บทความ(เฉพาะกิจ)เรื่องของไวรัส sfc_os.dll

กระทู้สนทนา

บทความ(เฉพาะกิจ)เรื่องของไวรัส sfc_os.dll

                    เนื่องจากวันนี้คุณ Arm ได้เข้ามาสอบถามในบอร์ดเรื่องของไวรัส sfc_os.dll และจากการลองค้นจาก Google ก็พบว่ามีคำถามดังกล่าวมากพอสมควรในหลายๆเว็บ ผมเองในฐานะที่พอจะมีความเข้าใจในเรื่องดังกล่าวอยู่บ้างเพราะเคยเขียนเรื่องของ WFP(Windows File Protection) ในหน้าบทความไว้ เลยตัดสินใจที่จะเขียนหน้านี้ขึ้นเป็นการเฉพาะหน้า ดังนั้นการเรียบเรียงเนื้อหาและรูปหน้าอาจจะไม่ค่อยดีมาก แต่หวังว่าอาจจะช่วยให้หลายๆคนได้คลายความกังวลใจในเรื่องของไวรัส(รึปล่าว?) ตัวดังกล่าวลงไปได้บ้างนะครับ

 

ทำความเข้าใจเรื่องของไฟล์ sfc_os.dll 

 

                   ก่อนอื่นเรามาทำความรู้จักกับพระเอกของเรื่องนี้(ไฟล์ที่มีการแจ้งว่าเป็นไวรัส)กันก่อน สำหรับไฟล์ดังกล่าวนั้นเป็นไฟล์ที่มีมากับ Windows อยู่แล้วนะครับ ไม่ได้เกิดขึ้นจากไวรัสหรือเป็นไฟล์ไวรัสแต่อย่างใด โดยหน้าที่ของไฟล์ดังกล่าวคือเป็นผู้อยู่เบื้องหลังการทำงานของระบบ WFP(Windows File Protection) ซึ่งรายละเอียด(โดยคร่าวๆ)ของระบบ WFP รบกวนอ่านที่ http://www.dkdc-ultra.com/Article/F_Atc1.html   หรือถ้าใครมีหนังสือล้วงไต๋ไวรัส เล่ม 2 อยู่ให้อ่านได้จากหน้า 102 นะครับ แล้วค่อยกลับมาอ่านด้านล่างนี้ต่อนะครับ ต้องขออภัยที่ทำให้ซับซ้อนต้องอ่านหลายแห่งแต่ไม่อยากก็อบมาใส่ในหน้านี้เพราะเนื้อหาอาจจะไม่ต่อเนื่องกันมากนัก

...........................................

                        เอาล่ะครับเมื่อเข้าใจหลักการทำงานของ WFP แล้วว่ามันจะทำหน้าที่สอดส่องการเปลี่ยนแปลงแก้ไขไฟล์ระบบต่างๆของ Windows คราวนี้เราจะมาวิเคราะห์สาเหตุที่โปรแกรมกำจัดไวรัสแจ้งว่าไฟล์ดังกล่าวเป็นไวรัสกัน
เนื่องจากว่าหลายๆคนมีการใช้ Windows ที่มีการตัดแต่งรูปร่างหน้าตาและลูกเล่นต่างๆซึ่งเรียกกันว่า Windows Modify นั่นล่ะครับ ซึ่งการที่ Windows ดังกล่าวจะสามารถเปลี่ยนแปลงรูปร่างหน้าตาหรือลูกเล่นต่างๆได้นั้น แน่นอนว่าย่อมหลีกเลี่ยงการแก้ไขปรับแต่งไฟล์ระบบบางตัวไม่ได้อย่างแน่นอน แต่ตราบใดที่เจ้า WFP ยังทำงานของมันอย่างแข็งขันอยู่ล่ะก็การแก้ไขดังกล่าวย่อมทำไม่ได้อย่างแน่นอน เนื่องจากทันทีที่เราแก้ไขมันก็จะนำไฟล์ต้นฉบับมาทับให้ทันที ตามตัวอย่างในบทความที่ผมลบไฟล์นั่นล่ะครับ

                      ซึ่งวิธีหลักๆที่ผู้ทำการ Modify Windows เลือกใช้ก็คือปิดการทำงานของเจ้า WFP มันซะเลย เราจะได้สามารถแก้ไขไฟล์ใดๆได้โดยไม่มีใครมาขัดขวาง และการปิดดังกล่าวก็คือการแก้ไขเจ้าไฟล์ sfc_os.dll ซึ่งผมได้อธิบายไปข้างต้นแล้วว่ามันคือผู้อยู่เบื้องหลังการทำงานของ WFP ซึ่งในเรื่องวิธีการแก้ไขไฟล์ดังกล่าวถ้าใครสนใจอาจจะลองค้นจาก Google ดูก็ได้ครับ ไว้ผมมีเวลาจะทำการเรียบเรียงเป็นบทความให้อ่านกันต่อๆไป แต่ตอนนี้เวลาจำกัด(ต้องรีบเข้านอนเอาแรงไปทำงานพรุ่งนี้) เอาเป็นว่าให้เข้าใจตรงกันก่อนว่าใน Windows ที่ผ่านการ Modify มาแล้วนั้น เจ้าไฟล์ sfc_os.dll ได้รับการแก้ไขให้ปิดการทำงานของ WFP ไปเรียบร้อยแล้ว
                     ดังนั้นเมื่อโปรแกรมกำจัดไวรัสตรวจพบว่าไฟล์ดังกล่าว (sfc_os.dll) ซึ่งอยู่ในเครื่องนั้นเป็นไฟล์ที่โดนแก้ไขมาแล้ว โดยเฉพาะแก้ไขในส่วนของการปิดระบบ WFP ซึ่งไวรัสในอดีตรวมถึงปัจจุบันบางตัวมักจะใช้วิธีการดังกล่าวนี้ในการเขียนตัวเองทับไฟล์ระบบเช่นกัน จึงสรุปเอาว่าไฟล์ sfc_os.dll ดังกล่าวนั้นเป็นไฟล์ไวรัสนั่นเองครับ(สังเกตได้จากชื่อของไวรัสจะมีคำว่า Patched ซึ่งหมายถึงการปรับแต่ง/แก้ไขมาแล้วนั่นเองครับ)

 

    

 

ไวรัสหรือไม่ไวรัสดูเบื้องต้นยังไง?


          ขอสรุปทิ้งท้ายเพื่อจะได้เป็นข้อมูลในการวิเคราะห์ขั้นต้นนะครับว่าถ้าเราเจอคำเตือนว่ามีไวรัสในไฟล์ดังกล่าวบนเครื่องของเรานั้น จะรู้ได้ยังไงว่าเป็นไวรัสจริงหรือไม่ วิธีวิเคราะห์ก็ง่ายๆตรงไปตรงมาครับ ตามที่ได้รู้กันไปแล้วว่า Windows Modify หรือโปรแกรมบางตัวที่มีการปรับแต่ง Windows เช่นโปรแกรม nlite จะมีการแก้ไขไฟล์ดังกล่าวเพื่อให้แก้ไขไฟล์ระบบได้ ดังนั้นถ้าเราใช้ Windows Modify หรือใช้โปรแกรมที่มีการปรับแต่งหน้าตาหรือรูปแบบการทำงานบางอย่างของ Windows ล่ะก็ ขอให้สบายใจในเบื้องต้นได้ว่าไฟล์ดังกล่าวนั้นมาอยู่ในเครื่องโดยเจตนา(เพื่อให้แก้ไขไฟล์ระบบได้) ไม่มีอันตรายใดๆครับ แต่ถ้าเครื่องของเรานั้นไม่เข้าทั้ง 2 ประเด็นที่ผมกล่าวถึงล่ะก็อาจจะต้องเอะใจหน่อยล่ะครับว่าอาจจะมีไวรัสบางตัวที่พยายามจะแก้ไขไฟล์ระบบของเครื่องเราโดยการปิด WFP ผ่านไฟล์ sfc_os.dll โดยเราไม่ได้เชิญแล้วล่ะครับ


วิธีการแก้ไขปัญหา

          หลังจากได้ข้อสรุปกันเป็นที่เรียบร้อยแล้วว่าไฟล์ดังกล่าวนั้นอาจจะไม่ใช่ไวรัสเสมอไป ในหัวข้อนี้เรามาดูวิธีการแก้ไขปัญหากันครับ สำหรับการแก้ปัญหาอย่างง่ายๆโดยไม่ต้องทำอะไรเลยก็คืออยู่เฉยๆไม่ต้องตื่นตระหนก ปล่อยให้เจ้าโปรแกรมกำจัดไวรัสมันเตือนไป เดี๋ยวพอมันมีการปรับปรุงฐานข้อมูลใหม่ก็เลิกเตือนไปเอง หรือถ้าใครรำคาญก็คงจะต้องใช้วิธีการแจ้งโปรแกรมกำจัดไวรัสว่าให้ละเว้นการตรวจสอบไฟล์ดังกล่าวซะเพื่อที่มันจะได้ไม่ต้องแจ้งเตือนอีกซึ่งอันนี้ก็แล้วแต่ใครใช้ AntiBA3014303_4 ยี่ห้อไหนอยู่ซึ่งผมขอยกตัวอย่างสัก 3 ยี่ห้อหลักๆนะครับ

Mcafee => http://www.dkdc-ultra.com/board/viewtopic.php?f=1&t=7&p=3434#p3434

NOD32 => http://www.eset.eu/knowledge-base/how-do-i-exclude-certain-files-or-folders-from-real-time-scanning

Avast => http://support.avast.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=201

           แต่ถ้าใครไม่สบายใจที่จะเก็บไฟล์ดังกล่าวไว้เพราะไม่มั่นใจ หรือในกรณีที่ได้ลบไฟล์ดังกล่าวทิ้งไปแล้วก็ให้ทำการโหลดไฟล์ sfc_os.dll เดิมๆที่ไม่มีการปรับแต่ง(จากด้านล่าง) กลับไปใส่ไว้ใน C:\\Windows\\System32\\ ก็ได้โดยเลือกให้ตรงกับ Ver. ของ Windows ที่เราใช้อยู่นะครับ(ในการวางไฟล์ดังกล่าวจะต้องทำให้ Safe Mode นะครับ)  แต่ต้องขอให้เข้าใจกันก่อนว่าเจ้าไฟล์ sfc_os.dll ที่มีการแก้ไขนั้นก็เพื่อที่จะทำการปรับแต่งไฟล์บางส่วนของระบบตามที่ได้อธิบายไปแล้ว ดังนั้นในการที่เราลบหรือนำไฟล์ sfc_os.dll เดิมๆกลับไปใส่นั้นก็อาจจะส่งผลให้บางส่วนของ Windows  ที่ทำการปรับแต่งไว้มีการทำงานที่ผิดพลาดไปบางจุดเนื่องจากเมื่อเจ้า WFP กลับมาทำงานอีกครั้งมันก็จะพยายามนำไฟล์เดิมๆตัวอื่นๆกลับมาด้วย ดังนั้นใครที่เลือกจะแก้ด้วยวิธีนี้ก็ขอให้เตรียมรับมือกับปัญหาข้อนี้ด้วยนะครับ


                                     ไฟล์   SFC_OS.DLL ของ XP  SP2  =>   http://download1109.mediafire.com/xfzb9i14ffqg/ztf8vfswubzunen/sfc_os_SP2.zip

                                      ไฟล์ SFC_OS.DLL ของ   XP  SP3   =>    http://download828.mediafire.com/5tj0uanvpstg/tspn25ou4pj8r5d/sfc_os_SP3.zip

            

เนื่องจากหน้าบทความจัดหน้าค่อนข้างยาก

สามารถอ่านแบบเต็มๆได้ที่นี่นะครับ  http://www.dkdc-ultra.com/sfc_os.html

                     สังคมยังอยู่ได้ เพราะคนไทยยังแบ่งปัน  

แก้ไขข้อความเมื่อ
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่