มาดักจับ packet บนเครื่องคอมพิวเตอร์กันดีกว่า 2 September 2008 11:00 am
บันทึกโดย Mr. PeeTai ใน : ข่าวสาร, Open Source , ตรวจย้อนกลับมานิยามศัพท์กันก่อนครับ ก่อนที่ผมจะโม้ให้อ่านกันต่อ …
ตัวแรกก็คือ …
packet แปลว่า ห่อของเล็ก ๆ
ส่วนตัวที่สองก็ …
sniffer แปลว่า คนที่สูดจมูก
ถ้าเอาสองคำนี้มารวมกันก็จะเป็น …
packet sniffer = คนที่สูดจมูกเพื่อดมห่อของเล็ก ๆ
หุ ๆ แปลได้จังไรมาก ๆ เลยครับแบบนี้!!!
พอดีคอมพิวเตอร์ HP ของผมมันติด Trojan ครับ โชคดีที่มันติดที่ Windows ภาคภาษาจีน ดังนั้นผมก็เลยยังพอใช้ Windows ภาคปรกติเพื่อค้นหาวิธีในการจัดการกับมันได้ในระดับหนึ่ง!!!
จากการตรวจสอบก็พบว่ามันแน่มาก เนื่องจากมันใช้วิธีควบคุม svchost.exe ให้ทำงานให้มันตามปรารถนา ผมเลยยังทำอะไรกับมันไม่ได้มากนัก แล้วก็ยังหาไม่เจอด้วยว่ามันซ่อนตัวอยู่ที่ไหน
แต่จากการตรวจสอบในรายละเอียดก็พบว่า มันมีการส่งสัญญาณผ่าน HTTP ไปยังเว็บไซต์ที่รัสเซีย ซึ่งเพิ่งจะจดทะเบียนโดเมนเมื่อเดือนกุมภาพันธ์ พ.ศ. 2551 ที่ผ่านมานี้เอง … ได้ยินว่าคนรัสเซียเองก็ฝีมือร้ายกาจมากเรื่องคอมพิวเตอร์เหมือนกัน!!!
ตอนนี้ผมเลยต้องทำ workaround ด้วยการฆ่า process ดังกล่าวออกจากหน่วยความจำก่อน เพื่อป้องปรามไม่ให้มันส่งสารสนเทศจากเครื่องของผมไปยังเว็บไซต์ที่ว่า
ซึ่งขอบอกว่า Task Manager ที่ไมโครซอฟท์ให้มานั้นห่วยมากครับ ไม่สามารถค้นพบ process ซึ่งซ่อนอยู่ในหน่วยความจำได้เลย และก็ดูเหมือนว่าทางไมโครซอฟท์ก็จะรู้ตัวว่าผลิตภัณฑ์ตัวนี้ของตนห่วยซะด้วย เขาก็เลยไปซื้อบริษัท Sysinternal เพื่อให้ได้มาซึ่งซอฟต์แวร์ Process Explorer ซึ่งเจ๋งกว่า Task Manager เป็นไหน ๆ
ผมก็เลยใช้ Process Explorer นั่นแหล่ะเป็นตัวฆ่า svchost.exe ซึ่งมีพฤติกรรมแปลก ๆ ดังกล่าวออกจากหน่วยความจำซะเลย
แต่ผมเองก็อยากจะรู้เหมือนกันว่าเจ้า Trojans ตัวนี้มันกำลังพยายามจะขโมยสารสนเทศอะไรจากเครื่องคอมพิวเตอร์ของผมกันแน่ ผมก็เลยต้องหาซอฟต์แวร์เพื่อมาดักจับ packet ซึ่งวิ่งเข้าวิ่งออกผ่าน Ethernet Card บนเครื่องของผม
ดังนั้นถ้าจะแปลศัพท์ให้ถูกต้อง ก็น่าจะเป็น …
packet sniffer = การตรวจจับ packet บนเครือข่ายคอมพิวเตอร์
อือม แปลแบบนี้แล้วเข้าท่าขึ้นเยอะเลย!!!
ผมไม่เขียนเองหรอกนะครับ ไอ้เจ้าซอฟต์แวร์ packet sniffer ที่ว่าเนี่ย เพราะผมไม่มีปัญญา ผมก็เลยจัดหา Wireshark มาใช้งานแทน
คราวนี้ก็จะได้รู้ซะทีว่าไอ้ Trojan ตัวนี้ มันมาล้วงสารสนเทศอะไรจากเครื่องของผมไปบ้าง อิ อิ 
Technorati Tags: packet, sniffer, packet sniffer, trojan, wireshark, process explorer, คอมพิวเตอร์
ความคิดเห็น»
Wireshark นี่มันแจ่มกว่า Ethereal ยังไงหรอครับ (อยากรู้ๆ)
อ๋า ภายหลังจากไปค้นมาก็ทำให้รู้ว่า … มันเป็นตัวเดียวกันอ่ะคุณ AMp แค่เปลี่ยนชื่อจาก Ethereal เป็น Wireshark เท่านั้นเองงงงง!!!
เอ่อ นั่นดิพี่ เห็นแล้วงงเลย
เหมือนกันหยั่งกะแกะ - -*
WPE Pro ก็แจ่มเหมือนกันครับ
ตกลงมันจะเข้ามาล้วงอะไรครับ..