ระยะนี้มีเมล์หรือ PM ตามเว็บบอร์ดที่ผมเล่น และข้อความใน MSN ส่งมาหาบ่อยๆ แต่ที่น่าสนใจและหยิบมาเป็นประเด็นในเอ็นทรีนี้คือข้อสงสัยเกี่ยวกับการใช้ โปรแกรมป้องกันไวรัสทั่วๆไปที่เจอ เอาล่ะเรามาดูกันดีกว่าว่าคำถามมีอะไรกันบ้าง

 

เส้นกั้นเรีื่อง

1.Antivirus ตัวไหนดีที่สุด

 

คำถามนี้เป็นคำถามที่เรียกว่า "โลกแตก" และ "น่าเบื่อมาก" เพราะคำถามนี้คำตอบถ้าตอบไม่เข้ท่า เดี๋ยวคนถามอาจจะเอาพ่อแม่คนตอบมาเล่น เพราะงั้น ขอสรุปเป็นใจความง่ายๆได้ดังนี้

Antivirus ที่ดีที่สุดก็คือ "ตัวผู้ใช้" เพราะไม่มี Antivirus ตัวไหนสามารถจับไวรัสได้ 100% แน่นอน อย่างมากก็ 90% (ไม่ใช่ของชาติเกา)

อีก 10% ก็ต้องลุ้น ว่าจะเป็นไวรัสที่ติดในบ้านเรารึเปล่า ถ้าใช่ ก็ต้องลองส่งไปหาผู้พัฒนา ให้ออกฐานข้อมุลตัวใหม่มาแก้

ที่บอกว่าขึ้นอยู่กับตัวคนใช้ในที่นี้ หมายถึงว่าคนใช้ต้องหมั่น Update บ่อยๆ เวลาโปรแกรมมันเตือนอะไรก็อ่านกันหน่อย กดเลือกให้ถูก หลายครั้งเลยที่ผมเห็นว่าบางคนใช้ Antivirus ดีๆ แต่โดนไวรัสกินเละเทะ เพราะอะไร เพราะคุณปล่อยมันเข้ามาเอง

เวลาโปรแกรมมัน Detect แล้ว คุณเลือกที่จะปล่อยมันเข้ามาเองรึเปล่าล่ะ ?

ไวรัสจะลงเครื่องแล้วน๊า ตะเอง ทำไงดีเอ่ย ?

 

ดังนั้น เมื่อไม่มี Antivirus ตัวไหนดีที่สุดแล้ว ผู้ใช้ควรศึกษา และหาทางป้องกันกันเอง

ซึ่งขอแนะนำการป้องกันที่ดีที่สุดคือ "หมั่น Backup เอาไว้ด้วย"

การ Backup เป็นสิ่งที่สำคัญมาก ถ้าเจอไวรัสอย่างพวก GPCode แล้วจะรู้ซึ้งถึงความสำคัญ

 

เส้นกั้นเรีื่อง

 

2.ลง Antivirus หลายๆตัวดีรึเปล่า

 

นี่ก็เป็นคำถามน่าเบื่อเป็นอันดับสอง เป็นความคิดที่ไม่รู้ว่าใครต้นคิดว่า "ถ้าลง Antivirus 2 ตัวจะช่วยกำจัดไวรัสได้มากขึ้น"

ผมว่านะ ลงโปรแกรมสองตัว แล้วมันจะตีกันมากกว่า เพราะคำโบราณที่ว่า "เสือสองตัวอยู่ถ้ำเดียวกันไม่ได้"

พูดไปก็เหมือนจะไก่กาอาราเล่ เดี๋ยวผมเอาหลักการทำงานเบื้องต้นของ Antivirus มาให้ดูกันดีกว่า

 


 

 

ถ้าเป็น Antivirus ตัวเดียว เมื่อไฟล์ถูกสแกนแล้ว มันก็จะถูกส่งออกจากแคชโปรแกรม และส่งคืนระบบไป

แต่ถ้ามีสองตัว และเป็นพวกทำงานไว หรือทำงานหนักๆ เช่น Norton, Mcafee, Kaspersky, BitDefender หรือ Sophos แล้ว โปรแกรมจะสแกนไฟล์ ทันที และเมื่อสแกนเสร็จ มันก็จะคืนระบบ แต่ว่า เมื่อคืนระบบไป อีกโปรแกรมมันก็จะพยายามทำตาม

 

 

 

ภาพตัวอย่าง กรณี Antivir ไปเจอไวรัสใน Cache ของ Avast

(ขอบคุณภาพประกอบจากบล๊อคของนินคุง)

ข้อสรุปคือ การทำแบบนี้จะทำให้เกิดวงจรที่ไม่มีทางออกขึ้นมา (เรียกเป็นภาษาเทคนิคว่า DeadLock) เพราะการทำงานพื้นฐานของ Anti virus คือสแกนไฟล์ที่ถูกเปลี่ยนแปลง เคลื่อนย้าย หรือถูกสร้่าง

ลองคิดเล่นๆว่า ถ้าลงมากกว่า 2 ตัวล่ะ มันจะวนยังไงดี ?
บางคนดูเผินๆ เหมือนว่ามันจะฟ้องกันเองก็มีนะ
ปัญหานี้จริงๆมีทางแก้คือ "ลง Antivirus ที่มี 2 เอ็นจินในตัว" พูดง่ายๆคือมีโปรแกรมเดียวแต่ใช้เอ็นจินสองตัวช่วยกันสแกน เช่น
  • AVG (เฉพาะเวอร์ชั่น 8) จะมีเอ็นจิน AVG ไว้กำจัดไวรัส และเอ็นจินของ Ewido ไว้กำจัดสปายแวร์ แต่จริงๆเป็นเพราะว่า Grisoft ไปเทคโอเวอร์ Ewido มาตั้งแต่เมื่อปี 2550 แล้ว
  • GData มีเอ็นจินของ Kaspersky และ Avast ดังนั้นจะตรวจจับได้ยอดมาก แต่กินทรัพยากรสูงมาด้วย
  • F-Secure ใช้เอ็นจินของ Kaspersky และเอ็นจินตัวเอง คือ Libra, Orion และ Draco เอาไว้เป็น Heurestic เพราะ Kaspersky ไม่ได้ให้มา
  • Spyware Termiantor ใช้เอ็นจินตัวเองกับ ClamAV แถมมี HIPS ด้วย
  • Webroot ตัวนี้จริงๆแล้วใช้เอ็นจินตัวเองกับ Sophos ค่อนข้างน่าสนใจ เพราะ Sophos ไม่ได้เน้นผลิตภัณฑ์สำหรับลูกค้าตามบ้านนัก เลยให้ Webroot ซื้อเอ็นจินมา
  • A-suqared มีเอ็นจินของ Ikarus มาผนวกกับเอ็นจินตัวเอง ซึ่งใช้เอ็นจินตัวเองกำจัดสปายแวร์และโทรจัน ส่วนมัลแวร์อื่นๆ ให้ Ikarus จัดการ
  • Trustport เป็นโปรแกรมที่มีเอ็นจินเยอะที่สุดในบรรดาโปรแกรมป้องกันไวรัส คือมีถึง 5 เอ็นจิน นั่นคือ Ewido, AVG, Dr.Web, Norman และ VirusBlokAda
  • nProtect อันนี้ก็ใช้เอ็นจินของตัวเองกับ Hauri และ BitDefender แต่จะเน้นใช้เอ็นจินตัวเองมากกว่า กล่้่าวคือ ถ้าเอ็นจินตัวเองจับไม่ได้ ก็จะพัฒนาเอ็นจินตัวเองจนจับได้ และลบ Database ในตัวของ Hauri และ Bitdefender ทิ้ง ด้วยเหตุผลที่ว่า "จะได้หาข้อมูลในเว็บตัวเองได้" (เจริญ)
Antivirus ที่มีเอ็นจินหลายๆตัว การ