สแกนไวรัสออนไลน์คืออะไร
Table of Contents
ตัวสแกนไวรัสสามารถทำงานได้หลากหลายวิธี วิธีที่พบมากที่สุดคือการจับคู่ตามรูปแบบที่โปรแกรมสแกนไวรัสได้เข้าไปดูภายในของไฟล์ สตริงของไบต์ ซึ่งตรงกับที่อยู่ในฐานข้อมูลของไวรัสที่เรารู้จัก ซึ่งนี่เราจะพบไวรัสเป็นส่วนใหญ่จากฐานข้อมูลดังกล่าว วันนี้เราจะนำท่านไปรู้จักเกี่ยวกับโปรแกรมกําจัดไวรัสออนไลน์ เปรียบเทียบระหว่างการสแกนแบบออนไลน์ หรือแบบออฟไลน์ ว่าโปรแกรมสแกนไวรัสแบบใดที่เหมาะสมกับการใช้งานของคุณ
เพื่อตรวจจับ และกำจัดไวรัส โดยที่ใช้เทคนิคต่าง ๆ เช่น polymorphism เพื่อเปลี่ยนแปลงรหัสเพียงเล็กน้อย ทุกครั้งที่มีการติดไวรัส สแกนไวรัสคอมจะต้องใช้เทคนิคการตรวจสอบที่ซับซ้อนมากขึ้น เหล่านี้จะรวมถึงไฟล์ประมวลผลในโหมดการจำลองแบบเรียลไทม์ เพื่อดูเอ็นจินแบบ polymorphic เพื่อถอดรหัสสำหรับ antivirus นักพัฒนาโปรแกรมสแกนไวรัสหรือโปรแกรมล้างไวรัสส่วนใหญ่ จะพัฒนาปรับปรุงเพื่อล้างไวรัส หรือฆ่าไวรัส และทำการสแกนไวรัสของพวกเขาอย่างต่อเนื่อง เพื่อให้ทันกับการเติบโตของไวรัส และสิ่งที่ต้องการให้ล้างไวรัสในการตรวจสอบ
ไวรัสคอมพิวเตอร์ตัวแรก – เมื่อมีการแพร่กระจายครั้งแรก
ไวรัสคอมพิวเตอร์ตัวแรก หรือโปรแกรมไวรัส ที่เราคุ้นเคยกันดี ได้รับการพัฒนาในช่วงปี 1980 หลังจากนั้นไม่นาน โปรแกรมก็ได้ถูกสร้างขึ้น โดยที่สามารถควบคุมพวกมันได้ ในปี 1987 G DATA เป็นผู้นำ และพัฒนาสิ่งที่อาจเรียกได้ว่าเป็นโปรแกรมสแกนไวรัสตัวแรกของโลก โปรแกรมสแกนไวรัสตัวนี้ได้กลายเป็นรากฐานสำคัญของโซลูชั่นป้องกันไวรัสและความปลอดภัยแบบดั้งเดิม มันใช้สิ่งที่เรียกว่าฐานข้อมูลเพื่อตรวจสอบไวรัสคอมพิวเตอร์ เวิร์ม โทรจัน และมัลแวร์อื่น ๆ ในคอมพิวเตอร์ของคุณ
เช่นนี้ เราจะพบว่ามีการใช้งานไวรัสได้ไม่ค่อยจะแพร่หลาย และไม่มากเกินไปที่จะตรวจสอบความถูกต้องของมัน มันไม่ได้เกิดขึ้นจนถึงปีที่มีแอดแวร์สูงสุด ในช่วงปี 2005–2008 เมื่อผู้ค้าแอดแวร์ได้เริ่มตรวจสอบ และปิดกิจกรรมที่น่าสงสัย
ข้อด้อยของโปรแกรมสแกนไวรัสออนไลน์ (scan virus online)
ผู้ให้บริการรักษาความปลอดภัยเกือบทุกราย ได้เสนอการสแกนไวรัสออนไลน์ฟรี (scan virus online) เพื่อตรวจสอบว่ามีไวรัสหรือไม่ผ่านเว็บไซต์ แต่ก็ไม่แน่ใจว่าโปรแกรมแอนตี้ไวรัสของพวกเขานั้น สามารถทำงานได้ดีแค่ไหน คุณอาจต้องการใช้งานโปรแกรมกําจัดไวรัสที่นอกเหนือจากนี้ หรือแทนที่จะเป็นที่โหลดโปรแกรมสแกนไวรัสฟรีถาวรได้ โหลดแอนตี้ไวรัส และกำจัดไวรัสได้จริง ๆ
1 โปรแกรมสแกนไวรัสออนไลน์ส่วนใหญ่ เป็นเพียงเครื่องตรวจจับที่จะไม่ลบซอฟต์แวร์ที่เป็นอันตราย
2 เบราว์เซอร์ของคุณจะไม่สามารถเข้าถึงไฟล์ทั้งหมดในอุปกรณ์ของคุณได้ (จะต้องติดตั้งซอฟต์แวร์เพิ่มเติม)
3 เป็นไปไม่ได้ที่เบราว์เซอร์จะดูแล สแกน และลบไฟล์ที่ติดไวรัสได้อย่างสมบูรณ์
4 เครื่องสแกนไวรัสออนไลน์ ทำงานได้ตามต้องการเท่านั้น และจะไม่ป้องกันคุณจากการติดไวรัสใหม่
ไวรัสซิกเนเจอร์คืออะไร ?
ในยุคดิจิทัลนั้น ไม่มีใครที่ทำไม่ดีเพียงคนเดียวที่อธิบายได้ดีเท่ากับทำให้เกิดปัญหา นั่นคือเหตุผลที่โปรไฟล์ซิกเนเจอร์ของวันนี้มีการปรับปรุงบ่อยมาก ไม่เกี่ยวข้องกับสายพันธุ์มัลแวร์เพียงชนิดเดียว แต่ซิกเนเจอร์ยังให้ความสามารถในการตรวจจับไฟล์ที่หลากหลาย ซึ่งมีรหัสได้ถูกฝังคุณสมบัติที่เป็นอันตราย ซึ่งเป็นที่รู้จัก คีย์เวิร์ดของเราที่นี่คือการวิเคราะห์พฤติกรรมนั่นเอง
ตำรวจไซเบอร์นั้น ไม่เพียงมองหาชายต้องสงสัย อาจจะมีอายุราว ๆ 30 ปี มีหนวดเครา และสวมใส่หมวกสีดำ เขาอาจกำลังมองหาผู้ชายอายุระหว่าง 20-40 ปีที่มีผม หน้าตา และคุณสมบัติอื่น ๆ มากมายที่คล้ายกัน ซิกเนเจอร์ไวรัสก็เช่นกัน มีการตั้งค่าลำดับความสำคัญที่แตกต่างกันไปยังโปรไฟล์อย่างกว้าง ๆ โดยละเอียด ในขณะที่โปรไฟล์อาจแสดงคุณลักษณะบางอย่าง แต่เฉพาะเจาะจงมากขึ้น ซิกเนเจอร์ของไวรัสที่กว้างขวางยิ่งขึ้น รวมถึงจุดทั่วไปจำนวนมาก ซึ่งแต่ละจุดค่อนข้างคลุมเครือ ตามลำดับตำรวจไซเบอร์ไม่ได้กำหนดตัวร้ายแค่ตัวหนึ่ง แต่มักจะสามารถค้นหาไฟล์อันตรายได้มากถึงพันไฟล์ โดยใช้ซิกเนเจอร์ตัวเดียว หากมีการอธิบายคุณสมบัติอย่างชัดเจน อาจเป็นไปได้ที่ไฟล์จะถูกจำแนกอย่างไม่ถูกต้องว่าเป็นสิ่งที่น่าสงสัย ซึ่งถูกเรียกว่าการตรวจจับเชิงบวกที่ผิดพลาด (False Positive)
ในแง่ทางเทคนิค นี่หมายความว่าฮิวริสติกส์นั้น จะทำการใช้ข้อมูลเฉพาะเจาะจงที่น้อยกว่า แทนที่จะใช้ซิกเนเจอร์ไวรัสที่ปรับให้เข้ากับสายพันธุ์มัลแวร์ที่เป็นที่เฉพาะเจาะจง ซึ่งอาจรวมถึงตัวอย่างเช่น ความรู้เกี่ยวกับรูปแบบทั่วไป ซึ่งเป็นที่ทราบกันดีว่ามีการแสดงจำนวนมัลแวร์จำนวนมาก นอกจากนี้วิธีการวิเคราะห์พฤติกรรมนั้น จะตรวจสอบว่าองค์ประกอบของรหัสเฉพาะสามารถทำให้เกิดปัญหา เมื่อได้รวมกับคุณสมบัติอื่น ๆ ได้หรือไม่ ดังนั้นกระบวนการฮิวริสติกนั้น สามารถแทรกแซงเชิงรุกได้ก่อนที่จะมีซิกเนเจอร์เฉพาะเพื่อดาวโหลดโปรแกรมสแกนไวรัสที่ดี
วิธีรับมือเมื่อตรวจพบไวรัส และล้างไวรัสในคอม
บางคนเข้าใจว่าซอฟต์แวร์ป้องกันไวรัสนั้น มักประกอบด้วยเทคโนโลยีสแกนซิกเนเจอร์บางประเภท และผู้คนจำนวนมากยังเชื่อว่านี่เป็นสิ่งที่เทคโนโลยีป้องกันไวรัสจะหยุดทำงาน โปรแกรมป้องกันไวรัสที่ทันสมัย มักจะมีฟังก์ชั่นเพิ่มเติมนอกเหนือจากการสแกนซิกเนเจอร์อย่างง่าย แม้ว่าคุณจะทำการแยกชุดซอฟต์แวร์รักษาความปลอดภัยที่มีเทคโนโลยี ที่ไม่ใช่สแกนเนอร์แยกต่างหาก เช่น ไฟร์วอลล์ หรือการสนับสนุนปัญญาประดิษฐ์ เช่นที่ซอฟต์แวร์ Bitdefender Antivirus ทำอยู่
- การตรวจจับจากคุณลักษณะ (Specific Scanning)
การตรวจจับโดยคุณลักษณะเฉพาะนั้น เป็นสิ่งที่ผู้คนจำนวนมากคิดถึง เมื่อพวกเขาคิดว่าสแกนเนอร์น้น คือการป้องกันไวรัส ค้นหามัลแวร์ที่รู้จัก โดยชุดคุณลักษณะเฉพาะ มัลแวร์แต่ละตัวใช้รหัสของตัวเองเพื่อทำสิ่งที่มีวัตถุประสงค์ต่างกัน ในการตรวจจับมัลแวร์โดยเฉพาะ สแกนเนอร์จะมองหาซิกเนเจอร์นั้นในที่ที่ค่อนข้างเหมาะสม เทคนิคนี้สามารถทำได้อย่างรวดเร็วเพราะมันสามารถทำการยกเว้นไฟล์ที่สะอาดได้อย่างรวดเร็ว หากนักวิจัยได้ทำสิ่งที่ถูกต้อง แต่ก็ค่อนข้างง่ายที่จะหลบเลี่ยงการตรวจจับประเภทนี้ โดยการเปลี่ยนรหัส ย้ายไปอยู่ที่อื่น เข้ารหัส หรือซ่อนรหัสด้วยวิธีอื่น ๆ จากนั้นภัยคุกคามจะไม่ถูกตรวจพบอีกต่อไป
ในขณะที่มัลแวร์เริ่มมีความชำนาญ และแพร่หลายมากขึ้น นักวิจัยจะต้องมีความคิดที่สร้างสรรค์มากขึ้น ในการระบุไฟล์ที่ไม่ดีที่รู้จักกันอย่างรวดเร็ว เพื่อมิให้มัลแวร์ถูกครอบคลุมด้วยตัวอย่างจำนวนมากมายที่มีมาถึงทุกวัน ดังนั้นขั้นตอนต่อไปคือการจัดกลุ่มตัวอย่างตามสิ่งที่เรียกว่า “ครอบครัว” ซึ่งหมายความว่าพวกเขาเกี่ยวข้องกับรหัสฐานทั่วไปนั่นเอง
- การสแกนแบบทั่วไป (Generic Scanning)
การตรวจจับทั่วไปนั้น จะทำการค้นหามัลแวร์ที่เป็นสายพันธุ์ของตระกูลที่รู้จัก ซึ่งมักจะถูกสร้างขึ้นโดยกลุ่มโปรแกรมเมอร์ทั่วไป ภายในการตรวจจับทั่วไป มักจะมีฟังก์ชั่นทั่วไป และซิกเนเจอร์ร่วมกันเป็นครั้งคราว และการตรวจจับนั้นหมายถึงการจับตัวอย่างมัลแวร์ที่รู้จักทั้งสองตัวอย่าง
ตั้งแต่มัลแวร์เป็นเรื่องเกี่ยวกับเงินวันนี้ วิธีที่ดีที่สุดสำหรับผู้เขียนมัลแวร์ เพื่อให้ได้ผลที่ใหญ่ที่สุดสำหรับสิ่งที่น่าหลงใหล ก็คือการนำรหัสฐานมาใช้ซ้ำ พวกเขาอาจเพิ่มหรือเปลี่ยนฟังก์ชั่นย่อย หรือพวกเขาอาจทำการย้ายสิ่งต่าง ๆ เพื่อหลีกเลี่ยงการตรวจจับที่เฉพาะเจาะจง มีมัลแวร์ทั่วไปจำนวนมากที่แตกต่างกันจำนวนมาก ที่มีซอฟต์แวร์โอเพนซอร์ซ หรือชุดสร้างมัลแวร์ให้ใช้งานได้ฟรีและรวดเร็ว
ดังนั้นจึงเหมาะสมสำหรับโปรแกรมป้องกันป้องกันไวรัส เพื่อค้นหาคุณสมบัติทั่วไปของตระกูลมัลแวร์ที่เป็นที่นิยม หรือรู้จักพฤติกรรมที่เป็นอันตราย หากพวกเขาต้องการมีความหวังในการล้างไวรัสคอมพิวเตอร์ การตรวจจับทั่วไปเหล่านี้ มีความกว้างหรือค่อนข้างเฉพาะเจาะจง ตัวอย่างเช่น สามารถสแกนหารหัสช่องโหว่ที่รู้จัก ซึ่งสามารถเพิ่มไปยังมัลแวร์ที่รู้จัก หรือการสร้างใหม่หรืออาจมองหาผู้แบ่งใช้งานเฉพาะที่มัลแวร์ตระกูลเดียวกันใช้
3. การวิเคราะห์พฤติกรรมการแก้ปัญหาพฤติกรรมในสภาพแวดล้อมเสมือนจริง (Virus Behavior Scanning)
การวิเคราะห์แบบฮิวริสติก จะตรวจสอบพฤติกรรมของระบบ หรือซอฟต์แวร์ เพื่อตรวจจับภัยคุกคามใหม่ที่ไม่สามารถพบโดยโซลูชันที่ใช้ซิกเนเจอร์ ในขั้นต้นจะสร้างพื้นฐานของกิจกรรมปกติ สำหรับระบบ หรือซอฟต์แวร์ และจากนั้นเมื่อสิ่งที่แตกต่างเกิดขึ้น มันจะแสดงขึ้นอย่างโดดเด่นจำทำให้เห็นเป็นความผิดปกติ
การวิเคราะห์แบบฮิวริสติก เป็นหนึ่งในเทคนิคการตรวจจับมัลแวร์เพียงตัวเดียว ที่สามารถตรวจจับมัลแวร์แบบ polymorphic ยิ่งไปกว่านั้นยังช่วยให้นักพัฒนาสามารถเปลี่ยนแปลงกฎได้อย่างต่อเนื่อง ตามภัยคุกคามรูปแบบใหม่ และไม่ให้รายละเอียดเกี่ยวกับวิธีการตั้งค่าสถานะภัยคุกคามต่อผู้พัฒนามัลแวร์ แต่เมื่อรหัสมีความซับซ้อนเพียงพอ การวิเคราะห์แบบฮิวริสติกจะไม่สามารถตรวจพบได้
- การทำกระบะทราย (Sandboxing)
การทำกระบะทรายหรือแซนด์บ็อกซ์ จะตรวจจับมัลแวร์โดยทดสอบโค้ดที่อาจเป็นอันตราย ในสภาพแวดล้อมเสมือนจริง สิ่งนี้ช่วยให้นักวิจัยสามารถสังเกตพฤติกรรมที่แท้จริงของรหัส ในสภาพแวดล้อมที่ปลอดภัย ซึ่งไม่สามารถแพร่กระจายหรือทำอันตรายใด ๆ ต่อระบบและเครือข่ายที่ทำงานอยู่
แซนด์บ็อกซิ่ง เป็นเทคนิคการตรวจจับมัลแวร์ที่มีประโยชน์ เนื่องจากสามารถระบุได้อย่างละเอียด ถึงวิธีการทำงานของไฟล์ในสภาพแวดล้อมต่าง ๆ นอกจากนี้ยังสามารถให้ข้อมูลเชิงลึกเกี่ยวกับพฤติกรรม ทำให้นักวิเคราะห์สามารถทราบได้ว่าเจตนาของภัยคุกคามนั้นเป็นอย่างไร
อย่างไรก็ตามวิธีแซนด์บ็อกซ์ มีข้อบกพร่องที่สำคัญบางอย่าง ปรากฎว่าภัยคุกคามสมัยใหม่สร้างมัลแวร์ที่ “รู้เท่าทัน” ที่รู้ว่าเมื่อใดที่มันถูกเรียกใช้ในแซนด์บ็อกซ์ ดังนั้นจึงทำหน้าที่แตกต่างไปจากสภาพแวดล้อมจริง เพื่อหลีกเลี่ยงการถูกตั้งค่าสถานะ นอกจากนี้ตัวแปรมัลแวร์บางตัวนั้น ยังสร้างขึ้นเพื่อใช้ประโยชน์จากจุดบอดในแซนด์บ็อกซ์ สร้างความท้าทายด้านประสิทธิภาพด้วยเช่นกัน เนื่องจากใช้เวลานาน ไม่สามารถทำแซนด์บ็อกซ์ทุกไฟล์ได้
- การใช้ AI (Artificial intelligence) / Machine-Learning-การวิเคราะห์เชิงสถิต
เทคนิคการตรวจจับการวิเคราะห์แบบสแตติก ที่ยึดตาม Machine Learning ได้ฝึกสอนให้คอมพิวเตอร์ให้รู้จักและแยกแยะระหว่างไฟล์ที่เป็นอันตราย และไม่เป็นอันตราย โดยชุดคำสั่งจะสอนเครื่องจักรว่าอะไรดี และอะไรไม่ดี ดังนั้นในที่สุดเครื่องก็สามารถทำการเรียงไฟล์เองได้ เทคนิคเหล่านี้มีพฤติกรรมที่แตกต่างกัน (พฤติกรรมของไฟล์นานแค่ไหนที่ไฟล์เปิดอยู่ปริมาณการใช้งานพฤติกรรมในชีวิตประจำวัน ฯลฯ ) และคำนวณให้เป็นข้อสรุปเกี่ยวกับลักษณะของไฟล์
แม้ว่านี่จะเป็นขั้นตอนที่แข็งแกร่ง ในการเปลี่ยนเส้นทางที่ถูกต้อง แต่การเรียนรู้โดยเครื่อง ไม่ใช่วิธีที่สมบูรณ์แบบ สำหรับการตรวจจับและกำจัดมัลแวร์ ในความเป็นจริงเทคนิคการเรียนรู้ของเครื่อง สามารถใช้ใน “การโจมตีจากคู่ต่อสู้” ซึ่งผู้โจมตีฝึกอบรม ระบบการเรียนรู้ของเครื่อง เพื่อแยกแยะตัวอย่างมัลแวร์ว่าไม่เป็นอันตราย
- การตรวจจับปลายทางและการตอบสนอง (Endpoint Detection and Response, EDR)
Endpoint Detection and Response (EDR) ตรวจสอบและบันทึกข้อมูล และเหตุการณ์จากบันทึก และแพ็คเก็ตปลายทาง ข้อมูลที่รวบรวม จะถูกวิเคราะห์เพื่อดูว่าเกิดอะไรขึ้น หลังการติดมัลแวร์ เพื่อค้นหา IOCs ต่อแคมเปญมัลแวร์ที่รู้จัก และเพื่อช่วยให้องค์กรระบุและตอบสนองต่อการโจมตี
- ทำแอปพลิเคชันไวท์ลิสต์ (Application Whitelisting)
ขณะที่ซิกเนเจอร์ได้ถูกพิจารณาว่า เป็นการขึ้นบัญชีดำอีกวิธีหนึ่ง ในการปิดกั้นมัลแวร์นั้น เป็นการยกเว้น รายการที่อนุญาตจะตรวจสอบ และควบคุมทุกแง่มุมของกระบวนการที่ได้รับอนุญาต ให้ทำและปิดกั้นแอปพลิเคชันไม่ให้ทำทุกอย่าง ยกเว้นสิ่งที่พวกเขาควรทำ สิ่งนี้มีประโยชน์สำหรับการบล็อกการคุกคามเช่น zero-days แต่น่าผิดหวังมากสำหรับผู้ใช้งานอุปกรณ์ปลายทาง ที่ต้องการเรียกใช้แอปพลิเคชันที่ปลอดภัย และถูกกฎหมาย แต่ไม่สามารถทำได้ นี่คือเหตุผลที่ควรใช้แอปพลิเคชันที่อนุญาตพิเศษในสภาพแวดล้อมที่มีความเสี่ยงสูง ให้ทำการดาวน์โหลดโปรแกรมสแกนไวรัส
ที่มา www.Bitdefender.co.th
สามารถติดตามเราได้ตาม Social Media ต่าง ๆ เพื่อรับข้อมูลข่าวสารและเทคนิคคอมพิวเตอร์ดี ๆ จาก KODEFIX ได้ที่
Facebook Page : KODEFIXThailand
Blockdit : www.blockdit.com/kodefix
Blogger : kodefix.blogspot.com
Website : kodefix.com
