ฆ่าไวรัสด้วยตัวเอง ไม่ง้อโปรแกรม
LSVคลังสมองออนไลน์ "ปีที่14"
พฤศจิกายน 24, 2024, 05:28:17 pm *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
 
   หน้าแรก   ช่วยเหลือ เข้าสู่ระบบ สมัครสมาชิก  
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน หัวข้อ: ฆ่าไวรัสด้วยตัวเอง ไม่ง้อโปรแกรม  (อ่าน 9286 ครั้ง)
ufour
ชุมชนคนรักอาชีพช่าง
member
*

คะแนน8
ออฟไลน์ ออฟไลน์

กระทู้: 50


« เมื่อ: กรกฎาคม 11, 2008, 05:49:01 pm »

ผมค่อนข้างเห็นใจคนที่ใช้ระบบปฏิบัติการวินโดว์มากครับ เพราะมันมีไวรัสคอมพิวเตอร์ชุกชุมเหลือเกิน และยิ่งเห็นใจมากขึ้น เมื่อเด็กรุ่นใหม่ ๆ ที่ไม่เคยได้สัมผัสกับ MS-DOS มาก่อน ไม่รู้ว่าจะแก้ไขคอมพิวเตอร์ของตนที่ติดไวรัสได้ยังไงดี

ปรกติแล้วไวรัสคอมพิวเตอร์ก็คือไฟล์คอมพิวเตอร์ธรรมดาเนี่ยแหล่ะครับ เพียงแต่ว่ามันจะถูกวางไว้ในสถานที่ที่ถูกกระตุ้นได้ และเมื่อมันถูกกระตุ้นแล้ว มันก็จะออกลูกออกหลานสร้างความวิบัติต่อไป

ดังนั้น เคล็ดลับง่าย ๆ ในการจัดการกับมันก็คือ “อย่าให้มันถูกกระตุ้นได้” งั้นเรามาดูขั้นตอนกันดีกว่าว่าต้องทำยังไงบ้าง

1. เปิดระบบ Safe Mode

ระบบปฏิบัติการ Microsoft Windows สามารถเข้าเป็น Safe mode ได้ครับ โดยการกดปุ่ม F8 ก่อนที่โลโก้ของ Windows จะปรากฎขึ้นมา (พยายามกดให้แม่น ๆ นะ เพราะไม่งั้นมันจะเข้าไม่ได้) จากนั้นจะมีเมนูขึ้นมาให้เราเลือกครับ เราก็เลือกว่าเราจะเข้า Safe mode

ผมขี้เกียจเอามะพร้าวห้าวมาขายสวน ดังนั้นจึงขอบอกแค่ว่า Safe mode คือสภาวะของ Windows ที่ไม่ได้โหลดส่วนเพิ่มเติมอะไรขึ้นมาเลย ยกเว้นกลไกอันแสนจะธรรมดาของตัว Windows เอง ซึ่งถ้าบอกอย่างนี้ก็หมายความว่า แม้แต่ตัวไฟล์ไวรัสที่อาจจะซ่อนตัวอยู่ในกลไกการ Startup ก็จะไม่ถูกกระตุ้นด้วยเช่นกัน มันจึงทำให้เราสามารถค้นหาและทำลายไฟล์ไวรัสได้อย่างมีประสิทธิภาพยิ่งขึ้น

2. ค้นหาใน Registry

ระบบวินโดว์ไม่ว่าจะกี่รุ่นต่อกี่รุ่น ก็อนุญาตให้เราเข้าถึง Registry ได้ด้วยคำสั่ง Regedit.exe โดยสามารถเรียกได้ที่เมนู Start -> Run

เมื่อเรียกขึ้นมาได้แล้ว ก็เข้าไปค้นหาในส่วนของการ Startup ของวินโดว์ครับ เพราะไวรัสคอมพิวเตอร์ชื่นชอบมากที่จะไปฝังตัวอยู่ีที่นั่น เนื่องจากมันเป็นบริเวณที่จะถูกกระตุ้นเป็นอันดับแรก ๆ เลย

โดยเราสามารถที่จะเข้าไปหาได้ตาม key ดังต่อไปนี้

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

ในคีย์ Registry เหล่านี้ล้วนฝังโปรแกรมที่ถูกกระตุ้นตอน Startup ระบบทั้งนั้นครับ ดังนั้นถ้าเราพบว่ามันมีโปรแกรมแปลก ๆ ที่เราไม่รู้จักถูกบรรจุอยู่ในนั้น ก็ขอให้เดาไว้ก่อนเลยว่า(สงสัย)มันเป็นไวรัสคอมพิวเตอร์แหง ๆ

3. ค้นหาใน Path ของระบบ

ไวรัสคอมพิวเตอร์นิยมชมชอบที่จะฝังตัวอยู่ในพื้นที่ของระบบครับ ซึ่งที่ ๆ มันชอบมาก ๆ ก็คือโฟลเดอร์ C:\WINDOWS และ C:\WINDOWS\System32 …

แต่ถึงเราจะรู้ว่ามีความเป็นไปได้ที่จะมันจะอยู่ที่นั่น เราก็หามันเจอไม่ได้ง่าย ๆ หรอกครับ เพราะมันจะซ่อนตัวอยู่ด้วยคุณสมบัติของไฟล์บางอย่าง ถึงเราจะสั่งให้เปิดให้แสดงไฟล์แบบอล่างฉ่าง มันก็ไม่ยอมโผล่ออกมาหรอก!!!

ดังนั้นเราก็ต้องใช้ความรู้ในการเรียกคำสั่งแบบ MS-DOS เข้ามาช่วยครับ โดยการเรียกคำสั่ง cmd.exe ซึ่งสามารถเรียกได้ที่เมนู Start -> Run

จากนั้นเราก็ใช้คำสั่ง cd เพื่อเข้าไปยังโฟลเดอร์ของระบบ โดยการพิมพ์ …

    C:\>cd c:\windows หรือ C:\>cd c:\windows\system32

เมื่อเข้าไปในโฟลเดอร์ใดโฟลเดอร์นึงแล้ว เราก็ใช้คำสั่ง dir เพื่อค้นหาไฟล์ไวรัสที่ซ่อนตัวอยู่ครับ โดยการพิมพ์ …

    C:\WINDOWS>dir /ah หรือ C:\WINDOWS\system32>dir /ah

รับรองได้ว่าเราจะพบไฟล์แปลก ๆ ซึ่งถูกสร้างขึ้นมาเมื่อไม่นานมานี้เอง ให้สงสัยไว้ก่อนครับว่ามันเป็นไวรัสคอมพิวเตอร์แล้วจึงลบมันซะ … แต่ช้าก่อนครับ เพราะไฟล์พวกนี้มันดื้อ มันไม่ยอมให้ลบง่าย ๆ หรอก เนื่องจากมันพรางตัวมั่วนิ่มว่าเป็นไฟล์ระบบ ดังนั้นเราจึงลบมันไม่ได้ง่าย ๆ

ดังนั้นเราก็ต้องใช้คำสั่ง attrib เพื่อตรวจคุณสมบัติของไฟล์ก่อนว่าไฟล์ดังกล่าวเป็นไฟล์อะไร ยกตัวอย่างเช่น เราสงสัยว่าไฟล์ baidu.exe นั้น มันน่าจะเป็นไฟล์ไวรัสแน่ ๆ เราก็พิมพ์คำสั่งดังนี้

    C:\WINDOWS\system32>attrib baidu.exe

ถ้ามันแสดงผลออกมาว่ามันเป็นไฟล์แบบ R (Read Only) หรือ S (System) หรือ H (Hidden) ก็ให้เราใช้คำสั่ง attrib เพื่อถอดคุณสมบัติมันออกครับ ยกตัวอย่างเช่นถ้ามันเป็น System และ Hidden เราก็พิมพ์คำสั่ง attrib ดังนี้

    C:\WINDOWS\system32>attrib -s -h baidu.exe

เมื่อเราเคาะปุ่ม Enter เป้ง คุณสมบัติของมันก็จะเปลี่ยนไปกลายเป็นไฟล์ธรรมดาที่สามารถโดนลบได้ เราก็ใช้คำสั่ง del ลบมันทิ้งซะแบบนี้ครับ

    C:\WINDOWS\system32>del baidu.exe

แค่นี้มันก็หายสาปสูญไปจากระบบแล้ว!!!

…

โดยสรุปแล้วไวรัสคอมพิวเตอร์ก็เหมือนผีนั่นแหล่ะครับ มันมีปัญญาจะเข้าสิงเรา, บังตาเรา และอำเราได้ ดังนั้นเลิกคิดซะเถอะครับว่าหมอผีอย่าง Symantec Antivirus, McAfee, Nod32 หรือ Hijackthis จะมีปัญญามาช่วยปราบผีให้เราได้

ดังนั้นจงถือคติตนเป็นที่พึ่งแห่งตนครับ โดยการที่เราต้องรู้จักบทสวดมนต์เพื่อเอาไว้สวดไล่ผีด้วยตัวเองนั่นเอง :-P

ที่มา http://www.peetai.com/archives/893#more-893


บันทึกการเข้า

tha
ชุมชนคนรักอาชีพช่าง
member
*

คะแนน9
ออฟไลน์ ออฟไลน์

กระทู้: 215


อีเมล์
« ตอบ #1 เมื่อ: สิงหาคม 12, 2008, 04:21:22 pm »

ขอบคุณครับ จะลองดูไม่ได้ใช้คำสั่ง DOS ซะนาน Cheesy
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1 RC2 | SMF © 2001-2006, Lewis Media

lsv2555Please follow the new website at https://www.pohchae.com

Valid CSS!