บทความนี้เขียนขึ้นมาเพื่อสร้างความเข้าใจที่ถูกต้อง และแนะนำให้รู้จักใช้เครื่องมือนี้ให้ถูกวิธี ผมสังเกตเห็นตามบอร์ดต่างๆ ของไทย รวมทั้งของบอร์ดแบไต๋เองที่ผมตัดสินใจแบ่งปันเวลาว่างมาช่วยเหลือผู้เดือดร้อนเพียงแห่งเดียวเท่านั้น (สำหรับบอร์ดไทย) อ่านดูคล้ายกับว่าผมเรื่องมาก แต่ที่ผมต้องอธิบาย เพราะผมรู้สึกว่าคนไทยมักง่ายมาก ชอบลอกเลียนแบบมากกว่าที่จะเรียนรู้ให้เข้าใจ ผมเคยบอกอยู่เสมอว่า ComboFix ไม่ได้ถูกสร้างมาให้เอามาใช้พร่ำเพรื่อ ผมไม่ได้เป็นคนกำหนดกฎข้อนี้ แต่เจ้าของผู้พัฒนาเครื่องมือนี้ต่างหากที่เป็นคนตั้งกฎนี้ขึ้นมา พวกคุณเคยอ่าน Disclaimer กันบ้างไหม ก่อนที่จะสั่งทำงานเครื่องมือนี้
คุณทราบไหมว่าทำไมเจ้าของเขาจึงไม่ให้ใช้โดยปราศจากการกำกับจากช่างเทคนิคมัลแวร์ที่ผ่านการฝึกอบรมการใช้มา ผมจะอธิบายให้ฟังแล้วกัน
ComboFix is an Anti-Malware tool used by advanced malware technicians specifically trained in its use. Please DO NOT USE COMBOFIX on your own without supervision!!! - ComboFix เป็นเครื่องมือต่อต้านมาลแวร์ที่ถูกใช้โดยช่างเทคนิคมัลแวร์ขั้นสูงที่ผ่านการอบรมการใช้เครื่องมือนี้โดยเฉพาะ กรุณาอย่าใช้ ComboFix ด้วยตนเองโดยปราศจากการกำกับและแนะนำ
คำเตือนด้านบนที่เจ้าของเครื่องมือย้ำนักย้ำหนา มันมีสาเหตุครับ หนึ่งในนั้นก็เพื่อเตือนสติเหล่าสมาชิกบอร์ดถึงผลกระทบที่อาจจะตามมา ถ้าหากว่าใช้เครื่องมือนี้โดยปราศจากการกำกับและแนะนำจากช่างเทคนิคมัลแวร์
ใช่อยู่ว่าเครื่องมือนี้มันยอดเยี่ยม แต่ทว่ามันก็เป็นเครื่องมือที่มีประสิทธิภาพมากเช่นกัน ถ้าจะให้เปรียบเทียบก็คงเช่นเดียวกันกับการใช้ยาแก้ปวด Acetaminophen (Tylenol) ถ้าคุณใช้ยานี้อย่างถูกวิธีมันก็จะช่วยบรรเทาอาการปวดได้ แต่ถ้าคุณใช้อย่างผิดวิธี มันก็สามารถทำลายตับของคุณได้ หรือไม่ก็อาจทำให้ถึงขั้นเสียชีวิตไปเลย สถานการณ์สมมตินี้สามารถนำไปใช้กับกรณีของ ComboFix ได้ ถ้ามันถูกนำไปใช้โดยผู้ที่ไม่ได้ผ่านการฝึกสอน หรือถูกใช้โดยไม่ได้อยู่ภายใต้การกำกับของผู้ที่ผ่านการฝึกสอน มันสามารถปิดการใช้งานคอมพิวเตอร์ของคุณได้ หรือแย่ไปกว่านั้นอาจทำให้ถึงขั้นบูตไม่ได้ไปเลย
ผู้ที่ติดตามผลงานของผม อาจจะสังเกตและจับจุดได้ว่า ผมไม่เคยสั่งให้ผู้ใช้บริการบอร์ดแบไต๋คนไหน ใช้เครื่องมือกำจัดมัลแวร์เฉพาะทางโดยปราศจากการขอดูล็อกที่ได้มาจากเครื่องมือที่จะไม่ไปปรับปรุง เปลี่ยนแปลง ลบ หรือเพิ่ม อะไรกับไฟล์หรือคีย์รีจิสทรีเลยนอกจากสร้างล็อกรายงานผล เช่น HJT (ปัจจุบันนี้ เลิกใช้ตัวนี้แล้ว เพราะผู้พัฒนาเครื่องมือตัวนี้ ได้หยุดอัพเกรด จึงทำให้มันล้าสมัย ไม่สามารถแสดงไฟล์ได้หลายจุด ทำให้พลาดตำแหน่งของมัลแวร์ไปไม่ใช่น้อย), RSIT (ปัจจุบันถูกแทนที่ด้วย DDS), OTscanIt (ปัจจุบันถูกแทนที่ด้วย OTL) เป็นต้น
ทำไมช่างเทคนิคมัลแวร์ที่ผ่านการฝึกสอนมาจึงต้องการตรวจสอบล็อกที่ได้มาจากการสแกนเบื้องต้นจากเครื่องมือที่กล่าวมาข้างต้น ก่อนที่จะตัดสินใจให้ผู้ใช้บริการใช้ ComboFix หรือเครื่องมือกำจัดมัลแวร์เฉพาะทางหลังจากอ่านล็อกก่อนเสมอ? เหตุผลก็เพราะว่าล็อกเหล่านั้นจะลงบันทึกที่ครอบคลุมเกี่ยวกับรายละเอียดเฉพาะของไฟล์, โฟลเดอร์ และคีย์รีจิสทรี ซึ่งอาจมีการปรับเปลี่ยนโดยการติดมัลแวร์ต่างๆ การวิเคราะห็ล็อกเหล่านั้น สามารถทำให้ช่างเทคนิคมัลแวร์แยกแยะประเภทมัลแวร์ที่ปรากฏตัวอยู่ในล็อก เมื่อทราบประเภทมัลแวร์แล้ว ก็สามารถวางกลยุทธ์เกี่ยวกับขั้นตอนในการกำจัดมัลแวร์ รวมทั้งสามารถกำหนดได้ด้วยว่ามันจำเป็นหรือไม่ที่ต้องใช้ ComboFix
กลวิธีของผมที่เรียนรู้มาจากการเรียนด้านมัลแวร์ รวมทั้งการสะสมประสบการณ์ ทำให้ผมทราบตั้งแต่อ่านวิเคราะห์ล็อกตัวแรกๆ แล้วว่า ต้องใช้เครื่องมือใดบ้าง ต้องใช้เครื่องมือพื้นฐาน หรือเครื่องมือเฉพาะทาง และจากการเรียนทำให้ผมรู้ว่า ต้องใช้เครื่องมือใดก่อนและหลัง นี่คือเบื้องหลังการให้คำแนะนำของผม ผมไม่ได้แนะนำขั้นตอนแบบมั่วสุ่ม ผมรู้จักเครื่องมือที่ผมแนะนำให้ใช้เป็นอย่างดี ผมรู้ว่าเครื่องมือใดสามารถใช้ร่วมกันได้ และเครื่องมือใด ไม่ควรใช้ร่วมกัน ผมรู้ดีว่าเมื่อใช้เครื่องมือชนิดหนึ่ง จะมีผลกระทบต่อระบบคอมแบบใด และมีวิธีแก้ไขเตรียมพร้อมไว้แล้ว การที่ผมมักจะถามอาการของเครื่องหลังจากแนะนำให้ผู้ใช้บริการใช้เครื่องมือหนึ่งๆ ไป ก็เพื่อที่จะได้รู้ว่ามีอาการผิดปรกติเพิ่มหรือไม่ และอาการนั้นใช่อาการที่ถูกคาดการณ์เอาไว้ล่วงหน้าแล้วว่าต้องเกิดขึ้นหรือเปล่า
ComboFix ก็เช่นกัน เมื่อมันมีปัญหาเกิดขึ้นสืบเนื่องมาจากการติดมัลแวร์ที่มีความซับซ้อน, ความเป็นไปได้ของการแจ้งผลที่เป็น false detections, ปัญหาการใช้งาน ComboFix หรือปัญหาการขัดแย้งกันกับเครื่องมือรักษาความปลอดภัยอื่นๆ ช่างเทคนิคมัลแวร์ที่ผ่านการอบรมจะรับรู้เกี่ยวกับมันก่อนอยู่แล้ว ทำให้ช่างเทคนิคมัลแวร์สามารถให้คำแนะนำได้ว่าผู้ใช้บริการควรทำและไม่ควรทำอะไรบ้าง (เน้นว่าคำแนะนำขึ้นอยู่กับผู้ใช้บริการแต่ละคน ผู้ใช้บริการคนอื่นไม่ควรทำตามคำแนะนำที่ให้ไว้ในกระทู้ที่พวกคุณไม่ได้เป็น จขกท.) ดังนั้นบุคคลที่ใช้ ComboFix ด้วยตนเองหรือโดยบุคคลที่ไม่ได้อยู่ในกลุ่มช่างเทคนิคมัลแวร์ จะไม่มีข้อมูลเหล่านั้น และจะมีความเสี่ยงเมื่อใช้ ComboFix
ตัวผมกล้าแนะนำให้ใช้ เพราะหากว่าผู้ใช้บริการทำตามผมแล้วเกิดปัญหา ผมรู้วิธีแก้ไข หรือถ้าหากว่ามันเป็นปัญหาใหม่อันเกิดมาจาก False postives, glitches หรือว่า bugs ปัญหาเหล่านั้นจะถูกแจ้งและส่งไปยังเจ้าของเครื่องมือทันที ซึ่งเจ้าของจะทำการตรวจสอบและหาวิธีแก้ไขที่ถูกต้องให้ ซึ่งพวกผมต้องรอคำแนะนำจากเจ้าของเครื่องมือโดยตรง จึงจะสามารถแนะนำขั้นตอนที่ถูกต้องให้ผู้ใช้บริการได้ ผู้ที่ได้ผ่านการฝึกสอน จะถูกจัดอยู่วงในของวงการ ดังนั้นพวกผมจะรู้ดีว่า ComboFix ใช้ได้หรือไม่ได้ บางครั้งเจ้าของเครื่องจะระงับการใช้ และเก็บเครื่องมือกลับไปตรวจสอบและปรับปรุงข้อผิดพลาดและจุดอ่อนหากตรวจพบ หากพวกคุณใช้โดยปราศจากคำแนะนำคุณอาจจะไปดาวน์โหลดไฟล์ตัวเก่าที่เจ้าของยังไม่ได้ปรับปรุงก็ได้ ลิงก์ดาวน์โหลดไฟล์ล่าสุดที่เชื่อถือได้คือลิงก์ที่มาจากเจ้าของเครื่องมือโดยตรงเท่านั้น พวกที่ชอบดาวน์โหลดแล้วอัพโหลดไฟล์แจกตามเว็บต่างๆ จะพลาดข่าวการอัพเกรดหากไม่ได้อยู่วงใน แล้วพวกคุณจะมั่นใจได้อย่างไรว่า ComboFix ที่คุณใช้คือเวอร์ชั่นล่าสุด หากพวกคุณไปหาใช้กันเองอย่างพร่ำเพรื่อ
อีกประเด็นหนึ่งก็คือ หากคุณกำจัดมัลแวร์ภายใต้คำแนะนำของผมหรือช่างเทคนิคมัลแวร์ท่านอื่นที่ผ่านการเรียนเกี่ยวกับ ComboFix จนเครื่องของคุณสะอาดแล้ว ผมจะบอกวิธีให้คุณไปลบ ComboFix ออกอยู่เสมอ เหตุผลก็เพราะว่า ต้องทำตาม Disclaimer นั่นคือไม่แนะนำให้เก็บไว้ใช้เอง และเหตุผลอีกข้อก็คือ ComboFix จะถูกปรับปรุงตามความก้าวหน้าของมัลแวร์เสมอ ดังนั้นหากจะใช้ ComboFix ก็ควรจะเป็นไฟล์ที่ดาวน์โหลดมาใหม่จากลิงก์ที่แนะนำให้ในแต่ละครั้ง เพื่อจะได้มั่นใจได้ว่าพวกคุณได้ใช้เวอร์ชั่นล่าสุดที่มีความเสถียรแล้ว
ComboFix ไม่มี Auto Update.
[/i]หมายเหตุ
1. หากว่าคุณกดลิงก์ที่ช่างเทคนิคมัลแวร์แนะนำแล้วไม่สามารถดาวน์โหลดได้ นั่นเป็นเพราะอาจมีบางครั้งที่เจ้าของเอา ComboFix ออกไปเพื่อทำการปรับปรุงหรือแก้ไข bugs ดังนั้นเครื่องมือจึงไม่พร้อมที่จะใช้งานในการดาวน์โหลด เว็บไซต์อื่น ๆ ที่โฮสติ้ง ComboFix เป็นมิเรอร์ที่ไม่ได้รับอนุญาต และโฮสติ้งสำเนาที่ล้าสมัยของ ComboFix ซึ่งสำเนาที่ล้าสมัยเหล่านี้สามารถมี bugs ที่อาจทำให้บางเครื่องบูตไม่ได้ การใช้ ComboFix จากมิเรอร์ที่ไม่ได้รับอนุญาต เป็นการเสี่ยงต่อการทำให้คอมพิวเตอร์ของคุณไม่สามารถบูตได้อีก ขอให้พวกคุณอดใจรอจนกว่าเวอร์ชั่นที่เป็นทางการจะปรับปรุงจนเสถียรและเผยแพร่ให้สามารถดาวน์โหลดมันมาใช้ได้อีกครั้ง
2. ComboFix ไม่สมควรที่จะถูกใช้งานเฉกเช่นเดียวกับเครื่องสแกนมัลแวร์ทั่วๆ ไป อย่างเช่น SuperAntispyware หรือ Malwarebytes' Anti-Malware ที่ซึ่งจะสแกนไดร์ฟแต่ละไดร์ฟ หรือโฟลเดอร์ต่างๆ เพื่อหาไวรัส การใช้เครื่องมือนี้อย่างไม่ถูกต้องอาจนำไปสู่การก่อให้เกิดมหันตภัยกับระบบปฏิบัติการของคุณ เช่น การทำให้เครื่องไม่สามารถสตาร์ทได้อีกเลย
3. ไม่มีใครควรใช้ ComboFix เว้นแต่เฉพาะเมื่อได้รับคำแนะนำให้ทำเช่นนั้น โดยผู้เชี่ยวชาญเรื่องการกำจัดมัลแวร์ที่สามารถอ่านตีความล็อกได้ มันเป็นเครื่องมือที่มีประสิทธิภาพสูง ที่ผู้สร้างจัดทำมันขึ้นมาเพื่อให้มันต้องถูกใช้ภายใต้คำแนะนำและดูแลของผู้เชี่ยวชาญเท่านั้น มันไม่ใช่สำหรับใช้สาธารณะ หรือไว้ใช้ส่วนบุคคลทั่วไป พูดง่ายๆ ก็คือมันเป็นเครื่องมือสำหรับผู้เชี่ยวชาญใช้เท่านั้น
4. ComboFix ถูกอนุญาตให้ใช้โดยไม่มีการรับประกันใด ๆ การรับประกันโดยนัยทั้งหมดถูกระบุการปฏิเสธไว้อย่างชัดเจน (อ่าน Disclaimer กันก่อนใช้งานทุกครั้ง)
5. sUBs (ผู้สร้างเครื่องมือนี้) จะไม่รับผิดชอบต่อความเสียหายใด ๆ บนเครื่องคอมพิวเตอร์ของคุณที่เกิดขึ้นจากการใช้อย่างผิดวิธี หรือเรียกใช้ ComboFix ด้วยตัวของคุณเองโดยไม่ได้อยู่ภายใต้การกำกับของผู้เชี่ยวชาญ
ปล. เขียนยาวขนาดนี้ หวังว่าพวกคุณคงจะเข้าใจกันมากขึ้น
อ้างอิง: รวบรวมจากคู่มือ ComboFix ที่ทำแจกช่างเทคนิคมัลแวร์โดยคุณ sUBs และจากประสบการณ์
อ่างอิงจาก thaitatim @ beartai.com
ข้อมูลจาก zone-it.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น