เข้าใจผิด! คิดว่าไวรัส

กระทู้สนทนา

ถือโอกาสปีใหม่ในการเริ่มต้นทำบทความในนี้ซะหน่อย จริงๆบทความนี้ก็ไม่ใช่ของใหม่อะไรเพราะผมเขียนไว้ใน Blog สักพักแล้วแต่อาจจะเป็นมุมเล็กๆไม่เป็นที่แพร่หลายนัก และก็ได้พบว่ามีหลายๆที่เอาไปใช้ใน Web โดยไม่ได้แจ้งและไม่ให้เครดิตกัน

เลยคิดว่าเอามาลงไว้ที่นี่ดีกว่า เพื่อจะได้เป็นที่แพร่หลายบ้าง บ่นมาซะยาวเข้าเรื่องเลยดีกว่าครับ

สำหรับหน้านี้จะเป็นเรื่องราวของความเชื่อและความเข้าใจผิดในหลายๆอาการครับ ความเข้าใจผิดที่ว่าอาการแบบนี้ น่าจะเป็นไวรัสแน่ๆ หรือเป็นอาการที่เกิดจากไวรัสแน่ๆ เท่าที่ผมได้พบเห็นมารวมทั้งความเข้าใจผิดของตัวเองที่หลายๆ ครั้งเคยคิดเหมือนกันว่าสงสัยเครื่องเราติดไวรัส จนหาข้อมูลเพิ่มเติมจึงรู้ว่าจริงๆมันไม่ใช่ ไปโทษมากเดี๋ยวไวรัสมันน้อยใจนะ เลยตั้งใจจะเอามาเล่าสู่กันฟังไว้ในหน้านี้ครับ

File และ Folder ใสๆสีจางๆ

สำหรับเรื่องแรกเรามาดูกันถึงเรื่องที่หลายๆคนมักจะตกใจว่าเครื่องติดไวรัส เพราะปรากฏมี Folder และไฟล์แปลกประหลาดไม่ปรากฏสัญชาติ แถมยังตัวซีดๆใสๆจางๆซะอีก โดยเฉพาะอย่างยิ่งเกิดหลังจากการใช้ตัว Ultra ทุกๆตัวในการกำจัดไวรัส สำหรับไฟล์ หรือ Folder สีจางๆนั้น โดยส่วนใหญ่ไม่ใช่ไวรัสนะครับ ย้ำว่าโดยส่วนใหญ่เพราะมีส่วนหนึ่งที่เป็นไวรัสเช่นกัน เดี๋ยวตอนท้ายๆผมจะสรุปคร่าวๆอีกทีว่าตัวไหนเป็นไวรัส 100% และตัวไหนไม่ใช่ 100 % ส่วนที่เหลือซึ่งผมอาจจะมีข้อมูลไม่ครอบคลุมเพื่อนๆคนไหนมีข้อมูลฟันธงก็รบกวนแจ้งมาเลยนะครับ จะได้เป็นวิทยาทานแก่ผมและคนอื่นๆด้วย

ก่อนอื่นเรามาทำความรู้จักกับเจ้าสีจาง(หลังจากนี้ขออนุญาตใช้คำว่าสีจางซึ่งผมจะหมายรวมถึงทั้งไฟล์และ Folder ที่มีสีจางๆใสๆนะครับ) กันก่อน เจ้าสีจางนี้โดยแท้จริงแล้วคือคุณสมบัติของไฟล์และ Folder รูปแบบหนึ่งของ Windows น่ะครับ โดยภาษาฝรั่งเค้าเรียกกันว่า Attribute ซึ่งก็จะมี A(Archive File) R(Read-Only File) H(Hidden File) และ S(System File)
ซึ่งโดยหลักๆแล้ว ชีวิตเราก็จะยุ่งเกี่ยวอยู่แค่ 3 ตัวคือ R H และ S ส่วน A เราไม่ค่อยได้ยุ่งเกี่ยวกับมันหรอกครับ เรามาดูกันแต่ละตัวเลยเพื่อไม่ให้เป็นการเสียเวลามากจนเกินไป

ตัว R(Read-Only ก็ตรงๆตามชื่อล่ะครับคือไฟล์หรือ Folder นี้อ่านได้เพียงอย่างเดียว ไม่สามารถแก้ไขใดๆได้ ซึ่งในสมัย Dos รุ่งเรืองไม่มี Windows ใช้นี่การเข้าไปแก้เจ้าอ่านอย่างเดียวให้สามารถแก้ไขเพิ่มเติมได้นี่ใช้ Command กันอย่างเดียวเลย โดยคำสั่งผมจะพูดถึงในตอนหลังนะครับ แต่ในยุค Windows แบบนี้ไม่ยุ่งยากครับ เพียงแค่เรา Click ขวาที่ไฟล์หรือ Folder ที่ต้องการแล้วเลือก Properties ก้จะเห็นว่ามีให้ติ๊กเข้าติ๊กออกได้เลยว่าจะให้อ่านอย่างเดียวหรือจะให้เป็นไฟล์ปกติ(อ่านเขียนได้) อันนี้ไม่น่าตื่นเต้นครับเพราะไม่ส่งผลต่อสีว่าจะจางหรือไม่ ขอกล่าวถึงสั้นๆก็พอ

ตัว H(Hidden File) ตัวนี้สิครับต้นเรื่องของเราเลยล่ะ ก็ตรงๆตามชื่ออีกเช่นเคยมันคือไฟล์ซ่อนนั่นเอง สำหรับไฟล์ซ่อนนั้นก็หลายสาเหตุในการใช้งานล่ะครับ เช่นบางคนอาจจะต้องการแอบไฟล์หรือ Folder ต่างๆซึ่งไม่อยากให้ใครรู้หรือเห็นก็ไปตั้งมันให้ซ่อนตัวไว้ซะ ซึ่งถ้าสมัยก่อนที่ใช้ Dos นี่เจ้านี่ใช้ได้ผลดีทีเดียวครับเพราะมันจะมองไม่เห็นเลยจริงๆ นอกจากใช้คำสั่งพิเศษที่จะทำให้มองเห็นมันได้(ขอยกยอดคำสั่งไปรวมไว้ท้ายๆเลยนะครับ) หรืออาจจะเป็นไฟล์ระบบของ Windows ซึ่งแอบไว้เพราะกลัวผู้ใช้ไปลบพลาดโดนมันเข้า อาจจะถึงขั้นเข้า Windows ไม่ได้เลย ซึ่งในการตั้งค่าให้เป็นไฟล์ซ่อนก็เช่นเดียวกันครับ Click ขวาแล้วเลือก Properties แล้วติ๊กที่ Hidden ได้เลย แต่สำหรับยุค Windows นี่เราสามารถกำหนดให้มองเห็นไฟล์ที่ซ่อนทั้งหมดได้ง่ายดายมากครับ โดยไปที่ Folder Options ตรง Tab View ในหัวข้อ Hidden files and folders จะเห็นว่ามี 2 ตัวเลือกให้แสดงไฟล์ที่ซ่อนหรือไม่แสดงก็ได้ ลองเลือกแล้ว Apply ดูนะครับจะเห็นผลการทำงานทันที

เรื่องของเรื่องก็คือว่ามีไวรัสหลายๆตัวที่อาศัยคุณสมบัติข้อนี้ในการแอบซ่อนตัวเองเช่นกัน ในตัว Ultra ทุกๆตัวผมจึงได้กำหนดให้ทำการเปิดแสดงไฟล์ที่มีการซ่อนทั้งหมดไว้ เพื่อความสะดวกในการตรวจสอบผลการทำงานว่ายังมีไวรัสตกค้างอยู่หรือไม่ ตรงจุดนี้จึงอาจจะทำให้หลายๆคนตกใจที่จู่ๆมีไฟล์แปลกประหลาดสีจางๆโผล่มา เพราะไฟล์หรือ Folder ที่มีการกำหนด Attribute ให้เป็น Hidden นั้นเมื่อเปิดให้แสดงจะแสดงตัวออกมาเป็นสีจางๆครับ(ประมาณว่าแอบอยู่แล้วโดนบังคับให้แสดงตัว เลยไม่ค่อยเต็มใจว่างั้น) ซึ่งถ้าใครเห็นแล้วไม่ค่อยสบายใจ หรือกลัวจะพลาดไปลบผิดเข้าก็สามารถปิดการแสดงมันโดยการไปที่ Folder Options ตรง Tab View ในหัวข้อ Hidden files and folders แล้วเลือก Do not show hidden files and folders ได้เลยครับ มันก็จะม่แสดงตัวแล้วล่ะครับ

ตัว S(System File) ตัวนี้จริงๆแล้วไม่เกี่ยวข้องกับสีจางโดยตรง แต่มักจะใช้คู่กันกับตัว H โดยเฉพาะอย่างยิ่งไฟล์ระบบของ Windows ครับ ซึ่งการกำหนด Attribute ให้เป็น System File นั้นเราไม่สามารถ Click ขวาแล้ววเลือกเหมือน 2 ตัวข้างต้นได้นะครับ จะต้องทำใน Command ของ Dos เท่านั้น ซึ่งนี่ล่ะเป็นที่มาที่ผมต้องกล่าวถึงตัวนี้เพราะไวรัสบางตัวก็ใช้ตัวนี้กับเค้าด้วยเช่นกัน คือเอาทั้ง S ทั้ง H ร่วมกันเลย ปัญหาก็คือว่าเมื่อไวรัสทำการกำหนดไฟล์หรือ Folder ของเราให้เป็นแบบ Hidden แถมยังเป็น System ด้วยถึงแม้เราจะสามารถเปิดแสดงไฟล์ที่แอบไว้จนมองเห็นไฟล์ของเราแล้ว(เห็นแบบจางๆ) แต่เราไม่สามารถที่จะแก้กลับให้เป็นไฟล์ธรรมดาซึ่งไม่ซ่อนได้ครับ ถ้าลอง Click ขวา Properties ดูจะเห็นว่าช่อง Hidden ที่เราจะต้องเอาออกเพื่อยกเลิกการซ่อนนั้นเป็นสีเทา ไม่สามารถติ๊กได้ครับ นั่นเป็นเพราะเราไม่สมารถแก้ไขคุณสมบัติของไฟล์ซึ่งมี Attribute เป็น S ซึ่ง Windows ตีความเอาว่านี่คือไฟล์ระบบ ถ้าจะยกเลิกการซ่อนคุณจะต้องปลดจากการเป็นไฟล์ระบบซะก่อน ซึ่งตามที่บอกข้างต้นครับว่าจะต้องปลดกันใน Command ของ Dos ซึ่งผมจะกล่าวถึงในภายหลังอีกครั้ง แต่ปัญหาอีกข้อก็คือถ้าไฟล์หรือ Folder เราตั้งเป็นภาษาไทยล่ะ การจะพิมพ์คำสั่งภาษาไทยใน Dos นี่ก็เป็นเรื่องลำบากพอสมควร แล้วจะทำไงล่ะ? ช้าก่อน! ถึงตรงนี้แล้วผมขอแนะนำผู้ที่จะมาช่วยคุณแก้ปัญหานี้ นั่นคือเจ้า Ultra จ๊ะเอ๋ ซึ่งเพียงคุณเลือกไปยังไฟล์หรือ Folder ที่มีปัญหานี้ เจ้าจ๊ะเอ๋ก็จะทำการปลดและแก้ไขกลับเป็นเป็นไฟล์ธรรมดาสามัญให้ทันทีครับ

มาตามสัญญาครับ เรามาดูคำสั่งในการ Set Attribute ไฟล์และ Folder กันครับเผื่อใครเบื่อการติ๊กอยากจะลองพิมพ์คำสั่งดู
ไปที่ Start => Run พิมพ์ Cmd แล้ว OK เลยครับ ก็จะพบกับหน้าต่างของ Dos แล้ว คิดว่าทุกคนน่าจะรู้จักกันดีแล้วคงไม่ต้องแนะนำมาก มาเข้าคำสั่งกันเลยครับ สำหรับคำสั่งในการกำหนด Attribute ของไฟล์หรือ Folder นั้นก็คือคำสั่ง Attrib ครับ ซึ่งถ้าเป็นการพิมพ์ Attrib เพียงอย่างเดียวโดยไม่มีอะไรต่อท้ายก็จะเป็นการสั่งให้แสดง Attribute ของไฟล์ต่างๆตาม Path ที่อยู่ในขณะนั้น ซึ่งจะเห็นว่าตัวอักษรที่อยู่ด้านหน้าชื่อนั่นล่ะครับค่า Attribute ของมันถ้าว่างๆเลยก็เป็นไฟล์ธรรมดาสามัญ ถ้า H ก็เป็นไฟล์แอบ ถ้าพิเศษหน่อย SH ก็ทั้งแอบทั้งเป็นไฟล์ระบบล่ะครับ มาถึงตรงนี้ผมขอแถมที่ติดไว้ข้างต้นเลยว่าตอนนี้ถ้าเราพิมพ์ Dir แล้ว Enter จะเห็นชื่อไฟล์และ Folder แต่ไม่ทั้งหมดนะครับ สังเกตุว่าจะไม่เห็นไฟล์บางตัวที่ Attribute เป็น H หรือ SH จากที่เราเห็นตอนใช้คำสั่ง Attrib ในขั้นต้น นั่นเพราะมันจะไม่แสดงไฟล์ที่แอบไว้ให้เราเห็นครับ ถ้าเราต้องการดูทั้งหมดทั้งไฟล์ธรรมดาและไฟล์ซ่อนด้วย ให้ใช้คำสั่ง Dir /a นะครับ

มาเข้าเรื่อง Attrib กันต่อครับ สำหรับการใช้ Attrib นั้นจะมี Parameter หลักๆก็ 3 ตัวที่ผมกล่าวถึงด้านบนนั่นล่ะครับคือ S H และ R และการจะสั่งให้เป็นหรือการปลดก็ใช่เครื่องหมาย + และ – นี่ล่ะครับ เช่นผมต้องการให้ไฟล์ชื่อ A.txt เป็นไฟล์ซ่อน ก็จะใช้คำสั่งจาก Command Prompt ว่า Attrib +h A.txt แล้วกด Enter ในทางกลับกันถ้าต้องการปลดก็ใช้ Attrib –h A.txt ครับ

สุดท้ายนี้เรามาดูรายชื่อไฟล์และ Folder สีจางๆโดยเฉพาะใน Root ของ Drive ที่เราจะเห็นเป็นอันดับแรกหลังจาก Double Click เข้าไปใน Drive แล้วว่าตัวไหนไวรัสตัวไหนไม่ใช่ไวรัสจะได้ไม่พลาดไปลบมันเข้านะครับ

ตัวที่ไม่ใช่ไวรัสได้แก่ AUTOEXEC.BAT boot.ini CONFIG.SYS IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile.sys และ Folder ชื่อ RECYCLER(อ่านเพิ่มเติมในหัวข้อต่อไปครับ) Recycled System Volume Information MSOCache

ตัวที่เป็นไวรัสแน่นอน ถ้าเปิดเข้าไปแล้วเจอลบทิ้งได้เลย Autorun.inf ชื่ออะไรก็แล้วแต่ที่นามสกุล .VBS รวมถึงไฟล์ชื่ออะไรก็แล้วแต่ที่นามสกุล .Exe ซึ่งเป็นสีจางๆและไม่ใชไฟล์ของเรา ให้สงสัยไว้ได้เลยว่าไวรัสแน่นอนลบได้เลยครับ

Folder ชื่อ Recycler และ Recycled

เรื่องต่อมาที่เคยได้ยินและเคยเข้าใจผิดด้วยตัวเองเหมือนกันคือเรื่องของ Folder ที่ชื่อ Recycler ที่เห็นอยู่ในทุกๆ Drive เลย แถมยังสีจางๆซะอีก ทีแรกคิดว่าโดนไวรัสเข้าแล้วเรา ลบก็ไม่ได้หรือลบได้ก็กลับมาอีก น่ากลัวจริงๆ ด้วยความเข้าใจผิดที่ว่าถ้าเป็นถังขยะจะต้องเป็นชื่อ Recycle Bin เท่านั้นและต้องเป็นรูปถังขยะเขียวๆสิ ถึงจะของแท้ จนลองไปค้นหาข้อมูลดูจาก Google ถึงได้ตาสว่างว่าจริงๆแล้วมันก็อาจจะเป็นไวรัสหรือไม่ใช่ไวรัสแล้วแต่กรณีครับ เลยขอเอามาเล่าสู่กันฟังเพื่อจะได้แยกแยะออกว่าไหนไวรัส ไหนไม่ใช่ไวรัสเอาแบบฟันธงกันลงไปเลย

ก่อนอื่นต้องขอเกริ่นเรื่องของถังขยะสักเล็กน้อยนะครับเผื่อคนที่เพิ่งเริ่มต้นจะได้ไม่งง เรื่องของเรื่องก็คือว่าใน Windows นั้นเมื่อเราทำการลบไฟล์ ตัว Windows จะไม่ได้ทำการลบไฟล์นั้นจริงๆครับ(ยกเว้นกด Shift+Delelete) เพียงแค่ทำการย้ายไปใส่ในถังขยะซึ่งเรียกว่า Recycle Bin ซึ่งทุกๆคนจะเห็นมันอยู่บน Desktop นั่นล่ะครับ เผื่อวันนึงเราเปลี่ยนใจให้อภัยจะเอามันกลับมาก็ยังสามารถไปเอามันออกมาจากถังได้ ซึ่งโดยแท้จริงแล้วเจ้า Recycle Bin ที่เราเห็นอยู่บน Desktop เป็นเพียงแค่ Shortcut นะครับไม่ได้เป็นที่เก็บไฟล์ที่ลบไปจริงๆ ที่เก็บของมันจริงๆก็จะเป็น Folder Recyclerหรือ Recycled ซึ่งเป็น Folder แอบ(สีจาง)ซึ่งอยู่ในทุกๆ Drive นั่นเอง อ้าว! แล้ว Recycler กับ Recycled ต่างกันยังไงล่ะ ทำไมบางเครื่องมี Recycled ซึ่งเป็นรูปถังขยะเลย แต่บางเครื่องกลับมี Recycler ซึ่งเป็นรูป Folder ธรรมดาๆแล้วข้างในมีถังขยะชื่อยาวๆ นี่ล่ะครับที่มาของเรื่องนี้

ที่มาที่ไปมันเป็นแบบนี้ครับ คือในการแบ่ง Partition เพื่อลง Windows นั้นเราสามารถเลือกประเภทของ Partition ได้ทั้งแบบ FAT32 หรือ NTFS ซึ่งทั้ง 2 รูปแบบต่างกันยังไงนั้นลองไปอ่านดูที่นี่นะครับ http://www.ntfs.com/ntfs_vs_fat.htm ผมขอไม่อธิบายนะครับไม่งั้นจะยาวไป เอาเป็นว่าเราต้องเลือกแบบใดแบบหนึ่งแล้วกันนะครับ ซึ่งในกรณีที่เราเลือกแบบ FAT32 นั้นเจ้าถังขยะที่อยู่ในทุกๆ Drive เพื่อเก็บไฟล์ที่โดนลบนั้นก็จะเป็นรูปถังขยะและชื่อว่า Recycledซึ่งอันนี้ไม่ค่อยน่าตกใจ แต่ปัญหาก็คือว่าถ้าเราเลือกเป็น NTFS นี่สิครับเจ้า Folder ที่เก็บไฟล์ที่โดนลบนั้น ไม่ได้ใช้ชื่อ Recycle แถมไม่ได้เป็นรูปถังขยะซะอีก เป็นแค่รูป Folder ธรรมดาๆสีจางๆ และใช้ชื่อว่า Recycler ครับ ซึ่งมีไวรัสบางตัวก็ใช้เจ้า Recycler นี่ล่ะครับเป็นที่อาศัย จนผมก็เคยเข้าใจผิดไปว่าเจ้า Folder ที่ว่านี้เป็นไวรัสไปด้วย ดังนั้นในบทความนี้ผมจะกล่าวถึงเพียง Folder Recycler เพียงอย่างเดียวนะครับ เพราะเจ้า Recycled นั้นผมเองยังไม่เคยเจอปัญหาครับ

คราวนี้เรามาดูกันนะครับว่าเจ้า Recycle Bin ซึ่งอยู่บน Desktop กับเจ้า Recycler ซึ่งมีอยู่ในทุกๆ Drive มีหน้าที่และความเกี่ยวข้องกันยังไง จะได้เป็นข้อมูลในการแยกแยะระหว่างไวรัสกับไม่ใช่ไวรัสครับ สำหรับ Recycle Bin ที่อยู่บน Desktop นั้นตามที่บอกว่าเป็นเหมือนแค่ Shortcut ชี้ไปยังที่เก็บไฟล์ที่โดนลบไปเท่านั้น ซึ่งในการลบไฟล์นั้นในกรณีที่ HD เราแบ่งเป็นหลายๆ Drive ถึงแม้ว่าเมื่อเราลบไฟล์แล้วเราเห็นว่ามันมาอยู่ใน Recycle Bin บน Desktop แต่โดยแท้จริงแล้ว Folder ที่ใช้เก็บไฟล์ที่โดนลบนั้นอยู่ในแต่ละ Drive ที่เราลบครับ เช่นเราลบไฟล์ใน Drive D ถึงแม้ว่าเราจะมองเห็นว่ามันอยู่ใน Recycle Bin บน Desktop แต่โดยแท้จริงแล้วไฟล์ที่โดนลบมันจะเอาไปเก็บไว้ที่ D:\\Recycler\\ตัวเลขยาวๆ นะครับ แล้วเดี๋ยวจะอธิบายเพิ่มเติมว่าตัวเลขยาวๆคืออะไร โดยถ้าเราเปิดเข้าไปผ่าน My Computer ก็จะเห็นว่ามันอยู่ใน Folder ชื่อ Recycler\\ตัวเลขยาวๆ ในทุกๆ Drive นั่นล่ะ แต่จริงๆไม่ใช่นะครับมันเพียงภาพลวง ถ้าอยากดูของจริงก็ลองใช้ ExplorerXP เข้าไปดูครับจะเห็นว่าจริงๆแล้วมันมีอะไรอยู่ข้างในกันแน่ เอาเป็นผมสรุปสั้นๆก่อนแล้วกันครับว่าโดยแท้จริงแล้ว ไฟล์ที่เราลบจาก Drive ไหนก็จะไปเก็บอยู่ใน Folder Recycler\\ตัวเลขยาวๆ ของ Drive นั้นๆ ไม่ได้อยู่ในทุกๆ Drive เหมือนที่เห็นใน My computer (ผมคงอธิบายไม่งงนะครับ)

เอาล่ะครับก่อนอื่นเรามาทำความรู้จักโดยคร่าวๆกับตัวเลขยาวๆกันก่อนว่ามันคืออะไรและมายังไงกัน สำหรับตัวเลขยาวๆที่กล่าวถึงจะเป็นตัวเลข 8 ชุดซึ่งคั่นด้วยเครื่องหมาย - ซึ่งเรียกว่า SID(Security IDentifier) ก็จะเป็นหมายเลขประจำตัวของ User ของเครื่องคอมพิวเตอร์เครื่องนั้นๆ จะเรียกว่าเป็นหมายเลขบัตรประจำตัวก็ใกล้เคียงครับ จะใช้ในการอ้างอิงถึง User ในเครื่องนั้นๆกรณีติดต่อกับเครื่องอื่นๆในระบบเครือข่าย ซึ่ง User แต่ละคนในเครื่องจะมีหมายเลขไม่ซ้ำกันครับ สำหรับรายละเอียดลึกๆเรื่องนี้ลองศึกษาเพิ่มเติมที่ http://support.microsoft.com/kb/243330 นะครับ ตรงนี้เอาแค่เข้าใจคร่าวๆเพื่อนำไปวิเคราะห์ไวรัสในขั้นต่อไปกันครับ ก่อนจะจบหัวข้อ SID แนะนำให้โหลด Ultra_SID เก็บไว้นะครับโดย Tool ตัวนี้ใช้ในการแสดงหมายเลข SID ของ User ในเครื่องของเราทั้งหมดครับ

อีกเรื่องที่ควรจะรู้ก่อนจะไปวิเคราะห์เรื่องของไวรัส Recycler ก็คือการจัดเก็บไฟล์ที่โดนลบไว้ใน Foder Recycler ครับ ตามที่บอกไว้ข้างต้นว่าในการลบไฟล์นั้นถึงแม้ว่าเราจะมองเห็นว่ามีไฟล์ที่เราลบนั้นอยู่ในRecycle Bin บน Desktop แต่โดยแท้จริงแล้วไฟล์ที่โดนลบมันจะเอาไปเก็บไว้ที่ Drive ที่ลบไฟล์:\\Recycler\\ตัวเลขยาวๆครับ ซึ่งตอนนี้เรารู้แล้วล่ะว่าตัวเลขยาวๆที่ว่าคือหมายเลข SID ซึ่งเราสามารถตรวจสอบหมายเลข SID ของเราได้จาก Tool ที่ให้โหลดไปนั่นล่ะครับ

มาถึงตอนนี้เราจะลองใช้ ExplorerXP เข้าไปดูที่ Folder Recycler เลยก็ได้ครับ จะเห็นรูปถังขยะที่เป็นหมายเลข SID ของเราอยู่ข้างในซึ่งกรณีที่เรายังไม่ได้มีการลบไฟล์ใดๆ ภายในถังนั้นจะมีไฟล์ชื่อ Desktop.ini และ INFO2 อยู่ภายใน(ซึ่งผมจะอธิบายไว้ในตอนหลังๆนะครับว่า 2 ไฟล์นี้คืออะไร) กรณีนี้ถือว่าเป็นปกติครับ มาต่อกันในเรื่องของการจัดการกับไฟล์ที่โดนลบครับ คือในกรณีที่เครื่องของเราใช้หลายๆคน คือมีหลายๆ User เมื่อเข้าไปใน Folder Recycler นั้นเราก็จะเห็นว่ามีถังขยะหลายๆถังซึ่งแต่ละถังจะเป็นหมายเลข SID ของแต่ละ User แยกจากกัน พูดง่ายๆว่าไฟล์ที่ลบโดยใครก็จะอยู่ในถังใครถังมันล่ะครับ

แล้วถ้ามีการลบไฟล์เกิดขึ้นล่ะจะเป็นยังไง คำตอบก็คือ Windows จะทำการย้ายไฟล์ที่โดนลบนั้นมาใส่ไว้ใน Folder Recycler ตาม Drive ที่ไฟล์นั้นๆอยู่ก่อนโดนลบครับ คือถ้าลบไฟล์ใน Drive D มันก็จะไปเก็บไว้ใน Folder Folder D:\\Recycler ลบใน Drive C ก็จะไปเก็บไว้ใน Folder Folder C:\\Recycler และภายในก็จะใส่ไว้ในถังตาม SID ของ User ที่เป็นผู้ลบครับ

ยกตัวอย่างเช่นผมมีหมายเลข SID เป็น S-1-5-21-3008556928-1690244188-1837343850-500 และได้ลบไฟล์ C:\\Test\\Test_C.exe ตัว Windows ก็จะทำการย้ายไฟล์ Test_C.exe ซึ่งโดนลบไปเก็บไว้ที่ C:\\Recycler\\S-1-5-21-3008556928-1690244188-1837343850-500\\ ครับ

เรามาดูลึกเข้าไปอีกนิดว่า Windows มันจัดการกับไฟล์ที่เราลบไปยังไงบ้าง ตัว Windows ไม่ได้เอาไฟล์ที่เราลบไปเก็บไว้ตรงๆเหมือนเรา Cut แล้ว ไป Paste ในอีก Folder นะครับ(ทั้งๆที่ Recycler ก็เป็นเหมือน Folder ธรรมดาๆนี่ล่ะ) แต่ Windows จะทำการเปลี่ยนชื่อไฟล์ที่เราลบ ก่อนเอาไปใส่ไว้ใน Folder Recycler โดยมีหลักในการเปลี่ยนชื่อดังนี้ครับ คือชื่อใหม่ที่เปลี่ยนจะขึ้นต้นด้วยตัว D (ตัวใหญ่) ตามด้วยชื่อ Drive ที่ไฟล์นั้นอยู่ก่อนโดนลบ และสุดท้ายก็จะเป็นหมายเลขซึ่งจะเป็นลำดับไฟล์ที่โดนลบ ตามด้วยนามสกุลของไฟล์ครับ ถ้าอ่านแล้วงงมาดูตัวอย่างกันเลยครับ

เช่นจากตัวอย่างข้างต้น ผมลบไฟล์ C:\\Test\\Test_C.exe ดังนั้นเมื่อ Windows ทำการย้ายไฟล์ที่โดนลบไปใส่ใน Folder Recycler ก็จะเปลี่ยนชื่อไฟล์เป็น Dc1.exe ถ้าผมลบไฟล์ C:\\XXX.docไปอีกไฟล์มันก็จะเปลี่ยนชื่อเป็น Dc2.doc หรือกรณีผมลบไฟล์ชื่อ D:\\Test\\Test_D.exe มันก็จะเปลี่ยนชื่อเป็น Dd1.exe เพียงแต่เอาไปเก็บไว้คนละ Drive ตามที่บอก คือลบจาก Drive ไหนก็เก็บใน Folder Recycler ของ Drive นั้น ลองดูรูปด้านล่างประกอบนะครับ

คงมีคำถามกันในใจว่า แล้วถ้าวันนึงเราเปลี่ยนใจที่จะยกเลิกการลบล่ะ จะ Restore ไฟล์กลับออกมาจากถังแล้วWindows จะรู้ได้ยังไงว่าจะเอาไฟล์ของเรากลับไปไว้ที่เดิมก่อนลบตรงไหนและชื่ออะไรในเมื่อเล่นเปลี่ยนชื่อไฟล์เราซะแล้ว ความลับอยู่ที่ไฟล์ Info2 ที่กล่าวถึงไว้ตอนต้นน่ะครับ ถ้าเราเปิดเข้าไปดูข้างในก็จะเห็นว่า Windows เก็บชื่อพร้อมตำแหน่งเดิมของไฟล์ก่อนลบไว้ในนั้นล่ะครับ เมื่อจะ Restore กลับ Windows ก็จะไปอ่านค่าจากในนั้นล่ะว่าควรจะแก้ชื่อกลับเป็นอะไร และเอากลับไปไว้ตรงไหน เอาเป็นว่าเราเข้าใจแล้วนะครับว่าไฟล์ Info2 มีไว้เพื่ออะไร ส่วนอีกไฟล์ที่อยู่ด้วยกันคือไฟล์ Desktop.ini นั้นก็ไม่มีอะไรมากครับ เป็นเพียงแค่ตัวบอกว่านี่คือ Folder ถังขยะให้แสดง Icon เป็นรูปถังขยะ และทำการ Link ข้อมูลกับ Folder Recycle Bin บน Desktop เท่านั้นเองครับ ลองดูรูปด้านล่างประกอบนะครับ

เอาล่ะครับ หลังจากเกริ่นเรื่องของ Folder Recycler กันมายาว(มาก) เราก็คงเข้าใจหน้าที่และหลักการทำงานของมันแล้ว คราวนี้เรามาดูกันครับว่าเจ้าไวรัส Recycler มันมาแอบอยู่ตรงไหน และต่อไปเราจะแยกแยะได้ยังไงว่าอันไหนไวรัสอันไหนไม่ใช่ เท่าที่ผมเคยเจอและค้นๆข้อมูลดู เจ้าไวรัส Recycler มันจะใช้การแอบอยู่ใน Folder Recycler ของเครื่องเรานี่ล่ะครับ โดยการสร้างถังที่มีหมายเลข SID เป็น S-1-5-21-1078073611-1993962763-839522115-1003 ไว้ใน Folder Recycler ซึ่งหมายเลข SID นี้ไม่ได้เป็นหมายเลขของ User ในเครื่องเราแต่อย่างใดครับ สำหรับเครื่องที่มีผู้ใช้เพียงคนเดียว(User เดียว) จะสังเกตุได้ไม่ยากครับเพราะเมื่อเข้าไปใน Folder Recycler แล้วมันควรจะมีถังหมายเลข SID ซึ่งเป็นของเราเพียงถังเดียว แต่กลับมีถังแปลกปลอมขึ้นมาซึ่งก็มีหมายเลข SID ตามที่บอกไป อันนี้ติดไวรัส Recycler แน่นอนแล้วครับ หรือในกรณีที่มีหลาย User ก็ลองสำรวจดูนะครับว่าถังไหนไม่ใช่หมายเลข SID ของ User ในเครื่องเรา มันคือไวรัสแน่นอนครับ ซึ่งภายในถัง SID ปลอมนั้นมันจะมีไฟล์ที่ชื่อ mmc32.exe หรือบางครั้งก็ชื่อ Info32.exe อยู่ ซึ่งเมื่อเราเข้าใจหลักการจัดการกับไฟล์ที่โดนลบตามที่อธิบายในขั้นต้นแล้ว เราก็จะสามารถรู้ได้ทันทีว่าไฟล์ที่อยู่ในถัง SID นั้น ไม่มีทางที่จะเก็บชื่อเต็มๆแบบนี้ ดังนั้นไฟล์ 2 ตัวนี้มีความผิดปกติ หรือพูดง่ายๆว่าเป็นไวรัสนั่นเองครับ

และในอีกกรณีหนึ่งซึ่งสังเกตุได้ก็คือ ในกรณีที่เราเลือกรูปแบบ Partition เป็นแบบ FAT32 มันจะไม่มี Folder Recycler ครับ แต่มันจะเป็น Folder Recycled ซึ่งเป็นรูปถังขยะเลย ดังนั้นถ้าเราสร้าง Partition เป็นแบบ FAT32 แล้วมี Folder Recycler โผล่ขึ้นมา มั่นใจได้เลยครับว่าไวรัสแน่นอน ซึ่งในกรณีนี้ผมขอหมายรวมถึง Thumb Drive ด้วยนะครับ เพราะตัว Thumb Drive ไม่ว่าจะเป็น Partition เป็นแบบไหนก็จะไม่มีการสร้าง Folder Recycler หรือแม้กระทั่ง Folder Recycled โดยเด็ดขาดครับ เพราะการลบไฟล์จาก Thumb Drive เป็นการลบแล้วลบเลย สังเกตุว่าจะไม่มีการถามว่าจะ Send to Recycle Bin หรือไม่ ต่างกับการลบไฟล์บน HD ครับ ดังนั้นถ้าใน Thumb Drive มี Folder Recycler หรือ Folder Recycled นั่นคือไวรัส 100% ครับ ฟันธง! ลองดูภาพประกอบนะครับ

ชื่อ File เป็นสีน้ำเงิน

มาถึงเรื่องชื่อ File เป็นสีน้ำเงินกันครับ สำหรับข้อนี้ก็เคยเห็นหลายๆคนถามกันไว้ว่าไฟล์หรือ Folder บางอันทำไมตรงชื่อถึงเป็นสีน้ำเงินไม่เป็นสีดำเหมือนชาวบ้านเค้า ใช่อาการของไวรัสหรือไม่? ขอตอบเลยครับว่าไม่ใช่ไวรัสหรอกครับ จริงๆแล้วมันเป็นไฟล์ที่มีการบีบอัด ถ้าเป็นทางการตามฝรั่งหน่อยก็ต้องเรียกว่า Compressed File ซึ่งโดยส่วนใหญ่แล้วเราจะเห็นเจ้าพวกไฟล์หรือ Folder สีน้ำเงินที่ว่านี้ใน Folder Windows ซะเป็นส่วนใหญ่ และเป็น Folder ซึ่งไฟล์ข้างในนั้นก็จะเป็นสีน้ำเงินเหมือนกันเช่น Folder ชื่อ $NtUninstallKB910437$ เป็นต้น

ก่อนอื่นเรามาทำความเข้าใจกันก่อนว่ามันคืออะไร ส่วนการจะแก้ให้มันเป็นสีดำเหมือนชาวบ้านทั่วไปจะต้องทำยังไงผมจะกล่าวถึงในตอนท้ายๆนะครับ สำหรับคุณสมบัติในการบีบอัดไฟล์นี้เป็นคุณสมบัติพิเศษเพิ่มเติมซึ่งมีอยู่เฉพาะ Partition ที่เป็นแบบ NTFS เท่านั้นนะครับ FAT32 ไม่มีครับ เพราะหน้าที่ของมันโดยหลักๆก็คือใช้บีบอัดไฟล์เพื่อจัดเก็บลงใน HD ที่มี Partition แบบ NTFS นั่นล่ะครับ คือทำให้การจัดเก็บไฟล์ลงใน HD นั้นใช้เนื้อที่ในการจัดเก็บน้อยลงนั่นเอง แต่จะน้อยลงแค่ไหนนั้นก็ขึ้นอยู่กับประเภทของไฟล์ล่ะครับ อาจจะฟังดูแล้วคล้ายๆกับการ Zip ไฟล์นะครับ แต่ความแตกต่างระหว่างการบีบอัดไฟล์แบบนี้กับการ Zip ที่เห็นชัดก็คือไฟล์ที่บีบอัดโดยใช้การ Zip เมื่อจะเปิดไฟล์นั้นๆจะต้องมีการ Unzip ออกมาก่อนไม่ว่าจะด้วยคุณสมบัติของ Windows XP เองซึ่งสามารถจัดการกับไฟล์ Zip ได้หรือแม้แต่การใช้โปรแกรม WinZip โดยสรุปก็คือถ้าเป็นการ Zip ไฟล์ เมื่อต้องการใช้หรือแก้ไขไฟล์ที่ Zip นั้นก็จะต้องมีการแตกไฟล์ออกมาก่อน เมื่อจัดการแก้ไขเรียบร้อยถ้าต้องการบีบอัดอีกครั้งก็จะต้องทำการ Zip ใหม่ แต่สำหรับการบีบบอัดไฟล์ด้วยคุณสมบัติของ NTFS ที่เรากำลังพูดถึงนั้นไม่จำเป็นต้องทำแบบนั้นครับ คือไฟล์หรือ Folder ที่บีบอัดแบบนี้ไม่จำเป็นต้องทำการ Unzip ก่อนใช้งานหรือแก้ไขใดๆครับ ดังจะเห็นได้ว่าไฟล์หรือ Folder ที่บีบอัดด้วยวิธีนี้จะยังแสดง Icon เป็นปกติและนามสกุลทุกอย่างก็ยังปกติไม่ได้มีอะไรเปลี่ยนแปลงไป นอกจากชื่อไฟล์ซึ่งแสดงเป็นสีน้ำเงินเท่านั้นเองครับ

นั่นเป็นเพราะว่าในการบีบอัดไฟล์ด้วยวิธีนี้ไม่ได้ทำการบีบอัดตัวไฟล์ลงจริงๆเหมือน Winzip แต่เป็นการบีบข้อมูลในการจัดเก็บลง HD ซึ่งถ้าเรา Click ชวาที่ไฟล์แล้วเลือก Properties จะเห็นว่ามีขนาดของไฟล์ 2 แบบคือ Size และ Size on disk ขออธิบายแบบคร่าวๆนะครับว่า Size ก็คือขนาดที่แท้จริงของไฟล์นั้นๆ ส่วน Size on disk นั้นเป็นขนาดของเนื้อที่ใน HD ที่ใช้เก็บไฟล์นั้นๆ สำหรับใครที่สนใจรายละเอียดลึกๆลองหาอ่านเรื่อง Sector และ Cluster ของ Harddisk ดูนะครับ เมื่อการบีบอัดวิธีนี้ไม่ได้เป็นการบีบอัดที่ตัวไฟล์โดยตรง ในการใช้งานจึงไม่จำเป็นต้องแตกไฟล์แบบซับซ้อนอะไรมากมายจึงทำได้รวดเร็วกว่าโดยที่เราไม่รู้ตัวเลยว่ามีการบีบอัดหรือแตกไฟล์ขณะทำงานร่วมกับมัน เพราะเป็นหน้าที่ของ Windows ซึ่งทำงานอยุ่เบื้องหลังครับแต่แน่นอนครับว่าขนาดในการบีบนั้นน้อยกว่าการบีบแบบ Zip พอสมควรครับเพราะการ Zip นั้นเป็นการบีบที่ตัวไฟล์ตรงๆทำให้ขนาดของไฟล์ลดลงไปจริงๆไม่ใช่แค่เนื้อที่ในการจัดเก็บ แต่คงไม่ใช่ประเด็นใหญ่เพราะจุดมุ่งหมายมันต่างกัน สำหรับการบีบแบบ NTFS นั้นจุดประสงค์หลักก็คือบีบไฟล์ที่ไม่ค่อยได้ใช้งาน คือนานๆใช้ทีเพื่อประหยัดเนื้อที่การเก็บใน HD ไม่ได้มุ่งหวังไปที่การบีบไฟล์ให้มีขนาดเล็กสุดเหมือน Winzip ครับ สำหรับความแตกต่างของขนาดในการบีบนั้นลองดูรูปประกอบนะครับ ย้ำว่าเราดูที่ Size on disk นะครับเพราะเรากำลังพูดถึงขนาดของเนื้อที่ใน HD ที่ใช้ในการจัดเก็บ ไม่ได้ดูขนาดของไฟล์ครับ

เมื่อรู้จักกันแล้วว่าเจ้าไฟล์สีน้ำเงินคืออะไร คราวนี้มาดูกันครับว่าสำหรับคนที่สนใจจะใช้บริการนี่จะทำได้ยังไงกันบ้าง วิธีการเรียกใช้บริการก็ง่ายๆเลยครับ ไปที่ไฟล์หรือ Folder ที่ต้องการบีบอัด Click ขวาเลือก Properties เลือก Advanced แล้วติ๊กถูกตรงช่อง Compress contents to save disk space แล้ว OK 2 ครั้งก็เรียบร้อยครับ จะเห็นว่าไฟล์เป็นสีน้ำเงินแล้ว และถ้า Properties ดู Size on disk จะลดลงไปครับ ลองดูรูปประกอบอีกทีนะครับ *** หมายเหตุนิดนึงว่า ถ้าจะทำการบีบอัดแบบนี้ควรทำกับไฟล์หรือ Folder ที่ไม่ค่อยได้ใช้งานนะครับ เพราะถ้าเป็น Folder หรือไฟล์ที่ใช้บ่อยๆ ถึงแม้ว่าการบีบอัดและขยายจะไม่ส่งผลจนรู้สึกได้ แต่ถ้าหลายๆไฟล์และเป็นไฟล์ที่ใช้บ่อยๆก็อาจจะส่งผลให้ประสิทธิภาพโดยรวมของระบบลดลงได้ครับ! ***

สำหรับเรื่องสุดท้ายในหัวข้อนี้ก็ต้องเป็นเรื่องของการทำให้เจ้าไฟล์สีน้ำเงินกลับมาเป็นสีดำเหมือนๆชาวบ้านเค้าล่ะครับ ซึ่งมีอยู่ 2 วิธี แบบแรกเอาแบบกำปั้นทุบดินเลยคือในเมื่อเรารู้ว่ามันเป็นสีน้ำเงินเพราะเป็นไฟล์ที่มีการบีบอัด เราก็ไปยกเลิกการบีบอัดมันออกซะก็แค่นั้นเองมันก็กลายเป็นสีดำแล้ว ซึ่งวิธีนี้ผมไม่แนะนำครับ เพราะจะทำให้ต้องเสียเนื้อที่ใน HD มากขึ้น ทิ้งมันไว้แบบนั้นล่ะครับดีแล้ว แต่ถ้าเราเห็นแล้วรู้สึกไม่สบายตาหรือไม่สบายใจที่สีมันไม่เหมือนชาวบ้านเค้า เราก็ไปปิดการแสดงสีของมันซะครับ โดยไปที่ Folder Options ตรง Tab View ในส่วนของ Advanced settings เลื่อนลงมาข้างล่างๆจะเห็น Show encrypted or compressed NTFS file in color เอาเครื่องหมายถูกออกซะแล้ว OK แค่นี้มันก็จะเป็นสีดำเหมือนชาวบ้านเค้าแล้วล่ะครับ ลองดูรูปประกอบนะครับ

ไฟล์ Thumbs.db มายังไง

มาถึงอีกคำถามที่ได้พบบ่อยๆคือมีไฟล์แปลกๆรูปร่าง Icon เหมือน DLL แต่เป็นไฟล์สีจางๆ(ไฟล์แอบ) ชื่อว่า Thumbs.db โผล่มาอยู่ในหลายๆ Folder ลบทิ้งไปแล้วแต่ก็ยังกลับมาอีก อันนี้ใช่ไวรัสรึปล่าว?
คำตอบคือไม่ใช่ครับ เรามาทำความรู้จักกับมันกันก่อนเลย เจ้าไฟล์ที่ชื่อว่า Thumbs.db นั้นเป็นไฟล์ที่ Windows สร้างขึ้นมาครับ โดยคุณสมบัติ(Attribute) ของมันจริงๆแล้วเป็นไฟล์ซ่อน(Hidden)+เป็นไฟล์ระบบ(System) สำหรับใครที่ยังไม่เข้าใจว่าเจ้าคุณสมบัติ 2 อย่างที่ว่าเป็นยังไงก็ลองอ่านด้านบนเรื่อง File และ Folder ใสๆสีจางๆ ก่อนนะครับจะได้ไม่งง แต่ก็ด้วยเหตุผลเดิมล่ะครับเมื่อเราเปิด Show ไฟล์ทั้งหมดเพื่อความปลอดภัย(ในระดับหนึ่ง)จากไวรัสที่จะมารบกวนโดยไม่รู้ตัว เราก็จะเห็นเจ้าตัว Thumbs.db ที่ว่านี้ด้วย ซึ่งอาจจะสร้างความกังวลใจว่ามาได้ยังไง

ที่มาที่ไปมันแบบนี้ครับ เจ้าไฟล์ Thumbs.db เนี่ย Windows เป็นคนสร้างมันขึ้นมาเพื่อเก็บรูปภาพที่แสดงผลในขนาดเล็ก(Thumbs) เพื่อที่ว่าในการแสดงผลครั้งต่อไปจะได้ไม่ต้องประมวลผลใหม่ทั้งหมด หรือในกรณีที่ไม่ได้มีอะไรใหม่ก็ไม่ต้องประมวลผลเลย เอาเจ้า Thumbs นี่ล่ะมาแสดงผลได้เลย พูดแบบนี้อาจจะอ่านดูงงนิดนึง เรามาขยายความกันนะครับ คือสำหรับการดูไฟล์ใน Folder นั้นเราจะเห็นว่ามีให้เลือกอยู่ 6 แบบจาก menu View ไม่ว่าจะจากตัว menu ของ Folder หรือจากการ Click ขวาที่ว่างๆใน Folder จะเห็นว่ามีแบบ Filmstrip Thumbnails Tiles Icons List และ Details ซึ่งที่มาที่ไปของเจ้า Thumbs.db จะเกี่ยวเนื่องจากการแสดงไฟล์แบบ Filmstrip และ Thumbnails ซึ่งเราจะเห็นว่าในกรณีที่ไฟล์นั้นเป็นรูปภาพจะมีการแสดงเป็นรูปภาพขนาดเล็กๆ หรือแม้แต่กรณีที่เป็นไฟล์หนังบางนามสกุลก็แสดงเป็นภาพเล็กๆแทนที่จะแสดงเป็นรูป Icon ซึ่งนับว่าสร้างความสะดวกในการเลือกดูรูปหรือหนังให้กับเราได้ดีในระดับหนึ่งเพราะสามารถเห็นเป็นรูปเล็กๆก่อนโดยไม่ต้องมาเปิดดูทีละรูป

เจ้ารูปเล็กๆที่แสดงให้เราเห็นนี่ล่ะครับที่ผมบอกไว้ในตอนต้นว่าเป็นสิ่งที่เจ้า Thumbs.db เก็บไว้ คงมองเห็นภาพกันแล้วนะครับว่าเจ้า Thumbs.db มีความเป็นมาอย่างไรและมีไว้เพื่ออะไร
คราวนี้มาดูกันว่าถ้าเราไม่ต้องการมันล่ะจะทำยังไง มี 2 แนวทางครับ เอาแบบตรงไปตรงมากำปั้นทุบดินเลยถ้าแค่ไม่อยากเห็นมันก็ไปปิดไม่ให้แสดงไฟล์ซ่อนซะมันก็ไม่เห็นแล้วล่ะครับ เพราะมันเป็นไฟล์ซ่อนอยู่แล้ว แต่ถ้าเราไม่ต้องการมันเลยล่ะคืออยากเปิดแสดงไฟล์ทั้งหมดแต่ไม่อยากเห็นมัน และไม่อยากให้ Windows สร้างขึ้นมาอีกเพราะรู้สึกว่าเปลืองเนื้อที่ใน HD จะทำยังไง

วิธีการก็คือไปที่ Folder Options ตรง Tab View ให้ติ๊กถูกตรง Do not cache thumbnails แล้ว OK เจ้า Windows ก็จะไม่สร้างมันขึ้นมารบกวนสายตาเราอีกแล้วครับ แต่ของเก่าๆที่ Windows เคยสร้างไว้นี่เราต้องตามลบทิ้งเอาเองนะครับ

คราวนี้มาดูกันสำหรับคนที่อยากเล่นกับมัน อยากรู้ว่ามันใช้เก็บเจ้ารูปเล็กๆที่ว่าไว้จริงๆหรือ ผมแนะนำให้ไปโหลดโปรแกรม Thumbnail Database Viewer มาใช้ดูครับ เป็นโปรแกรมฟรีครับ ไว้สำหรับดูเจ้าไฟล์ Thumbs.db นี่ล่ะครับว่ามีอะไรอยู่ข้างใน แต่ก่อนจะใช้เจ้าโปรแกรมที่ว่านี้ ในเครื่องจะต้องลงตัว .Net Framework 2.0 ก่อนนะครับ แถมอีกนิดครับสำหรับคนที่อยากจะลบเจ้า Thumbs.db เก่าๆซึ่ง Windows เคยสร้างไว้ ถ้าไม่อยากใช้ Search ของ Windows ก็โหลด Thumbnail Database Cleaner ไปใช้ได้เช่นกันครับ ผู้จัดทำเป็นเจ้าเดียวกันกับ ThumbViewer ล่ะครับเป็น Freeware เช่นกันครับ

ไฟล์ Desktop.ini คืออะไร

ได้อ่านเจอมาอีกแล้วครับ กับความเข้าใจผิดที่ว่าเจ้าไฟล์ Desktop.ini ซึ่งบอกตามตรงเลยว่าเมื่อก่อนผมก็คิดว่าเป็นไวรัสเหมือนกัน นั่นเป็นเพราะถ้าย้อนไปเมื่อหลายปีที่แล้วจะมีไวรัสตัวนึงที่ชื่อว่าเจ้า Redrof.A ซึ่งเจ้าไวรัสที่ว่านี้จะทำการสร้างไฟล์ Desktop.ini เต็มไปหมดในเกือบๆทุก Folder แต่มันไม่ได้ฉายเดี่ยวนะครับ มันจะหอบหิ้วสมุนคู่ใจมาด้วยนั่นคือไฟล์ Folder.htt ผมขอพูดถึงแบบคร่าวๆนะครับยาวไปจะไม่น่าอ่าน

ความเป็นมาของมันก็คือว่าถ้าใครที่ใช้ Windows รุ่นเก่าๆมา เช่น Windows 98 Windows NT หรือกระทั้ง Windows 2000 รุ่นแรกๆ คงจำคุณสมบัติ View as Web Page ของเจ้า Windows กันได้ ด้วยคุณสมบัตินี้ทำให้เราสามารถที่จะปรับแต่งการแสดงผลของ Folder เป็นรูปแบบต่างๆเหมือนหน้า Web ได้ เหมือน Folder เราเป็นหน้า Web หน้านึงน่ะครับ ปรับแต่งได้เต็มที่ รวมไปถึงการใส่ Script ต่างๆเข้าไปได้ด้วย พูดให้เห็นภาพกันง่ายๆว่าเหมือนเราเอา Icons ต่างๆใน Folder ไปแปะไว้บนหน้า Web นั่นล่ะครับ

เมื่อสะดวกแบบนี้ปัญหาจึงเกิดขึ้น คือเจ้าไวรัสที่กล่าวถึงด้านบนนั้นก็อาศัยช่องทางนี้ล่ะครับในการแฝงตัวเข้าไปอยุ่ใน Code ด้วย ถึงแม้จะไม่ได้ทำอันตรายร้ายแรงอะไรกับเครื่องมากมายเพราะเป็นข้อจำกัดของ Web Script แต่ก็สร้างความรำคาญได้ไม่น้อย เพราะพวกเล่นสร้างในเกือบทุก Folder เลย โดย Script ที่เจ้าพวกไวรัสไปแอบอยู่นี่ไม่ได้อยู่ใน Desktop.ini นะครับ แต่มันจะแอบในไฟล์ที่ผมบอกว่าเป็นสมุนคู่ใจคือ Folder.htt ซึ่งจะเห็นว่าใน Folder ที่มีปัญหานั้นมันจะมีไฟล์ทั้ง 2 ตัวนี้อยู่คู่กันครับ ถ้าเราเปิดดูในไฟล์ Folder.htt ก็จะพบว่ามันเป็น Code HTML ผสมกับ Script เหมือนกับ Web ทั่วๆไปล่ะครับ ผมขอสรุปสั้นๆในขั้นนี้เพียงว่าเจ้า Redrof.A ทำงานโดยอาศัยคุณสมบัติ View as Web Page ของ Windows โดยให้เจ้าไฟล์ Desktop.ini ไปทำการอ่าน Script ที่ทำตัวเป็นไวรัสซึ่งอยู่ในไฟล์ Folder.htt ขึ้นมาทำงานครับ มันจึงต้องอยู่คู่กันขาดตัวใดตัวหนึ่งไม่ได้ครับ

สำหรับในบทความนี้ผมขอพูดถึงแต่ตัว Desktop.ini นะครับ เพราะเจ้า Folder.htt นั้นมันไม่มีประโยชน์อะไรแล้วล่ะครับเพราะ Microsoft ได้ทำการปิดการใช้งานไฟล์ Folder.htt ที่ว่านี้ไปแล้ว(แต่ถ้าใครอยากใช้ก็ต้องแก้ Registry เอา)ตั้งแต่ Windows 2000 SP3 เป็นต้นไปครับ เพื่อความปลอดภัยจากช่องโหว่นี้ ดังนั้นเราไม่ต้องกลัวเจ้าไวรัสตัวนี้ไม่มายุ่มย่ามกับเราครับ เพราะมีโอกาสน้อยมากๆๆ แต่สำหรับไฟล์ Desktop.ini นั้น เรายังสามารถใช้งานได้นะครับ ซึ่งจะเห็นว่าใน Folder Autorun.inf ที่ผมใส่ไว้ในทุกๆ Drive นั้น ผมก็อาศัยเจ้าไฟล์ Desktop.ini นี่ล่ะครับทำให้แสดง Icon เป็นรูปอุลตร้า และเจ้าไฟล์ Desktop.ini นี้ก็ยังมีอยู่ในอีกหลายๆที่ซึ่ง Windows สร้างไว้นะครับ ไม่ต้องตกใจมันไม่ใช่ไวรัสครับ

เรามาดูกันว่าเราจะใช้เจ้า Desktop.ini ที่ว่านี้ทำอะไรกันได้บ้าง สำหรับที่พบเห็นกันทั่วไปในหลายๆ Web ก็คือใช้มันในการกำหนดพื้นหลังให้กับ Folder และกำหนดรูปแบบสีของชื่อไฟล์ใน Folder และ Drive ซึ่งในรายละเอียดส่วนนี้ผมขอข้ามไปนะครับ เพราะหาอ่านได้ทั่วๆไป ถ้าใรสนใจว่าทำยังไงก็ลองดูครับ [URL=http://www.google.co.th/search?hl=th&q=%7BBE098140-A513-11D0-A3A4-00C04FD706EC%7D%3D%7BBE098140-A513-11D0-A3A4-00C04FD706EC%7D]ทำให้พื้นหลังเป็นรูปภาพ

ผมจะขออธิบายในส่วนที่บอกว่า Windows เองก็มีการใช้งานเจ้า Desktop.ini ในหลายๆจุดเหมือนกัน ซึ่งเมื่อเปิดดู Code ข้างในแล้ว หลายๆคน(รวมทั้งผมก่อนหน้านี้)อาจจะตกใจว่าเป็นไวรัสหรือไม่ เพราะเห็นมีการอ้างถึงไฟล์ DLL ด้วย ล้านตัวหนังสือไม่เท่าลงมือทำครับ ดังนั้นเรามาลองสร้างไฟล์เลียนแบบ Windows กันครับจะได้มองเห็นภาพว่าเจ้า DLL ที่เห็นใน Desktop.ini คืออะไรกันแน่

1. เริ่มจากสร้าง Folder ขึ้นมาผมขอสร้างไว้ใน C: แล้วกันนะครับจะได้สะดวกตอนใช้ Command ภายหลัง ผมขอใช้ภาพประกอบนะครับจะได้ไม่ต้องพิมพ์ยาวมาก

2. สร้างไฟล์ชื่อ Desktop.ini ไว้ใน Folder DKDC โดยใส่ข้อความภายในดังนี้

[.ShellClassInfo]
IconFile=%SystemRoot%system32shell32.dll
IconIndex=-22
LocalizedResourceName=@shell32.dll -12693
InfoTip=@Shell32.dll -12689

3. ทำการกำหนดให้ Folder DKDC มี Attribute แบบ System ด้วย Command

4. เราจะเห็นว่า Folder DKDC ของเราได้เปลี่ยนไปทั้ง icon และชื่อที่แสดงด้วย ถ้าไม่มั่นใจว่านี่คือ Folder DKDC จริงๆลองเปิดเข้าไปดูก็ได้ครับ จะเห็นว่าตรง Address Bar ก็ยังแสดงเป็น C:DKDC อยู่ครับ แถมด้วยเมื่อเรานำ Mouse ไปชี้ตรง Folder ก็จะแสดงข้อความซึ่งเหมือนกับที่เราชี้ที่ Folder C:Documents and Settingsชื่อ UserMy DocumentsMy Music เลยล่ะครับ

คราวนี้เรามาดูกันครับว่าเจ้าคำสั่งใน Desktop.ini ข้างต้นคืออะไรบ้าง จะได้เห็นว่าจริงๆแล้วไม่ได้มีอันตรายอะไรอย่างที่เรากลัวกันครับ ขออธิบายคร่าวๆ(อีกแล้ว)ก่อนนะครับว่าเจ้าไฟล์ที่ชื่อ Shell32.dll ซึ่งมีการอ้างถึงจากใน Desktop.ini นั้น เป็นไฟล์ที่เก็บทรัพยากรหลายๆอบ่างของ Windows ที่มีการใช้งานร่วมกันไว้ครับ ไม่ว่าจะเป็นข้อความต่างๆ เมนูที่จะแสดงผล รวมถึงรูปภาพและ Icon แม้กระทั่งไฟล์ AVI ซึ่งเป็นรูปกระดาษปลิวจาก Folder นึงไปอีก Folder ที่เราเห็นตอน Copy ไฟล์หรือลบไฟล์ก็เก็บไว้ในนี้เช่นกันครับ สำหรับการเปิดเข้าไปดูภายในของไฟล์ Shell32.dll ว่ามีอะไรบ้างนั้นผมจะใช้ Resource Hacker ซึ่งเป็นของฟรีนะครับ ใครสนใจก็ลองโหลดมาเล่นกันได้ครับ

เอาล่ะครับเมื่อเรารู้ว่าเจ้า Shell32.dll นั้นมีอะไรต่อมิอะไรเก็บอยู่เราก็คงพอเข้าใจแล้วนะครับว่าทำไมใน Desktop.ini จึงมีการเรียกใช้เจ้าตัวนี้ เหตุผลคือเป็นการอ้างถึงทรัพยากรที่จะใช้ครับ เช่นเราไม่ต้องกำหนดชื่อหรือ icon ไว้ในตัว Desktop.ini แต่บอกไว้เพียงว่าชื่อและ icon ของฉันอยู่ใน Shell32.dll ถ้าอยากรู้จักก็ไปดูเอา โดยตัวเลขหลังเครื่องหมายลบก็เป็นลำดับที่เก็บไว้ใน Shell32.dll น่ะครับ ผมคงอธิบายไม่งงนะครับ ลองดูภาพประกอบต่อเลยแล้วกัน ผมอธิบายมากแล้วจะงงไปใหญ่ บอกแล้วว่ามือใหม่หัดเขียน

5. อันนี้เป็น icon ที่จะแสดงให้เห็นครับ จะเห็นว่า -22 ใน ไฟล์ Desktop.ini คือลำดับที่ 22 ของ icon ที่เก็บไว้ในไฟล์ Shell32.dll นั่นเองครับ

6. สำหรับอีก 2 จุดก็เช่นเดียวกันครับ ดูรูปประกอบเอานะครับ หมายเหตุไว้นิดนึงว่าในส่วนของ IconFile และ InfoTip ถ้าเราไม่อยากอ้างถึงไฟล์ Shell32.dll เราสามารถระบุชื่อไฟล์หรือข้อความที่ต้องการลงไปตรงๆได้เลยครับเช่น
IconFile=e:iconFinder.ico
IconIndex=0
InfoTip=ทดสอบครับผม

ยังมีอีกหลายๆจุดที่น่าสนใจในไฟล์ Desktop.ini ซึ่งเราสามารถนำมาใช้ไว้ผมมีโอกาสแล้วจะรวบรวมมาเขียนแบบละเอียดอีกทีนะครับ สำหรับตอนนี้พอแค่นี้ดีกว่า ยาวไปเดี๋ยวจะน่าเบื่อครับ

หมายเหตุ:
เนื่องจากข้อจำกัดในการจัดรูปแบบอักษร(หรืออาจจะเพราะผมทำไม่เป็น )จึงอาจจะทำให้อ่านยาก ถ้าสนใจก็เชิญอ่านรูปแบบเต็มๆได้ที่ http://www.dkdc-ultra.com นะครับ โฆษณา Web ตัวเองนี่คงไม่ผิดกฏนะครับ

สังคมยังอยู่ได้ เพราะคนไทยยังแบ่งปัน