ต่อจากบทความที่แล้วนะครับ เรื่อง Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม พอดีมีคนถามไว้ว่าอยู่ดีๆ FlashDrive ก็มองไม่เห็นไฟล์อะไรเลย แต่ทำไมเนื้อที่หายไปหมดเลย
virus บางตัวชอบซ่อนไฟล์ครับ อยู่ดีๆ FlashDrive ก็ไม่เห็นไฟล์อะไร แต่ทำไมเนื้อที่หายไปหมด....
หนีไม่พ้นวิธีเดิมครับเข้า Command Prompt แล้วจับมัน จากนั้นเป็นการค้นหาผู้รอดชีวิตครับ ผมหมายถึงไฟล์และ folder ที่โดน virus จับซ่อนไว้ไม่ให้เราเห็น วิธีค้นหานะครับ ถ้าใช้คำสั่ง attrib คงยากเพราะ attrib แสดงแค่ไฟล์ ไม่แสดง Folders แต่ถามว่าใช้ Attrib มอง Folders ได้ไหม ตอบว่าได้ครับโดย Attrib /s /d แต่ต้องมองจนปวดตา มันจะแสดงทั้งหมดใน FlashDrive คุณไม่มีทางดูได้หมดหรอกครับ ดังนั้นลืม Attrib ไปก่อนได้เลย ต้องใช้คำสั่งนี้แทน DIR คำสั่งพื้นฐานที่สุดของทุก Windows แล้วเพิ่ม /a หมายถึง all attributes ด้วย เป็นDIR /a วิธีคือคุณต้องเปรียบเทียบระหว่างเปิดดูด้วย Windows Explorer และใน Command Prompt แบบรูปนี้ครับ
จากรูปนะครับ Folder ใน FlashDrive ผมหายไปชื่อว่า System32 เทียบกันระหว่างมองด้วย Explorer และ Command Prompt วิธีดูของผมนะครับ ปรับเรียงตาม Type ใน Explorer แล้ว Folder ทั้งหลายจะมาเรียงอยู่เป็นอันดับแรก แล้วดูใน Pormpt หาที่มี <> นั้นคือ Folder เมื่อพบแล้วว่าอะไรหายไปเราก็ได้เวลากู้แล้วครับกลับ มาที่คำสั่งเดิม attrib ตามนี้
attrib ใส่ชื่อนามสกุลไฟล์หรือfolder -s -h เช่น attrib Cool.exe -s -h
โดยสามารถใส่ * แทนไฟล์จำนวนมากได้ เช่น
*.exe หมายถึง นามสกุล exe ทั้งหมด
m* ทุกไฟล์ที่ขึ้นต้นชื่อด้วย m
*.* เอาหมดทุกไฟล์
แต่จะมีปัญหาอยู่ครับ คือ ไฟล์ชื่อไทย และชื่อมีการเว้นวรรค จะยากขึ้นครับ
สำหรับ Options แต่ละตัว ของคำสั่ง Attrib ก็มี -r -a -s -h คืออะไรบ้างมาดูกัน
-r = ยกเลิกการ Read-Only
-a = ไม่ Archive ประมาณว่าไม่ค่อยทำงาน
-s -h = หยุด System-hide หยุดซ่อนและเผยที่ซ่อนของไฟล์ที่หายไป
มีใครบางคนกำลังนึกตามผมอยู่ว่า "ถ้าลองเปลี่ยน - เป็น + ล่ะจะเป็นไง?" ตรงกันข้ามครับ - คือยกเลิก และ + คือ การเพิ่ม ดังนั้น +s +h จะมีความหมายว่าให้ซ่อนไว้อย่าให้ใครเห็น
หลังจากใช้คำสั่ง Attrib System32 -s -h แล้วมาดูผลกันครับ
อย่างที่เห็นครับ System32 ของผมกลับมาแล้ว ด้วยวิธีนี้คุณก็สามารถค่อยๆกู้ข้อมูลกลับมาได้ ถ้ามันไม่โดยลบไปเสียก่อน
ต่อมาครับอีกเรื่องที่น่าจะช่วยคุณได้ ถ้าคุณรู้ว่ากำลังนั่งอยู่หน้าคอมที่มี virus ก้าวต่อไปของคุณ คืออะไร!!! (What's Next!) จากที่ผมไปเจอที่มหาลัยมา ทำให้ผมนึกวิธีดีๆออก ไม่ใช้การกำจัด virus นะครับ การกำจัด virus ในเครื่องสาธาณะเป็นเรื่องที่เป็นไปไม่ได้ ยิ่งคุณเป็นแค่ User ไม่ใช่ Admin วิธีนี้เปิดการป้องกันไม่ให้ virus วิ่งเข้า FlashDrive ของคุณได้ เริ่มกันเลยครับ
แน่นอนครับ! ต้อง Command Prompt อีกแล้ว เราจะยังไม่แสดงตัวตนว่าเราเป็นใคร จนกว่าสถาณการจะปลอดภัย นิสัยของ virus ที่คุณต้องรู้ คือ
1. Virus จะคอยซุ้มไม่แสดงตัว (System-hide) และจะรอคนเข้ามาหลงกล ดังนั้นมองไม่เห็นด้วยตาเปล่า ต้อง Command Prompt
2. ถ้าเครื่องนี้โดน virus แน่ใจได้เลยว่า virus จะไปอยู่กับ Directory ที่ลง Windows (C: เป็นส่วนใหญ่)
3. Virus กระจายสาขาแล้วไปตาม folder ต่างๆ และ Root (ชั้นนอกสุด) ของ Directory ที่ลง Windows และจุดสำคัญคือ \Windows\System32 จะเป็นที่แรกที่ไวรัสจะโจมตี
3.1 ที่ Root เช่น C:\Virus.exe ด้วยเหตุผลหลัก คือ จะใช้งานกับ autorun.inf สำหรับทำงานเมื่อ Double-Click
3.2 ที่ \Windows\System32 ด้วยเหตุผล คือ System32 เป็นจุดสำคัญเพราะมี Background Process ของ Windows ทำให้ทั้ง Admin และ User มึนว่าอันไหนเป็นของ Windows จริงๆ
4. เมื่อไวรัสจับจองที่บน Hard Disk แล้ว ต่อไปคือ Registry (Regedit) และ Msconfig ดังนั้น อย่าพึ่ง Run ทั้ง 2 อันนี้
5. Virus จะสร้างตัวเองเมื่อถูกลบ และอาจจะเป็นครั้งละ 2 ผมให้ชื่ออาการแบบนี้ว่า Virus-Hydra (ขาด 1 เพิ่ม 2)
6. Virus บางตัวไม่ค่อยให้เห็นใน Active Monitoring (Ctrl + Alt + Del) เลยไม่ต้องมองหา
เข้า Command Pompt เลยครับแล้วมองหา ผู้ต้องสงสัย มองหาชื่อแปลกๆ ใน Directory ที่ลง Windows (C:) เช่น m9ma.exe, 1.bat, IEXPLORERi.exe, killvbs.vbs ดู Attributes ด้วยครับ โดยทั่วไป Command Prompt จะอยู่ใน *:\Documents and Settings\Username\ นั้นคือ Directory ที่ลง Windows แค่พิมพ์คำสั่ง ว่า cd.. 2-3 รอบ cd คือ Change Directory ส่วน .. คือ ถอยไป (ต่างกับ Unix/Linux นะครับ)
เมื่ออยู่ที่ Root ของ Directory นั้นก็มองหาได้เลยครับ ตัวอย่างของผมคือ ผมเจอ m9ma.exe มี Attrib คือ A SHR แน่นอนครับว่าตัวนี้ ใช่เลย โดนใจฉันเลย ไม่มีมากไป ไม่มีน้อยไป ถูกใจทุกอย่าง... ผมก็ลบด้วย Del m9ma.exe /a /f ลบแล้วครับ แต่พอกลับไปดูด้วย Attrib อีกทีก็ยังกลับมา สรุปว่าลบเท่าไหร่ก็ไม่ไป ดื้อมาก ผมเลยต้องใช้ *.bat มาช่วย
วิธีสร้างไฟล์ *.bat (Batch) นะครับ
เมื่อได้ Text Document ให้เปลี่ยนชื่อนามสกุลเป็น *.bat ขอยกตัวอย่างเป็น loop.bat แล้วให้กด Right-Click แล้ว Edit ใส่คำสั่ง DOS ที่ใช้ เช่น
C:
cd..
cd..
cd..
del m9ma.exe /a /f
del autorun.inf /a /f
D:
cd..
cd..
cd..
del m9ma.exe /a /f
del autorun.inf /a /f
F:
cd..
cd..
cd..
del m9ma.exe /a /f
del autorun.inf /a /f
G:
cd..
cd..
cd..
del m9ma.exe /a /f
del autorun.inf /a /f
C:
loop.bat
)
ชั่งเป็น FlowChat ที่งดงามจริงๆ อย่างนี้ถึงจะเรียกว่าศิลปะ......
สำหรับวิธีใช้นะครับให้เปิด Command Prompt แล้วลาก *.bat ที่สร้างลงหน้าต่าง Prompt แล้วกด Enter คราวนี้ FlashDrive เราจะปลอดภัยในระดับนึง
แต่โอกาสโดนก็ยังมีนะครับ ให้ระวังไว้ 
และอีกเรื่องที่ขาดไม่ได้เลยครับ โดยเฉพาะมือใหม่ หรือมือใหม่ตลอดการ (ไม่ยอมพัฒนาความรู้เรื่องคอมพิวเตอร์) ผมเจอมามากครับคนแบบนี้ ฟังดูก็เป็นเรื่องปกติ แต่ที่ไม่ปกติ คือ เด็กสายคอมทั้งหลาย (เกือบทั้ง Section เดียวกับผม) ไม่รู้เรื่องไฟล์ต่างระบบปฏิบัตการ
??? มาดูภาพกันครับ
สังเกตนะครับ คุณจะเห็นทั้งไฟล์ทั้ง Folder ที่มีชื่อขึ้นต้นด้วย . และซ่อนไว้ หลาย คนสงสัยครับว่า นี่มันอันตรายหรือไหม ? ต้องเป็น virus แน่ๆ ทำไงดี ? แย่แล้ว Anti-virus ก็เอาไม่อยู่ ต้องรีบ format ... หยุดเลยครับ ไม่ต้องทำอะไรทั้งนั้น ไม่ต้องลบ ไม่ต้องสนใจ ถามต่อครับว่า ทำไม ? ไม่กลัวเหรอ ? ...นี่เป็นความรู้เพิ่มเติม ที่คุณต้องรู้ไว้ ว่า! ไฟล์ ที่มี . นำหน้า หมายถึง ไฟล์นี้ถูกซ่อนด้วยระบบปฎิบัติการ Linux, Unix และ Unix-Like เป็นไฟล์ที่รวบรวมข้อมูลของไฟล์หลัก เช่น ._3Tier-1.ppt เป็นลายละเอียดไฟล์ของ 3Tier-1.ppt หลายคนกำลังงงเรื่องนี้ ก็จะยกตัวอย่างให้เห็นต่อครับว่าอะไรคืออะไร Linux ที่กำลังดังก็เช่น Ubuntu, Unix ที่เห็นกันบ่อยๆ ก็ Solaris ครับ สำหรับ Server (ใครได้เล่นเครื่อง SUN จะต้องติดใจ) ส่วน Unix-Like ก็เช่น MAC OSX หลายคนไม่รู้ครับว่า OSX นั้นมีฐานมาจาก Unix นี่ล่ะครับต้นเหตุของไฟล์ . ที่ซ่อนไว้
ดังนั้นคงไม่ต้องกลัวแล้วนะครับ แล้วถามว่าทำไมเราไม่ต้องลบมัน เพราะเดี๋ยวมันจะกลับมาครับ เมื่อคุณใช้ FlashDrive กับ Linux, Unix และ Unix-Like เจอบ่อยครับสำหรับคนที่ใช้มากกว่า 1 ระบบปฏิบัติการ และไฟล์เหล่านี้ไม่มีผลก็ Windows ครับ ห้าห่วงทนหายห่วง ไม่กลัวแล้ว
นี่ก็เช่นกันครับ... ไม่รู้อะไรของมัน พิมพ์ Word แล้วมันจะมาทุกครั้ง สงสัยจะเป็น virus Word ... จริงๆแล้วไม่ใช่เลยครับ ~$ เป็นสัญลักษณ์บอกให้คุณรู้ไว้ว่านี้คือ จะบอกยังไงดีครับ ประมาณว่าเป็น Temporary File ของ Word เอาไว้เก็บข้อมูลก่อน เผื่อ Save ไม่ทัน ข้อมูลอาจหายทั้งหมด ถ้าเป็นเกมก็เหมือน Checkpoint ตามด่านครับ ดังนั้นนี้ก็ไม่ต้องกลัวอีกเช่นกัน
บทความนี้เป็นข้อมูลของผมเองทั้งหมด ดังนั้นจึงไม่มี Credit ... ถ้าบทความนี้เกิดประโยชน์ไม่มากก็น้อย ผมจะมีความสุขมาก ... ขอบคุณที่ใช้บริการครับ
No comments:
Post a Comment