันเท่าไหร่ก็คือ wininit.ini ซึ่งวินโดวส์และโปรแกรมต่างๆ ของวินโดวส์ใช้ติดตั้งและถอนการติดตั้งตัวเอง ไฟล์นี้สามารถบรรจุคำสั่งสำหรับก๊อบปี้หรือลบไฟล์ ถ้าโปรแกรมใดโปรแกรมหนึ่งวาง wininit.ini ไว้ในโฟลเดอร์ Windows ระบบก็จะเอ็กซิคิวต์คำสั่งต่างๆ ของไฟล์นี้เมื่อรีบูตครั้งต่อไป แล้วมักจะแก้ชื่อไฟล์นี้ใหม่เป็น wininit.bak อย่างน้อยโค้ดร้ายจำนวนหนึ่ง (เป็นต้นว่า W95.MTX, W32.Kriz, VBS.Kidarcade) ก็ใช้ wininit.ini ในการติดตั้งตัวเองลงเครื่อง ถ้าคุณพบเห็นไฟล์ wininit.bak ก็ให้ใช้เท็กซ์เอดิเตอร์เปิดขึ้นมา เพื่อดูกิจกรรมครั้งล่าสุดของไฟล์ที่ wininit.ini ได้กระทำไว้
<p class=Paragraph>ถ้าไฟล์หรือบริเวณใดๆ (เช่น autoexec.bat หรือ config.sys) มีบรรทัดที่มีชื่อของโปรแกรมตัวร้ายเป็นองค์ประกอบ คุณก็สามารถลบทิ้งหรือรีมาร์ก (REM) บรรทัดนั้น เซฟ แล้วรีบูตระบบได้ หากคุณไม่แน่ใจว่าโปรแกรมนั้นๆ มีความปลอดภัยหรือไม่ ก็จงบันทึกไว้ในรายชื่อโปรแกรมที่ต้องศึกษาในภายหลังด้วย

<table align=right cellspacing=2 cellpadding=5 class=pic><tr><td align=center></td></tr><tr><td align=center><font class=picdesc>
รูปที่ 3: ซับคีย์ของรีจีสทรีที่ทำหน้าที่โหลด

โปรแกรมตอนวินโดวส์สตาร์ตอัพ

เรียงตามลำดับก่อนหลัง </td></tr></table>

<p class=Paragraph>รีจีสทรี วินโดวส์ใช้รีจีสทรีในการจัดระบบโอเอส และโปรแกรมทั้งหลาย ซึ่งคุณสามารถใช้ regedit.exe ในวินโดวส์ Me หรือ 9x และ regedt32.exe ในวินโดวส์เอ็กซ์พี, 2000 หรือเอ็นที เพื่อเรียกดูและแก้ไขรีจีสทรีได้ แต่ถ้าคุณทำก็ขอให้มั่นใจก่อนว่าคุณมีความรู้ในสิ่งที่ทำ เพราะความผิดพลาดเพียงหนึ่งหน อาจนำไปสู่ปัญหาตามมาเป็นลูกโซ่ อันยากที่จะเยียวยาได้
<p class=Paragraph>เมื่อไล่ล่าตามหาโค้ดร้าย คุณจำเป็นต้องดูที่ซับคีย์ในรีจีสทรีที่โหลดโปรแกรมต่างๆ อัตโนมัติเมื่อวินโดวส์เริ่มทำงาน รายชื่อซับคีย์ในรูปที่ 3 จะบรรจุชื่อโปรแกรมที่จะโหลดอัตโนมัติ และทำงานเรียงตามลำดับจากบนลงล่าง ถ้าคุณพบโปรแกรมในรีจีสทรีที่ทราบดีว่าไม่ควรต้องรันทุกครั้งที่สตาร์ตวินโดวส์ คุณก็สามารถคลิ้กขวาที่ชื่อโปรแกรมแล้วคลิ้ก Delete การปฏิบัติเช่นนี้จะป้องกันมิให้รีจีสทรีโหลดโปรแกรมนั้นขึ้นได้อีก แต่คุณก็ต้องรีบูตระบบด้วย เพื่อล้างโปรแกรมนั้นออกไปจากเมโมรี


กรุ๊ป Startup กรุ๊ป Startup ของวินโดวส์ (คลิ้ก Start, Programs, Startup) มีความสามารถในการเก็บ และเริ่มต้นโปรแกรมได้เมื่อวินโดวส์ทำงาน ซึ่งในวินโดวส์ Me และ 9x ให้คุณใช้วินโดวส์เอ็กซ์พลอเรอร์เรียกไปที่ C:%windir%start menuprogramsstartup ส่วนในวินโดวส์เอ็กซ์พีและ 2000 ให้ไปที่ C:documents and settingsชื่อแอ็กเคานต์ผู้ใช้start menuprogramsstartup และในวินโดวส์เอ็นทีให้ไปที่ C:%windir%profilesชื่อแอ็กเคานต์ผู้ใช้start menuprogramsstartup พอต้องการลบชื่อโปรแกรมใด ให้คลิ้กขวาที่ชื่อโปรแกรมนั้น แล้วคลิ้ก Delete

<h3>4. ใช้เครื่องมือที่มีประสิทธิภาพ</h3>
การค่อยๆ ค้นหาไส้ศึกตามบริเวณโหลดโปรแกรมตอนเริ่มระบบทีละจุดๆ อาจเป็นงานที่น่าเบื่อ แต่ไมโครซอฟท์ก็ได้เสนอเครื่องมือหลายชิ้นที่สามารถลดภาระนี้ได้ ไม่ว่าจะเป็นโปรแกรม System Configuration Editor (sysedit.exe), System Configuration Utility (msconfig.exe) หรือ Dr. Watson (drwatson.exe) ก็ล้วนเป็นเครื่องมือที่ควรค่าแก่การใช้ เมื่อถึงคราวค้นหาโค้ดร้ายในไฟล์และบริเวณต่างๆ ของวินโดวส์ แต่จงจำไว้ว่าเครื่องมือเหล่านี้ทั้งหมดมิได้มีอยู่ในวินโดวส์ทุกเวอร์ชัน และเครื่องมือคนละเวอร์ชันก็มีคุณสมบัติที่แตกต่างกันออกไป
<p class=Paragraph>โปรแกรม Sysedit มีใช้งานมาช้านาน ตั้งแต่ยุควินโดวส์ 3.x ซึ่งทำงานได้กับวินโดวส์ทุกเวอร์ชัน และสามารถแสดงรายละเอียดของไฟล์ config.sys, autoexec.bat, system.ini และ win.ini ได้ ตามที่ชื่อบอกเป็นนัยๆ Sysedit อนุญาตให้คุณแก้ไขรายละเอียดของไฟล์เหล่านี้ แม้ว่าจะไม่ได้ให้รายละเอียดลงลึกมากเท่าเครื่องมืออื่นๆ ก็ตาม
<p class=Paragraph>Msconfig ซึ่งมีอยู่ในวินโดวส์รุ่นปัจจุบันทุกเวอร์ชัน ยกเว้นวินโดวส์ 2000 และเอ็นที จะแสดงรายละเอียดของไฟล์ที่ Sysedit แสดงได้ พร้อมชื่อโปรแกรมที่ถูกโหลดอัตโนมัติจากรีจีสทรีด้วย คุณสามารถใช้ Msconfig เปิด/ปิดการโหลดอัตโนมัติของโปรแกรมแต่ละตัว โดยที่แท็บ Startup จะแสดงชื่อโปรแกรมที่รันจากรีจีสทรี
Dr.Watson เป็นเครื่องมืออันเยี่ยมยอดที่มีอยู่ในวินโดวส์ Me และ 98 หลังจากที่เรียกโปรแกรมนี้แล้ว ให้เลือกออปชัน Advanced View เพื่อดูชื่อโปรแกรมที่โหลดขึ้นอัตโนมัติ บวกข้อมูลทางเทคนิคอื่นๆ เช่น ไฟล์โอเอสที่กำลังทำงานขณะนั้น แต่น่าเสียดายที่ Dr.Watson เป็นเครื่องมือประเภทดูอย่างเดียว ที่ไม่สามารถเปิด/ปิดการโหลดอัตโนมัติของโปรแกรมได้

<h3>5. ค้นหาไฟล์ระบบ กับไฟล์เอ็กซิคิวต์ที่ถูกแก้ไข</h3>
ถึงแม้บรรดาไวรัส และม้าโทรจันทั้งหลาย จะมีความสามารถกลบเกลื่อนร่องรอยสิ่งที่ทำไว้กับระบบได้ แต่ส่วนมากมักไม่นิยมทำกัน เนื่องจากผู้ใช้ทั่วไปไม่ค่อยเห็นความสำคัญของการเปลี่ยนแปลงเหล่านี้นัก เวลาปฏิบัติการโค้ดร้ายจะแก้ไขที่ไฟล์เอ็กซิคิวต์โปรแกรม หรือสร้างไฟล์ตัวร้ายขึ้นใหม่เป็นหลัก ดังนั้น เราจึงนิยมใช้ยูทิลิตี้ Find ของวินโดวส์ เรียกดูไฟล์ทั้งหมดที่ถูกแก้ไขในช่วงไม่กี่วันที่ผ่านมา หรือตั้งแต่วันที่เริ่มสงสัยว่ามีปัญหาเกิดขึ้น Find มักให้ผลค้นหาไฟล์ออกมาเป็นร้อยๆ เพราะวินโดวส์มีกิจกรรมเกี่ยวกับไฟล์มากมายอยู่หลังฉาก แต่ถ้าสังเกตเห็นไฟล์ที่มีสกุล dll, exe หรือ vxd ในผลการค้นหามากผิดหูผิดตา โดยที่เมื่อไม่นานนี้คุณไม่ได้ติดตั้งโปรแกรมใหม่ๆ เลย ก็อาจเป็นไปได้ที่ในระบบจะมีโค้ดร้ายซ่อนอยู่
<p class=Paragraph>ถ้ารู้สึกว่ามีไฟล์สกุลดังกล่าวถูกแก้ไขมากเกินไป คุณก็สามารถทดลองให้เห็นด้วยตาว่าเป็นเพราะโค้ดร้ายจริงหรือไม่ โดยรันไฟล์ในบัญชีผู้ต้องสงสัยเพื่อโหลดลงในเมโมรี จากนั้นรันไฟล์โปรแกรม และไฟล์เอ็กซิคิวต์ตัวที่ยังไม่ถูกแก้ไขในช่วงไม่กี่วันที่ผ่านมา สุดท้ายให้รันยูทิลิตี้ Find อีกหนเพื่อดูว่าไฟล์ที่มีสกุล dll, exe หรือ vxd จะปรากฏในผลค้นหาเพิ่มขึ้นหรือไม่ หากมีโค้ดร้ายอยู่ในระบบ โดยมากมันก็จะไปแก้ไขเปลี่ยนแปลงไฟล์เอ็กซิคิวต์ที่คุณรันทุกครั้ง



<h3>6. ศึกษาวิจัยไฟล์ที่ต้องสงสัย</h3>
มาถึงขั้นตอนนี้ คุณคงมีรายชื่อไฟล์ที่สงสัยอยู่หลายตัวทีเดียว ในรายชื่อที่บันทึกไว้ ควรประกอบไปด้วยชื่อของไฟล์ ขนาดของไฟล์ และวันที่ถูกแก้ไขเปลี่ยนแปลงครั้งล่าสุดให้ครบถ้วน ทีนี้ก็ถึงเวลาศึกษาวิจัยกันแล้ว ชื่อซับไดเรกทอรีที่ไฟล์อยู่มักบอกใบ้ให้ทราบถึงซอฟต์แวร์หรือบริษัทผู้พัฒนาที่เกี่ยวข้อง คุณจะสามารถลองค้นหาไฟล์นั้นได้จากแผ่นติดตั้งซอฟต์แวร์ (ถ้ามี) หรือจากบนเว็บ (โดยใช้พีซีคนละเครื่องกับที่สงสัย) โดยปกติแล้ว เรานิยมทำแบบหลังมากกว่า โดยพิมพ์ชื่อไฟล์ที่ต้องสงสัยในเสิร์จเอ็นจินที่ดีอย่าง AltaVista, Google หรือ Yahoo! ถ้าไฟล์นั้นเป็นโค้ดร้าย เสิร์จเอ็นจินก็มักแสดงผลค้นหาโยงไปยังเว็บไซต์ของโค้ดร้ายเอง หรือเว็บบอร์ดของพวกแฮ็กเกอร์ แต่ถ้าไฟล์นั้นปลอดภัย คุณก็จะเห็นลิงก์ไปยังเว็บไซต์ของบริษัทผู้พัฒนาซอฟต์แวร์ ซึ่งคุณสามารถเปรียบเทียบขนาด และวันที่ที่สร้างไฟล์ของคุณกับทางผู้พัฒนาได้

<table align=left cellspacing=2 cellpadding=5 class=pic><tr><td align=center></td></tr><tr><td align=center><font class=picdesc>
รูปที่ 1: เส้นทางการเริ่มต้นทำงานของ

ระบบวินโดวส์ Me และ 9x </td></tr></table>

<p class=Paragraph>การตรวจสอบวันที่และขนาดของไฟล์นั้นสำคัญมาก เนื่องจากไฟล์ม้าโทรจันจำนวนหนึ่ง จะใช้ชื่อไฟล์เดียวกับของโปรแกรมในเครื่องเพื่อตบตาผู้ใช้ แฮกเกอร์จะใช้ชื่อไฟล์ที่ทราบดีว่าปลอดภัยในการตั้งชื่อม้าโทรจัน หรือเขียนทับโปรแกรมที่ปลอดภัยในเครื่องด้วยเวอร์ชันของม้าโทรจันเสียเลย นอกจากนี้ ยังมีการใช้ชื่อที่ดูผ่านๆ เหมือนชื่อโปรแกรมถูกกฎหมาย ดังแสดงไว้ในเว็บตารางที่ 1 (http://www.winnetmag.com, InstantDoc ID 24899) ด้วย

<h3>7. ใช้เท็กซ์เอดิเตอร์เปิดไฟล์ที่สงสัย</h3>
หากคุณไม่สามารถพิสูจน์ความถูกต้องของไฟล์เอ็กซิคิวต์ หรือไฟล์โปรแกรมจากเสิร์จเอ็นจินได้ ก็ให้ลองใช้โปรแกรม edit.com ของดอสเปิดไฟล์นั้น และตรวจสอบด้วยสายตา ถึงแม้ไฟล์โค้ดร้ายจำนวนมากจะถูกเข้ารหัสไว้ แต่ก็มักประกอบด้วยคำและวลีซึ่งไม่น่าจะมีอยู่ในไฟล์ที่ปลอดภัย (เป็นต้นว่า Virus!!, Infected!, Kill, Victim หรือ Props to my hacker brothers) จากรูปที่ 1 ของเว็บ http://www.winnetmag.com, InstantDoc ID 24899 แสดงให้เห็นส่วนประกอบหนึ่งของไวรัส Hybris ที่มีประโยค "Greetz goes to ZOMBiE, Spanksa and Mr. Sandman" แฝงอยู่ ซึ่งไม่ควรมีอยู่ในไฟล์ใดๆ ที่คุณควรไว้วางใจ
<p class=Paragraph>ถ้าไฟล์ทั้งหมดของคุณผ่านการตรวจสอบทุกขั้นตอน แล้วปรากฏว่าไม่มีเหตุอันใดที่น่าสงสัย ก็แสดงว่าเครื่องของคุณไม่มีโค้ดร้ายสิงสถิตอยู่แน่นอน จงเสียบสายต่ออินเทอร์เน็ตกลับเข้าไปใหม่ และแก้ปัญหาฮาร์ดแวร์หรือซอฟต์แวร์ในแง่มุมอื่นๆ ต่อไป แต่หากดำเนินขั้นตอนทั้งหมดแล้วยังคงเหลือไฟล์ที่ต้องสงสัย คุณก็ควรปรึกษาทางผู้จำหน่ายซอฟต์แวร์แอนตี้ไวรัส (ส่งสำเนาของไฟล์ตัวนั้น) หรือพิจารณากระทำอย่างใดอย่างหนึ่งกับเครื่องที่เห็นว่าไม่ปลอดภัย ซึ่งผู้เชี่ยวชาญส่วนมากมักแนะนำให้ติดตั้งโอเอส ไฟล์ และโปรแกรมทั้งหมดกันใหม่แบบหมดจด


เอาล่ะ ขอให้สนุกกับการไล่ล่าพิฆาตโค้ดร้ายกันโดยถ้วนหน้านะครับ!

From : http://www.arip.co.th

[Edited by jimrim on 03-29-2003 at 12:25 AM GMT]