attrib ကေတာ့ attributes ရဲ႕အတိုေကာက္ပါ။ attributes ဆိုတာ ျမန္မာလို အရည္အခ်င္းပါ။ attrib အသံုးျပဳနည္းကို သိခ်င္ရင္ cmd ထဲမွာ attrib /? လို႔ ရိုက္ထည့္ၿပီး ၾကည့္လို႔ရပါတယ္။ attrib မွ မဟုတ္ပါဘူး။ cmd ထဲမွာ ဘယ္ command မဆို အသံုးျပဳနည္းကို သိခ်င္ရင္ command ရဲ႕ေနာက္မွာ space တစ္ခ်က္ပုတ္ၿပီး /? ထည့္ၿပီး Enter ေခါက္ၾကည့္လို႔ရပါတယ္။
ကဲ..သူက ဘယ္လိုအသံုးက်သလဲဆိုေတာ့..
ဗိုင္းရပ္စ္ေတြဟာ သူတို႔ကိုယ္သူတို႔ hidden လုပ္ထားပါတယ္။ read only လည္းေပးထားတယ္။ ပိုၿပီး အျမင္ကတ္စရာေကာင္းတာက သူတို႔ကိုယ္သူတို႔ system file တစ္ခုအေနနဲ႔ သတ္မွတ္ထားတာပါပဲ။ hidden ေတြ read only ေတြက Explorer ထဲမွာ အဲဒီဖိုင္ေလးေပၚ Right Click လုပ္ Properties ကို ေရြးၿပီး Check Box က အမွန္ျခစ္ေလးေတြ ျဖဳတ္ေပးရင္ ရေပမဲ့ System attirbute အျဖစ္ ေပးထားတာကိုေတာ့ အဲဒီ Explorer နဲ႔ လုပ္လို႔မရေတာ့ပါဘူး။ ဒီေတာ့ ကၽြန္ေတာ္တို႔က cmd ထဲမွာ attrib ကို သုံးၿပီး ဗိုင္းရပ္စ္ဟာ သူ႔ကိုယ္သူ system ဖိုင္အျဖစ္သတ္မွတ္ထားတာကို ျဖဳတ္ပစ္ရပါတယ္။ ၿပီးတဲ့အခါမွာမွ del ကို သံုးၿပီး ဖ်က္ပစ္ရပါတယ္။ တစ္ခု သတိထားရမွာက attributes ေတြ မျဖဳတ္ဘဲ အဲဒီဖိုင္ကို ဘယ္လိုမွ ဖ်က္လို႔မရပါဘူး။
Usage ကေတာ့
attrib –s –h –r filename ပါ။
-s ဆိုတာ system attribute ေပးထားတာကို ျဖဳတ္မယ္လို႔ေျပာတာပါ။ -r က read-only ကို ျဖဳတ္မယ္၊ -h က hidden လုပ္ထားတာကို ဖယ္မယ္ဆိုတဲ့ အဓိပၸာယ္ပါပဲ။
ဥပမာ ကၽြန္ေတာ္ kavo ဗိုင္းရပ္စ္ကို သတ္မယ္ဆိုပါစို႔။ သူက C:\Windows\System32 ေအာက္မွာ ၀င္သြားတယ္ေလ။ အဲဒီေတာ့ cmd ထဲမွာ windows\system32 ထိ ေရာက္ေအာင္သြားၿပီး attrib –s –h –r kavo.exe လို႔ရိုက္ၿပီး Enter ေခါက္လိုက္ပါတယ္။ ၿပီးေတာ့မွ del kavo.exe ဆိုၿပီး သူ႔ကို ဖ်က္ပစ္လို႔ရသြားပါၿပီ။
ကၽြန္ေတာ္မွတ္မိသေလာက္ kavo ကို သတ္ခဲ့တုန္းက အခုအတိုင္းဖ်က္လည္း ျပန္ၿပီး ေပၚလာခဲ့ဖူးပါတယ္။ ဘာေၾကာင့္လဲဆိုေတာ့ ဗိုင္းရပ္စ္ေတြရဲ႕သေဘာတရားက သူတို႔မွာ အၿမဲတမ္း ဖိုင္ႏွစ္ဖိုင္ေလာက္ ပါပါတယ္။ a ရွိေနသလားဆိုတာကို b က အၿမဲတမ္းေစာင့္ၾကည့္ေနတယ္။ a ကို ဖ်က္လိုက္ရင္ b က a ကို ျပန္ၿပီး ဖန္တီးပါတယ္။ kavo ဆိုလည္း အဲဒီအတိုင္းပါပဲ။ kavo.exe ကို ဖ်က္လိုက္လည္း သူက ျပန္ၿပီး ေပၚလာတယ္။ ဘာေၾကာင့္လဲဆိုေတာ့ kavo.exe ရွိမရွိကို kg2v.com ဆိုတဲ့ ဖိုင္ေလးက အၿမဲတမ္းၾကည့္ေနလို႔ပါပဲ။
Techinical အရေျပာရရင္ ဗိုင္းရပ္စ္သတ္မယ္ဆိုရင္ သူတို႔ရဲ႕ Host Program ကုိ ေတြ႔ေအာင္ရွာရပါတယ္။ ၿပီးေတာ့ ဗုိင္းရပ္စ္အမ်ားစုဟာ Windows Folder ေအာက္ ဒါမွမဟုတ္ Windows\System32 ေအာက္မွာ အၿမဲတမ္း ခိုေအာင္းေနေလ့ရွိပါတယ္။ ၿပီးေတာ့ Drive ေတြေအာက္မွာလည္း(C:,D:) ခိုေအာင္းေလ့ရွိပါတယ္။ Host Program ကို ရွာေတြ႔ဖို႔ဆိုတာကလည္း အခ်ိန္ေတာ့ေပးရပါတယ္။ ပထမဆံုး System32 ေအာက္မွာပါတဲ့ ၀င္းဒိုးက တစ္ကယ္သံုးတဲ့ exe ဖိုင္ေတြစာရင္း၊ com ဖိုင္ေတြစာရင္းကို အလြတ္နီးပါး သိထားရပါမယ္။ ဒါမွ မသကၤာတဲ့ ဗိုင္းရပ္စ္ရဲ႕ exe ဖိုင္ကို ရွာႏိုင္မွာပါ။
ဒီေနရာမွာ အရမ္းရႈပ္ေထြးတဲ့ ဗိုင္းရပ္စ္ေတြကိုေတာ့ ဒီအတိုင္းသတ္လို႔ မရေတာ့ပါဘူး။ Antivirus သံုးရပါမယ္။ Antivirus ဟာ ဗိုင္းရပ္စ္ေတြကို သတ္ရံုပဲသတ္ေပးပါတယ္။ ဗိုင္းရပ္စ္က ေမႊသြားတဲ့ Registy ေတြ၊ Windows Setting ေတြကိုေတာ့ လံုး၀မျပင္ေပးႏိုင္ပါဘူး။ အဲဒီေတာ့ ဗိုင္းရပ္စ္သတ္မယ္ဆိုၿပီး Antivirus တစ္ခုတည္း သံုးမရပါဘူး။ Removalable Tool ေတြ သံုးရပါတယ္။ Removal Tool သံုးဖို႔ဆိုတာကလည္း ရမ္းသံုးလို႔ မရပါဘူး။ စက္ကို ကိုက္တဲ့ ဗိုင္းရပ္စ္ရဲ႕ နာမည္ကို သိရပါလိမ့္မယ္။ Win32 ဗိုင္းရပ္စ္ထင္တာပဲဆိုၿပီးေတာ့ မလုပ္ပါနဲ႔။ ဗိုင္းရပ္စ္မွန္သမွ်ဟာ win32 ခ်ည္းပါပဲ။ 32 bit Windows ေတြကို ကုိက္တဲ့ဗိုင္းရပ္ေတြမို႔ win32 ဆိုၿပီး Antivirus Company ေတြက နာမည္ေပးထားတာကို သတိရေစခ်င္ပါတယ္။ ဥပမာ Win32.Kido ဆိုၿပီး အတိအက်သိရပါလိမ့္မယ္။ ဒါကလည္း ခက္ခဲ့တဲ့ကိစၥမဟုတ္ပါဘူး။ Antivirus မွန္သမွ်ဟာ သူေတြ႔တဲ့ဗိုင္းရပ္စ္နာမည္ေတြကို Report ထဲမွာ ေဖာ္ျပေပးပါတယ္။
ေနာက္တစ္ခုက Antivirus က ဗိုင္းရပ္စ္ကို သိတယ္ဆိုတိုင္း သတ္ႏိုင္တယ္လို႔ မယူဆပါနဲ႔။ Detect ျဖစ္တာနဲ႔ Treated လုပ္ႏိုင္တာနဲ႔ မတူပါဘူး။ လက္ရွိ စာေရးေနတဲ့အခ်ိန္ထိ Kaspersky ဟာ Win32.kido.ah ကို သိရံုပဲ သိၿပီး မသတ္ႏိုင္ေသးပါဘူး။ အဲဒီလိုအေျခအေနက် ကၽြန္ေတာ္တို႔ဟာ Google ထဲမွာ win32.kido.ah Removable Tool လို႔ ရိုက္ၿပီး kido ah ကို သတ္ႏိုင္တဲ့ Removale Tool ကို ေတြ႔ေအာင္ ရွာရပါလိမ့္မယ္။ Microsoft ရဲ႕ Malware Removable Tool (MRT) ကလည္း ေတာ္ေတာ္မ်ားမ်ားကို သတ္ႏိုင္ပါတယ္။
ဆက္ပါဦးမည္….
ကဲ..သူက ဘယ္လိုအသံုးက်သလဲဆိုေတာ့..
ဗိုင္းရပ္စ္ေတြဟာ သူတို႔ကိုယ္သူတို႔ hidden လုပ္ထားပါတယ္။ read only လည္းေပးထားတယ္။ ပိုၿပီး အျမင္ကတ္စရာေကာင္းတာက သူတို႔ကိုယ္သူတို႔ system file တစ္ခုအေနနဲ႔ သတ္မွတ္ထားတာပါပဲ။ hidden ေတြ read only ေတြက Explorer ထဲမွာ အဲဒီဖိုင္ေလးေပၚ Right Click လုပ္ Properties ကို ေရြးၿပီး Check Box က အမွန္ျခစ္ေလးေတြ ျဖဳတ္ေပးရင္ ရေပမဲ့ System attirbute အျဖစ္ ေပးထားတာကိုေတာ့ အဲဒီ Explorer နဲ႔ လုပ္လို႔မရေတာ့ပါဘူး။ ဒီေတာ့ ကၽြန္ေတာ္တို႔က cmd ထဲမွာ attrib ကို သုံးၿပီး ဗိုင္းရပ္စ္ဟာ သူ႔ကိုယ္သူ system ဖိုင္အျဖစ္သတ္မွတ္ထားတာကို ျဖဳတ္ပစ္ရပါတယ္။ ၿပီးတဲ့အခါမွာမွ del ကို သံုးၿပီး ဖ်က္ပစ္ရပါတယ္။ တစ္ခု သတိထားရမွာက attributes ေတြ မျဖဳတ္ဘဲ အဲဒီဖိုင္ကို ဘယ္လိုမွ ဖ်က္လို႔မရပါဘူး။
Usage ကေတာ့
attrib –s –h –r filename ပါ။
-s ဆိုတာ system attribute ေပးထားတာကို ျဖဳတ္မယ္လို႔ေျပာတာပါ။ -r က read-only ကို ျဖဳတ္မယ္၊ -h က hidden လုပ္ထားတာကို ဖယ္မယ္ဆိုတဲ့ အဓိပၸာယ္ပါပဲ။
ဥပမာ ကၽြန္ေတာ္ kavo ဗိုင္းရပ္စ္ကို သတ္မယ္ဆိုပါစို႔။ သူက C:\Windows\System32 ေအာက္မွာ ၀င္သြားတယ္ေလ။ အဲဒီေတာ့ cmd ထဲမွာ windows\system32 ထိ ေရာက္ေအာင္သြားၿပီး attrib –s –h –r kavo.exe လို႔ရိုက္ၿပီး Enter ေခါက္လိုက္ပါတယ္။ ၿပီးေတာ့မွ del kavo.exe ဆိုၿပီး သူ႔ကို ဖ်က္ပစ္လို႔ရသြားပါၿပီ။
ကၽြန္ေတာ္မွတ္မိသေလာက္ kavo ကို သတ္ခဲ့တုန္းက အခုအတိုင္းဖ်က္လည္း ျပန္ၿပီး ေပၚလာခဲ့ဖူးပါတယ္။ ဘာေၾကာင့္လဲဆိုေတာ့ ဗိုင္းရပ္စ္ေတြရဲ႕သေဘာတရားက သူတို႔မွာ အၿမဲတမ္း ဖိုင္ႏွစ္ဖိုင္ေလာက္ ပါပါတယ္။ a ရွိေနသလားဆိုတာကို b က အၿမဲတမ္းေစာင့္ၾကည့္ေနတယ္။ a ကို ဖ်က္လိုက္ရင္ b က a ကို ျပန္ၿပီး ဖန္တီးပါတယ္။ kavo ဆိုလည္း အဲဒီအတိုင္းပါပဲ။ kavo.exe ကို ဖ်က္လိုက္လည္း သူက ျပန္ၿပီး ေပၚလာတယ္။ ဘာေၾကာင့္လဲဆိုေတာ့ kavo.exe ရွိမရွိကို kg2v.com ဆိုတဲ့ ဖိုင္ေလးက အၿမဲတမ္းၾကည့္ေနလို႔ပါပဲ။
Techinical အရေျပာရရင္ ဗိုင္းရပ္စ္သတ္မယ္ဆိုရင္ သူတို႔ရဲ႕ Host Program ကုိ ေတြ႔ေအာင္ရွာရပါတယ္။ ၿပီးေတာ့ ဗုိင္းရပ္စ္အမ်ားစုဟာ Windows Folder ေအာက္ ဒါမွမဟုတ္ Windows\System32 ေအာက္မွာ အၿမဲတမ္း ခိုေအာင္းေနေလ့ရွိပါတယ္။ ၿပီးေတာ့ Drive ေတြေအာက္မွာလည္း(C:,D:) ခိုေအာင္းေလ့ရွိပါတယ္။ Host Program ကို ရွာေတြ႔ဖို႔ဆိုတာကလည္း အခ်ိန္ေတာ့ေပးရပါတယ္။ ပထမဆံုး System32 ေအာက္မွာပါတဲ့ ၀င္းဒိုးက တစ္ကယ္သံုးတဲ့ exe ဖိုင္ေတြစာရင္း၊ com ဖိုင္ေတြစာရင္းကို အလြတ္နီးပါး သိထားရပါမယ္။ ဒါမွ မသကၤာတဲ့ ဗိုင္းရပ္စ္ရဲ႕ exe ဖိုင္ကို ရွာႏိုင္မွာပါ။
ဒီေနရာမွာ အရမ္းရႈပ္ေထြးတဲ့ ဗိုင္းရပ္စ္ေတြကိုေတာ့ ဒီအတိုင္းသတ္လို႔ မရေတာ့ပါဘူး။ Antivirus သံုးရပါမယ္။ Antivirus ဟာ ဗိုင္းရပ္စ္ေတြကို သတ္ရံုပဲသတ္ေပးပါတယ္။ ဗိုင္းရပ္စ္က ေမႊသြားတဲ့ Registy ေတြ၊ Windows Setting ေတြကိုေတာ့ လံုး၀မျပင္ေပးႏိုင္ပါဘူး။ အဲဒီေတာ့ ဗိုင္းရပ္စ္သတ္မယ္ဆိုၿပီး Antivirus တစ္ခုတည္း သံုးမရပါဘူး။ Removalable Tool ေတြ သံုးရပါတယ္။ Removal Tool သံုးဖို႔ဆိုတာကလည္း ရမ္းသံုးလို႔ မရပါဘူး။ စက္ကို ကိုက္တဲ့ ဗိုင္းရပ္စ္ရဲ႕ နာမည္ကို သိရပါလိမ့္မယ္။ Win32 ဗိုင္းရပ္စ္ထင္တာပဲဆိုၿပီးေတာ့ မလုပ္ပါနဲ႔။ ဗိုင္းရပ္စ္မွန္သမွ်ဟာ win32 ခ်ည္းပါပဲ။ 32 bit Windows ေတြကို ကုိက္တဲ့ဗိုင္းရပ္ေတြမို႔ win32 ဆိုၿပီး Antivirus Company ေတြက နာမည္ေပးထားတာကို သတိရေစခ်င္ပါတယ္။ ဥပမာ Win32.Kido ဆိုၿပီး အတိအက်သိရပါလိမ့္မယ္။ ဒါကလည္း ခက္ခဲ့တဲ့ကိစၥမဟုတ္ပါဘူး။ Antivirus မွန္သမွ်ဟာ သူေတြ႔တဲ့ဗိုင္းရပ္စ္နာမည္ေတြကို Report ထဲမွာ ေဖာ္ျပေပးပါတယ္။
ေနာက္တစ္ခုက Antivirus က ဗိုင္းရပ္စ္ကို သိတယ္ဆိုတိုင္း သတ္ႏိုင္တယ္လို႔ မယူဆပါနဲ႔။ Detect ျဖစ္တာနဲ႔ Treated လုပ္ႏိုင္တာနဲ႔ မတူပါဘူး။ လက္ရွိ စာေရးေနတဲ့အခ်ိန္ထိ Kaspersky ဟာ Win32.kido.ah ကို သိရံုပဲ သိၿပီး မသတ္ႏိုင္ေသးပါဘူး။ အဲဒီလိုအေျခအေနက် ကၽြန္ေတာ္တို႔ဟာ Google ထဲမွာ win32.kido.ah Removable Tool လို႔ ရိုက္ၿပီး kido ah ကို သတ္ႏိုင္တဲ့ Removale Tool ကို ေတြ႔ေအာင္ ရွာရပါလိမ့္မယ္။ Microsoft ရဲ႕ Malware Removable Tool (MRT) ကလည္း ေတာ္ေတာ္မ်ားမ်ားကို သတ္ႏိုင္ပါတယ္။
ဆက္ပါဦးမည္….
No comments:
Post a Comment