ความปลอดภัยของคอมพิวเตอร์ - มัลแวร์
ในบทที่แล้วเราได้ปฏิบัติต่อโปรแกรมป้องกันไวรัสซึ่งช่วยเราในการปกป้องระบบของเรา แต่ในบทนี้เราจะจัดการกับมัลแวร์วิธีการตรวจจับด้วยตนเองรูปแบบของมันคืออะไรนามสกุลไฟล์ของพวกเขาสัญญาณของคอมพิวเตอร์ที่ติดไวรัสเป็นต้น สิ่งสำคัญที่ต้องได้รับการปฏิบัติเนื่องจากปัจจุบันธุรกิจและคอมพิวเตอร์ส่วนบุคคลมีอัตราการแพร่ระบาดสูงเกินไป
โปรแกรมเหล่านี้เป็นโปรแกรมจำลองตัวเองที่สร้างรหัสของตนเองขึ้นมาใหม่โดยเชื่อมติดกับรหัสปฏิบัติการอื่น ๆ พวกเขาทำงานโดยไม่ได้รับอนุญาตหรือความรู้จากผู้ใช้คอมพิวเตอร์ ไวรัสหรือมัลแวร์เหมือนในชีวิตจริงในคอมพิวเตอร์จะปนเปื้อนไฟล์อื่น ๆ ที่ดีต่อสุขภาพ
อย่างไรก็ตามเราควรจำไว้ว่าไวรัสจะติดจากภายนอกเครื่องด้วยความช่วยเหลือของผู้ใช้คอมพิวเตอร์เท่านั้น สิ่งเหล่านี้เกิดขึ้นได้ด้วยการคลิกไฟล์ที่แนบมาพร้อมกับอีเมลจากบุคคลที่ไม่รู้จักเสียบ USB โดยไม่ต้องสแกนเปิด URL ที่ไม่ปลอดภัยด้วยเหตุผลนั้น เราในฐานะผู้ดูแลระบบต้องลบสิทธิ์ผู้ดูแลระบบของผู้ใช้ในคอมพิวเตอร์เหล่านี้ เราแบ่งประเภทมัลแวร์เป็นสามประเภท -
- โทรจันและรูทคิท
- Viruses
- Worms
ลักษณะของไวรัส
ต่อไปนี้เป็นลักษณะบางประการของไวรัสที่ติดคอมพิวเตอร์ของเรา
พวกเขาอยู่ในหน่วยความจำของคอมพิวเตอร์และเปิดใช้งานตัวเองในขณะที่โปรแกรมที่แนบมาเริ่มทำงาน
For example - พวกเขาแนบตัวเองโดยทั่วไปกับไฟล์ explorer.exe ในระบบปฏิบัติการ windows เนื่องจากเป็นกระบวนการที่ทำงานอยู่ตลอดเวลาดังนั้นคุณควรระมัดระวังเมื่อกระบวนการนี้เริ่มใช้ความจุของคอมพิวเตอร์มากเกินไป
พวกเขาแก้ไขตัวเองหลังจากขั้นตอนการติดไวรัสเช่นซอร์สโค้ดนามสกุลไฟล์ใหม่ ฯลฯ ดังนั้นจึงยากกว่าที่โปรแกรมป้องกันไวรัสจะตรวจพบ
พวกเขามักจะพยายามซ่อนตัวเองในระบบปฏิบัติการด้วยวิธีต่อไปนี้ -
เข้ารหัสตัวเองเป็นสัญลักษณ์ที่เป็นความลับและจะถอดรหัสตัวเองเมื่อทำซ้ำหรือดำเนินการ
For example - คุณสามารถดูสิ่งนี้ในภาพต่อไปนี้เพื่อความเข้าใจที่ดีขึ้นเช่นเดียวกับในคอมพิวเตอร์ของฉันฉันพบไฟล์นี้
หลังจากพบไฟล์นี้ฉันเปิดมันด้วยโปรแกรมแก้ไขข้อความและเนื่องจากคิดว่าข้อความนั้นไม่สามารถเข้าใจได้ดังที่แสดงในภาพหน้าจอต่อไปนี้
หลังจากพบสิ่งนี้ฉันลองใช้ตัวถอดรหัส base64 และพบว่าเป็นไฟล์ไวรัส
ไวรัสนี้อาจทำให้เกิดสิ่งต่อไปนี้กับคอมพิวเตอร์ของคุณ -
อาจลบข้อมูลสำคัญออกจากคอมพิวเตอร์ของคุณเพื่อให้มีพื้นที่ว่างสำหรับกระบวนการ
อาจหลีกเลี่ยงการตรวจจับโดยการเปลี่ยนเส้นทางข้อมูลดิสก์
มันอาจดำเนินการโดยเรียกเหตุการณ์ด้วยตัวมันเอง ตัวอย่างเช่นกรณีนี้เกิดขึ้นเมื่ออยู่ในตารางป๊อปอัปของคอมพิวเตอร์ที่ติดไวรัสเป็นต้นแสดงขึ้นโดยอัตโนมัติบนหน้าจอ
เป็นเรื่องปกติใน Windows และ Mac OS เนื่องจากระบบปฏิบัติการเหล่านี้ไม่มีสิทธิ์หลายไฟล์และมีการแพร่กระจายออกไปมากขึ้น
กระบวนการทำงานของมัลแวร์และวิธีทำความสะอาด
มัลแวร์แนบตัวเข้ากับโปรแกรมและส่งไปยังโปรแกรมอื่นโดยใช้ประโยชน์จากเหตุการณ์บางอย่างพวกเขาต้องการให้เหตุการณ์เหล่านี้เกิดขึ้นเพราะไม่สามารถ -
- เริ่มต้นด้วยตัวเอง
- ส่งตัวเองโดยใช้ไฟล์ที่ไม่สามารถเรียกใช้งานได้
- ติดเชื้อเครือข่ายหรือคอมพิวเตอร์อื่น ๆ
จากข้อสรุปข้างต้นเราควรทราบว่าเมื่อกระบวนการหรือบริการที่ผิดปกติบางอย่างดำเนินการด้วยตัวเองเราควรตรวจสอบความสัมพันธ์ของพวกเขากับไวรัสที่เป็นไปได้เพิ่มเติม กระบวนการสอบสวนมีดังนี้ -
ในการตรวจสอบกระบวนการเหล่านี้ให้เริ่มด้วยการใช้เครื่องมือต่อไปนี้ -
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Listdll.exe แสดงไฟล์ dll files ถูกใช้ในขณะที่ netstat.exe ด้วยตัวแปรแสดงกระบวนการทั้งหมดที่กำลังรันกับพอร์ตของตน
คุณสามารถดูตัวอย่างต่อไปนี้เกี่ยวกับวิธีที่ฉันแมปกระบวนการของโปรแกรมป้องกันไวรัส Kaspersky ซึ่งฉันใช้พร้อมกับคำสั่ง netstat-ano เพื่อดูหมายเลขกระบวนการและตัวจัดการงานเพื่อดูว่ากระบวนการใดเป็นของหมายเลขนี้
จากนั้นเราควรมองหา modified, replaced or deleted files และ shared librariesควรตรวจสอบด้วย โดยทั่วไปจะติดเชื้อไฟล์โปรแกรมปฏิบัติการที่มีนามสกุลเช่น.EXE, .DRV, .SYS, .COM, .BIN. มัลแวร์เปลี่ยนนามสกุลของไฟล์แท้ตัวอย่างเช่น File.TXT เป็น File.TXT.VBS
หากคุณเป็นผู้ดูแลระบบของเว็บเซิร์ฟเวอร์คุณควรระวังมัลแวร์อีกรูปแบบหนึ่งซึ่งเรียกว่า webshell. โดยทั่วไปจะอยู่ในนามสกุล. php แต่มีชื่อไฟล์แปลก ๆ และอยู่ในรูปแบบที่เข้ารหัส คุณควรลบออกในกรณีที่ตรวจพบ
หลังจากนั้นเราควรอัปเดตโปรแกรมป้องกันไวรัสและสแกนคอมพิวเตอร์อีกครั้ง
การตรวจจับข้อผิดพลาดของคอมพิวเตอร์จากการติดไวรัส
ในส่วนนี้เราจะปฏิบัติต่อวิธีตรวจจับความผิดปกติของคอมพิวเตอร์หรือระบบปฏิบัติการจากไวรัสเนื่องจากบางครั้งผู้คนและผู้ดูแลระบบก็มีอาการร่วมกัน
เหตุการณ์ต่อไปนี้ไม่น่าจะเกิดจากมัลแวร์ -
- เกิดข้อผิดพลาดขณะที่ระบบกำลังบูตในระยะไบออสเช่นการแสดงเซลล์แบตเตอรี่ของ Bios การแสดงข้อผิดพลาดของตัวจับเวลา
- ข้อผิดพลาดของฮาร์ดแวร์เช่นเสียงบี๊บเบิร์น RAM HDD ฯลฯ
- หากเอกสารไม่สามารถเริ่มทำงานได้ตามปกติเช่นไฟล์ที่เสียหาย แต่สามารถเปิดไฟล์อื่น ๆ ได้
- แป้นพิมพ์หรือเมาส์ไม่ตอบสนองต่อคำสั่งของคุณคุณต้องตรวจสอบปลั๊กอิน
- การเปิดและปิดจอภาพบ่อยเกินไปเช่นการกะพริบหรือการสั่นซึ่งเป็นความผิดพลาดของฮาร์ดแวร์
ในทางกลับกันหากคุณมีสัญญาณต่อไปนี้ในระบบของคุณคุณควรตรวจหามัลแวร์
คอมพิวเตอร์ของคุณแสดงป๊อปอัปหรือตารางข้อผิดพลาด
ค้างบ่อย.
ช้าลงเมื่อโปรแกรมหรือกระบวนการเริ่มทำงาน
บุคคลที่สามบ่นว่าพวกเขาได้รับคำเชิญในโซเชียลมีเดียหรือทางอีเมลจากคุณ
การเปลี่ยนแปลงนามสกุลไฟล์จะปรากฏขึ้นหรือมีการเพิ่มไฟล์ลงในระบบของคุณโดยไม่ได้รับความยินยอมจากคุณ
Internet Explorer หยุดทำงานบ่อยเกินไปแม้ว่าความเร็วอินเทอร์เน็ตของคุณจะดีมากก็ตาม
ฮาร์ดดิสก์ของคุณถูกเข้าถึงเกือบตลอดเวลาดังที่คุณเห็นจากไฟ LED บนเคสคอมพิวเตอร์ของคุณ
ไฟล์ OS เสียหายหรือหายไป
หากคอมพิวเตอร์ของคุณใช้แบนด์วิธหรือทรัพยากรเครือข่ายมากเกินไปนี่เป็นกรณีของหนอนคอมพิวเตอร์
พื้นที่ฮาร์ดดิสก์ถูกใช้งานตลอดเวลาแม้ว่าคุณจะไม่ได้ดำเนินการใด ๆ ก็ตามตัวอย่างเช่นการติดตั้งโปรแกรมใหม่
ขนาดไฟล์และโปรแกรมเปลี่ยนแปลงไปเมื่อเทียบกับเวอร์ชันดั้งเดิม
Some Practical Recommendations to Avoid Viruses -
- อย่าเปิดไฟล์แนบอีเมลที่มาจากคนที่ไม่รู้จักหรือจากคนที่รู้จักซึ่งมีข้อความที่น่าสงสัย
- อย่ารับคำเชิญจากคนที่ไม่รู้จักบนโซเชียลมีเดีย
- อย่าเปิด URL ที่ส่งโดยคนที่ไม่รู้จักหรือคนที่รู้จักในรูปแบบแปลก ๆ
ข้อมูลไวรัส
หากคุณพบไวรัส แต่ต้องการตรวจสอบเพิ่มเติมเกี่ยวกับการทำงานของไวรัส ฉันอยากจะแนะนำให้คุณดูฐานข้อมูลไวรัสเหล่านี้ซึ่งมีให้โดยผู้จำหน่ายแอนตี้ไวรัสโดยทั่วไป
Kaspersky Virus Database - (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)
F-Secure - (https://www.f-secure.com/en/web/labs_global/threat-descriptions)
Symantec – Virus Encyclopedia - (https://www.symantec.com/security_response/landing/azlisting.jsp)