計算機中心 多媒體與網路應用 資訊推廣課程 資管二 蔡維泰

Slides:



Advertisements
Similar presentations
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
Advertisements

自由軟體Firefox安裝 及youtube影片下載
第 1 章 使用 APP INVENTOR 2 開發 ANDROID APP
Windows Vista 操作系统最新安全特性
臺北市立大學 資訊科學系(含碩士班) 賴阿福
VMware Player 安裝說明 2018/11/14.
How To Shrink a Partition on Your Hard Drive
TCP協定 (傳輸層).
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
Q101 在701 SDX Linux上的標準安裝與使用程序v2
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
JDK 安裝教學 (for Win7) Soochow University
第1章 認識Arduino.
Outlook2010-通訊錄設定 健康國小 資訊組.
Working with Databases (II) 靜宜大學資管系 楊子青
電腦硬體裝修乙級 第二站-伺服器端系統安裝與環境設定
桌面環境簡介及IDE開發工具 Outline (一)什麼是Linux? (二)桌面環境系統簡介 (三)IDE開發工具.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
R教學 安裝RStudio 羅琪老師.
ASP.NET基本設計與操作 建國科技大學 資管系 饒瑞佶 2007年.
安裝JDK 安裝Eclipse Eclipse 中文化
自由軟體介紹(一) 把flash通通帶回家 報告人:陳俊銘.
Word與PowerPoint的結合 建功國小 陳旻杰 健行國小 張慧如.
OpenID與WordPress使用說明
雲端運算的基石(2) 虛擬化技術實作(XP篇─上)
EBSCOhost App應用程式 安裝方式.
雲端計算.
FTP檔案上傳下載 實務與運用.
私立南山高中 信息組 電腦研習 電腦資料的備份 中華民國 99年4月20日 星期二.
宿舍網路安全 宣導會 高苑科技大學 電子計算機中心 校園網路組.
電腦攻擊與防禦 使用電腦教室VMware軟體說明.
數位鳳凰計畫-復習課程 授課:方順展.
網路安全技術期末報告 Proxy Server
人事差勤系統 網路簽到退 資訊室 黃怡智.
虛擬機器 下載QEMU Windows版 (0.9.1) 下載Kqemu Windows版 安裝QEMU 安裝Kqumu
VS.NET 2003 IDE.
Linux作業系統 電腦教室Linux使用說明.
精明使用互聯網教育計劃 K9下載及安裝教學篇.
Firewall-pfsense Mars Su
人文與科技的結合 人文與科技的結合 Right Fax使用說明.
資料來源 2 網路過濾軟體之安裝說明 資料來源 2.
複製硬碟映像檔 & 在 VirtualBox 加入硬碟檔
Source: Journal of Network and Computer Applications, Vol. 125, No
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
Symantec Antivirus 企業版 建置管理與用戶端佈署
安裝 / 操作 flashget SOP (以Win 7 作業系統為範例)
IIS Internet Information Services
Google協作平台+檔案分享(FileZilla+網路芳鄰)
緩衝區溢位攻擊 學生:A 羅以豪 教授:梁明章
單元三 資訊安全與保護 Learning Lab.
個人網路空間 資訊教育.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
CVPlayer下載及安裝& IVS操作說明
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
Video 影像 (VideoPlayer 影像播放器、Camcorder 錄影機) 靜宜大學資管系 楊子青
取得與安裝TIDE 從TIBBO網站取得TIDE
案件名稱: 資安預警通報 通報等級: 第一級 發生時間: 2019/02/24 03:53:28 案件說明:
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
如何從政大圖書館館藏目錄匯出書目至EndNote
Cloud Operating System - Unit 03: 雲端平台建構實驗
2018 Operating Systems 作業系統實習 助教:林欣穎 實驗室:720A.
Brief Guide of FrontPage
晶片讀卡機驅動程式安裝說明.
98新購電腦說明 by 維珉.
MGT 213 System Management Server的昨天,今天和明天
Chapter 4 Multi-Threads (多執行緒).
雲端電腦教室 Matlab 使用介紹 1. 工作目錄切換 2. 把 matlab 的檔案存出來 3. Matlab 軟體介面.
Quantum-Wise軟體教學.
Presentation transcript:

計算機中心 多媒體與網路應用 資訊推廣課程 984003033 資管二 蔡維泰 984003033@CC.NCU.EDU.TW 資安觀念與工具介紹 計算機中心 多媒體與網路應用 資訊推廣課程 984003033 資管二 蔡維泰 984003033@CC.NCU.EDU.TW

Outline 什麼是病毒 / 蠕蟲 / 木馬? 安全的軟體來源 安裝軟體的注意事項 常見感染途徑 隨身碟病毒與 Windows 自動執行漏洞 系統更新 防毒軟體 防火牆與 HIPS 實用軟體介紹 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.1 什麼是病毒? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

病毒 病毒是一個簡短的程式。 會不斷地「自我複製」及「感染」。 影響受感染電腦的正常運作。 可能出現檔案大小增減或不尋常的錯誤訊息。 傳播性、隱蔽性、感染性、潛伏性、表現性 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

傳播性 病毒或惡意程式可以透過許多途徑傳送,包括電子郵件、即時 通訊軟體或包含在使用者所下載之軟體中。 近期也開始流行使用 USB 隨身碟傳送,利用 Windows 系統 的自動執行漏洞影響使用者的電腦。 病毒、蠕蟲或惡意軟體也可能針對作業系統的漏洞進行散布。 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

隱蔽性 一般的病毒大小都不會太大,使用者甚至根本不會發現病毒的 存在 甚至,感染病毒之後的檔案也看起來也與正常無異 在使用者不注意之下,悄悄感染系統 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

感染性 有些病毒可以搜尋並感染硬碟中其他可執行檔進行感染 USB 惡意軟體也會感染插入電腦的儲存裝置 病毒、蠕蟲或惡意軟體也可能透過作業系統的漏洞感染系統 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

潛伏性 某些病毒與感染時並不會有顯著徵兆,一旦到了指定的日期則 發作,破壞系統 最有名的為 CIH (Win32.CIH, Win95.CIH, 1998) 病毒,於 固定於每年的4月26日發作,刪除電腦硬碟中的檔案 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

表現性 感染病毒之後,系統可能會表現出某些不正常的徵兆,例如 CPU 使用率居高不下、MSN 不受控制發送訊息、隨身碟中產 生奇怪檔案等 使用者發現感染病毒 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

其他種類 間諜軟體 廣告軟體 網路蠕蟲 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.2 安全的軟體來源 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

大家習慣去哪裡下載軟體呢? 網路論壇 免費空間 網路部落格 騾子或 BitTorrent 等 P2P 軟體 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

有沒有想過,萬一這些軟體被加了一些奇怪的東西呢? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

這些地方安全嗎…? 有很多的病毒、廣告、間諜軟體都是透過這種途徑感染 使用者下載盜版軟體,也不知不覺安裝了惡意程式 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.3 軟體的安裝 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

一般而言 安裝軟體真的很簡單,一直選「下一步」就好了 人生也是一直下一步就好了 不需要做出任何的選擇嗎? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

EULA EULA stands for “End User License Agreement.” “End User” means YOU. 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Windows 7 installation 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Disclaimer of Warranties Yuna Software disclaims any responsibility for any harm resulting from your use of the Messenger Plus! Live software and/or any third party software/libraries associated with it, including but not limited to the sponsor programs, accessed in conjunction with or through Messenger Plus! Live. 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Privacy Policy By accepting the License You also agree that Messenger Plus! Live may collect and process information which you provide in registering for and/or installing of the Messenger Plus! Live Software or use of the Plus! Network website ("Personal Data") in accordance with Messenger Plus! Live's and Plus! Network's privacy policies current at the relevant time and as posted and updated on the Website(s) at <http://www.msgpluslive.net/privacy/> and http://www.plusnetwork.com/privacy.php. You agree that you will provide accurate Personal Data and that you will update the same as and when necessary ensuring at all times that such information remains accurate. 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Another example 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

下一步 一昧的按「下一步」是不智的 按下之前,最好先想想會發生什麼事情 Google 是你的好幫手 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.4 病毒如何入侵電腦? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

感染病毒的途徑 下載並執行惡意程式 安裝了惡意的 IE ActiveX 外掛 USB 隨身碟 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

感染病毒的原因 粗心大意 受騙上當 未做好安全措施 …怎麼好像都是使用者的問題? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

User Account Control 使用者帳號管理 Administrators vs. Users 一般情況下以普通使用者權限執行,需要時切換到管理員權限 執行 部份檔案系統與登錄機碼虛擬化 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

他山之石 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

User Account Control 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

良好的電腦使用習慣 不開啟和安裝來路不明的軟體 不開啟來路不明網頁連結和郵件 注意別人的 USB 隨身碟或硬碟! 定期系統更新 設定難以猜測的密碼並定期更改 關閉不必要的服務 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.5 隨插即中的 USB 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

觀念釐清 自動播放 != 自動執行 有許多 USB 病毒都是利用「自動執行」的漏洞入侵電腦 目前已經有許多防毒軟體會自動掃瞄插入電腦的隨身碟 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

自動執行 Autorun autorun.inf 為 Windows 作業系統提供的功能 (since Windows 95, via shell32.dll) 原意為放置在光碟片或隨身碟中,使用者放入媒體即可自動執 行安裝程式或播放光碟等 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Autorun.inf 放置於根目錄 註明了要開啟的執行檔、光碟片或隨身碟的圖示等 [AutoRun] open=setup.exe icon=setup.exe 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

自動播放 Autoplay Windows XP 出現之功能 當使用者插入各種媒體時,自動掃瞄內容並跳出視窗供使用者 選擇不同動作 也支援硬體 應用程式可以去註冊對應各種 media type 的 handler 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Autoplay 插入 USB 隨身碟時跳出之視窗 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Autorun 病毒 AutoRun 病毒感染後,會在隨身碟根目錄產生惡意之 autorun.inf 檔案與若干病毒執行檔 可能利用執行檔的自動執行、或者是利用 shell32.dll 右鍵選 單注入 當使用者插入隨身碟並於 explorer 中進行操作即感染病毒 How? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

插入隨身碟之後… 檢查 Registry 設定是否關閉 AutoRun (這裡有 bug,後述) 檢查磁碟區裡面有沒有 autorun.inf Notify foreground window via COM interfaces (略) 在檔案總管中註冊對應的動作 (滑鼠雙擊等) 並且更換圖示等 檢查 Shift 是否被按下: 若為 Vista or later 則 AutoPlay 會出現 其他則停止執行 執行 autorun.inf 中的 Open 指令,並且出現 AutoPlay 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

圖片來源: http://en.wikipedia.org/wiki/File:AutoPlay_flow.png 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw 圖片來源: http://en.wikipedia.org/wiki/File:AutoPlay_flow.png

The “AutoRun” bug 從 Windows 2000 以來這個 bug 都沒有被處理 儘管 Registry 設定了關閉自動執行,Windows 就是不理你 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun Will do anything except step 6 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

AutoRun handler 右鍵選單 injection 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

The “AutoRun” bug Already fixed in KB967715 修復剛剛提到的 bug Released on 2009/2/24 However, it is not pushed into official Windows Update http://support.microsoft.com/kb/967715 修復剛剛提到的 bug In addition, KB971029 Released on 2011/2/8  2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 1 Q: 於隨身碟插入時,按住 Shift 鍵不放,停止自動播放功能 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 1 Q: 於隨身碟插入時,按住 Shift 鍵不放,停止自動播放功能 A: 由前面投影片可以發現,此舉僅僅只是停止 AutoPlay 視窗之出現,病毒依然會執行 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 2 Q: 於隨身碟裡面建立 AutoRun.inf 唯讀資料夾 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 2 Q: 於隨身碟裡面建立 AutoRun.inf 唯讀資料夾 A: 病毒的進化遠遠超過你我之想像 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 3 Q: 利用群組原則編輯器 (gpedit.msc) 停用自動播放 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 3 Q: 利用群組原則編輯器 (gpedit.msc) 停用自動播放 A: 必須更新 KB967715,否則無效! 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 4 Q: 於我的電腦中對著隨身碟按右鍵選擇瀏覽 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 4 Q: 於我的電腦中對著隨身碟按右鍵選擇瀏覽 A: 無效!病毒會利用 shellexecute 或 action 感染右鍵選單 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

The solution Stop “Shell Hardware Detection” service (not recommended) Apply KB967715 & KB971029 patch then disable AutoRun Or, switch to Windows 7, Mac OSX, GNU/linux 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

On Windows 7 病毒不會被自動執行,但若你點了它… 它還是會被執行 快快樂樂出門,小小心心回家 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.6 系統更新 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Windows Update 微軟固定於每個月的第二個週二發布安全性更新 包括: Patch Tuesday 重要更新 建議更新 選用更新 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Windows Update 定期發布於微軟資訊安全公告 重要的安全性更新是不需要通過 WGA 驗證就可以下載的 http://www.microsoft.com/taiwan/security/bulletins/default.mspx 重要的安全性更新是不需要通過 WGA 驗證就可以下載的 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

When talk about updates… 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

疾風病毒 Worm.Blaster 主要攻擊 Windows XP 與 Windows 2000 爆發於2003年8月,透過 RPC 服務緩衝區溢位攻擊 在爆發前一個月就在 KB823980 與 KB824146 修正 其實是蠕蟲 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.7 防毒軟體是什麼? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防毒軟體 防毒軟體非萬能! 知名防毒軟體評鑑: http://www.av-comparatives.org/index.php http://www.av-test.org/certifications 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防毒軟體 付費版並非一定強過免費版、免費版也未必弱於付費版 知名免費防毒軟體: Avast! http://www.avast.com/index Avira AntiVir http://www.avira.com/ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.8 防火牆是什麼? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆 Firewall software 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆 網路層防火牆比對封包的 source IP, destination IP, protocol, port number 等資訊 應用層防火牆分析封包內容 對於未定義的封包則交由使用者判斷 OSI: 4, 7 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆的條件 所謂門禁 如何放行安全的應用程式? 依照應用程式選擇相對應的規則 RDP 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆檢查途徑 收到外來封包 分析封包資訊 檢查應用程式規則 檢查全域規則 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆 + 入侵防禦 傳統防火牆已經不足敷阻擋惡意程式 現在許多系統安全公司都推出了整合 HIPS 的網路安全軟體 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS Host-based Intrusion Prevention System 主機入侵防禦系統 除了網路封包,也監測系統內應用程式行為 如果說防火牆是海關, HIPS 就是貼身保鑣 以下以 Comodo Internet Security 來示範 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: AD Application Defend ,應用程式行為的保護 當應用程式有以下行為時警告使用者: Sandbox 系統 修改其他程式的記憶體 中止其他程式的運作 接管 Windows 服務 …等 Sandbox 系統 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: AD: SandBox 砂盒系統,類似 Unix-like 系統下的 chroot 為不受信任的執行檔建立一個虛擬環境 Chrome 也有採用 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: RD Registry Defend ,登錄機碼的保護 程式意圖修改登錄機碼時警告使用者 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: FD File Defend,檔案系統的保護 程式意圖修改系統檔案時警告使用者 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.9 實用軟體介紹 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

VirusTotal http://www.virustotal.com 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Sandboxie http://www.sandboxie.com/ Available on both x86 and x64 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Process Explorer 工作管理員超進化版 可以看到各個處理程序的父子關係、開啟的 thread、佔用的 記憶體以及內含的 handles http://technet.microsoft.com/en-us/sysinternals/bb896653 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Hijack This 系統已安裝的服務、右鍵選單、瀏覽器外掛等 Demo Hijack This (using log file) 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.10 結論 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

所以說… 不開啟和安裝來路不明的軟體 不開啟來路不明網頁連結和郵件 注意別人的 USB 隨身碟或硬碟! 定期系統更新 設定難以猜測的密碼並定期更改 關閉不必要的服務 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Q&A 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

References http://en.wikipedia.org/wiki/AutoRun http://zh.wikipedia.org/zh-tw/電腦病毒 http://support.microsoft.com/kb/967715 http://en.wikipedia.org/wiki/User_Account_Control http://forum.icst.org.tw/phpbb/viewtopic.php?t=14339 http://computersecurityengineer.blogspot.com/2009/0 6/sandboxie.html 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw