วันเสาร์ที่ 12 กรกฎาคม พ.ศ. 2551
ไวรัสคืออะไร
ไวรัสคืออะไร
ไวรัส คือ โปรแกรมชนิดหนึ่ง ทีถูกสร้างขึ้นโดย มีวัตถุ ประสงค์เพื่อการก่อกวน ทำให้เกิด ความ เสียหาย เ่ช่น ทำลายข้อมูล ไม่สามารถเปิดใช้ งานคอมพิวเตอร์ หรืออาจทำให้คอมพิวเตอร์ ทำงานช้าลง ปัจจุบันการใช้งานอีเมล์เป็นที่แพร่หลายมาก ทำให้มีผู้ไม่ประสงค์ดี สร้างไวรัสผ่านมาทางอีเมล์ เป็นต้น
ประเภทของไวรัส
แบ่งตามแหล่งที่ซ่อน
- ไวรัสบูตเซ็กเตอร์
- ไวรัสติดที่ตารางพาร์ทิชั่น
- ไวรัสที่ติดแฟ้ม
แบ่งตามลักษณะการทำงาน
- ไวรัสประเภทก่อกวน
- ไวรัสประเภททำลาย
ทั้งนี้การแบ่งประเภทไวรัสของแต่ละคน อาจมีการแตกต่างกันบ้างเล็กน้อย สำหรับตัวอย่างรายชื่อไวรัสว่ามีอะไรบ้าง เราจะสามารถดูได้จากในตัวโปรแกรมแอนตี้ไวรัสเอง เช่น Mcafee VirusScan, Norton Anti-Virus, PC-Cillin, Dr. Solomon Anti-Virus, F-Prot Anti-Virus, Panda Anti-Virus ดูในหัวข้อ Virus List
วิธีการป้องกันไวรัส
ติดตั้งโปรแกรมกำจัดไวรัส และตรวจสอบเป็นประจำ
ปรับปรุง หรืออัปเดทโปรแกรมกำจัดไวรัส *
ปรับปรุง หรืออัปเดท O.S. เช่น Windows, Linux เป็นต้น
ปรับปรุง หรืออัปเดทโปรแกรมในการตรวจรับ Mail
ปรับปรุง หรืออัปเดทโปรแกรม Browser เช่น Internet Explorer เป็นต้น
ตรวจสอบแแผ่นดิสก์จากการใช้งานร่วมกับผู้อื่น
สังเกตความผิดปกติที่เกิดขึ้นในแต่ละวัน
หลีกเลี่ยงการ ก๊อปปี้โปรแกรมจากภายนอก
จัดทำแผ่น Boot เพื่อใช้สำหรับกรณีมีปัญหาไม่สามารถเข้า Windws ได้
ไวรัส Worm
Worm อ่านว่า "วอร์ม" มีการเรียกเป็นภาษาไทยว่า "หนอนอินเตอร์เน็ต" เป็นไวรัสประเภทหนึ่งที่ก่อกวน สามารถทำสำเนาตัวเอง (copy) และแพร่กระจายไปยังเครื่องคอมฯ เครื่องอื่นๆ ได้ ทำให้คอมพิวเตอร์ส่วนตัว และในระบบเครือข่ายเสียหายมานักต่อนักแล้ว ไวรัส วอร์ม นี้ปัจจุบันมีหลากหลายมาก มีการแพร่กระจายของไวรัสได้รวดเร็วมาก ทั้งนี้เนื่องจากไวรัส วอร์ม จะสามารถแพร่กระจายผ่านทางอีเมล์ได้ ไม่ว่าจะเป็น Outlook Express หรือ Microsoft Outlook
การป้องกันอย่างหนึ่งสำหรับไวรัสประเภทนี้ คือ การ update โปรแกรมให้ทันสมัยอยู่เสมอ ดังรายละเอียดด้านล่างนี้
ความเสียหายที่อาจเกิดขึ้น
เครื่องคอมพิวเตอร์ทำงานช้าลง
เครื่องคอมพิวเตอร์ไม่สามารถทำงานได้
ไม่สามารถติดต่อระบบเครือข่ายได้
ไม่สามารถทำงานในระบบอินเตอร์เน็ตได้
Internet Explorer
Update to Internet Explorer 5.01 SP2
Update to IE 5.5 SP2
Update to IE 6.0
ตัวอย่างชื่อไวรัส
WORM_KLEZ.H
WORM_YAHA.K
WORM_OPASERV.E
WORM_KWBOT.C
WORM_FRETHEM.M
นอกจากนี้เรายังวิธีการป้องกันเบื้องต้นก็คือ การติดตั้งโปรแกรมตรวจสอบไวรัส แบบ Realtime หมายถึงตรวจสอบอีเมล์ทุกครั้งที่เข้ามา ตรวจสอบเว็บไซท์ที่มีการแวะเวียนเข้าไป แบบอัตโนมัติ เป็นต้น และที่สำคัญ ควรหลีกเลี่ยงการเปิดเมล์ที่เราไม่รู้จัก หรือไม่แน่ใจ
ไวรัส Hoax
หลายๆ ปีก่อน ผมเชื่อว่าหลายท่านคงเคยได้รับจดหมายลูกโซ่ (จดหมายธรรมดาที่ไม่ใช่ E-mail เหมือนในปัจจุบัน) ซึ่งเนื้อหาจะมีลักษณะให้ส่งต่อจดหมายไปยังผู้อื่น เช่น พี่น้อง ญาติ เพื่อน เป็นต้น และถ้าส่งต่อไปแล้วจะโชคดี มิเช่นนั้นจะมีภัยอย่างใหญ่หลวงมาถึงตัว แต่เนื่องด้วยความก้าวหน้าทางเทคโนโลยีในปัจจุบัน ได้แปรเปลี่ยนรูปแบบการส่งมาในรูปแบบของ E-mail..
หลายคนอาจบอกว่า Hoax ไม่ใช่ไวรัส แต่โดยวิธีการและการแพร่กระจายของ Hoax นี้อาจสรุปไดว่าเป็นไวรัสประเภทหนึ่ง ลักษระของไวรัส Hoax นี้จะมาในรูปแบบของ E-mail หลอกลวง โดยมีลักษณะคล้ายจดหมายลูกโซ่ โดยอาจผ่านทาง E-mail หรือทางห้องสนทนา (Chat Room) ซึ่งก่อนให้เกิดความสับสน วุ่นวาย ทั้งนี้ขึ้นกับความสามารถในการเขียนรูปแบบจดหมายให้ดูน่าสนใจ ตื้นเต้น ของผู้สร้างข่าวขึ้นมา โดยอาจมีการอ้างอิงถึงบริษัทใหญ่ๆ หรือที่มาที่ทำให้ผู้รับเชื่อถือ
การป้องกัน
ทำได้ง่ายครับ เพียงแค่ไม่ส่งต่อ E-mail นั้นๆ ไปให้ผู้อื่น เท่านี้ คุณก็ช่วยให้โลกของ E-mail ดีขึ้นมากเลยครับ
ตัวอย่างไวรัส Hoax
Budweiser
Bicho7
Big Brother
Blue Mountain Virus
Blueballs Are Underrated Virus
BUDDYLST.ZIP
BUDSAVER.EXE
BUGGLST
California IBM
California Virus
CELLSAVER Virus
CLEANMGR.EXE Warning
Coke.exe
Economic Slow Down in US
FAMILY PICTURES
Get More Money
Ghost
Gift from Microsoft
Girl Thing
Go Hip
Goldbear Virus
Good Times
Google Trojan Hoax
Got You
Guts to Say Jesus
Hacky Birthday Virus
Halloween Virus
Happy New Year Virus
Hello Dear
Hairy Palms Virus
ข้อมูลเพิ่มเติม Hoax - Symantec
ข้อมูลเพิ่มเติม Hoax - Mcafeeข้อมูลเพิ่มเติม Hoax - F-Secure
ไวรัสคืออะไร
ไวรัส คือ โปรแกรมชนิดหนึ่ง ทีถูกสร้างขึ้นโดย มีวัตถุ ประสงค์เพื่อการก่อกวน ทำให้เกิด ความ เสียหาย เ่ช่น ทำลายข้อมูล ไม่สามารถเปิดใช้ งานคอมพิวเตอร์ หรืออาจทำให้คอมพิวเตอร์ ทำงานช้าลง ปัจจุบันการใช้งานอีเมล์เป็นที่แพร่หลายมาก ทำให้มีผู้ไม่ประสงค์ดี สร้างไวรัสผ่านมาทางอีเมล์ เป็นต้น
ประเภทของไวรัส
แบ่งตามแหล่งที่ซ่อน
- ไวรัสบูตเซ็กเตอร์
- ไวรัสติดที่ตารางพาร์ทิชั่น
- ไวรัสที่ติดแฟ้ม
แบ่งตามลักษณะการทำงาน
- ไวรัสประเภทก่อกวน
- ไวรัสประเภททำลาย
ทั้งนี้การแบ่งประเภทไวรัสของแต่ละคน อาจมีการแตกต่างกันบ้างเล็กน้อย สำหรับตัวอย่างรายชื่อไวรัสว่ามีอะไรบ้าง เราจะสามารถดูได้จากในตัวโปรแกรมแอนตี้ไวรัสเอง เช่น Mcafee VirusScan, Norton Anti-Virus, PC-Cillin, Dr. Solomon Anti-Virus, F-Prot Anti-Virus, Panda Anti-Virus ดูในหัวข้อ Virus List
วิธีการป้องกันไวรัส
ติดตั้งโปรแกรมกำจัดไวรัส และตรวจสอบเป็นประจำ
ปรับปรุง หรืออัปเดทโปรแกรมกำจัดไวรัส *
ปรับปรุง หรืออัปเดท O.S. เช่น Windows, Linux เป็นต้น
ปรับปรุง หรืออัปเดทโปรแกรมในการตรวจรับ Mail
ปรับปรุง หรืออัปเดทโปรแกรม Browser เช่น Internet Explorer เป็นต้น
ตรวจสอบแแผ่นดิสก์จากการใช้งานร่วมกับผู้อื่น
สังเกตความผิดปกติที่เกิดขึ้นในแต่ละวัน
หลีกเลี่ยงการ ก๊อปปี้โปรแกรมจากภายนอก
จัดทำแผ่น Boot เพื่อใช้สำหรับกรณีมีปัญหาไม่สามารถเข้า Windws ได้
ไวรัส Worm
Worm อ่านว่า "วอร์ม" มีการเรียกเป็นภาษาไทยว่า "หนอนอินเตอร์เน็ต" เป็นไวรัสประเภทหนึ่งที่ก่อกวน สามารถทำสำเนาตัวเอง (copy) และแพร่กระจายไปยังเครื่องคอมฯ เครื่องอื่นๆ ได้ ทำให้คอมพิวเตอร์ส่วนตัว และในระบบเครือข่ายเสียหายมานักต่อนักแล้ว ไวรัส วอร์ม นี้ปัจจุบันมีหลากหลายมาก มีการแพร่กระจายของไวรัสได้รวดเร็วมาก ทั้งนี้เนื่องจากไวรัส วอร์ม จะสามารถแพร่กระจายผ่านทางอีเมล์ได้ ไม่ว่าจะเป็น Outlook Express หรือ Microsoft Outlook
การป้องกันอย่างหนึ่งสำหรับไวรัสประเภทนี้ คือ การ update โปรแกรมให้ทันสมัยอยู่เสมอ ดังรายละเอียดด้านล่างนี้
ความเสียหายที่อาจเกิดขึ้น
เครื่องคอมพิวเตอร์ทำงานช้าลง
เครื่องคอมพิวเตอร์ไม่สามารถทำงานได้
ไม่สามารถติดต่อระบบเครือข่ายได้
ไม่สามารถทำงานในระบบอินเตอร์เน็ตได้
Internet Explorer
Update to Internet Explorer 5.01 SP2
Update to IE 5.5 SP2
Update to IE 6.0
ตัวอย่างชื่อไวรัส
WORM_KLEZ.H
WORM_YAHA.K
WORM_OPASERV.E
WORM_KWBOT.C
WORM_FRETHEM.M
นอกจากนี้เรายังวิธีการป้องกันเบื้องต้นก็คือ การติดตั้งโปรแกรมตรวจสอบไวรัส แบบ Realtime หมายถึงตรวจสอบอีเมล์ทุกครั้งที่เข้ามา ตรวจสอบเว็บไซท์ที่มีการแวะเวียนเข้าไป แบบอัตโนมัติ เป็นต้น และที่สำคัญ ควรหลีกเลี่ยงการเปิดเมล์ที่เราไม่รู้จัก หรือไม่แน่ใจ
ไวรัส Hoax
หลายๆ ปีก่อน ผมเชื่อว่าหลายท่านคงเคยได้รับจดหมายลูกโซ่ (จดหมายธรรมดาที่ไม่ใช่ E-mail เหมือนในปัจจุบัน) ซึ่งเนื้อหาจะมีลักษณะให้ส่งต่อจดหมายไปยังผู้อื่น เช่น พี่น้อง ญาติ เพื่อน เป็นต้น และถ้าส่งต่อไปแล้วจะโชคดี มิเช่นนั้นจะมีภัยอย่างใหญ่หลวงมาถึงตัว แต่เนื่องด้วยความก้าวหน้าทางเทคโนโลยีในปัจจุบัน ได้แปรเปลี่ยนรูปแบบการส่งมาในรูปแบบของ E-mail..
หลายคนอาจบอกว่า Hoax ไม่ใช่ไวรัส แต่โดยวิธีการและการแพร่กระจายของ Hoax นี้อาจสรุปไดว่าเป็นไวรัสประเภทหนึ่ง ลักษระของไวรัส Hoax นี้จะมาในรูปแบบของ E-mail หลอกลวง โดยมีลักษณะคล้ายจดหมายลูกโซ่ โดยอาจผ่านทาง E-mail หรือทางห้องสนทนา (Chat Room) ซึ่งก่อนให้เกิดความสับสน วุ่นวาย ทั้งนี้ขึ้นกับความสามารถในการเขียนรูปแบบจดหมายให้ดูน่าสนใจ ตื้นเต้น ของผู้สร้างข่าวขึ้นมา โดยอาจมีการอ้างอิงถึงบริษัทใหญ่ๆ หรือที่มาที่ทำให้ผู้รับเชื่อถือ
การป้องกัน
ทำได้ง่ายครับ เพียงแค่ไม่ส่งต่อ E-mail นั้นๆ ไปให้ผู้อื่น เท่านี้ คุณก็ช่วยให้โลกของ E-mail ดีขึ้นมากเลยครับ
ตัวอย่างไวรัส Hoax
Budweiser
Bicho7
Big Brother
Blue Mountain Virus
Blueballs Are Underrated Virus
BUDDYLST.ZIP
BUDSAVER.EXE
BUGGLST
California IBM
California Virus
CELLSAVER Virus
CLEANMGR.EXE Warning
Coke.exe
Economic Slow Down in US
FAMILY PICTURES
Get More Money
Ghost
Gift from Microsoft
Girl Thing
Go Hip
Goldbear Virus
Good Times
Google Trojan Hoax
Got You
Guts to Say Jesus
Hacky Birthday Virus
Halloween Virus
Happy New Year Virus
Hello Dear
Hairy Palms Virus
ข้อมูลเพิ่มเติม Hoax - Symantec
ข้อมูลเพิ่มเติม Hoax - Mcafeeข้อมูลเพิ่มเติม Hoax - F-Secure
วันเสาร์ที่ 5 กรกฎาคม พ.ศ. 2551
Registry
Registry คืออะไร? หลายคนยังไม่ทราบ ผมจะอธิบายคร่าวๆ แล้วกัน Registry คือฐานข้อมูลของระบบปฏิบัติการวินโดวส์ที่รวบรวมข้อมูลการตั้งค่าของตัวระบบปฏิบัติการ และโปรแกรมต่างๆ ในการทำงานร่วมกันกับตัวระบบปฏิบัติการหรือโปรแกรมใดๆ ลงบนคอมพ์ ตัวระบบปฏิบัติการก็จะทำการเขียน Registry ขึ้นมา เพื่อเป็นข้อมูลพื้นฐานในการกำหนดการทำงานโปรแกรมนั้นๆ แต่หลายครั้งที่การเขียน Registry ขึ้นมาของระบบปฏิบัติการนั้นกลับสร้างปัญหาให้ระบบปฏิบัติการเสียเอง รวมถึงเมื่อเราทำการถอนการติดตั้งโปรแกรมใดๆ ออกไป ข้อมูล Registry ที่เกี่ยวข้องนั้นกลับไม่ได้ถูกลบออกไปจากระบบด้วย ทำให้หลายเครื่องมีข้อมูล Registry ที่ไม่มีประโยชน์คั่งค้างอยู่ในเครื่องเป็นจำนวนมาก
ทำความรู้จักกับรีจีสทรีรีจิสทรี (Registry ) เป็นฐานข้อมูลส่วนกลางในวินโดวส์ที่ทำหน้าที่เก็บรวบรวมและดูแลรักษาข้อมูลที่สำคัญของ ระบบไว้ รีจิสทรีจึง เป็นส่วนประกอบที่น่าสนใจและสำคัญที่สุดของวินโดวส์ โดยรีจิสทรีถือ กำเนิดมาจากแนวความคิดในการจัดเก็บไฟล์ INI ของวินโวส์ 3.1 ซึ่งไฟล์ INI ก็มีข้อจำกัดหลายอย่าง และ OLE เริ่มมีความซับซ้อน มากขึ้น Microsoft จึงได้สร้างโครงสร้างใหม่ขึ้นมาเพื่อไว้เก็บข้อมูล ที่จำเป็นสำหรับ OLE ในวินโดวส์ 3.1 คือใช้ไฟล์ REG และใช้โปรแกรม Registration Editer ดังนั้นจะเห็นได้ว่ารัจิสทรีได้เกิดขึ้นมาตั้งแต่่ วินโดวส์ 3.1 และได้ถูกพัฒนามาอย่างต่อเนื่องจนถึงปัจุบัน
คีย์หลักทั้ง 6 คีย์ รีจิสทรีของวินโดวส์ประกอบด้วยคีย์หลัก 6 คีย์ แต่ละคีย์ทำหน้าที่เก็บข้อมูล แตกต่างกันคือ ข้อมูลของผู้ใช้ ข้อมูล ของเครื่อง ชื่อคีย์หลักแต่ละคีย์จะเริ่ม ต้นด้วย HKEY_ และคีย์หลักแต่ละคีย์จะประกอบด้วยคีย์ย่อยหลายๆคีย์ 1. HKEY_CLASSES_ROOT บรรจุข้อมูลทั้งหมดที่ใช้ในวินโดวส์สำหรับ OLE รวมถึงรูปแบบไฟล์และคุณสมบัติต่างๆ (ไอคอนที่แสดงในวินโดวส์ และคำสั่งต่างๆ เช่นการเปิดไฟล์ การพิมพ์ ) 2. . HKEY_USERS บรรจุข้อมูลของผู้ใช้แต่ละคน ประกอบด้วยข้อกำหนดดีฟอลท์ สำหรับ Desktop, StartMenu, แอพพลิเคชั่นต่างๆ และส่วนประกอบอื่นๆ เมื่อผู้ใช้ล็อกออนเข้าระบบข้อกำหนดดีฟอลท์จะถูกขัดลอกไปยังคีย์ย่อยอีกคีย์หนึ่งที่ระบุถึงผู้ใช้ จากนั้นการเปลี่ยนแปลงข้อมูลใดๆต่อข้อกำหนดเหล่านั้นจะถูกเก็บไว้ในคีย์ย่อยคีย์นี้ 3. . HKEY_CURRENT_USERS คือข้อมูลผู้ใช้ที่ถูกสร้างขึ้นมาจาก HKEY_USERS ระหว่างล็อกออน ดังนั้นข้อมูลทั้งหมดใน HKEY_CURRENT_USERSก็คือข้อมูลอีกชุดหนึ่งของคีย์ย่อย HKEY_USERS นั่นเอง 4. . HKEY_LOCAL_MACHINE ประกอบด้วยข้อมูลของเครื่อง เช่น ไดร์เวอร์, ฮาร์ดแวร์, พอร์ต และพาลามิเตอร์ของซอฟต์แวร์ ข้อมูลเหล่านี้มีผล กระทบกับผู้ใช้ทุกคน ที่ล็อกออนเข้าระบบ 5. . HKEY_CURRENT_CONFIG ประกอบด้วยข้อมุลจำพวก Plug & Play และรายละเอียดฮาร์ดแวร์ปัจจุบันของระบบในกรณีที่มีฮาร์ดแวร์หลาย แบบในเครื่องเดียวกัน ข้อมูลในคีย์นี้จะตรงกับข้อมูลในคีย์ HKEY_LOCAL_MACHINE\Config 6. . HKEY_DYN_DATA ประกอบด้วยข้อมูลล่าสุดของอุปกรณ์ต่างๆทำให้สามารถ ใช้ข้อมูลเหล่านี้ตรวจสอบปัญหาด้านฮาร์ดแวร์, สถานะของอุปกรณ์ แต่ละตัว หรือเปลี่ยนแปลงฮาร์ดแวร์ต่างๆ โดย Device Manager ใช้ข้อมูลเหล่านี้เพื่อ แสดงรายละเอียดฮาร์ดแวร์ล่าสุด โดยทั่วไป ระบบทำหน้าที่อ่านและแก้ไขข้อมูลทั้งหมดในคีย์หลักนี้ อย่างไร ก็ตามผู้ใช้สามารถเปลี่ยนแปลงข้อมูลบางอย่างได้ด้วยตัวเอง ซึ่งข้อมูล ส่วนใหญ่ จะยังคงอยู่ในความควบคุมของระบบเท่านั้น Registry ของ Windows 98/Me มี HKEY_..ตามข้างต้น..แต่Registry ของ Windows XP จะมี HKEY_เพียง 5 กลุ่ม คือ1. . HKEY_CLASSES_ROOT บรรจุข้อมูลทั้งหมดที่ใช้ในวินโดวส์สำหรับ OLE รวมถึงรูปแบบไฟล์และคุณสมบัติต่างๆ (ไอคอนที่แสดงในวินโดวส์ และคำสั่งต่างๆ เช่นการเปิดไฟล์ การพิมพ์ ) 2. . HKEY_USERS บรรจุข้อมูลของผู้ใช้แต่ละคน ประกอบด้วยข้อกำหนด ดีฟอลท์ สำหรับ Desktop, StartMenu, แอพพลิเคชั่นต่างๆ และส่วนประกอบ อื่นๆ เมื่อผู้ใช้ล็อกออนเข้าระบบข้อกำหนดดีฟอลท์จะถูกขัดลอกไปยังคีย์ย่อย อีกคีย์หนึ่งที่ระบุถึงผู้ใช้ จากนั้นการเปลี่ยนแปลงข้อมูลใดๆต่อข้อกำหนดเหล่านั้นจะถูกเก็บไว้ในคีย์ย่อยคีย์นี้ 3. . HKEY_CURRENT_USERS คือข้อมูลผู้ใช้ที่ถูกสร้างขึ้นมาจาก HKEY_USERS ระหว่างล็อกออน ดังนั้นข้อมูลทั้งหมดใน HKEY_CURRENT_USERSก็คือข้อมูลอีกชุดหนึ่งของคีย์ย่อย HKEY_USERS นั่นเอง 4. . HKEY_LOCAL_MACHINE ประกอบด้วยข้อมูลของเครื่อง เช่น ไดร์เวอร์, ฮาร์ดแวร์, พอร์ต และพาลามิเตอร์ของซอฟต์แวร์ ข้อมูลเหล่านี้มีผล กระทบกับผู้ใช้ทุกคน ที่ล็อกออนเข้าระบบ 5. . HKEY_CURRENT_CONFIG ประกอบด้วยข้อมุลจำพวก Plug & Play และรายละเอียดฮาร์ดแวร์ปัจจุบันของระบบในกรณีที่มีฮาร์ดแวร์หลาย แบบในเครื่องเดียวกัน ข้อมูลในคีย์นี้จะตรงกับข้อมูลในคีย์ HKEY_LOCAL_MACHINE\Config การใช้ Registry Editor Registry Editor คือเครื่องมือที่ใช้แสดงผลและแก้ไขข้อมูลรีจิสทรี โดยหลังจากติดตั้งวินโดวส์แล้วเราจะไม่พบ Registry Editor ในสตาร์ท เมนู แต่โปรแกรม setup จะก็อปไฟล์REGEDIT.EXE ไว้ในโฟลเดอร์วินโดวส์ ที่เป็นเช่นนี้เพื่อป้องกันผู้ใช้มือใหม่ที่ยังไม่มีความชำนาญเพียงพอ เข้าไปแก้ไขรีจิสทรีซึ่งอาจทำให้ระบบเสียหาย การเรียกใช้ Registry Editor ได้โดยไปที่เมนู RUN แล้วพิมพ์ regedit แล้วกด OK Registry Editor จัดการข้อมูลเป็น 3 แบบ String ข้อมูลแบบข้อความจะถูกเก็บไว้เป็นตัวอักษร ค่าของข้อมูลแบบนี้จะอยู่ใน เครื่องหมายคำพูด สำหรับสตริงว่างเปล่าจะแสดงเป็น "" Brinary ข้อมูลแบบเลขฐาน สองแสดงในลักษณะข้อมูลเลขฐานสิบหก โดยใช้เลข 0 ถึง 9 และตัวอักษร a ถึง f ถ้าไม่มีข้อมูลจะแสดงเป็นข้อความ (zero-length binary value) DWORD ข้อมูลเลขฐานสองแบบพิเศษ ซึ่งแสดงค่าออกมาเป็นเลขฐานสิบหก และฐานสิบในรูปแบบ 0x00000000(0) โดยค่าแรกเป็นเลขฐานสิบหก (0x00000000) และค่าในวงเล็บ (0) เป็นเลขฐานสิบการแก้ไขค่าใน Registry Editor เมื่อต้องการเปลี่ยนแปลงข้อมูลใดๆ เราต้องเลือกคีย์ที่ต้องการเพื่อแสดงค่าของคีย์นั้นในช่องทางขวาแล้วเริ่มแก้ไขโดยวิธีใดวิธีหนิ่งดังต่อไปนี้ ดับเบิลคลิกที่ชื่อข้อมูลคลิกที่ชื่อข้อมูล และใช้คำสั่ง Modify ในเมนู Edit คลิกขวาที่ชื่อข้อมูลแล้วเลือกคำสั่ง Modifyจากนั้น Rgistry Editor จะเปิดไดอะล็อคบ็อกซ์ที่แสดงชื่อและค่าของข้อมูล ข้อมูลที่ปรากฎ จะขึ้นอยู่กับแบบข้อมุลที่กำลังแก้ไขอยู่ การแก้ไขค่า String เมื่อเราต้องการเปลี่ยนค่าใหม่ให้พิมพ์เข้าไปที่ช่อง Value data แล้วคลิก OK ค่าใหม่จะถูกเก็บเข้าไปในรีจิสทรีทันที แม้ว่าเราจะเห็นข้อความในคีย์ แสดงอยู่ใน เครื่องหมายคำพูด แต่เวลาระบุข้อมูลใหม่เข้าไปไม่จำเป็นต้องใส่เครื่องหมายคำพูดนี้ เพราะเครื่องหมายนี้ Registry Editor ใช้เพื่อแสดงว่าเป็นข้อมูลแบบข้อความ การแก้ไขค่า BrinaryRegistry Editor จะเปิด Edit Binary Value ดังแสดงในรูป ช่อง Value data แสดงข้อมูลในรูปเลขฐานสิบหก โดยเลขสี่ตัวแรกทางด้านขวาระบุถึง ตำแหน่งข้อมูล และถัดมาเป็นตัวข้อมูล ซึ่งแสดงเป็นชุดข้อมูลแบบไบท์ (เลขฐานสิบหก) เมื่อต้องการแก้ไขข้อมูลที่มีอยู่ให้เลื่อกข้อมูลที่ต้อง การแล้วระบุค่าใหม่ลงไปจากนั้นคลิก OK การแก้ไขค่า DWORDเมื่อเราเลือกแก้ไขค่า DWORD โปรแกรม Registry Editor จะเปิด Edit DWORD Value ดังในรูป จากนั้น เราสามารถปรับเลี่ยนค่าหรือ ระบุค่าเป็นเลขฐานสิบหกหรือฐานสิบตามออปชั่น Base คือ เลือก Hexadecimal เพื่อระบุค่าเลขฐานสิบหก เลือก Decimal เพื่อระบุค่าเลขฐานสิบ เสร็จเรียบร้อย คลิก OK การเพิ่มคีย์ใหม่ใน Registry Editor ถ้าหากต้องการเพิ่มค่าใหม่เข้าไปจะต้องระบุชื่อข้อมูลและค่าของมันด้วย เมื่อต้องการแทรกข้อมูลใหม่เข้าไปใน รีจิสทรีทำดังต่อไปนี้ คลิกขวาที่คีย์ที่ต้องการ หรือคลิกขวาในช่องด้านขวาเพื่อแสดงเมนู เลือก NEW แล้วเลือกคำสั่งใดคำสั่งหนึ่งต่อไปนี้ Key, String Value, Binary Value หรือ DWORD Valueถ้าเลือกคำสั่ง Key โปรแกรม Registry Editor จะเพิ่มคีย์ย่อยชื่อ New Key ในช่องด้านซ้าย แต่ถ้าเลือก Key, String Value, Binary Value หรือ DWORD Value จะสร้างข้อมูลใหม่ชื่อ New Value ในช่องด้านขวา จากนั้นให้เปลี่ยนชื่อตามต้องการ การลบข้อมูลใน Registry Editor เราสามารถใช้ Registry Editor เพื่อลบคีย์ และค่าต่างๆ ได้เมื่อต้องการลบทำดังต่อไปนี้ลบทั้งคีย์ ให้คลิกขวาที่คีย์ในช่องด้าน ซ้าย แล้วเลือก Delete ลบค่าต่างๆที่อยู่ในคีย์ ให้คลิกขวาที่ค่านั้นๆใน ช่องด้านขวา แล้วเลือก Deleteข้อควรระวังคือ ใน Registry Editor ไม่มีฟังก์ชั่น Undo เราจึงไม่สามารถเรียกคืนข้อมูล กลับมาได้ ถ้าหากเผลอลบข้อมูลออกไป
ตัวอย่างการใช้
ตัวอย่าง : การแก้ไข Registry สำหรับเครื่องที่ติดหนอน Mytob.A
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>Software>Microsoft>Ole ในช่องทางขวา จะไม่พบค่าใดที่ผิดปกติ เพราะ Mytob.a ไม่ได้เปลี่ยนแปลงค่า Registry นี้
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control>Lsa ในช่องทางขวา จะไม่พบค่าใดที่ผิดปกติ เพราะ Mytob.a ไม่ได้เปลี่ยนแปลงค่า Registry นี้
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER>System>CurrentControlSet>Control>Lsa ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER> Software>Microsoft>OLE ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ปิดโปรแกรม Reg Edit แล้วเข้าสู่ขั้นตอนในการตรวจหนอน
วิธีซ่อนและป้องกันไดฟ์
โดยปกติแล้วผมมักจะสิงอยู่ในบอร์ดนี้ แต่ก็มีตอบกระทู้ไปอยู่บ้างเพื่อนๆบางคนก็คงเห็นผ่าน ตากับอยู่บ้าง ซึ่งบอกวิธีซ่อนไดร์โดยการใช้งานผ่าน GroupPolicy Editer แต่วิธีนี้ยังมีข้อจำกัดอยู่บ้างคือ มันมีรายละเอียดเยอะ กว่าจะหาเมนูซ่อนไดร์นี้เจอก็เล่นเอาตาลาย บวกกับมันยังไม่ยืดหยุ่นพอ คือ มันสามารถซ่อนได้เพียงแค่เพียงไม่กี่ไดร์สืบเนื่องจะ กกระทู้นี้ครับ ที่ผมได้อ่าน http://www.siamcafe.net/b...d/index.php?topic=1144 8.0 (http://www.siamcafe.net/board/index.php/topic,114 48.0.html) ประกอบกับมีคนถามว่า ถ้าเข้าผ่านMy computer จะมองไม่เห็น Driveแต่เวลาเข้าผ่าน internet explore แล้วพิมพ์ C:\ ในช่องaddress แล้วยังมองเห็น drive c: อยู่ มีวิธีทำให้เวลาเข้าผ่านinternet explore แล้วมองไม่เห็นไหมครับ ตำตอบคือวิธีที่ผมจะบอกอยู่นี้ ทำได้ทั้ง 2 อย่างเลยครับ แล้วก็แก้ไข Regedit เพียงไม่กี่บันทัด รวมทั้งเวลาใช้งานก็ง่าย คือแค่ คลิก และ ตลิก เท่านั้นตอนแรกคิดว่าจะเก็บทริกนี้ไว้เป็นความลับ แต่ผมเองก็ได้ความรู้จากบอร์ดนี้มามากมาย ผมจึงไม่เป็นประโยชน์อะไรที่จะเก็บไว้คนเดียว และผมก็ภูมิใจนำเสนอวิธีนี้ครับ http://www.siamcafe.net/board/Smileys/default/cool .gifเริ่มจากมาดู Code กันก่อนเลยครับ..------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000000"NoViewOnDrive"=dword:00000000------------------------------------------------------------------------------------------------------------------------------------------จะเห็นว่า Code ที่ใช้แก้ไขง่ายๆมีอยู่แต่ 4 บันทัดเท่านั้นเองครับ แต่บันทัดที่ใช้ซ่อนไดร์ และ ไม่ให้เข้าผ่าน inter explore แล้วพิมพ์ C:\ ในช่องaddress มี 2 บันทัดครับคือ"NoDrives" <---------- นี่คือส่วนที่จะซ่อนไดร์ครับ"NoViewOnDrive"= <---------- นี่คือส่วนป้องกันการเปิดดูข้อมูลในไดร์ที่ถูกซ่อนไม ่ว่ากรณีใดๆและ เลข dword:00000000 ที่ตามท้ายมานั้นคือชุดเลขระหัสที่ใช้กำหนดว่าจะซ่อน ไดร์อะไรบ้างนะครับ ยำนะครับว่าเป็นเลขฐาน 16 เท่านั้นครับทีนี้เราจะรู้ได้อย่างไรล่ะครับว่า เราควรจะนำค่าตัวเลขเท่าไหร่มาใส่เพื่อให้มันซ่อนและ ป้องกันข้อมูลในไดร์ที่เราต้องการ ตามมาดูต่อเลยครับผมนี่คือเลขค่าประจำไดร์ต่างๆครับ..A = 1B = 2C = 4D = 8E = 16F = 32G = 64H = 128I = 216J = 512K = 1024L = 2048M = 4096N = 8192O = 16384P = 32768Q = 65536R = 131072S = 242144T = 524288U = 1048576V = 2097152W = 4164304X = 8388608Y = 16777216Z = 33554432All Drive = 67108863OK นะครับมาถึงตรงนี้อย่างพึ่งงงกันซะก่อน ขั้นตอนต่อไปมีอยู่ว่า ให้เพื่อนนำค่าตัวเลขที่ประจำในแต่ล๊ะไดร์นั้น แปลงเป็นเลขฐาน 16 แล้วนำไปใส่แทนที่ชุดตัวเลขหลังคำว่า dword:00000000 ครับ คือตัวเลขจะมี 8 หลักครับ ตัวอย่างครับสมมุติว่าไดร์ที่เราต้องการซ่อน และ ป้องกันไม่ให้เข้าถึงข้อมูลก็คือ ได้ร์ C ให้นำค่าประจำไดร์ ซึ่งก็คือ 4 แปลงเป็นเลขฐาน 16 ก็ได้ 4 เหมือนเดิม มาแก้ไขใส่ในค่า dword: ครับ------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000004"NoViewOnDrive"=dword:00000004------------------------------------------------------------------------------------------------------------------------------------------เพียงเท่านี้ก็จะสามารถซ่อน และป้องกันการเข้าถึงข้อมูลไดร์ C ได้แล้วครับ...... ยังครับทริกยังไม่จบแค่นี้หากต้องการซ่อนหรือป้องกันหลายไดร์พร้อมกัน ก็นำค่าของแต่ละไดรว์มาบวกกันครับเช่น ต้องการซ่อนไดรว์ A: D: และ F: ก็ให้นำค่าประจำไดร์ของไดร์ A D และ F มาบวกกัน... ตัวอย่างครับA: 1D: 8F: 32ก็ให้เอามาบวกกันครับ จะได้ค่าเท่ากับ 41 ครับ แล้วแปลงเป็นเลขฐาน 16 จะได้ 29 ครับ แล้วทำการแก้ code โดยใส่ค่า 29 ครับ------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000029"NoViewOnDrive"=dword:00000029------------------------------------------------------------------------------------------------------------------------------------------เพียงเท่านี้ก็จะซ่อนไดร์ทั้ง 3 ดังตัวอย่างได้เลยครับตัวอย่างต่อไปจะเป็นตัวอย่างร้านของผมเองนะครับ เอาให้เคลียร์กันไปเลย ร้านของผมนั้นจะแบ่ง HDD เป็น 3 ไดร์ด้วยกันครับ คือC: <------ เก็บ OS และโปรแกรมต่างๆครับD: <------ เก็บโปรแกรมเกมส์ต่างๆในร้านครับE: <------ เป็นที่เก็บข้อมูลอิสระครับ โดยผมจะทำการแก้ไข พาร์ทของ C:\Documents and Settings และ desktop ต่างๆมาไว้ที่ไดร์นี้แทนครับ โดยใช้โปรแกรม Tweak ต่างๆ เนื่องจากถ้าเราป้องกันการเข้าถึงไดร์ C แล้วทุกอย่างในไดร์ C จะเข้าไม่ได้ครับ (แต่ยังสามารถเรียกโปรแกรมได้ปกติครับ อย่าตกใจไป )โดยไดร์นี้ผมจะตั้งให้เข้าถึงได้อิสระครับไม่ได้ป้อ งกันไว้ และจะแบ่งขนาดเพียงเล็กน้อยเท่านั้นเริ่มแรกเปิด text Editer ขึ้นมาครับ แล้วก๊อบ Code ลงไป แล้วก็ทำการแก้ไขรหัสตัวเลขครับ อย่างร้านขอมผมก็คือ C + D + E (4 + 8 + 16 = 28) แปลงเป็นเลขฐาน 16 ได้ 1C ครับ แล้วผมจะนำค่าที่ได้นี้สำหรับซ่อนไดร์ทั้ง 3 ครับต่อมาไดร์ที่ผมต้องการจะป้องกันไม่ให้เข้าถึงข้อมูลค รับ คือมีแค่ C และ D เท่านั้น ก็นำเอา C + D (4 + 8 = 12) แปลงเป็นเลขฐาน 16 ได้ C ครับ หลังจากนี้ก็แก้ไข Code ที่เราก๊อบมาไว้ใน Text Editer เลยครับ ดังตัวอย่างร้านของผมคือ------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:0000001C"NoViewOnDrive"=dword:0000000Cเมื่อได้ตามนี้แล้วกด Save เป็นไฟล์นามสกุล .reg เลยครับ วิธีใช้งานก็คือ ดับเบิลคลิก แล้ว Restart เครื่องไดร์ที่ถูกเลือกไหว้ก็จะถูกซ่อน และ ป้องกันการเข้าถึงข้อมูลครับ"อ่าวแล้วทีนี้จะทำให้ไดร์กลับมาเป็นเหมือนเดิมได้อย่ างไรล่ะ" แหมง่ายๆครับก็ใส่รหัส เป็น 0 ให้หมด สิครับ ล๊ะก็ save ไฟล์ จากนั้นก็แค่ดับเบิลคลิก ได้ร์ที่ถูกซ่อนก็จะกลับมาเป็นเหมือนเดิมครับ http://www.siamcafe.net/board/Smileys/default/smil ey.gif------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000000"NoViewOnDrive"=dword:00000000------------------------------------------------------------------------------------------------------------------------------------------เป็นอย่างไรบ้างครับ เพื่อนๆ ง่ายไหมครับ ทริกที่ผมนำมาเสนอไว้นี้คงจะพอมีประโยชน์บ้างนะครับ (หวังว่าอย่างนั้น) เพื่อที่บทความของผมจะได้ไม่เป็นกระทู้รกบอร์ด ครับบทความนี้ข้อเครดิตให้กับร้าน HIBERNET Cafe' ครับผม .... ได้ผลอย่างไรมาโพสบอกกันมั่งนะครับ http://www.siamcafe.net/board/Smileys/default/smil ey.gif http://www.siamcafe.net/board/Smileys/default/smil ey.gif
Registry คืออะไร? หลายคนยังไม่ทราบ ผมจะอธิบายคร่าวๆ แล้วกัน Registry คือฐานข้อมูลของระบบปฏิบัติการวินโดวส์ที่รวบรวมข้อมูลการตั้งค่าของตัวระบบปฏิบัติการ และโปรแกรมต่างๆ ในการทำงานร่วมกันกับตัวระบบปฏิบัติการหรือโปรแกรมใดๆ ลงบนคอมพ์ ตัวระบบปฏิบัติการก็จะทำการเขียน Registry ขึ้นมา เพื่อเป็นข้อมูลพื้นฐานในการกำหนดการทำงานโปรแกรมนั้นๆ แต่หลายครั้งที่การเขียน Registry ขึ้นมาของระบบปฏิบัติการนั้นกลับสร้างปัญหาให้ระบบปฏิบัติการเสียเอง รวมถึงเมื่อเราทำการถอนการติดตั้งโปรแกรมใดๆ ออกไป ข้อมูล Registry ที่เกี่ยวข้องนั้นกลับไม่ได้ถูกลบออกไปจากระบบด้วย ทำให้หลายเครื่องมีข้อมูล Registry ที่ไม่มีประโยชน์คั่งค้างอยู่ในเครื่องเป็นจำนวนมาก
ทำความรู้จักกับรีจีสทรีรีจิสทรี (Registry ) เป็นฐานข้อมูลส่วนกลางในวินโดวส์ที่ทำหน้าที่เก็บรวบรวมและดูแลรักษาข้อมูลที่สำคัญของ ระบบไว้ รีจิสทรีจึง เป็นส่วนประกอบที่น่าสนใจและสำคัญที่สุดของวินโดวส์ โดยรีจิสทรีถือ กำเนิดมาจากแนวความคิดในการจัดเก็บไฟล์ INI ของวินโวส์ 3.1 ซึ่งไฟล์ INI ก็มีข้อจำกัดหลายอย่าง และ OLE เริ่มมีความซับซ้อน มากขึ้น Microsoft จึงได้สร้างโครงสร้างใหม่ขึ้นมาเพื่อไว้เก็บข้อมูล ที่จำเป็นสำหรับ OLE ในวินโดวส์ 3.1 คือใช้ไฟล์ REG และใช้โปรแกรม Registration Editer ดังนั้นจะเห็นได้ว่ารัจิสทรีได้เกิดขึ้นมาตั้งแต่่ วินโดวส์ 3.1 และได้ถูกพัฒนามาอย่างต่อเนื่องจนถึงปัจุบัน
คีย์หลักทั้ง 6 คีย์ รีจิสทรีของวินโดวส์ประกอบด้วยคีย์หลัก 6 คีย์ แต่ละคีย์ทำหน้าที่เก็บข้อมูล แตกต่างกันคือ ข้อมูลของผู้ใช้ ข้อมูล ของเครื่อง ชื่อคีย์หลักแต่ละคีย์จะเริ่ม ต้นด้วย HKEY_ และคีย์หลักแต่ละคีย์จะประกอบด้วยคีย์ย่อยหลายๆคีย์ 1. HKEY_CLASSES_ROOT บรรจุข้อมูลทั้งหมดที่ใช้ในวินโดวส์สำหรับ OLE รวมถึงรูปแบบไฟล์และคุณสมบัติต่างๆ (ไอคอนที่แสดงในวินโดวส์ และคำสั่งต่างๆ เช่นการเปิดไฟล์ การพิมพ์ ) 2. . HKEY_USERS บรรจุข้อมูลของผู้ใช้แต่ละคน ประกอบด้วยข้อกำหนดดีฟอลท์ สำหรับ Desktop, StartMenu, แอพพลิเคชั่นต่างๆ และส่วนประกอบอื่นๆ เมื่อผู้ใช้ล็อกออนเข้าระบบข้อกำหนดดีฟอลท์จะถูกขัดลอกไปยังคีย์ย่อยอีกคีย์หนึ่งที่ระบุถึงผู้ใช้ จากนั้นการเปลี่ยนแปลงข้อมูลใดๆต่อข้อกำหนดเหล่านั้นจะถูกเก็บไว้ในคีย์ย่อยคีย์นี้ 3. . HKEY_CURRENT_USERS คือข้อมูลผู้ใช้ที่ถูกสร้างขึ้นมาจาก HKEY_USERS ระหว่างล็อกออน ดังนั้นข้อมูลทั้งหมดใน HKEY_CURRENT_USERSก็คือข้อมูลอีกชุดหนึ่งของคีย์ย่อย HKEY_USERS นั่นเอง 4. . HKEY_LOCAL_MACHINE ประกอบด้วยข้อมูลของเครื่อง เช่น ไดร์เวอร์, ฮาร์ดแวร์, พอร์ต และพาลามิเตอร์ของซอฟต์แวร์ ข้อมูลเหล่านี้มีผล กระทบกับผู้ใช้ทุกคน ที่ล็อกออนเข้าระบบ 5. . HKEY_CURRENT_CONFIG ประกอบด้วยข้อมุลจำพวก Plug & Play และรายละเอียดฮาร์ดแวร์ปัจจุบันของระบบในกรณีที่มีฮาร์ดแวร์หลาย แบบในเครื่องเดียวกัน ข้อมูลในคีย์นี้จะตรงกับข้อมูลในคีย์ HKEY_LOCAL_MACHINE\Config 6. . HKEY_DYN_DATA ประกอบด้วยข้อมูลล่าสุดของอุปกรณ์ต่างๆทำให้สามารถ ใช้ข้อมูลเหล่านี้ตรวจสอบปัญหาด้านฮาร์ดแวร์, สถานะของอุปกรณ์ แต่ละตัว หรือเปลี่ยนแปลงฮาร์ดแวร์ต่างๆ โดย Device Manager ใช้ข้อมูลเหล่านี้เพื่อ แสดงรายละเอียดฮาร์ดแวร์ล่าสุด โดยทั่วไป ระบบทำหน้าที่อ่านและแก้ไขข้อมูลทั้งหมดในคีย์หลักนี้ อย่างไร ก็ตามผู้ใช้สามารถเปลี่ยนแปลงข้อมูลบางอย่างได้ด้วยตัวเอง ซึ่งข้อมูล ส่วนใหญ่ จะยังคงอยู่ในความควบคุมของระบบเท่านั้น Registry ของ Windows 98/Me มี HKEY_..ตามข้างต้น..แต่Registry ของ Windows XP จะมี HKEY_เพียง 5 กลุ่ม คือ1. . HKEY_CLASSES_ROOT บรรจุข้อมูลทั้งหมดที่ใช้ในวินโดวส์สำหรับ OLE รวมถึงรูปแบบไฟล์และคุณสมบัติต่างๆ (ไอคอนที่แสดงในวินโดวส์ และคำสั่งต่างๆ เช่นการเปิดไฟล์ การพิมพ์ ) 2. . HKEY_USERS บรรจุข้อมูลของผู้ใช้แต่ละคน ประกอบด้วยข้อกำหนด ดีฟอลท์ สำหรับ Desktop, StartMenu, แอพพลิเคชั่นต่างๆ และส่วนประกอบ อื่นๆ เมื่อผู้ใช้ล็อกออนเข้าระบบข้อกำหนดดีฟอลท์จะถูกขัดลอกไปยังคีย์ย่อย อีกคีย์หนึ่งที่ระบุถึงผู้ใช้ จากนั้นการเปลี่ยนแปลงข้อมูลใดๆต่อข้อกำหนดเหล่านั้นจะถูกเก็บไว้ในคีย์ย่อยคีย์นี้ 3. . HKEY_CURRENT_USERS คือข้อมูลผู้ใช้ที่ถูกสร้างขึ้นมาจาก HKEY_USERS ระหว่างล็อกออน ดังนั้นข้อมูลทั้งหมดใน HKEY_CURRENT_USERSก็คือข้อมูลอีกชุดหนึ่งของคีย์ย่อย HKEY_USERS นั่นเอง 4. . HKEY_LOCAL_MACHINE ประกอบด้วยข้อมูลของเครื่อง เช่น ไดร์เวอร์, ฮาร์ดแวร์, พอร์ต และพาลามิเตอร์ของซอฟต์แวร์ ข้อมูลเหล่านี้มีผล กระทบกับผู้ใช้ทุกคน ที่ล็อกออนเข้าระบบ 5. . HKEY_CURRENT_CONFIG ประกอบด้วยข้อมุลจำพวก Plug & Play และรายละเอียดฮาร์ดแวร์ปัจจุบันของระบบในกรณีที่มีฮาร์ดแวร์หลาย แบบในเครื่องเดียวกัน ข้อมูลในคีย์นี้จะตรงกับข้อมูลในคีย์ HKEY_LOCAL_MACHINE\Config การใช้ Registry Editor Registry Editor คือเครื่องมือที่ใช้แสดงผลและแก้ไขข้อมูลรีจิสทรี โดยหลังจากติดตั้งวินโดวส์แล้วเราจะไม่พบ Registry Editor ในสตาร์ท เมนู แต่โปรแกรม setup จะก็อปไฟล์REGEDIT.EXE ไว้ในโฟลเดอร์วินโดวส์ ที่เป็นเช่นนี้เพื่อป้องกันผู้ใช้มือใหม่ที่ยังไม่มีความชำนาญเพียงพอ เข้าไปแก้ไขรีจิสทรีซึ่งอาจทำให้ระบบเสียหาย การเรียกใช้ Registry Editor ได้โดยไปที่เมนู RUN แล้วพิมพ์ regedit แล้วกด OK Registry Editor จัดการข้อมูลเป็น 3 แบบ String ข้อมูลแบบข้อความจะถูกเก็บไว้เป็นตัวอักษร ค่าของข้อมูลแบบนี้จะอยู่ใน เครื่องหมายคำพูด สำหรับสตริงว่างเปล่าจะแสดงเป็น "" Brinary ข้อมูลแบบเลขฐาน สองแสดงในลักษณะข้อมูลเลขฐานสิบหก โดยใช้เลข 0 ถึง 9 และตัวอักษร a ถึง f ถ้าไม่มีข้อมูลจะแสดงเป็นข้อความ (zero-length binary value) DWORD ข้อมูลเลขฐานสองแบบพิเศษ ซึ่งแสดงค่าออกมาเป็นเลขฐานสิบหก และฐานสิบในรูปแบบ 0x00000000(0) โดยค่าแรกเป็นเลขฐานสิบหก (0x00000000) และค่าในวงเล็บ (0) เป็นเลขฐานสิบการแก้ไขค่าใน Registry Editor เมื่อต้องการเปลี่ยนแปลงข้อมูลใดๆ เราต้องเลือกคีย์ที่ต้องการเพื่อแสดงค่าของคีย์นั้นในช่องทางขวาแล้วเริ่มแก้ไขโดยวิธีใดวิธีหนิ่งดังต่อไปนี้ ดับเบิลคลิกที่ชื่อข้อมูลคลิกที่ชื่อข้อมูล และใช้คำสั่ง Modify ในเมนู Edit คลิกขวาที่ชื่อข้อมูลแล้วเลือกคำสั่ง Modifyจากนั้น Rgistry Editor จะเปิดไดอะล็อคบ็อกซ์ที่แสดงชื่อและค่าของข้อมูล ข้อมูลที่ปรากฎ จะขึ้นอยู่กับแบบข้อมุลที่กำลังแก้ไขอยู่ การแก้ไขค่า String เมื่อเราต้องการเปลี่ยนค่าใหม่ให้พิมพ์เข้าไปที่ช่อง Value data แล้วคลิก OK ค่าใหม่จะถูกเก็บเข้าไปในรีจิสทรีทันที แม้ว่าเราจะเห็นข้อความในคีย์ แสดงอยู่ใน เครื่องหมายคำพูด แต่เวลาระบุข้อมูลใหม่เข้าไปไม่จำเป็นต้องใส่เครื่องหมายคำพูดนี้ เพราะเครื่องหมายนี้ Registry Editor ใช้เพื่อแสดงว่าเป็นข้อมูลแบบข้อความ การแก้ไขค่า BrinaryRegistry Editor จะเปิด Edit Binary Value ดังแสดงในรูป ช่อง Value data แสดงข้อมูลในรูปเลขฐานสิบหก โดยเลขสี่ตัวแรกทางด้านขวาระบุถึง ตำแหน่งข้อมูล และถัดมาเป็นตัวข้อมูล ซึ่งแสดงเป็นชุดข้อมูลแบบไบท์ (เลขฐานสิบหก) เมื่อต้องการแก้ไขข้อมูลที่มีอยู่ให้เลื่อกข้อมูลที่ต้อง การแล้วระบุค่าใหม่ลงไปจากนั้นคลิก OK การแก้ไขค่า DWORDเมื่อเราเลือกแก้ไขค่า DWORD โปรแกรม Registry Editor จะเปิด Edit DWORD Value ดังในรูป จากนั้น เราสามารถปรับเลี่ยนค่าหรือ ระบุค่าเป็นเลขฐานสิบหกหรือฐานสิบตามออปชั่น Base คือ เลือก Hexadecimal เพื่อระบุค่าเลขฐานสิบหก เลือก Decimal เพื่อระบุค่าเลขฐานสิบ เสร็จเรียบร้อย คลิก OK การเพิ่มคีย์ใหม่ใน Registry Editor ถ้าหากต้องการเพิ่มค่าใหม่เข้าไปจะต้องระบุชื่อข้อมูลและค่าของมันด้วย เมื่อต้องการแทรกข้อมูลใหม่เข้าไปใน รีจิสทรีทำดังต่อไปนี้ คลิกขวาที่คีย์ที่ต้องการ หรือคลิกขวาในช่องด้านขวาเพื่อแสดงเมนู เลือก NEW แล้วเลือกคำสั่งใดคำสั่งหนึ่งต่อไปนี้ Key, String Value, Binary Value หรือ DWORD Valueถ้าเลือกคำสั่ง Key โปรแกรม Registry Editor จะเพิ่มคีย์ย่อยชื่อ New Key ในช่องด้านซ้าย แต่ถ้าเลือก Key, String Value, Binary Value หรือ DWORD Value จะสร้างข้อมูลใหม่ชื่อ New Value ในช่องด้านขวา จากนั้นให้เปลี่ยนชื่อตามต้องการ การลบข้อมูลใน Registry Editor เราสามารถใช้ Registry Editor เพื่อลบคีย์ และค่าต่างๆ ได้เมื่อต้องการลบทำดังต่อไปนี้ลบทั้งคีย์ ให้คลิกขวาที่คีย์ในช่องด้าน ซ้าย แล้วเลือก Delete ลบค่าต่างๆที่อยู่ในคีย์ ให้คลิกขวาที่ค่านั้นๆใน ช่องด้านขวา แล้วเลือก Deleteข้อควรระวังคือ ใน Registry Editor ไม่มีฟังก์ชั่น Undo เราจึงไม่สามารถเรียกคืนข้อมูล กลับมาได้ ถ้าหากเผลอลบข้อมูลออกไป
ตัวอย่างการใช้
ตัวอย่าง : การแก้ไข Registry สำหรับเครื่องที่ติดหนอน Mytob.A
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>Software>Microsoft>Ole ในช่องทางขวา จะไม่พบค่าใดที่ผิดปกติ เพราะ Mytob.a ไม่ได้เปลี่ยนแปลงค่า Registry นี้
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control>Lsa ในช่องทางขวา จะไม่พบค่าใดที่ผิดปกติ เพราะ Mytob.a ไม่ได้เปลี่ยนแปลงค่า Registry นี้
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER>System>CurrentControlSet>Control>Lsa ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ในช่องทางซ้าย ให้เปิดไปที่: HKEY_CURRENT_USER> Software>Microsoft>OLE ในช่องทางขวา จะพบบรรทัดที่มีข้อความต่อไปนี้ คลิกขวาแล้วเลือก delete MSN = "msnmsgr.exe"
ปิดโปรแกรม Reg Edit แล้วเข้าสู่ขั้นตอนในการตรวจหนอน
วิธีซ่อนและป้องกันไดฟ์
โดยปกติแล้วผมมักจะสิงอยู่ในบอร์ดนี้ แต่ก็มีตอบกระทู้ไปอยู่บ้างเพื่อนๆบางคนก็คงเห็นผ่าน ตากับอยู่บ้าง ซึ่งบอกวิธีซ่อนไดร์โดยการใช้งานผ่าน GroupPolicy Editer แต่วิธีนี้ยังมีข้อจำกัดอยู่บ้างคือ มันมีรายละเอียดเยอะ กว่าจะหาเมนูซ่อนไดร์นี้เจอก็เล่นเอาตาลาย บวกกับมันยังไม่ยืดหยุ่นพอ คือ มันสามารถซ่อนได้เพียงแค่เพียงไม่กี่ไดร์สืบเนื่องจะ กกระทู้นี้ครับ ที่ผมได้อ่าน http://www.siamcafe.net/b...d/index.php?topic=1144 8.0 (http://www.siamcafe.net/board/index.php/topic,114 48.0.html) ประกอบกับมีคนถามว่า ถ้าเข้าผ่านMy computer จะมองไม่เห็น Driveแต่เวลาเข้าผ่าน internet explore แล้วพิมพ์ C:\ ในช่องaddress แล้วยังมองเห็น drive c: อยู่ มีวิธีทำให้เวลาเข้าผ่านinternet explore แล้วมองไม่เห็นไหมครับ ตำตอบคือวิธีที่ผมจะบอกอยู่นี้ ทำได้ทั้ง 2 อย่างเลยครับ แล้วก็แก้ไข Regedit เพียงไม่กี่บันทัด รวมทั้งเวลาใช้งานก็ง่าย คือแค่ คลิก และ ตลิก เท่านั้นตอนแรกคิดว่าจะเก็บทริกนี้ไว้เป็นความลับ แต่ผมเองก็ได้ความรู้จากบอร์ดนี้มามากมาย ผมจึงไม่เป็นประโยชน์อะไรที่จะเก็บไว้คนเดียว และผมก็ภูมิใจนำเสนอวิธีนี้ครับ http://www.siamcafe.net/board/Smileys/default/cool .gifเริ่มจากมาดู Code กันก่อนเลยครับ..------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000000"NoViewOnDrive"=dword:00000000------------------------------------------------------------------------------------------------------------------------------------------จะเห็นว่า Code ที่ใช้แก้ไขง่ายๆมีอยู่แต่ 4 บันทัดเท่านั้นเองครับ แต่บันทัดที่ใช้ซ่อนไดร์ และ ไม่ให้เข้าผ่าน inter explore แล้วพิมพ์ C:\ ในช่องaddress มี 2 บันทัดครับคือ"NoDrives" <---------- นี่คือส่วนที่จะซ่อนไดร์ครับ"NoViewOnDrive"= <---------- นี่คือส่วนป้องกันการเปิดดูข้อมูลในไดร์ที่ถูกซ่อนไม ่ว่ากรณีใดๆและ เลข dword:00000000 ที่ตามท้ายมานั้นคือชุดเลขระหัสที่ใช้กำหนดว่าจะซ่อน ไดร์อะไรบ้างนะครับ ยำนะครับว่าเป็นเลขฐาน 16 เท่านั้นครับทีนี้เราจะรู้ได้อย่างไรล่ะครับว่า เราควรจะนำค่าตัวเลขเท่าไหร่มาใส่เพื่อให้มันซ่อนและ ป้องกันข้อมูลในไดร์ที่เราต้องการ ตามมาดูต่อเลยครับผมนี่คือเลขค่าประจำไดร์ต่างๆครับ..A = 1B = 2C = 4D = 8E = 16F = 32G = 64H = 128I = 216J = 512K = 1024L = 2048M = 4096N = 8192O = 16384P = 32768Q = 65536R = 131072S = 242144T = 524288U = 1048576V = 2097152W = 4164304X = 8388608Y = 16777216Z = 33554432All Drive = 67108863OK นะครับมาถึงตรงนี้อย่างพึ่งงงกันซะก่อน ขั้นตอนต่อไปมีอยู่ว่า ให้เพื่อนนำค่าตัวเลขที่ประจำในแต่ล๊ะไดร์นั้น แปลงเป็นเลขฐาน 16 แล้วนำไปใส่แทนที่ชุดตัวเลขหลังคำว่า dword:00000000 ครับ คือตัวเลขจะมี 8 หลักครับ ตัวอย่างครับสมมุติว่าไดร์ที่เราต้องการซ่อน และ ป้องกันไม่ให้เข้าถึงข้อมูลก็คือ ได้ร์ C ให้นำค่าประจำไดร์ ซึ่งก็คือ 4 แปลงเป็นเลขฐาน 16 ก็ได้ 4 เหมือนเดิม มาแก้ไขใส่ในค่า dword: ครับ------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000004"NoViewOnDrive"=dword:00000004------------------------------------------------------------------------------------------------------------------------------------------เพียงเท่านี้ก็จะสามารถซ่อน และป้องกันการเข้าถึงข้อมูลไดร์ C ได้แล้วครับ...... ยังครับทริกยังไม่จบแค่นี้หากต้องการซ่อนหรือป้องกันหลายไดร์พร้อมกัน ก็นำค่าของแต่ละไดรว์มาบวกกันครับเช่น ต้องการซ่อนไดรว์ A: D: และ F: ก็ให้นำค่าประจำไดร์ของไดร์ A D และ F มาบวกกัน... ตัวอย่างครับA: 1D: 8F: 32ก็ให้เอามาบวกกันครับ จะได้ค่าเท่ากับ 41 ครับ แล้วแปลงเป็นเลขฐาน 16 จะได้ 29 ครับ แล้วทำการแก้ code โดยใส่ค่า 29 ครับ------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000029"NoViewOnDrive"=dword:00000029------------------------------------------------------------------------------------------------------------------------------------------เพียงเท่านี้ก็จะซ่อนไดร์ทั้ง 3 ดังตัวอย่างได้เลยครับตัวอย่างต่อไปจะเป็นตัวอย่างร้านของผมเองนะครับ เอาให้เคลียร์กันไปเลย ร้านของผมนั้นจะแบ่ง HDD เป็น 3 ไดร์ด้วยกันครับ คือC: <------ เก็บ OS และโปรแกรมต่างๆครับD: <------ เก็บโปรแกรมเกมส์ต่างๆในร้านครับE: <------ เป็นที่เก็บข้อมูลอิสระครับ โดยผมจะทำการแก้ไข พาร์ทของ C:\Documents and Settings และ desktop ต่างๆมาไว้ที่ไดร์นี้แทนครับ โดยใช้โปรแกรม Tweak ต่างๆ เนื่องจากถ้าเราป้องกันการเข้าถึงไดร์ C แล้วทุกอย่างในไดร์ C จะเข้าไม่ได้ครับ (แต่ยังสามารถเรียกโปรแกรมได้ปกติครับ อย่าตกใจไป )โดยไดร์นี้ผมจะตั้งให้เข้าถึงได้อิสระครับไม่ได้ป้อ งกันไว้ และจะแบ่งขนาดเพียงเล็กน้อยเท่านั้นเริ่มแรกเปิด text Editer ขึ้นมาครับ แล้วก๊อบ Code ลงไป แล้วก็ทำการแก้ไขรหัสตัวเลขครับ อย่างร้านขอมผมก็คือ C + D + E (4 + 8 + 16 = 28) แปลงเป็นเลขฐาน 16 ได้ 1C ครับ แล้วผมจะนำค่าที่ได้นี้สำหรับซ่อนไดร์ทั้ง 3 ครับต่อมาไดร์ที่ผมต้องการจะป้องกันไม่ให้เข้าถึงข้อมูลค รับ คือมีแค่ C และ D เท่านั้น ก็นำเอา C + D (4 + 8 = 12) แปลงเป็นเลขฐาน 16 ได้ C ครับ หลังจากนี้ก็แก้ไข Code ที่เราก๊อบมาไว้ใน Text Editer เลยครับ ดังตัวอย่างร้านของผมคือ------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:0000001C"NoViewOnDrive"=dword:0000000Cเมื่อได้ตามนี้แล้วกด Save เป็นไฟล์นามสกุล .reg เลยครับ วิธีใช้งานก็คือ ดับเบิลคลิก แล้ว Restart เครื่องไดร์ที่ถูกเลือกไหว้ก็จะถูกซ่อน และ ป้องกันการเข้าถึงข้อมูลครับ"อ่าวแล้วทีนี้จะทำให้ไดร์กลับมาเป็นเหมือนเดิมได้อย่ างไรล่ะ" แหมง่ายๆครับก็ใส่รหัส เป็น 0 ให้หมด สิครับ ล๊ะก็ save ไฟล์ จากนั้นก็แค่ดับเบิลคลิก ได้ร์ที่ถูกซ่อนก็จะกลับมาเป็นเหมือนเดิมครับ http://www.siamcafe.net/board/Smileys/default/smil ey.gif------------------------------------------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives"=dword:00000000"NoViewOnDrive"=dword:00000000------------------------------------------------------------------------------------------------------------------------------------------เป็นอย่างไรบ้างครับ เพื่อนๆ ง่ายไหมครับ ทริกที่ผมนำมาเสนอไว้นี้คงจะพอมีประโยชน์บ้างนะครับ (หวังว่าอย่างนั้น) เพื่อที่บทความของผมจะได้ไม่เป็นกระทู้รกบอร์ด ครับบทความนี้ข้อเครดิตให้กับร้าน HIBERNET Cafe' ครับผม .... ได้ผลอย่างไรมาโพสบอกกันมั่งนะครับ http://www.siamcafe.net/board/Smileys/default/smil ey.gif http://www.siamcafe.net/board/Smileys/default/smil ey.gif
สมัครสมาชิก:
บทความ (Atom)