คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 1
สาเหตุน่าจะมาจาก Bitmap มีคุณสมบัติพิเศษที่แทรกไฟล์ลงในรูปภาพได้โดยที่รูปภาพนั้นยังใช้งานได้ปกติทุกอย่าง
(ไม่ใช่ช่องโหว่อุดไม่ได้) คนส่วนใหญ่ไม่รู้ แต่นักปล่อยไวรัสจะรู้ดีที่สำคัญ คือ มัน Fully UnDetectable (FUD) แต่นักวิจัยที่ทำงานใน lab บริษัท Antivirus คนเหล่านี้ก็เคยเป็นนักสร้างนักปล่อยไวรัสกันมาก่อนแล้วทั้งนั้นเลยรู้ทันว่าจะปล่อยไวรัสแบบแนบเนียนด้วยวิธีอย่างไร
นักปล่อยไวรัสหลายคนจะนิยมสร้างโปรแกรมอะไรมาบางอย่างแล้วมีรูปภาพที่แทรกไฟล์ไวรัสเอาไว้ในโปรแกรมที่ใช้งานตามปกติ
พอเปิดโปรแกรมรูปภาพก็แสดงใช้งานได้ตามปกติแต่ขณะเดียวกันก็แอบปล่อยไวรัสออกมาจากภาพนั้นแล้วอาจจะ Inject Processes (อดีตใช้ CreateRemoteThread ปัจจุบันนักสร้างไวรัสคิดค้น APCs กับ PSCs เริ่มเข้ามาแทนแล้วสามารถใช้กับ Windows 10,11 ได้ดีกว่าเดิมมาก) สำคัญคือ Antivirus, Firewall ไม่ว่ายี้ห้อไหนก็จะตรวจจับไม่เจอ
ดังนั้นบริษัทที่สร้าง Antivirus จึงตัดไฟตั้งแต่ต้นลมโดยการหากมีการสร้างโปรแกรมแล้วพฤติกรรมไปตรงกับนักปล่อยไวรัสทำจะมองว่า
โปรแกรมนั้นเจตนาคลุมเครือเลย False Positive เอาไว้ก่อน เพราะว่า AI จะวิเคราะห์พฤติกรรมได้ แต่ไม่สามารถวิเคราะห์เจตนาได้ว่าจะสร้างโปรแกรมเพื่อทำอะไรแต่พฤติกรรมดันไปตรงกับนักปล่อยไวรัสทำเอาไว้ วิธีแก้คือเปลี่ยนพฤติกรรมการทำงานโปรแกรมใหม่ เช่น รูปภาพก็ใช้ประเภทที่ compress หรือ IDE/compiler อาจจะเปลี่ยน version ตัวใหม่ หรือ อื่นๆ ที่เลี่ยงพฤติกรรมไปตรงกับนักปล่อยไวรัสนิยมทำ
(ไม่ใช่ช่องโหว่อุดไม่ได้) คนส่วนใหญ่ไม่รู้ แต่นักปล่อยไวรัสจะรู้ดีที่สำคัญ คือ มัน Fully UnDetectable (FUD) แต่นักวิจัยที่ทำงานใน lab บริษัท Antivirus คนเหล่านี้ก็เคยเป็นนักสร้างนักปล่อยไวรัสกันมาก่อนแล้วทั้งนั้นเลยรู้ทันว่าจะปล่อยไวรัสแบบแนบเนียนด้วยวิธีอย่างไร
นักปล่อยไวรัสหลายคนจะนิยมสร้างโปรแกรมอะไรมาบางอย่างแล้วมีรูปภาพที่แทรกไฟล์ไวรัสเอาไว้ในโปรแกรมที่ใช้งานตามปกติ
พอเปิดโปรแกรมรูปภาพก็แสดงใช้งานได้ตามปกติแต่ขณะเดียวกันก็แอบปล่อยไวรัสออกมาจากภาพนั้นแล้วอาจจะ Inject Processes (อดีตใช้ CreateRemoteThread ปัจจุบันนักสร้างไวรัสคิดค้น APCs กับ PSCs เริ่มเข้ามาแทนแล้วสามารถใช้กับ Windows 10,11 ได้ดีกว่าเดิมมาก) สำคัญคือ Antivirus, Firewall ไม่ว่ายี้ห้อไหนก็จะตรวจจับไม่เจอ
ดังนั้นบริษัทที่สร้าง Antivirus จึงตัดไฟตั้งแต่ต้นลมโดยการหากมีการสร้างโปรแกรมแล้วพฤติกรรมไปตรงกับนักปล่อยไวรัสทำจะมองว่า
โปรแกรมนั้นเจตนาคลุมเครือเลย False Positive เอาไว้ก่อน เพราะว่า AI จะวิเคราะห์พฤติกรรมได้ แต่ไม่สามารถวิเคราะห์เจตนาได้ว่าจะสร้างโปรแกรมเพื่อทำอะไรแต่พฤติกรรมดันไปตรงกับนักปล่อยไวรัสทำเอาไว้ วิธีแก้คือเปลี่ยนพฤติกรรมการทำงานโปรแกรมใหม่ เช่น รูปภาพก็ใช้ประเภทที่ compress หรือ IDE/compiler อาจจะเปลี่ยน version ตัวใหม่ หรือ อื่นๆ ที่เลี่ยงพฤติกรรมไปตรงกับนักปล่อยไวรัสนิยมทำ
แสดงความคิดเห็น
(Delphi) ใส่ bitmap ขนาดใหญ่ลงใน TImage พอรันแล้วโปรแกรมไวรัสตรวจเจอ เกิดจากอะไร แก้ปัญหาอย่างไรคะ
ตอนแรกที่เคยเจอ จำไม่ได้ว่าแก้ปัญหาอย่างไร ตอนนี้เดี๋ยวจะลอง 2 วิธี คือขึ้นหรือเซฟเป็นโปรเจ็กต์ใหม่ ชื่อใหม่ กับไปโปรแกรมสแกนไวรัสตัวนั้น (ร่มขาว, ร่มแดง) เพื่อเอาไฟล์ .exe (มั้ง) ออกมาจากการ quarantine หรือ disable โปรแกรมสแกนไวรัสเอาไว้ก่อน
เข้าใจว่าปัญหาเกิดจากใส่ภาพขนาดใหญ่เกินไป แต่ก็ไม่รู้ว่ารหัสของไวรัสมาจากไหน ทำไมไฟล์ภาพขนาดเล็ก ๆ ไม่มีปัญหานี้ หรือมันบังเอิญคล้าย หรือมีไวรัสแฝงอยู่ในไฟล์ขนาดใหญ่นั้นจริง ๆ หรือเป็น bug ของ IDE หรือเป็นความเข้าใจผิดของโปรแกรมสแกนไวรัส
แล้วถ้ามันเป็นไวรัสจริง ๆ ทำไมตอนเป็นไฟล์ .bmp ปกติ จึงเปิดด้วยโปรแกรม MS Paint ได้ โดยที่โปรแกรมสแกนไวรัสไม่ตรวจเจออะคะ ตอนยังไม่รันโปรแกรม ก็ตรวจไม่เจอ แล้วต้องสแกนอะไรเป็นพิเศษไหมคะ
มีใครเคยเจอปัญหานี้ไหมคะ แก้ไขกันอย่างไร ที่ไม่ใช่เดี๊ยนมโนหรือเข้าใจผิดไปเองน่ะค่ะ ยังไม่ได้ลองแก้เลย กล้า ๆ กลัว ๆ กลัวมันจะไปกันใหญ่