ระยะนี้มีเมล์หรือ PM ตามเว็บบอร์ดที่ผมเล่น และข้อความใน MSN ส่งมาหาบ่อยๆ แต่ที่น่าสนใจและหยิบมาเป็นประเด็นในเอ็นทรีนี้คือข้อสงสัยเกี่ยวกับการใช้ โปรแกรมป้องกันไวรัสทั่วๆไปที่เจอ เอาล่ะเรามาดูกันดีกว่าว่าคำถามมีอะไรกันบ้าง

 

เส้นกั้นเรีื่อง

1.Antivirus ตัวไหนดีที่สุด

 

คำถามนี้เป็นคำถามที่เรียกว่า "โลกแตก" และ "น่าเบื่อมาก" เพราะคำถามนี้คำตอบถ้าตอบไม่เข้ท่า เดี๋ยวคนถามอาจจะเอาพ่อแม่คนตอบมาเล่น เพราะงั้น ขอสรุปเป็นใจความง่ายๆได้ดังนี้

Antivirus ที่ดีที่สุดก็คือ "ตัวผู้ใช้" เพราะไม่มี Antivirus ตัวไหนสามารถจับไวรัสได้ 100% แน่นอน อย่างมากก็ 90% (ไม่ใช่ของชาติเกา)

อีก 10% ก็ต้องลุ้น ว่าจะเป็นไวรัสที่ติดในบ้านเรารึเปล่า ถ้าใช่ ก็ต้องลองส่งไปหาผู้พัฒนา ให้ออกฐานข้อมุลตัวใหม่มาแก้

ที่บอกว่าขึ้นอยู่กับตัวคนใช้ในที่นี้ หมายถึงว่าคนใช้ต้องหมั่น Update บ่อยๆ เวลาโปรแกรมมันเตือนอะไรก็อ่านกันหน่อย กดเลือกให้ถูก หลายครั้งเลยที่ผมเห็นว่าบางคนใช้ Antivirus ดีๆ แต่โดนไวรัสกินเละเทะ เพราะอะไร เพราะคุณปล่อยมันเข้ามาเอง

เวลาโปรแกรมมัน Detect แล้ว คุณเลือกที่จะปล่อยมันเข้ามาเองรึเปล่าล่ะ ?

ไวรัสจะลงเครื่องแล้วน๊า ตะเอง ทำไงดีเอ่ย ?

 

ดังนั้น เมื่อไม่มี Antivirus ตัวไหนดีที่สุดแล้ว ผู้ใช้ควรศึกษา และหาทางป้องกันกันเอง

ซึ่งขอแนะนำการป้องกันที่ดีที่สุดคือ "หมั่น Backup เอาไว้ด้วย"

การ Backup เป็นสิ่งที่สำคัญมาก ถ้าเจอไวรัสอย่างพวก GPCode แล้วจะรู้ซึ้งถึงความสำคัญ

 

เส้นกั้นเรีื่อง

 

2.ลง Antivirus หลายๆตัวดีรึเปล่า

 

นี่ก็เป็นคำถามน่าเบื่อเป็นอันดับสอง เป็นความคิดที่ไม่รู้ว่าใครต้นคิดว่า "ถ้าลง Antivirus 2 ตัวจะช่วยกำจัดไวรัสได้มากขึ้น"

ผมว่านะ ลงโปรแกรมสองตัว แล้วมันจะตีกันมากกว่า เพราะคำโบราณที่ว่า "เสือสองตัวอยู่ถ้ำเดียวกันไม่ได้"

พูดไปก็เหมือนจะไก่กาอาราเล่ เดี๋ยวผมเอาหลักการทำงานเบื้องต้นของ Antivirus มาให้ดูกันดีกว่า

 


 

 

ถ้าเป็น Antivirus ตัวเดียว เมื่อไฟล์ถูกสแกนแล้ว มันก็จะถูกส่งออกจากแคชโปรแกรม และส่งคืนระบบไป

แต่ถ้ามีสองตัว และเป็นพวกทำงานไว หรือทำงานหนักๆ เช่น Norton, Mcafee, Kaspersky, BitDefender หรือ Sophos แล้ว โปรแกรมจะสแกนไฟล์ ทันที และเมื่อสแกนเสร็จ มันก็จะคืนระบบ แต่ว่า เมื่อคืนระบบไป อีกโปรแกรมมันก็จะพยายามทำตาม

 

 

 

ภาพตัวอย่าง กรณี Antivir ไปเจอไวรัสใน Cache ของ Avast

(ขอบคุณภาพประกอบจากบล๊อคของนินคุง)

ข้อสรุปคือ การทำแบบนี้จะทำให้เกิดวงจรที่ไม่มีทางออกขึ้นมา (เรียกเป็นภาษาเทคนิคว่า DeadLock) เพราะการทำงานพื้นฐานของ Anti virus คือสแกนไฟล์ที่ถูกเปลี่ยนแปลง เคลื่อนย้าย หรือถูกสร้่าง

ลองคิดเล่นๆว่า ถ้าลงมากกว่า 2 ตัวล่ะ มันจะวนยังไงดี ?
บางคนดูเผินๆ เหมือนว่ามันจะฟ้องกันเองก็มีนะ
ปัญหานี้จริงๆมีทางแก้คือ "ลง Antivirus ที่มี 2 เอ็นจินในตัว" พูดง่ายๆคือมีโปรแกรมเดียวแต่ใช้เอ็นจินสองตัวช่วยกันสแกน เช่น
  • AVG (เฉพาะเวอร์ชั่น 8) จะมีเอ็นจิน AVG ไว้กำจัดไวรัส และเอ็นจินของ Ewido ไว้กำจัดสปายแวร์ แต่จริงๆเป็นเพราะว่า Grisoft ไปเทคโอเวอร์ Ewido มาตั้งแต่เมื่อปี 2550 แล้ว
  • GData มีเอ็นจินของ Kaspersky และ Avast ดังนั้นจะตรวจจับได้ยอดมาก แต่กินทรัพยากรสูงมาด้วย
  • F-Secure ใช้เอ็นจินของ Kaspersky และเอ็นจินตัวเอง คือ Libra, Orion และ Draco เอาไว้เป็น Heurestic เพราะ Kaspersky ไม่ได้ให้มา
  • Spyware Termiantor ใช้เอ็นจินตัวเองกับ ClamAV แถมมี HIPS ด้วย
  • Webroot ตัวนี้จริงๆแล้วใช้เอ็นจินตัวเองกับ Sophos ค่อนข้างน่าสนใจ เพราะ Sophos ไม่ได้เน้นผลิตภัณฑ์สำหรับลูกค้าตามบ้านนัก เลยให้ Webroot ซื้อเอ็นจินมา
  • A-suqared มีเอ็นจินของ Ikarus มาผนวกกับเอ็นจินตัวเอง ซึ่งใช้เอ็นจินตัวเองกำจัดสปายแวร์และโทรจัน ส่วนมัลแวร์อื่นๆ ให้ Ikarus จัดการ
  • Trustport เป็นโปรแกรมที่มีเอ็นจินเยอะที่สุดในบรรดาโปรแกรมป้องกันไวรัส คือมีถึง 5 เอ็นจิน นั่นคือ Ewido, AVG, Dr.Web, Norman และ VirusBlokAda
  • nProtect อันนี้ก็ใช้เอ็นจินของตัวเองกับ Hauri และ BitDefender แต่จะเน้นใช้เอ็นจินตัวเองมากกว่า กล่้่าวคือ ถ้าเอ็นจินตัวเองจับไม่ได้ ก็จะพัฒนาเอ็นจินตัวเองจนจับได้ และลบ Database ในตัวของ Hauri และ Bitdefender ทิ้ง ด้วยเหตุผลที่ว่า "จะได้หาข้อมูลในเว็บตัวเองได้" (เจริญ)
Antivirus ที่มีเอ็นจินหลายๆตัว การทำงานจะไม่แย่งกัน คือจะค่อยๆสแกนทีละเอ็นจิน แล้วดูว่าตัวไหนเตือน ก็จะรายงานว่าเอ็นจินไหนจับได้
แต่ข้อเสียคือ จะใช่ทรัพยากรสูง, สแกนช้า และถ้าเอ็นจินไหนเกิด FP ขึ้นมา ก็จะเยอะตามจำนวนเอ็นจินไปด้วยนะ

เส้นกั้นเรีื่อง

3.On Access กับ On Demand คืออะไร

 

สองคำนี้แตกต่างกันนิดหน่อยคำว่า On Access กับ Realtime นี่ความหมายเดียวกันคือ Antivirus จะสแกนไฟล์ที่ถูกเปลี่ยนแปลงตลอดเวลา เมื่อเจอไฟล์ที่ติดไวรัสจะรายงานทันที ใช้กำจัดไวรัสที่กำลังจะทำงาน หรือจะเข้ามารันใน Memory นั่นเอง

แต่ On Demand คือการทำงานแบบสั่งสแกนไว้กำจัดไวรัสที่ยังไม่ได้ทำงาน ถ้าทำงานแล้ว ก็ตัวใครตัวเผือกล่ะคร๊าบ!

เส้นกั้นเรีื่อง

 

 

4.ทำไมโปรแกรม Antivirus ชอบมองว่าไฟล์แคร๊กเป็นไวรัส

 

อันนี้ไม่ค่อยอยากจะแนะนำซักเท่าไหร่ เดี๋ยวจะหาว่าชี้โพรงให้กระรอก แต่ก็เตือนๆกันไว้ก่อนจะสายไป

บางครั้ง Antivirus จะบอกว่าไฟล์ Crack หรือ Keygen เป็นไวรัส บางที่ก็เลยบอกว่าให้ปิด Antivirus ก่อนจะแคร๊กอะไร

แต่จากประสบการณ์ผมนะ ผมว่าถ้า Antivirus บอกว่าไฟลแคร๊กเป็นไวรัสผมเชื่อครึ่งไม่เชื่อครึ่ง เพราะเมื่อก่อนโดนของมาแล้ว

การแคร๊กไฟล์อะไรก็คือการให้ไฟล์โปรแกรมเปลี่ยนไป ซึ่งเป็นพื้นฐานการทำงานไวรัสอยู่แล้ว บางทีมันเลยเตือน

แต่ขอบอกว่า ก่อนจะเล่นอะไรแผลงๆ จะแคร๊กอะไร ลองส่งไฟล์ไปสแกนที่เว็บดูก่อน เช่น ผมลองวิชา โหลดไฟล์แคร๊ก Nero มา ไม่ขอบอกว่าโหลดจากเว็บไหน

เมื่อสแกนด้วยเว็บ Virscan แล้ว ผลออกมาแบบนี้

 

 

 

แล้วคุณยังจะแคร๊กกันอีกเหรอ ?

 

เส้นกั้นเรีื่อง

 

5.Antivirus แจ้งเตือนว่าเจอไวรัสตลอดเวลา ฆ่าไม่ได้ ทำยังไงดี

 

อันนี้จะเจอบ่อยๆ ถ้าเกิดว่าลง Antivirus ในเครื่องที่ติดไวรัส แต่ไม่ได้กำจัดไปหมด

ทำไมมันเป็นแบบนั้นล่ะ

ทั้งนี้ทั้งนั้น เวลาไวรัสทำงานในระบบแล้ว มันก็จะแพร่ไปติดไฟล์อื่น หรือสร้างไฟล์รันตัวเองขึ้นมา ทีนี้ Antivirus มันจับได้ มันก็เลยเด้งเตือน ให้เราลบหรือกำจัดออกไป

พูดง่ายๆคือมันทำงานอยู่ใน Memory แล้ว มี Process ของมันแล้ว และมันอาจจะปิด Task Manager (ตามภาพ) เพื่อไม่ให้เราไปปิดโปรเซสมัน

คิดจะปิดเราเรอะ ฝันไปเหอะ !!

แต่ว่า Antivirus ที่ Realtime มันไม่ได้สแกน Memory โดยตรงแค่ใช้ Memory แกะรอยไวรัสไปเรื่อยๆ "ซึ่งพวก Game Guard มันจะชอบมาขัดขวาง"

ถ้าไวรัสทำงานใน Memory แล้ว ไวรัสสร้างไฟล์ เราลบไฟล์ไวรัสไป แต่ไม่ได้ฆ่ามันออกจาก Process มันก็จะสร้างไปเรื่อยๆ ลบได้ก็มาใหม่เรื่อยๆ

เพราะงั้น วิธีนี้แก้ไขด้วยการสแกนไวรัสในเซฟโหมดเป็นวิธีแรก เพราะจัะได้ไม่ต้องให้ไวรัสรัน แล้วจะได้กำจัดทิ้งไป หรือวิธีที่สอง ให้ Antivirus ทำ Bootscan เช่น Avast หรือ Rising สองตัวนี้ทำได้

แต่ถ้าไม่หายอีกก็คงต้องเล่นบทโหด ถอด Harddisk ของเราไปสแกนไ