黃正文 網路環境教育工作者/耶和華見證人 gaia.hwang@m2k.com.tw http://www.gaia.idv.tw 防毒駭密招 -保護電腦資料 黃正文 網路環境教育工作者/耶和華見證人 gaia.hwang@m2k.com.tw http://www.gaia.idv.tw 2008/07整理
課程內容 課程時間:6小時 課程書籍 相關參考資料 2008年7/28、7/31 一、四下午 2008年7/28、7/31 一、四下午 課程書籍 Windows毒駭威脅快解100% / PCuSER研究室 相關參考資料 網路安全威脅研究報告 - 賽門鐵克公司 http://www.symantec.com/zh/tw/business/theme.jsp?themeid=threatreport 2008/07整理
課程大綱 針對您常會中毒的發生的原因予以探討: 如何知道電腦中毒 了解中毒原因 認識有問題的檔案副檔名 如何判斷問題信件 如何保護電腦資料 如何預防中毒 2008/07整理
在問題發生之前… 提高警覺,作好準備… 2008/07整理
資訊安全 ~安全沒有絕對的~ ~只能預防~ 2008/07整理
如何知道電腦中毒 認出徵兆,及早處理 2008/07整理
研判電腦中毒 開啟和執行受到感染的程式時,您不一定會知道自己已感染病毒。您的電腦速度可能會變慢、當機,或者每隔幾分鐘重新啟動。病毒有時會攻擊啟動電腦時需要的檔案。若是如此,您可能會發現按下電源按鈕之後整個螢幕都是空白的。 這些徵狀都是電腦中毒常出現的現象 — 不過也可能是與病毒完全無關的軟硬體問題所造成的。 2008/07整理
研判電腦中毒(續) 請注意警告您傳送含有病毒之電子郵件的訊息。 這可能表示病毒已將您的電子郵件地址列為有毒電子郵件的寄件者,但卻不一定表示您已感染病毒。有些病毒有偽造電子郵件地址的能力。 除非您的電腦已安裝最新的防毒軟體,否則沒有任何方法能確定您是否感染病毒。 2008/07整理
找出有問題的處理程序 一起按下「Ctrl + Alt + Delete」3個按鍵,叫出 Windows工作管理員。 利用排序找出耗用 CPU或記憶體較多的原兇。 再把它的名稱去google搜尋一下,或許可以找出相關訊息。 2008/07整理
好用的防毒軟體介紹 ESET NOD32 http://www.nod32tw.com/ 卡巴斯基Kaspersky http://www.kaspersky.com.tw F-Secure http://support.f-secure.com/ 趨勢PC-cillin http://www.trendmicro.com.tw 賽門鐵克 諾頓 http://www.symantec.com/ PANDA http://www.pandasoftware.com.tw/ McAfee 邁克菲 http://www.mcafee.com/tw/ 2008/07整理
了解中毒原因 了解威脅攻擊的類別 及攻擊的途徑 2008/07整理
攻擊類別及主要目的 電腦病毒 駭客攻擊 木馬與後門 破壞電腦系統 感染更多電腦 取得電腦控制權 取得有用資料 攻擊其他電腦 取得特定資料 2008/07整理
中毒途徑 網路連線 電子郵件內容/附件 問題網頁 P2P分享軟體 人為因素 廣域 / 區域 置入有害程式/惡意連結 跳出視窗的廣告 USB隨身碟/其他儲存媒體 2008/07整理
區域/廣域網路的入侵 長時間的連線讓蠕蟲或駭客有足夠時間找出個人電腦的弱點而進行攻擊。 作業系統的弱點被利用來進行入侵。 常以防火牆加以阻擋。 2008/07整理
網站的下載/惡意連結 假冒的網頁誘使使用者開啟程式,或輸入機密資料。 下載的軟體/音樂/影片都可能包含病毒或木馬。絕不要從不信任的來源下載軟體。 在網路上使用帳號的密碼需要足夠的強度,混合數字及大小寫英文,最好再加入一些符號。免得網站及WebMAIL盜用,而傷害他人。 部分網頁被植入有害程式碼,可在背景安裝間諜/木馬程式。(常出現在跳出視窗) 2008/07整理
電子郵件附件 當您開啟電子郵件附件 (通常是按兩下附件迴紋針圖示) 時就會啟動病毒。 秘訣:絕不要開啟電子郵件所附加的任何內容,除非這是您預期的附件,「而且」您知道該檔案的實際內容。 如果您收到不認識的人所傳來的電子郵件和附件,建議立即刪除。 不能放心開啟認識的人傳來的附件。病毒和蠕蟲有能力竊取電子郵件程式的資訊,並可以假冒任一人,將自己傳送給通訊錄所列出的每個人。因此,如果您收到的電子郵件中包含您不瞭解的訊息或不預期的檔案,請務必與對方連絡,先確認附件的內容再開啟。 2008/07整理
即時通訊軟體 中毒的使用者會傳送有問題的附件或連結,若按下則會感染,再傳送有問題的附件或連結給你的連絡人。也可能盜取帳號資料,發出病毒郵件。 2008/07整理
P2P軟體的下載 下載的軟體/音樂/影片都可能包含病毒或木馬。最好不要使用,至少要極小心檢查這些下載的檔案後,才可以使用它們。 假檔案 2008/07整理
USB隨身碟 USB隨身碟正常開啟的畫面, 上圖:按滑鼠右鍵之快捷選單。若出現不該出現的選項時,例如英文/簡體中文的選項。 右圖:自動執行時出現不該出現的選項時,或不能略過時。 2008/07整理
USB隨身碟 xwatmaf_exe(rckywlq_exe)的autorun.inf的內容 [AutoRun] open=xwatmaf.exe shell\open=湖羲(&O) shell\open\Command=xwatmaf.exe shell\open\Default=1 shell\explore=訧埭奪燴(&X) shell\explore\Command=xwatmaf.exe [AutoRun] open=xwatmaf.exe shell\open=打開(&O) shell\open\Command=xwatmaf.exe shell\open\Default=1 shell\explore=資源管理器(&X) shell\explore\Command=xwatmaf.exe 2008/07整理
USB隨身碟-病毒偵測 NOD32偵測到病毒的警告畫面 2008/07整理
其他儲存媒體 從電腦磁片/外接硬碟/光碟片散佈 向朋友借的,甚至在商店中購買 這些感染病毒的途徑較不常見。 2008/07整理
認識有問題的檔案副檔名 2008/07整理
改變設定,顯示副檔名 2 在任何一個windows工作視窗中,由功能表【工具】-【資料夾選項】進入設定對話框。 1 1 2008/07整理
需要注意的檔案副檔名 1 .com .exe 可執行的程式檔 2008/07整理
需要注意的檔案副檔名 2 .lnk .url 本機的捷徑 網址捷徑,常存在於“我的最愛”。 Uniform Resource Locator (URL) 通用資源定址器 (URL):獨一無二地識別網際網路上某一個位置的位址。全球資訊網站台的 URL 開頭是 http://,例如這個虛構的 URL:http://www.example.microsoft.com/。URL 可包含許多詳細資料,例如,超文字網頁的名稱通常會以副檔名 .html 或 .htm 來識別。 2008/07整理
需要注意的檔案副檔名 3 .pif program information file (PIF) 程式資訊檔案 (PIF) 可將如何最佳執行 MS-DOS 程式的資訊傳給 Windows 的檔案。啟動 MS-DOS 程式時,Windows 會尋找 PIF 以與其搭配使用。PIF 包含的項目如檔案名稱、啟動目錄及多工選項。 為 MS-DOS 程式建立程式資訊檔案 (PIF),即可為可執行的程式建立捷徑。 2008/07整理
需要注意的檔案副檔名 4 .scr Windows Screen Saver常用副檔名。其檔案具有可執行的程式碼。 假如在電子郵件附件中收到此副檔名之檔案,可能是病毒或蠕蟲的製作,執行它會被感染而中毒。 2008/07整理
需要注意的檔案副檔名 5 .scf 可被SHELL32.DLL執行的檔案。 代表:在Windows XP桌面的快速啟動工具列中的“ 顯示桌面.scf”(Show Desktop.scf)圖示 其特別之處在於會保持隱藏副檔名,即使已要求 Windows 顯示副檔名。 2008/07整理
需要注意的檔案副檔名6 .zip .RAR .7z .arj .lzh 不同壓縮軟體製作出來的壓縮檔,必須利用解壓縮工具來解壓才可以使用。 2008/07整理
如何判斷問題信件 2008/07整理
收件人不是你的信件 常只用你的帳號的部分來稱呼你。如以上的gaia_hwang是email帳號的前半部分,所以不是你的朋友/客戶寄來的。 2008/07整理
常見假冒的E-mail ( )收件者:DEAR wang001 ( )收件者:DEAR 王建國 先生 ( )寄件者:wang001@yahoo.com.tw ( )寄件者:wang001@Yah00.com.tw ( )寄件者:wang001@hellobank.com ( )寄件者:service@yahoo.com.tw ( )寄件者:service@hellobank.com.tw 2008/07整理
奇怪的附件 2008/07整理
信件內容有不明的連結1 2008/07整理
信件內容有不明的連結2 2008/07整理
如何保護電腦資料 利用密碼保護 時時備份資料 2008/07整理
資訊安全風險管理 1.不明人士要盤查=防止非法破壞 2.社交工程要小心=駭客就你身邊 3.電腦不用要登出=防止非法存取 4.機密資料要保護=離開就要登出 5.密碼設定要穩固=定期要更換 6.重要資料要備份=異地備份 7.應用系統要更新=補強系統的漏洞 8.電腦防毒要更新=木馬/駭客/後門程式 9.瀏覽網路要提防=預防網路釣魚=cookie 10.電子郵件要過濾=處理電子郵件附件 2008/07整理
可使密碼很難被猜出,因為沒有足夠的時間來嘗試 設定密碼之概念 數字(0~9) 4位=104 5位=105 6位=106 英文字母(大、小寫) 4位 =>(26X2)4=7.83X106 5位 =>(26X2)5=3.80x108 6位 =>(26X2)6=1.98x1010 符號(鍵盤上符號) 至少15種以上 使用3個符號,組合有153=3.38X103 使用4個符號,組合有154=5.06X104 使用5個符號,組合有155=7.59X105 三種組合的變化、足夠的位數及經常更改 可使密碼很難被猜出,因為沒有足夠的時間來嘗試 2008/07整理
設定密碼之計算方法1 替換密碼法(凱薩密碼法)=利用循環字母法則,對應相關數字 ex:a=0 b=1 c=3 餘數密碼法=設計一數學公式,計算出餘數後,再對應出相關位置 先用凱薩密碼法,對應出相關數字後 再經過公式計算,求出餘數,對應相關數字 2008/07整理
設定密碼之計算方法2 位置記憶法=利用鍵盤上的位置來記憶 ex:1q2w3e4r5t9i8u7y6t ex:rtyuijnbg1002 2008/07整理
設定密碼之計算方法3 關鍵字密碼法 利用一關鍵字,轉換成常用之輸入法模式,求出鍵盤上相對應之位置。 先想出一關鍵字 我愛台北縣衛生局 先想出一關鍵字 我愛台北縣衛生局 利用輸入法轉換 注音輸入法 得出密碼以上 ji394w961o3vu04jo4g/rm6 2008/07整理
設定密碼之計算方法4 以SHIFT鍵任意改變英文大小寫及數字/符號,把常用文字/數字造成很大變化。 例:0938152375 2008/07整理
自然人憑證=網路上的身分證 就是一種「電子簽章」。這種電子簽章會經由IC晶片卡自己演算並加密ㄧ組密碼,並儲存在IC晶片卡中。 目前金融卡也是IC晶片卡,更加安全。網路ATM操作,加上抽取IC晶片卡的動作要求,沒有此卡就不能操作。 2008/07整理
資料備份 除了病毒/木馬/駭宮的攻擊之外,硬體也可能會損壞,定期備份是電腦使用者的基本工作。 沒有任何儲存媒體是永遠不會損壞。 外接硬碟 – 容量變化大 光碟片 – CD-R/RW / DVD±R/±RW / 藍光DVD 備份伺服器/磁帶 2008/07整理
藍光技術原理 CD DVD BD記錄原理比較 2008/07整理
藍光技術規格比較 2008/07整理
如何預防中毒 2008/07整理
十全十美的防毒觀念 不使用盜版軟體 不隨意使用P2P軟體 長時間離開座位時,記得關閉電腦 好奇心勿過重 隨時將作業系統保持在最新狀態 將瀏覽器安全性設高 電腦必安裝安全軟體-防毒、防間諜及防火牆 防毒軟體要時常更新 定期進行全系統掃描 養成資料備份的習慣 參考:Windows毒駭威脅快解100% (24頁) / PCuSER研究室,2007年11月 2008/07整理
Windows Update 為了作業系統的最新狀態,必定要進行更新。 持續利用Windows Update,務必從 Microsoft Windows Update 或 Microsoft Office Update 下載 Microsoft 更新和補充程式。 保持您的 Microsoft 軟體在最新狀態,修補已知安全漏洞。 2008/07整理
在IE6/IE7阻擋跳出視窗1 在IE6(SP2)/IE7,功能表【工具】-【網際網路選項】,在「隱私權」頁下方可以設定「快顯封鎖」 跳出視窗時常會執行有問題的程式, 在IE6(SP2)/IE7,功能表【工具】-【網際網路選項】,在「隱私權」頁下方可以設定「快顯封鎖」 2008/07整理
在IE6/IE7阻擋跳出視窗2 按「設定值」可以進行「例外網站」等設定 在開啟「快顯封鎖」功能後,遇到有跳出視窗的網頁會出現「資訊列」,在「資訊列」上按滑鼠鍵(左右皆可)會出現選單,也可由此進行相關設定 按「設定值」可以進行「例外網站」等設定 2008/07整理
在Google工具列阻擋跳出視窗 Google工具列預設有「彈出視窗攔截器」,安裝後即啟動。 如果該網頁不想阻擋,按下「已攔截」工具鈕,即改變成「允許彈出視窗」 由右側「設定」下拉出「選項」可進入更多設定。 2008/07整理
在IE6查看網站瀏覽記錄1 工具列上有「記錄」,按下後可開啟「記錄」窗格在左側。 可依多種方式檢視。 一周以上的記錄以周為單位呈現。 利用卡巴斯基防毒軟體的操作方式,請參看Windows毒駭威脅快解100% (73頁) / PCuSER研究室,2007年11月 2008/07整理
在IE6查看網站瀏覽記錄2 在功能表的【工具】-【網際網路選項】,在「一般」頁下方可以設定「畫面保留天數」/「清除記錄」 2008/07整理
在FireFox查看網站瀏覽記錄 2008/07整理
防止誤上色情網站 在功能表的【工具】-【網際網路選項】,在「內容」頁中可以設定「內容警告器」 可設定不同類別及不同層次的限制 利用卡巴斯基防毒軟體的操作方式,請參看Windows毒駭威脅快解100% (71頁) / PCuSER研究室,2007年11月 2008/07整理
防火牆的功效 通訊埠Port的數量有0~65535個。 常見的port Port21 用於FTP 檔案傳輸 Port23 用於 telnet 遠端登入 Port25 用於SMTP 傳送郵件伺服器 Port80 用於http:// www網頁 Port110 用於POP3 接收郵件伺服器 2008/07整理
可以使用的免費資源2 Windows Malicious Software Removal Tool 每個月都會提供此工具的新版本。下載後,此工具會自行執行一次進行檢查,並在發現這些惡意軟體與其變種時自動協助您將它們從您的電腦移除。若要手動在您的電腦上執行此工具,您可以從 Microsoft 下載中心下載此工具,或從 microsoft.com 執行線上版本。此工具詳細資訊: http://www.microsoft.com/malwareremove 費爾托斯特安全(30天) http://www.filseclab.com/cht/ 特殊能力:可封鎖特定檔名的檔案再生 2008/07整理
可以使用的免費資源1 防毒軟體AVG Free for Windows http://free.grisoft.com/ 免費版,終身可用 防間諜軟體 AVG Anti-Spyware Free for Windows http://free.grisoft.com/ 免費版,可自動更新30天,之後需手動更新 防間諜軟體 Spyware Doctor 5.0入門版 http://www.pctools.com/ 可到「http://pack.google.com 」安裝「Google 更新器&工具列」,可再安裝Spyware Doctor免費google入門版(功能限定) 2008/07整理
線上掃毒、掃木馬服務(免費)1 卡巴斯基 http://www.kaspersky.com/virusscanner F-Secure http://support.f-secure.com/enu/home/ols.shtml 趨勢PC-cillin http://housecall.trendmicro.com/housecall/start_corp.asp PANDA http://www.pandasoftware.com.tw/freescan/activescan.htm 2008/07整理
線上掃毒、掃木馬服務(免費)2 賽門鐵克 諾頓http://security.symantec.com/sscv6/default.asp?langid=ch McAfee 邁克菲 http://us.mcafee.com/root/mfs/default.asp WindowsSecurity http://www.windowsecurity.com/trojanscan/ (掃木馬) 微軟 OneCare http://onecare.live.com/site/zh-TW/scanner/install.htm?scanner=default&goback=http%3A%2F%2Fonecare.live.com%2Fsite%2Fzh-TW%2Fdefault.htm%3Fmkt%3Dzh-TW(只支援IE瀏覽器) 2008/07整理
結論 資安科技不斷演進 攻擊技術也隨之更新 隨時了解新技術 選擇適合自己企業的解決方案 持續的吸收新知及接受教育訓練 2008/07整理