นโยบายการจัดการความรู้ มหาวิทยาลัยสงขลานครินทร์ 1.ให้ใช้เครื่องมือการจัดการความรู้ผลักดัน คุณภาพคน และกระบวนทำงาน 2.ส่งเสริมการแลกเปลี่ยนประสบการณ์การทำงาน จากหน้างาน 3.ส่งเสริมให้มีเวทีเรียนรู้ร่วมกัน

Our Shangri-La
Ico64
Kittisakdi Choomalee

ภาควิชาเวชศาสตร์ชุมชน คณะแพทยศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Network
Members · Following: 0 · Followed: 16

Page Visits: 1827
comment: 0

ก้าวย่าง ทางเดิน ปี ๓ หมายเลข ๒๓: ค้นหาและทำลาย หนอนน้อยกลอยใจ ๒

จะดั้นด้นค้นหา แม้ว่าสุดขอบฟ้าแสนไกล เขียวเขียวขุนเขาบังกั้นไว้ ฝ่าข้ามไปไม่หวั่นทะเลคราม

ในบันทึกก่อนหน้านี้ ได้พูดถึง Kaspersky Rescue Disk - KRD ในตอนแรกไปแล้วคราวนี้เรามาดูส่วนอื่นๆ นอกเหนือจากการ สร้างแผ่น KRD แล้วนำมาใช้สแกนค้นหาหนอนน้อยกลอยใจ

ต้องทำความเข้าใจกันสักนิดก่อนนะครับว่า แผ่นกู้ชีพนี้หรือแบบเดียวกันนี้ใช้เมื่อต้องการกู้ชีพ นั่นหมายความว่า "ต้องเกิดเรื่อง" ขึ้นมาก่อนแล้ว จึงเป็นเครื่องมือที่ช่วยรักษาหรือฟื้นฟู ไม่ได้เป็นเครื่องมือส่งเสริม/ ป้องกันแต่อย่างใด

บันทึกที่เกี่ยวข้อง

มาแก้ไขตรงส่วนปลายของปัญหาแล้ว

หลังจากที่ใช้แผ่นกู้ชีพค้นหาและทำลาย หนอนน้อยกลอยใจไปรอบหนึ่งแล้ว ก็อย่าเพิ่งชะล่าใจว่าจดการหนอนน้อยกลอยใจอยู่หมัดแล้ว ต้องทำการสแกนค้นหาซ้ำอีกครั้ง เพื่อความแน่ใจ หรือหากมีเครื่องมือกู้ชีพค่ายอื่นอีกก็งัดมาใช้ซ้ำ เพื่อดูผลเปรียบเทียบ

หรือในการสแกนครั้งแรกนั้นอาจจะยังกำจัดหนอนน้อยกลอยไม่หมด โดยเฉพาะส่วนที่นอกเหนือจากไฟล์ของหนอนน้อยกลอยใจ เช่น ค่าต่างๆ ที่ถูกฝัง ถูกซ่อนเอาไว้ใน registry ของเครื่อง

ทั้งนี้การกำจัดแบบขุดรากถอนโคน หรือไม่ อย่างไร ขึ้นอยู่กับความสามารถ วิธีการของโปรแกรมค้นหาและทำลายแต่ละค่าย

หลังจากที่สแกนซ้ำแล้วจะ ด้วยเครื่องมือตัวเดียวกันหรือเครื่องมือต่างค่ายกัน (การสแกนซ้ำควรเริ่ม boot (ด้วยแผ่นกู้ชีพ) ระบบใหม่ทุกครั้ง) แล้วจึง boot เข้าระบบตามปกติ

หลังจาก boot เข้าระบบตามปกติแล้วให้ตรวจสอบอีกครั้งจากเครื่องมือป้องกันที่มีอยู่ใน เครื่อง ตรวจสอบการทำงานของเครื่องมือป้องกันว่ายังทำงานปกติอยู่ไหม หรืออาจจะต้องทำการถอนการติดตั้ง reboot แล้วติดตั้งเข้าไปใหม่

แล้วทำการสแกนค้นหาหนอนน้อยกลอยใจอีกครั้งด้วยเครื่องมือค้นหาหนอนน้อยกลอยใจใน สภาพแวดล้อมการทำงานจริง

ทำการลบไฟล์ชั่วคราวทิ้งไป ให้หมดทั้งที่เป็นไฟล์ชั่วคราว (Temporary files) หรือ Intenet Tenporary files (ใช้ Disk clean up หรือลุยไปลบเอง)

เหตุผลที่ต้องใช้แผ่นกู้ ชีพเช่น KRD มาช่วยเนื่องจาก เมื่อหนอนน้อยกลอยใจเข้าไปก่อกวนในเครื่องคอมพิวเตอร์แล้ว  หลายๆ ชนิดจะทำการ disable โปรแกรมป้องกันและกำจัดไวรัสในเครื่อง อีกทั้งยังฝังตัวอยู่ในหน่วยความจำ หากวิธีการกำจัดของโปรแกรมป้องกันไม่ครอบคลุมทั้งหมด ก็จะไม่ได้ลบหนอนน้อยที่ฝังตัวอยู่ในหน่วยความจำทิ้งไป

เมื่อเราสั่ง reboot เครื่องคอมฯ นอนน้อยกลอยใจที่ฝังตัวอยู่ในหน่วยความจำก็จะสั่งให้คืน/ เขียนไฟล์ต่างๆ ขึ้นมาใหม่อีกครั้ง

หรือนอนน้อยกลอยใจบางตัวก็จะแบ่งการทำงานออกเป็น หลายๆ process ที่แตกต่างกัน หรือแบ่งตัวเองออกเป็นส่วนๆ ทำงานแยก/ เสริมกัน

เพื่อป้องกันสิ่งเหล่านี้เราจึงใช้แผ่นกู้ชีพเพราะไม่ได้ boot ระบบแบบปกติ ดังนั้นจึงไม่ได้เรียก process ของหนอนน้อยกลอยใจให้ทำหรือฝังตัวในหน่วยความจำ

หรือเรียกว่าเป็น clean boot ก็ได้ หรือ boot จากระบบที่สะอาดปราศจากหนอนน้อยกลอยใจ แล้วจึงทำการค้นหาและทำลายหนอนน้อยกลอยใจในเครื่องที่มีปัญหา

เพิ่มเติมอีกนิดนะครับ ถ้าหากใครตามลิงค์ที่ท่าน NovemberRain มาแปะไว้ที่นี่ ท่านผู้อ่านจะพบว่าในหน้าเพจดังกล่าวได้พูดถึง KRD เอาไว้ว่า

"Kaspersky Rescue Disk comes is well equipped with their latest Kaspersky Antivirus 2009 which you can perform virus scanning and remove viruses before booting your operating system. However, kaspersky Rescue Disk has disadvantage which the kaspersky virus definitions cannot be updated. This mean any kaspersky virus definition update requires downloading full boot disk and burned to CD again."

 

หรือแปลสั้นๆ ว่าแผ่น KRD ไม่สามารถที่จะ update ข้อมูลไวรัสใหม่ได้ ถ้าจะ update ต้องไป download มาใหม่ทั้งหมดแล้วเขียนแผ่นอีกครั้งหนึ่ง

ตามที่ได้ใช้งานมา และข้อมูลในบันทึกที่แล้วจะพบว่าแผ่น KRD สามารถ update ข้อมูลไวรัสใหม่ๆ ได้ และตัวของ Kaspersky Lab เองก็ทำการ update ฐานข้อมูลไวรัสค่อนข้างบ่อย

จะมีอัพเดตไม่ได้ในกรณีที่ตัว boot ระบบ (Gentoo Linux) ไม่สามารถโหลด network card ให้ทำงานได้ ซึ่งจะเป็นเฉพาะเครื่องคอมพิวเตอร์ที่ใช้ network card ที่แปลก ใหม่มาก หรือไม่เป็นที่แพร่หลายเท่านั้น

ภาพจากบันทึก ก่อนหน้านี้แสดงให้เห็น ว่าหากฐานข้อมูลไวรัสไม่เป็นปัจจุบัน ตัว KRD ก็จะแสดงแถบสถานะเตือนเป็นแถบสีเหลือง



และหาก update แล้วหรือฐานข้อมูลไวรัสเป็นปัจจุบันแถบสีเหลืองในรูปกลายจะเป็นสีเขียวแทน

หากเราดูโครงสร้างของระบบของแผ่นกู้ชีพ KRD แล้วจะพบว่าในโฟลเดอร์ /mnt นั้นคือข้อมูลในแผ่นซีดีรอมนั่นเองและโฟลเดอร์ /mnt ก็คือที่/ ตำแหน่งที่ตัว Gentoo Linux ทำการ Mount แผ่นซีดีรอม ไปไว้ เราจะเห็นไฟล์ที่เกี่ยวข้องกับตัวโปรแกรม KRD อยู่ในโฟลเดอร์ /mnt/cdrom/bases

ไฟล์ทั้งหมดในโฟลเดอร์ /mnt/cdrom/bases นั้นคือไฟล์และฐานข้อมูลไวรัสที่ถูกใส่มาในวันที่ทางผู้พัฒนา (Kaspersky Lab) ปล่อย KRD Image file ให้ download ล่าสุดดังนั้นฐานข้อมูลไวรัสจึงไม่เป็นปัจจุบัน

และหากเมื่อ boot ระบบและทำการ update ฐานข้อมูลไวรัสเรียบร้อยแล้ว ผมลองตามไปดู (อาศัยข้อมูลจาก Reports ของ KRD) พบว่า ฐานข้อมูลไวรัสและไฟล์ที่เกี่ยวข้องที่ถูก download มาจากเวปของ Kaspersky Lab นั้นอยูที่  /var/kl

 

โดยไฟล์ที่เหมือนกับในโฟลเดอร์ /mnt/cdrom/bases นั้นจะเป็น /var/kl/bases_rd

ด้วยความอยาก (ลองของ) ผมจึงทำการคัดลอกโฟลเดอร์ kl (/var/kl) ไปใส่ไว้ใน Thumb drive เก็บไว้

หลังจากนั้นผมทำการแก้ไข cd  image file (.iso) ต้นฉบับของแผ่น KRD โดยใส่ไฟล์ที่ได้จากโฟลเอดร์ /var/kl/bases_rd ไปแทนไฟล์ในโฟลเดอร์ bases ที่เป็นต้นฉบับ (ในไฟล์ .iso)

บันทึกการเปลี่ยนแปลงในไฟล์ cd image (.iso)

ทดลอง boot แผ่น KRD ที่ผมเปลี่ยนแปลงไฟล์ในโฟลเดอร์ bases เรียบร้อยแล้ว ผลปรากฏจาก Reports ของ KRD พบว่าการupdate ทำเพียงแค่ติดต่อไปยังเวปของ Kaspersky Lab แล้ว download ไฟล์เพื่อมาเปรียบเทียบความแตกต่างระหว่างไฟล์บน server และไฟล์ที่มีในแผ่น KRD เท่านั้น

นั่นหมายถึงฐานข้อมูลไวรัสอัพเดตเป็นปัจจุบันแล้วนั่น เอง

ผมเดาเอาว่าการทำงานของโปรแกรมคือการคัดลอกไฟล์จากแผ่น cd (/mnt/cdrom/bases/*) มาไว้ที่ /var/kl/* พร้อมสร้างโฟลเดอร์ที่เกี่ยวข้องอื่นๆ และเมื่อมีการอัพเดตไฟล์ฐานข้อมูลไวรัสมาก็จะถูกนำมาแทนที่ไฟล์เก่าที่อยู่ ในโฟลเดอร์ /var/kl/* ซึ่งเป็นพื้นที่ที่สร้างขึ้นจากหน่วยความจำ (RAM Disk) เนื่องจากเรา boot จากแผ่นซีดีซึ่งเป็นพื้นที่ที่อ่านได้อย่างเดียว

พื้นที่ส่วนนี้จะูกลบทิ้งหรือหายไปเมื่อเราปิดระบบ KRD หรือ boot ระบบใหม่ ทำให้เราต้องทำการอัพเดตฐานขอมูลไวรัสทุกครั้งที่มีการใช้งานแผ่น KRD

ดังนั้นจากข้อมูลนี้หากเราทำการดัดแปลงแผ่น KRD ที่เป็นแผ่นซีดีรอมให้ไปอยู่ใน Thumb Drive การแก้ไขไฟล์ฐานข้อมูลไวรัสจะทำได้ง่ายขึ้นโดยไม่ต้องเขียนแผ่นซีดีใหม่

การแก้ไขไฟล์ฐานข้อมูลไวรัสนี้มีประโยชน์สำหรับการนำเอาแผ่น KRD ไปค้นหาและทำลายหนอนน้อยกลอยใจในเครื่องที่ไม่มีหรือในที่ ที่ไม่สามารถ เชื่อมต่อกับอินเตอร์เนตเพื่อปรับปรุงฐานข้อมูลไวรัสให้เป็นปัจจุบันได้

เราก็ทำการอัพเดตฐานข้อมูลไวรัสให้เรียบร้อยหรือให้เป็นปัจจุบันได้ อย่างสม่ำเสมอจากเครื่องที่เชื่อมต่อกับอินเตอร์เน็ต เพียงแต่ต้องทำตามขั้นตอนข้างต้นคือสั่งอัตเดตฐานข้อมูลไวรัส แล้วคัดลอกใส่ Thumb drive หรืออื่นๆ ไว้ แล้วมาแก้ไขข้อมูลในแผ่นต้นฉบับ

ถ้าต้นฉบับเป็น Thumb drive ก็แก้ไข เพิ่มลบได้อยู่แล้ว แต่ถ้าเป็น cd-rom ก็ต้องเขียนแผ่นใหม่

แนวทางแก้ไขเรื่องนี้ ผมได้ใช้แผ่นซีดีที่เป็นแผ่น RW แทนแผ่น CD-R ธรรมดา

นั่นคือ เมื่อแก้ไขไฟล์ฐานข้อมูลไวรัสให้เป็นปัจจุบันใน cd image file (.iso) แล้วก็ทำการลบ (erase) แผ่น cd-rw แล้วเขียน (Burn) ใหม่อีกครั้งด้วย cd image file (.iso) ที่ปรับปรุงฐานข้อมูลไวรัสแล้ว

คาดว่าแนวคิดนี้ สามารถนำไปใช้ได้กับแผ่น Rescue ของหลายๆ ค่ายได้เช่นเดียวกัน

รอบหน้าอาจจะมาคุยกันถึงแผ่น Rescue Disk จากค่ายอื่นๆ กัน ส่วนรอบนี้ขอลา รอบหน้าว่ากันอีกที

เราเอง

Dan Gibson: A Path to Solitude

หมวดหมู่บันทึก: เรื่องทั่วไป
สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ Copyright
สร้าง: 05 เมษายน 2553 23:40 แก้ไข: 28 เมษายน 2553 00:20 [ แจ้งไม่เหมาะสม ]
Flowers
สมาชิกที่ให้กำลังใจ
 
Facebook
Twitter
Google

บันทึกอื่นๆ

comment

No Comment

Comment on this Post

Name:
Email:
IP Address: 34.236.216.93
Message:  
Load Editor
   
Cancel or