AI နည်းပညာတွေတဟုန်ထိုးဖွံ့ဖြိုးတိုးတက်လာတဲ့ခေတ်မှာ Antivirus ဆိုတာသည် ဟိုးအရင်တုန်းကလို virus မျိုးကွဲတွေကိုပဲ scan & remove သာလုပ် နိုင်စွမ်းရှိတာမဟုတ်တော့ပါဘူး...အခုခေတ်ရဲ့လိုအပ်ချက်နဲ့အညီပိုပြီး advanced ဖြစ်လာတဲ့ Cyber Security threads တွေကို handle လုပ်နိုင်တာတွေရော..ငွေညှစ်တဲ့ Ransomware လိုဟာမျိုးတွေ....နောက် link နှိပ်လိုက်တာနဲ့ hacker တွေထောင်ခြောက်ထဲကိုဝင်နိုင်တဲ့ phishing တွေကိုရော.. ပြီးတော့ network ထဲကနေ workstation ေတွ...server တွေရဲ့ vulnerable port ေတွကိုလှမ်းချိတ်ပြီး access လုပ် နေတဲ့ threads ေတွကိုပါကာကွယ်နိုင်တဲ့ Endpoint Solutions ေတွအဖြစ် ပိုမိုအဆင့်မြင့်စွာတွေ့မြင်လာရပြီပဲ ဖြစ်ပါတယ်...
အခု post ေလးမှာတော့ ကျွန်တော်တို့က File တစ်ခုထဲမှာ virus ဖြစ်စေနိုင်တဲ့ code တွေ...trigger တွေကို antivirus တွေက ဘယ်လိုသိကြတာလဲဆိုတာလေးကိုရှင်းပြပေးမှာဖြစ်ပါတယ် (အခြေခံ..အကြမ်းဖျင်းသဘောလေးပါ...တကယ်တကယ်တမ်းတော့အများကြီးရှုပ်ထွေးခက်ခဲနက်နဲပါတယ်...)...
ပထမဆုံးကျွန်တော်တို့က file structure ေတွကိုနားလည်ရပါမယ်...ကျွန်တော်တို့အလွယ်ဆုံးပြောရရင်မှတ်ပုံတင်ထဲမှာ လူတစ် ယောက်နဲ့တစ်ယောက်မတူညီကြတဲ့ကိုယ်ပိုင်အမှတ်အသားလက္ခဏာတွေရှိကြပါတယ်...file တခုချင်းစီမှာလည်းမတူညီတဲ့ ကိုယ်ပိုင်အမှတ်အသားလက္ခဏာတွေရှိတတ်ကြပါတယ်.အခုက ကျွန်တော်က D:\SCAN\ ဆိုတဲ့ folder ထဲမှာ files တွေရော sub folder ေရာရှိပါတယ်....
..
file လေးနှစ် file ရှိပါတယ်...notepad file လေးပါပဲ..Hello.txt ဆိုတဲ့ file ေလးရယ်...virus ဆိုတဲ့ file ေလးရယ်....ဆိုတော့ ကျွန်တော်တို့ စစ်ဆေးကြည့်ပါမယ်...
အဲဒီ serachmalware.cmd ဆိုတဲ့ command script ကို run လိုက်ပါတယ်....ဘာမှမပေါ်လာဘူးနော်..ဘာ virus မှမရှိတော့ဘာမှမပေါ်ဘူး ..အိုကေ...ဒါဆိုဆက်ကြည့်လိုက်မယ်..
ကျွန်တော်က script ထဲမှာ virus behavior ရှိတဲ့ hash code တခုကိုထည့်လိုက်ပါတယ်.... ဒါက Antivirus company ေတွကသူတို့ရဲ့ antivirus program ေတွအတွက် virus update definition list file လိုမျိုးပေါ့ဗျာ....အဲတာလေးကိုထည့်လိုက်ပါတယ်...သဘောကတော့ ဒီ virus code ကို ကိုယ်စစ်တဲ့ file ထဲမှာတွေ့ရင် virus အဖြစ်သတ်မှတ်ပါ...ပြီးရင် location ပြပေးပါ...ပြီးရင်တော့ thread remove လုပ်မယ်ပေါ့...
အဲလိုနဲ့ virus အမှတ်အသားပါတဲ့ file ေလးတွေအဖြစ်ပြောင်းသွားပါပြီ...ဒါက simulation အဖြစ်လုပ်ပြတာမို့လို့ပါ...တကယ့်လက်တွေ့မှာတော့ virus အကူးခံရတဲ့ file အဖြစ်မြင်ကြည့်ကြပါစို့....အဲလို file ေလးတွေရှိနေတဲ့ folder ေလးကို scan ထပ်လုပ်လိုက်ပါတယ်...
ကဲ......virus code ပါတဲ့ file နှစ်ခုထွက်လာပါပြီ....sub folder ထဲမှာ တစ်ခုရယ်...SCAN folder ကြီးထဲမှာတစ်ခုရယ်....ဆိုတော့ virus အဖြစ်လည်းပြတယ်...file location လည်းပြတယ်...ဆိုတော့...ကျွန်တော့်ရဲ့ script က thread remove လုပ်တဲ့ function ကိုလည်းထည့်ထားလို့ virus file ဖြစ်တဲ့ exe ကိုလည်းရှာသလို virus file တွေကိုလည်း thread remove လုပ်ပစ်လိုက်ပါတယ်....ဆိုတော့ ကျွန်တော်တို့က D:\SCAN\ ဆိုတဲ့ folder ထဲမှာ virus ဆိုတဲ့ file တွေကျန်သေးလား..သွားကြည့်မယ်...
virus ဆိုတဲ့ file ကိုပဲဖျက်သွားပြီး Hello.txt ဆိုတဲ့ virus မဟုတ်တဲ့ file ကိုမဖျက်သွားပါဘူးနော်...ဆိုတော့ Business ဆိုတဲ့ Sub Folder ထဲကိုထပ်ကြည့်လိုက်မယ်..ခုနက script ထဲမှာ Business\virus.txt ဆိုတာကို delete လုပ်သွားတယ်ဆိုတာကိုပြောတာကိုး....ဆိုတော့ကြည့်မယ်...
ကဲ...virus file တွေမရှိတော့ဘူး.. data file တွေပဲမထိမခိုက်အကောင်းအတိုင်းကျန်ခဲ့တယ်
Antivirus Engine တွေဟာ folders တွေ...file တွေ.ထဲမှာရှိတဲ့ file တွေရဲ့ သီးသန့်ကိုယ်ပိုင်လက်ဗွေတွေနဲ့ virus code လက်ဗွေတွေကိုခွဲခြားသိရအောင်...virus definition update file တွေကိုအချိန်အားလျော်စွာ..နေ့စဥ် ဆိုသလိုကိုထုတ်ပေးပါတယ်....အဲဒီထုတ်ပေးတဲ့ update file နဲ့ တိုက်ဆိုင်အတည်ပြုစစ်ဆေးနည်းအားဖြင့် virus တွေကိုရှာဖွေပြီး threads remove လုပ်ပေးနိုင်တာဖြစ်ပါတယ်
ဒါလောက်ဆိုရင် Antivurs ေတွရဲ့ အခြေခံအလုပ်လုပ်ပုံသဘောတရားလေးကိုနားလည်မယ်လို့မျှော်လင့်ပါတယ်...
...အားလုံးပဲပညာဗဟုသုတကြွယ်ဝတိုးတက်ဖို့ ဒီ post ေလးကိုရေးသားလိုက်ရပါတယ်...
လေးစားစွာဖြင့်
Zayathu
Kaspersky Cyber Security Essential Certified
No comments:
Post a Comment