Thursday, November 15, 2007

ป้องกันไวรัสโดยใช้โปรแกรม Trust No EXE

ปัจจุบันเครื่องคอมพิวเตอร์นั้น ถือได้ว่าเป็นส่วนหนึ่งในชีวิตประจำวันของคนเรา และอาจจะกล่าวได้ว่าเป็นส่วนที่สำคัญด้วย เนื่องจากการทำงานต่างๆ นั้นต้องใช้เครื่องคอมพิวเตอร์แทบทั้งสิ้น หรืออย่างน้อยที่สุดก็ต้องมีคอมพิวเตอร์เกี่ยวข้องไม่ขั้นตอนใดก็ขั้นตอนหนึ่ง โดยทั่วไปเราอาจแยกผู้ที่ทำงานกับคอมพิวเตอร์ออกเป็น 2 กลุ่ม คือ กลุ่มที่ 1 ผู้ใช้งานหรือยูสเซอร์ และกลุ่มที่ 2 เป็นผู้ที่ทำหน้าที่ดูแล ซ่อมแซม และบำรุงรักษา ให้เครื่องคอมพิวเตอร์พร้อมใช้งานได้ตลอดเวลา เช่น Administrator, Help Desk หรือ Technician เป็นต้น

ปัญหาไวรัสคอมพิวเตอร์ (หรือเรียกรวมๆกันว่ามัลแวร์)นั้น คิดว่าคงเป็นปัญหาที่ผู้ใช้คอมพิวเตอร์ทุกๆ ท่าน ไม่ว่าจะเป็นผู้ใช้ทั่วไป (User)หรือผู้ที่มีหน้าที่รับผิดชอบดูแลเครื่องคอมพิวเตอร์ (Administrator) คงต้องเคยมีประสบการณ์ (ที่ไม่ค่อยจะดี) มาแล้ว มากบ้างน้อยบ้าง เบาบ้างหนักบ้าง ก็ว่ากันไป ผลกระทบจากปัญหาไวรัสคอมพิวเตอร์หรือมัลแวร์นั้น มีหลายระดับ ตั้งแต่สร้างความรำคาญโดยการแสดงข้อความต่างๆ ลดประสิทธิภาพการทำงานของเครื่อง จนร้ายแรงถึงระดับทำลายระบบได้ก็มี แต่โดยทั่วไปแล้ว มันจะส่งผลต่อประสิทธิภาพการทำงานของเครื่อง ตัวอย่างเช่น ทำให้เครื่องทำงานช้าลง หรือเครื่องแฮงก์บ่อย หรือเครื่องรีสตาร์ทเองบ่อยเป็นต้น เป็นผลทำให้เสียเวลาในการทำงาน

การแพร่ระบาดของมัลแวร์
ลักษณะการแพร่ระบาดของมัลแวร์ในปัจจุบันนั้น ส่วนมากจะเริ่มต้นโดยการแพร่ระบาดผ่านทางระบบอีเมล และเมื่อมัลแวร์เข้าไปติดในเครื่องคอมพิวเตอร์ มันก็จะทำแพร่ระบาดผ่านทั้งทางระบบอีเมลและทางอุปกรณ์เก็บข้อมูลแบบพกพา โดยส่วนมากแล้วมัลแวร์จะอยู่ในไฟล์ประเภท PE (Portable Execute) คือ ไฟล์ที่สามารถเอ็กซีคิวท์ได้ เช่น ไฟล์นามสกุล .exe, .com, .scr เป็นต้น และนอกจากนี้ในปัจจุบัน จะพบว่าไวรัสประเภท script virus เช่น VBScript, JScript มีจำนวนเพิ่มมากขึ้น

วิธีการป้องมัลแวร์
วิธีการหรือคำแนะนำทั่วๆ ไปในการป้องกันมัลแวร์นั้น มีดังนี้
1. ติดตั้งโปรแกรมป้องกันไวรัสและทำการอัพเดทไวรัสซิกเนเจอร์อย่างสม่ำเสมอ (ควรอัพเดททุกๆ วัน)
2. ทำการสแกนไวรัสอย่างสม่ำเสมอ
3. ปิดการใช้งาน Autoplay ในทุกๆ ไดรฟ์ อ่านวิธีการได้จาก วิธีการปิดใช้งาน Autoplay
4. ปิดการใช้งาน WSCript อ่านวิธีการได้จาก วิธีการป้องกันไวรัสจาก Flash drive
5. ทำการสแกนสื่อเก็บข้อมูลแบบพกพาทุกครั้ง ก่อนการใช้งาน
6. หากจำเป็นต้องทำการแชร์ข้อมูลให้ทำการแชร์แบบอ่านอย่างเดียว
7. หากเป็นไปได้ให้ทำการอัพเดทวินโดสว์อย่างสม่ำเสมอ (ควรอัพเดทอย่างน้อย เดือนละ 1 ครั้ง ในทุกๆ วันพุธสัปดาห์ที่สองของแต่ละเดือน)

วิธีการหรือคำแนะนำด้านบนนั้น เป็นวิธีการทั่วไปในการป้องกันมัลแวร์ โดยวิธีเหล่านี้ช่วยป้องกันมัลแวร์ได้ผลดีในระดับหนึ่ง แต่ก็ยังไม่สามารถป้องกันปัญหาได้สมบูรณ์ 100 เปอร์เซนต์ เนื่องจากมัลแวร์เองนั้น ก็ได้มีการพัฒนาเทคนิคการหลบเลี่ยงอยู่เสมอ เพื่อให้สามารถแฝงตัวเข้าไปติดในเครื่องคอมพิวเตอร์ได้ แต่อย่างไรก็ตาม การที่มัลแวร์จะเข้าไปติดในเครื่องได้นั้น ไฟล์ไวรัสจะต้องถูกทำการรันเสียก่อน ดังนั้นถ้าเราสามารถป้องกันไม่ให้ผู้ใช้ทำการรันไวรัส โอกาสที่เครื่องจะติดไวรัสก็จะลดลงไปด้วย

ในระบบปฏิบัติการ Windows XP จะมีเครื่องมือชื่อ Group Policy Editor (GPEDIT.MSC)ซึ่งสามารถใช้ทำการกำหนดไม่ให้วินโดวส์ทำการรันโปรแกรมต่างๆ ได้ แต่การใช้งานไม่ค่อยสะดวกและมีข้อจำกัดค่อยข้างมาก ตัวอย่างเช่น ต้องทำการกำหนดที่ละโปรแกรม, สามารถควบคุมได้เฉพาะไฟลืประเภท .exe เท่านั้น, รองรับการกำหนดแบบชื่อไฟล์เท่านั้นไม่สามารถกำหนดเป็นชื่อไดรฟ์ได้ เป็นต้น

What is "Trust No EXE"
โปรแกรมที่ชื่อ "Trust No EXE" ของ Beyondlogic สามารถช่วยเพิ่มประสิทธิภาพในการป้องกันมัลแวร์ และเสริมแนวป้องกันให้แข็งแกร่งยิ่งขึ้น โดยโปรแกรม Trust No EXE นั้น จะทำหน้าที่เป็น executable file filter นั้นคือ มันจะการกลั่นกรองการรันไฟล์ประเภท .exe .com .dll .drv .sys .dpl ในทุกๆ ไดรฟ์รวมทั้งเน็ตเวิร์คไดรฟ์ โปรแกรม Trust No EXE นั้นจะทำงานโดยใช้การคอนฟิกแบบ Access Control List (ACL) ซึ่งมีอยู่ 2 ACL ด้วยกัน คือ Access List และ Deny List โดยการกำหนดค่านั้นจะทำผ่านทางคอนโทรลพาเนล ซึ่งจะมีชื่อไฟล์ว่า trustnoexe.cpl

ข้อดีของโปรแกรม Trust No EXE คือ มันสามารถทำการบังคับ โดยการระบุ ชื่อของโปรแกรม ชื่อของโฟลเดอร์ หรือชื่อไดรฟ์ ก็ได้ ซึ่งทำให้สะดวกในการคอนฟิก

องค์ประกอบของโปรแกรม Trust No EXE
1. Control Panel: คอนโทรลพาเนลนั้นเป็นส่วนสำหรับใช้ติดต่อกับผู้ใช้ เพื่อใช้ควบคุมการทำงานของโปรแกรม Trust No EXE ซึ่งมีชื่อไฟล์ว่า trustnoexe.cpl โดยคอนโทรลพาเนลนั้น จะเป็นไฟล์ซึ่งแยกอิสระของตัวติดตั้งโปรแกรม มีลักษณะการทำงานแบบ Stand Alone สามารถทำการเคลื่อนย้ายตำแหน่งได้อย่างอิสระ
2. Access List นั้นจะเก็บรายชื่อของโปรแกรมที่อนุญาตให้สามารถรันได้ ซึ่งสามารถระบุได้ทั้งแบบ ชื่อของโปรแกรม ชื่อของโฟลเดอร์ หรือชื่อไดรฟ์ก็ได้
3. Deny List นั้นจะเก็บรายชื่อของโปรแกรมที่ไม่อนุญาตให้สามารถรันได้ ซึ่งสามารถระบุได้ทั้งแบบ ชื่อของโปรแกรม ชื่อของโฟลเดอร์ หรือชื่อไดรฟ์ก็ได้

การใช้งานโปรแกรม Trust No EXE
สำหรับท่านที่สนใจจะใช้งานโปรแกรม Trust No EXE ซึ่งเวอร์ชันปัจจุบันคือ 3.04 สามารถดาวน์โหลดได้จากเว็บไซต์ beyondlogic ซึ่งจะได้ไฟล์ติดตั้งชื่อ trustnoexev304.zip หลังจากดาวน์โหลดเสร็จแล้วก็ให้ทำการแตกไฟล์ดังกล่าว โดยจะมีคู่มือการใช้งานมาให้พร้อม สำหรับขั้นตอนการติดตั้งโปรแกรม Trust No EXE นั้นไม่มีอะไรซับซ้อน โดยทำการดับเบิลคลิกที่ไฟล์ Install.exe เพื่อติดตั้งโปรแกรม หลังจากทำการติดตั้งแล้วเสร็จโปรแกรมจะยังไม่ทำงาน จนกว่าจะมีการสั่งการผ่านทาง COntrol Panel จากผู้ใช้เสียก่อน

การคอนฟิก Access List และ Deny List
เมื่อทำการติดตั้งโปรแกรม Trust No EXE เสร็จเรียบร้อยแล้ว โปรแกรมจะยังไม่ทำงาน โดยต้องทำการคอนฟิกและสั่งให้ทำงานผ่านทาง Control Panel จากผู้ใช้เสียก่อน ซึ่งการคอนฟิกนั้นจะมี 2 ส่วนคือ Access List สำหรับรายชื่อของโปรแกรมที่อนุญาตให้สามารถรันได้ และ Deny List สำหรับรายชื่อของโปรแกรมที่ไม่อนุญาตให้รัน

การคอนฟิก Access List
-การเพิ่มชื่อโปรแกรม โฟลเดอร์ หรือไดรฟ์ของโปรแกรมที่อนุญาตให้สามารถรันได้ เข้าใน Access List นั้น สามารถทำได้โดยการพิมพ์ชื่อโปรแกรม โฟลเดอร์ หรือไดรฟ์ ในช่องหน้า Add ในส่วนของ Access List หรือคลิก Browse New แล้วเลือกโปรแกรม โฟลเดอร์ หรือไดรฟ์ ที่ต้องการ เสร็จแล้วให้คลิก Add
-การแก้ไขรายการโปรแกรม โฟลเดอร์ หรือไดรฟ์ของโปรแกรมที่อนุญาตให้สามารถรันได้ใน Access List นั้น สามารถทำได้โดยการคลิกเลือกรายการที่ต้องการแก้ไข แล้วคลิก Edit จากนั้นทำการแก้ไขตามต้องการ เสร็จแล้วคลิก OK
-การลบรายการโปรแกรม โฟลเดอร์ หรือไดรฟ์ของโปรแกรมที่อนุญาตให้สามารถรันได้ออกจาก Access List นั้น สามารถทำได้โดยการคลิกเลือกรายการที่ต้องการลบ แล้วคลิก Delete

การคอนฟิก Deny List
-การเพิ่มชื่อโปรแกรม โฟลเดอร์ หรือไดรฟ์ของโปรแกรมที่ไม่อนุญาตให้รัน เข้าใน Deny List นั้น สามารถทำได้โดยการพิมพ์ชื่อโปรแกรม โฟลเดอร์ หรือไดรฟ์ ในช่องหน้า Add ในส่วนของ Deny List หรือคลิก Browse New แล้วเลือกโปรแกรม โฟลเดอร์ หรือไดรฟ์ ที่ต้องการ เสร็จแล้วให้คลิก Add
-การแก้ไขรายการโปรแกรม โฟลเดอร์ หรือไดรฟ์ของโปรแกรมที่ไม่อนุญาตให้รันใน Deny List นั้น สามารถทำได้โดยการคลิกเลือกรายการที่ต้องการแก้ไข แล้วคลิก Edit จากนั้นทำการแก้ไขตามต้องการ เสร็จแล้วคลิก OK
-การลบรายการโปรแกรม โฟลเดอร์ หรือไดรฟ์ของโปรแกรมที่อนุญาตให้สามารถรันได้ออกจาก Deny List นั้น สามารถทำได้โดยการคลิกเลือกรายการที่ต้องการลบ แล้วคลิก Delete

การสั่งให้โปรแกรมทำงาน
การควบคุมการทำงานของโปรแกรมนั้น จะอยู่ในส่วน Driver โดยการสั่งให้โปรแกรมทำงานนั้นทำได้โดยการคลิกปุ่ม Start และการหยุดการทำงานนั้นทำได้โดยการคลิกปุ่ม Stop และหากต้องการปรับแต่งข้อความที่จะแจ้งยูสเซอร์นั้น ก็ทำได้โดยการคลิกที่เช็คบ็อกซ์ Custom Message แล้วพิมพ์ข้อความที่ต้องการในช่องที่อยู้ทางด้านขวามือ และหากต้องการในโปรแกรม Trust No Exe บันทึกว่ามีโปรแกรมที่ไม่อนุญาตให้รันตัวไดบ้างที่พยายามทำการรัน เมื่อทำการคอนฟิกต่างๆ เสร็จเรียบร้อยแล้วให้คลิก OK เพื่อจบการทำงานและออกจาก Control Panel


รูปที่ 1 Control Panel

การใช้งาน Trust No Exe แบบหลายเครื่อง
โปรแกรม Trust No Exe นั้น จะรองรับการใช้งานแบบ Multiple Computers ซึ่งจะช่วยให้การใช้งานใน Workgroup สะดวกยิ่งขึ้น วิธีการใช้งานนั้น ให้ทำการคลิกที่ปุ่ม Multiple Computers จะได้หน้าโปรแกรมดังรูปที่ 2 จากนั้นก็ทำการเพิ่มชื่อของเครื่องคอมพิวเตอร์ที่ต้องการให้ปรแกรม Trust No Exe เข้าไปควบคุม โดยการใส่ชื่อเครื่องคอมพิวเตอร์ที่ต้องการในช่องหน้าปุ่ม Add ในส่วน Additional Workstations เสร็จแล้วคลิกปุ่ม Add เพื่อเพิ่มชื่อ หรือจะใช้วิธีการบราวซ์ก็ทำได้โดยการคลิกปุ่ม New แล้วเลือกเครื่องที่ต้องการ เสร็จแล้วให้คลิกที่ Apply Settings นอกจากนี้สามารถทำการบันทึกเป็นไฟล์เพื่อเก็บไว้ใช้ในครั้งต่อๆ ไปได้โดยการคลิกที่ปุ่ม Save ใส่ชื่อไฟล์ที่ต้องการแล้วคลิกปุ่ม Save


รูปที่ 2 Multiple Computers

หมายเหตุ:
โปรแกรม Trust No EXE นั้น ไม่ใช่โปรแกรมที่ทำหน้าที่แทนโปรแกรมป้องกันไวรัส ขอแนะนำให้ท่านทำการติดตั้งโปรแกรมป้องกันไวรัสและทำการอัพเดทไวรัสซิกเนเจอร์อย่างสม่ำเสมอ (ควรทำการอัพเดททุกๆ วัน ถ้าหากสามารถทำได้)

การป้องกันไวรัส Trust No EXE Trust-No-Exe Anti Restrict Execute

© 2007 Thai Windows Administrator, All Rights Reserved.

0 Comment: