หน่วยที่ 4

การตรวจและกาจดั ไวรัส

ประเภทของไวรสั
1. บูตเซกเตอรไ์ วรัส (boot sector virus)

บตู เซกเตอร์ไวรัส คือไวรัสคอมพวิ เตอรท์ แ่ี พรเ่ ข้าสเู่ ปา้ หมายในระหว่างเรม่ิ ทาการบตู เครือ่ ง สว่ นมากมันจะ
ตดิ ต่อเข้าสู่แผ่นฟลอปป้ีดิสก์ระหวา่ งกาลังส่ังปิดเครื่อง เมอ่ื นาแผน่ ท่ีตดิ ไวรัสนี้ไปใช้กบั เครอ่ื งคอมพิวเตอร์ เครื่อง
อืน่ ๆไวรัสกจ็ ะเข้าสูเ่ ครอื่ งคอมพวิ เตอรต์ อนเริม่ ทางานทันที

บูตเซกเตอร์ ไวรัสจะติดต่อเข้าไปอยู่ส่วนหัวสุดของฮาร์ดดิสก์ท่ีมาสเตอร์บูตเรคคอร์ด (master boot
record)และก็จะโหลดตัวเองเข้าไปสู่หน่วยความจาก่อนท่ีระบบปฏิบัติการจะเริ่มทางาน ทาให้เหมือนไม่มีอะไร
เกิดขึน้ (อา้ งอิงจาก http://www.ชา่ งคอม.com)

2. ไฟล์ไวรัส (file virus)
ไฟล์ไวรัส (file virus) ใช้เรียกไวรัสที่ติดไฟล์โปรแกรม เช่นโปรแกรมที่ดาวน์โหลดจากอินเทอร์เน็ต

นามสกลุ .exe โปรแกรมประเภทแชร์แวร์เป็นตน้

3. มาโครไวรสั (macro virus)
มาโครไวรัส (macro virus) คือไวรสั ท่ีติดไฟล์เอกสารชนิดต่างๆ ซ่ึงมีความสามารถในการใสค่ าสั่งมาโคร

สาหรับทางานอัตโนมัติในไฟล์เอกสารดว้ ย ตัวอย่างเอกสารทีส่ ามารถติดไวรสั ได้ เช่น ไฟล์ไมโครซอฟทเ์ วิรด์
ไมโครซอฟท์เอก็ เซล เปน็ ต้น

4. ม้าโทรจัน (Trojan House)
มา้ โทรจัน คือ โปรแกรมที่ซ่อนตัวอยใู่ นฮาร์ดดิสก์ด้วยฝีมอื ของแฮคเกอร์ ทอี่ าจส่งโค้ดแฝงมากบั ไฟล์แนบ

ท้ายอีเมล การทางานของโทรจันก็เหมือนกับเรอ่ื งเล่าของกรกี ที่ว่าด้วยกลอุบายซ่อนทหารไว้ในม้าไม้ขนาดใหญ่

และนาไปมอบให้กับชาวเมืองทรอย (Trojans) พอตกกลางคืน ทหารกรีกท่ีซ่อนตัวอยู่ในม้าไม้ก็ลอบออกมาเปิด
ประตเู มืองให้พวกของตนบกุ เขา้ ตเี มืองทรอยได้อยา่ งงา่ ยดาย เปรียบได้กับแฮคเกอร์ทสี่ ่งโปรแกรมลึกลับ (ม้าโทร
จนั ) มาคอยดกั เก็บข้อมูลในพีซีของคุณ แล้วสง่ ออกไปโดยท่คี ุณไม่รูต้ วั น่ันเอง

Trojan Horse เป็นโปรแกรมที่ถูกเขียนข้ึนมาให้ทาตัวเหมือนว่าเป็นโปรแกรมธรรมดาท่ัว ๆ ไป เพ่ือ
หลอกล่อผ้ใู ช้ให้ทาการเรยี กขึ้นมาทางาน แตเ่ มื่อมนั ถกู เรยี กขึ้นมาแลว้ ก็จะเริ่มทาลายตามท่ีโปรแกรมมาทนั ที ม้า
โทรจันบางตัวถูกเขียนขึ้นมาใหม่ทั้งชุด โดยคนเขียนจะทาการตั้งช่ือโปรแกรมพร้อมชื่อรุ่นและคา

อธิบาย การใช้งานที่ดูสมจริง เพ่ือหลอกให้คนที่จะเรียกใช้ตายใจ จุดประสงค์ของคนเขียนม้าโทรจันอาจจะ
เช่นเดียวกับคนเขียนไวรัส คือ เข้าไปทาอันตรายต่อข้อมูลท่ีมีอยู่ในเครื่อง หรืออาจมีจุดประสงค์เพื่อที่จะล้วงเอา
ความลับของระบบคอมพิวเตอร์ ม้าโทรจันน้ีอาจจะถือว่าไม่ใช่ไวรัส เพราะเป็นโปรแกรมที่ถูกเขียนข้ึน

มาโดด ๆ และจะไม่มกี ารเข้าไปติดในโปรแกรมอ่นื เพื่อสาเนาตัวเอง แตจ่ ะใช้ความรู้เท่าไม่ถงึ การณข์ องผู้ใช้เป็นตัว
แพร่ระบาดซอฟต์แวร์ท่ีมี ม้าโทรจันอยู่ในนั้นและนับว่าเป็นหนึ่งในประเภทของโปรแกรมท่ีมีความอันตรายสูง
เพ ราะ ย าก ที่ จ ะต รวจส อ บ แ ล ะส ร้ างขึ้ น ม าได้ ง่าย ซ่ึ งอ าจ ใช้ แ ค่ แ บ ต ซ์ ไฟ ล์ ก็ ส าม ารถโป รแ ก ร ม

ประเภทม้าโทรจันได้

5. หนอน (Worm)
หนอน เปน็ รูปแบบหนงึ่ ของไวรสั มีความสามารถในการทาลายระบบในเครอื่ งคอมพิวเตอร์

สูงทส่ี ุดในบรรดาไวรสั ท้งั หมด สามารถกระจายตวั ได้รวดเร็วผา่ นทางระบบอนิ เทอร์เนต็ ซ่งึ สาเหตุทเ่ี รยี กวา่ หนอน
น้นั คงจะเปน็ ลักษณะของการกระจายและทาลายคลา้ ยกบั หนอนกินผลไม้ ทสี่ ามารถกระจายตวั ไดม้ ากมาย รวดเรว็
และเมอ่ื ยง่ิ เพิ่มจานวนมากข้ึน ระดับการทาลายลา้ งยง่ิ สูงข้ึน(อ้างองิ จาก http://www.ช่างคอม.com)

1. ตรวจหาไวรสั บนเครอื่ งคอมพวิ เตอร์ได้ (จดุ ประสงคเ์ ชิงพฤตกิ รรมข้อ 2)
การตรวจหาไวรัส

1. การสแกน
โปรแกรมตรวจหาไวรสั ทใ่ี ช้วิธีการสแกน (Scanning) เรยี กวา่ สแกนเนอร์ (Scanner) โดยจะมกี ารดงึ เอา
โปรแกรมบางส่วนของตวั ไวรสั มาเก็บไว้เป็นฐานข้อมลู สว่ นทด่ี ึงมาน้ันเราเรียกวา่ ไวรัสซกิ เนเจอร์
(VirusSignature)และเมอื่ สแกนเนอรถ์ กู เรยี กข้นึ มาทางานกจ็ ะเข้าตรวจหาไวรสั ในหน่วยความจา บตู เซกเตอร์และ
ไฟลโ์ ดยใช้ ไวรัสซกิ เนเจอรท์ มี่ อี ยู่
ขอ้ ดขี องวธิ ีการนกี้ ค็ อื เราสามารถตรวจสอบซอฟแวรท์ มี่ าใหมไ่ ด้ทันทเี ลยวา่ ตดิ ไวรสั หรอื ไม่ เพอื่ ปอ้ งกนั
ไมใ่ ห้ไวรสั ถกู เรียกขึ้นมาทางานตง้ั แตเ่ รมิ่ แรก แต่วธิ ีนม้ี จี ุดออ่ นอยหู่ ลายข้อ คือ
1. ฐานขอ้ มูลทเี่ กบ็ ไวรัสซกิ เนเจอรจ์ ะต้องทนั สมยั อยเู่ สมอ แลครอบคลุมไวรสั ทุกตวั มากทสี่ ุดเท่าทีจ่ ะทา

ได้
2. เพราะสแกนเนอรจ์ ะไมส่ ามารถตรวจจับไวรสั ท่ยี งั ไมม่ ี ซกิ เนเจอร์ของไวรสั นนั้ เกบ็ อยใู่ นฐานขอ้ มลู ได้
3. ยากที่จะตรวจจับไวรสั ประเภทโพลมี อรฟ์ กิ เนือ่ งจากไวรสั ประเภทนเ้ี ปลี่ยนแปลง ตวั เองได้

4. จึงทาใหไ้ วรัสซกิ เนเจอรท์ ่ใี ชส้ ามารถนามาตรวจสอบได้ก่อนทไ่ี วรัส จะเปลย่ี นตัวเองเทา่ น้นั

5. ถา้ มไี วรสั ประเภทสทลี ตไ์ วรัสตดิ อยู่ในเคร่ืองตัวสแกนเนอรอ์ าจจะไมส่ ามารถ ตรวจหาไวรสั นี้ได้
6. ทัง้ นี้ขน้ึ อยู่กบั ความฉลาดและเทคนคิ ทีใ่ ชข้ องตัวไวรสั และ ของตัวสแกนเนอรเ์ องวา่ ใครเก่งกว่า
7. เน่อื งจากไวรสั มตี ัวใหม่ ๆ ออกมาอยู่เสมอ ๆ ผู้ใช้จงึ จาเป็นจะตอ้ งหาสแกนเนอร์ ตัวที่ใหมท่ ่สี ดุ มาใช้

8. มีไวรสั บางตัวจะเข้าไปตดิ ในโปรแกรมทนั ทที โ่ี ปรแกรมนัน้ ถกู อา่ น และถา้ สมมติ
9. ว่าสแกนเนอร์ทใ่ี ชไ้ ม่สามารถตรวจจับได้ และถา้ เครอ่ื งมีไวรสั นต้ี ดิ อยู่ เม่ือมีการ
10. เรียกสแกนเนอร์ขนึ้ มาทางาน สแกนเนอรจ์ ะเข้าไปอ่านโปรแกรมทลี ะโปรแกรม เพ่อื ตรวจสอบ

11. ผลก็คอื จะทาให้ไวรัสตวั นเี้ ขา้ ไปตดิ อยูใ่ นโปรแกรมทกุ ตัวทีถ่ กู สแกนเนอร์นนั้ อ่านได้
12. สแกนเนอรร์ ายงานผดิ พลาดได้ คือ ไวรสั ซกิ เนเจอร์ทใ่ี ชบ้ ังเอญิ ไปตรงกบั ทม่ี ี
13. อยู่ในโปรแกรมธรรมดาที่ไมไ่ ด้ตดิ ไวรัส ซ่งึ มกั จะเกดิ ขน้ึ ในกรณที ่ไี วรสั ซกิ เนเจอร์ ทีใ่ ช้มีขนาดสัน้ ไป

14. กจ็ ะทาใหโ้ ปรแกรมดังกล่าวใช้งานไมไ่ ด้อกี ตอ่ ไป
2. การตรวจการเปลยี่ นแปลง
การตรวจการเปลีย่ นแปลง คอื การหาค่าพเิ ศษอย่างหนง่ึ ทเ่ี รยี กวา่ เช็คซมั (Checksum) ซ่ึงเกดิ จากการ

นาเอาชดุ คาส่ังและ ขอ้ มูลทอี่ ยใู่ นโปรแกรมมาคานวณ หรืออาจใชข้ ้อมลู อ่ืน ๆ ของไฟล์ ไดแ้ ก่ แอตริบวิ ต์ วันและ
เวลา เขา้ มารวมในการคานวณดว้ ย เน่ืองจากทุกสง่ิ ทุกอยา่ ง ไม่วา่ จะเป็นคาสง่ั หรือขอ้ มลู ทีอ่ ยูใ่ นโปรแกรม จะถกู
แทนดว้ ยรหสั เลขฐานสอง เราจงึ สามารถนาเอาตัวเลขเหลา่ น้ีมาผ่านขัน้ ตอนการคานวณทางคณิตศาสตรไ์ ด้ ซ่ึง

วิธีการคานวณเพอ่ื หาคา่ เช็คซมั น้ีมหี ลายแบบ และมรี ะดบั การตรวจสอบแตกตา่ งกันออกไป เมอ่ื ตวั โปรแกรม
ภายในเกดิ การเปลีย่ นแปลง ไม่วา่ ไวรัสน้นั จะใช้วธิ ีการแทรกหรือเขียนทับก็ตาม เลขทีไ่ ดจ้ ากการคานวณครง้ั ใหม่
จะเปลยี่ นไปจากท่ีคานวณไดก้ อ่ นหนา้ น้ี

ขอ้ ดขี องการตรวจการเปลีย่ นแปลงกค็ ือ สามารถตรวจจับไวรัสใหม่ ๆ ได้ และยงั มคี วามสามารถในการ
ตรวจจบั ไวรสั ประเภทโพลมี อร์ฟกิ ไวรัสได้อกี ดว้ ย แต่กย็ งั ยากสาหรับสทลี ต์ไวรัส ทงั้ น้ีข้นึ อยกู่ บั ความฉลาดของ
โปรแกรมตรวจหาไวรสั เองดว้ ยวา่ จะสามารถถกู หลอกโดยไวรัสประเภทนไี้ ดห้ รือไม่ และมวี ธิ ีการตรวจการ

เปล่ียนแปลงน้ีจะตรวจจับไวรสั ไดก้ ต็ อ่ เมอื่ ไวรสั ได้เข้าไปติดอยใู่ นเครอื่ งแล้วเท่านนั้ และคอ่ นขา้ งเส่ยี งในกรณีทเี่ ริม่ มี
การคานวณหาค่าเชค็ ซมั เป็นครงั้ แรก เครอื่ งท่ใี ช้ต้องแน่ใจวา่ บรสิ ุทธิพ์ อ คือต้องไมม่ ีโปรแกรมใด ๆ ติดไวรสั มิฉะนั้น
ค่าท่ีหาไดจ้ ากการคานวณท่ีรวมตวั ไวรสั เขา้ ไปด้วย ซ่งึ จะลาบากภายหลงั ในการท่ีจะตรวจหาไวรสั ตวั นีต้ อ่ ไป

3. การเฝา้ ดู
เพอื่ ทจี่ ะใหโ้ ปรแกรมตรวจจบั ไวรสั สามารถเฝา้ ดกู ารทางานของเครอ่ื งไดต้ ลอดเวลาน้ัน จงึ ได้มโี ปรแกรม
ตรวจจบั ไวรสั ท่ถี กู สรง้ ข้นึ มาเป็นโปรแกรมแบบเรซิเดนทห์ รอื ดีไวซไ์ ดรเวอร์ โดยเทคนคิ ของการเฝ้าดนู น้ั อาจใช้

วธิ กี ารสแกนหรอื ตรวจการเปลีย่ นแปลงหรือสองแบบรวมกนั ก็ได้
การทางานโดยทั่วไปกค็ ือ เมอื่ ซอฟแวร์ตรวจจบั ไวรสั ท่ีใชว้ ธิ นี ี้ถูกเรยี กข้นึ มาทางานกจ็ ะเข้าไปตรวจใน

หนว่ ยความจาของเครอ่ื งกอ่ นวา่ มีไวรสั ติดอยหู่ รอื ไม่โดยใชไ้ วรสั ซกิ เนเจอร์ ทม่ี ีอยใู่ นฐานข้อมลู จากน้นั จงึ คอ่ ยนา

ตวั เองเขา้ ไปฝังอย่ใู นหนว่ ยความจา และตอ่ ไปถ้ามกี ารเรยี กโปรแกรมใดขน้ึ มาใช้งาน โปรแกรมเฝ้าดนู ้กี จ็ ะเข้าไป
ตรวจโปรแกรมน้ันก่อน โดยใชเ้ ทคนิคการสแกนหรือตรวจการเปลี่ยนแปลงเพื่อหาไวรัส ถา้ ไม่มปี ัญหา กจ็ ะอนญุ าต
ใหโ้ ปรแกรมนน้ั ขน้ึ มาทางานได้ นอกจากนโ้ี ปรแกรมตรวจจบั ไวรสั บางตวั ยงั สามารถตรวจสอบขณะทม่ี กี ารคัดลอก

ไฟลไ์ ดอ้ กี ดว้ ย
ขอ้ ดีของวิธีน้คี ือ เมอ่ื มกี ารเรียกโปรแกรมใดขนึ้ มา โปรแกรมนั้นจะถูกตรวจสอบกอ่ นทุกครงั้ โดยอตั โนมตั ิ

ซ่งึ ถ้าเป็นการใชส้ แกนเนอร์ จะสามารถทราบได้ว่าโปรแกรมใดติดไวรสั อยู่ ก็ตอ่ เมอื่ ทาการเรยี กสแกนเนอรน์ น้ั

ขึ้นมาทางานก่อนเท่านน้ั

ข้อเสียของโปรแกรมตรวจจบั ไวรสั แบบเฝา้ ดกู ็คือ จะมีเวลาทเ่ี สียไปสาหรบั การตรวจหาไวรสั กอ่ นทกุ ครั้ง

และเน่อื งจากเป็นโปรแกรมแบบเรซเิ ดนท์หรอื ดีไวซไ์ ดรเวอร์ จงึ จาเป็นจะตอ้ งใช้หน่วยความจาสว่ นหน่งึ ของเครื่อง
ตลอดเวลาเพือ่ ทางาน ทาใหห้ นว่ ยความจาในเครื่องเหลอื นอ้ ยลง และเชน่ เดียวกับสแกนเนอร์ กค็ ือ จาเปน็ จะต้องมี
การปรบั ปรงุ ฐานข้อมูลของไวรัสซกิ เนเจอรใ์ หท้ ันสมยั อยเู่ สมอ

คาแนะนาและการปอ้ งกันไวรัส
 สารองไฟลข์ ้อมูลทสี่ าคัญ
 สาหรับเครอ่ื งทมี่ ีฮารด์ ดิสก์ อยา่ เรยี กดอสจากฟลอปปดี สิ ก์

 ป้องกนั การเขยี นใหก้ บั ฟลอปปีดสิ ก์
 อย่าเรยี กโปรแกรมทีต่ ิดมากบั ดิสกอ์ ืน่
 เสาะหาโปรแกรมตรวจหาไวรสั ท่ใี หม่และมากกวา่ หนงึ่ โปรแกรมจากคนละบริษทั

 เรียกใชโ้ ปรแกรมตรวจหาไวรสั เป็นช่วง ๆ
 เรียกใชโ้ ปรแกรมตรวจจบั ไวรัสแบบเฝ้าดทู กุ คร้ัง
 เลือกคัดลอกซอฟแวรเ์ ฉพาะท่ีถูกตรวจสอบแลว้ ในบีบเี อส

 สารองข้อมลู ทส่ี าคญั ของฮาร์ดดิสกไ์ ปเก็บในฟลอปปีดสิ ก์
 เตรยี มฟลอปปีดสิ กท์ ไ่ี วส้ าหรบั ใหเ้ รยี กดอสข้นึ มาทางานได้
 เมอื่ เครอ่ื งตดิ ไวรสั ใหพ้ ยายามหาที่มาของไวรัสนั้น