900 likes | 1.03k Views
資安觀念與工具介紹. 計算機中心 多媒體與網路應用 資訊推廣課程 984003033 資管二 蔡維泰 984003033@CC.NCU.EDU.TW. Outline. 什麼是病毒 / 蠕蟲 / 木馬? 安全的軟體來源 安裝軟體的注意事項 常見感染途徑 隨身碟病毒與 Windows 自動執行漏洞 系統更新 防毒軟體 防火牆與 HIPS 實用軟體介紹. CH.1. 什麼是病毒?. 病毒. 病毒是一個簡短的程式。 會不斷地「自我複製」及「感染」。 影響受感染電腦的正常運作。 可能出現檔案大小增減或不尋常的錯誤訊息。
E N D
資安觀念與工具介紹 計算機中心多媒體與網路應用 資訊推廣課程 984003033 資管二 蔡維泰984003033@CC.NCU.EDU.TW
Outline • 什麼是病毒 / 蠕蟲 / 木馬? • 安全的軟體來源 • 安裝軟體的注意事項 • 常見感染途徑 • 隨身碟病毒與 Windows 自動執行漏洞 • 系統更新 • 防毒軟體 • 防火牆與 HIPS • 實用軟體介紹 蔡維泰 984003033@cc.ncu.edu.tw
CH.1 什麼是病毒? 蔡維泰 984003033@cc.ncu.edu.tw
病毒 • 病毒是一個簡短的程式。 • 會不斷地「自我複製」及「感染」。 • 影響受感染電腦的正常運作。 • 可能出現檔案大小增減或不尋常的錯誤訊息。 • 傳播性、隱蔽性、感染性、潛伏性、表現性 蔡維泰 984003033@cc.ncu.edu.tw
傳播性 • 病毒或惡意程式可以透過許多途徑傳送,包括電子郵件、即時通訊軟體或包含在使用者所下載之軟體中。 • 近期也開始流行使用 USB 隨身碟傳送,利用 Windows 系統的自動執行漏洞影響使用者的電腦。 • 病毒、蠕蟲或惡意軟體也可能針對作業系統的漏洞進行散布。 蔡維泰 984003033@cc.ncu.edu.tw
隱蔽性 • 一般的病毒大小都不會太大,使用者甚至根本不會發現病毒的存在 • 甚至,感染病毒之後的檔案也看起來也與正常無異 • 在使用者不注意之下,悄悄感染系統 蔡維泰 984003033@cc.ncu.edu.tw
感染性 • 有些病毒可以搜尋並感染硬碟中其他可執行檔進行感染 • USB 惡意軟體也會感染插入電腦的儲存裝置 • 病毒、蠕蟲或惡意軟體也可能透過作業系統的漏洞感染系統 蔡維泰 984003033@cc.ncu.edu.tw
潛伏性 • 某些病毒與感染時並不會有顯著徵兆,一旦到了指定的日期則發作,破壞系統 • 最有名的為 CIH (Win32.CIH, Win95.CIH, 1998) 病毒,於固定於每年的4月26日發作,刪除電腦硬碟中的檔案 蔡維泰 984003033@cc.ncu.edu.tw
表現性 • 感染病毒之後,系統可能會表現出某些不正常的徵兆,例如 CPU 使用率居高不下、MSN 不受控制發送訊息、隨身碟中產生奇怪檔案等 • 使用者發現感染病毒 蔡維泰 984003033@cc.ncu.edu.tw
其他種類 • 間諜軟體 • 廣告軟體 • 網路蠕蟲 蔡維泰 984003033@cc.ncu.edu.tw
CH.2 安全的軟體來源 蔡維泰 984003033@cc.ncu.edu.tw
大家習慣去哪裡下載軟體呢? • 網路論壇 • 免費空間 • 網路部落格 • 騾子或 BitTorrent 等 P2P 軟體 蔡維泰 984003033@cc.ncu.edu.tw
有沒有想過,萬一這些軟體被加了一些奇怪的東西呢?有沒有想過,萬一這些軟體被加了一些奇怪的東西呢? 蔡維泰 984003033@cc.ncu.edu.tw
這些地方安全嗎…? • 有很多的病毒、廣告、間諜軟體都是透過這種途徑感染 • 使用者下載盜版軟體,也不知不覺安裝了惡意程式 蔡維泰 984003033@cc.ncu.edu.tw
CH.3 軟體的安裝 蔡維泰 984003033@cc.ncu.edu.tw
一般而言 • 安裝軟體真的很簡單,一直選「下一步」就好了 • 人生也是一直下一步就好了 • 不需要做出任何的選擇嗎? 蔡維泰 984003033@cc.ncu.edu.tw
EULA • EULA stands for “End User License Agreement.” • “End User” means YOU. 蔡維泰 984003033@cc.ncu.edu.tw
Windows 7 installation 蔡維泰 984003033@cc.ncu.edu.tw
Disclaimer of Warranties Yuna Software disclaims any responsibility for any harm resulting from your use of the Messenger Plus! Live software and/or any third party software/libraries associated with it, including but not limited to the sponsor programs, accessed in conjunction with or through Messenger Plus! Live. 蔡維泰 984003033@cc.ncu.edu.tw
Privacy Policy By accepting the License You also agree that Messenger Plus! Live may collect and process information which you providein registering for and/or installing of the Messenger Plus! Live Software or use of the Plus! Network website ("Personal Data") in accordance with Messenger Plus! Live's and Plus! Network's privacy policies current at the relevant time and as posted and updated on the Website(s) at <http://www.msgpluslive.net/privacy/> and http://www.plusnetwork.com/privacy.php. You agree that you will provide accurate Personal Data and that you will update the same as and when necessary ensuring at all times that such information remains accurate. 蔡維泰 984003033@cc.ncu.edu.tw
Another example 蔡維泰 984003033@cc.ncu.edu.tw
下一步 • 一昧的按「下一步」是不智的 • 按下之前,最好先想想會發生什麼事情 • Google 是你的好幫手 蔡維泰 984003033@cc.ncu.edu.tw
CH.4 病毒如何入侵電腦? 蔡維泰 984003033@cc.ncu.edu.tw
感染病毒的途徑 • 下載並執行惡意程式 • 安裝了惡意的 IE ActiveX 外掛 • USB 隨身碟 蔡維泰 984003033@cc.ncu.edu.tw
感染病毒的原因 • 粗心大意 • 受騙上當 • 未做好安全措施 • …怎麼好像都是使用者的問題? 蔡維泰 984003033@cc.ncu.edu.tw
User Account Control • 使用者帳號管理 • Administrators vs. Users • 一般情況下以普通使用者權限執行,需要時切換到管理員權限執行 • 部份檔案系統與登錄機碼虛擬化 蔡維泰 984003033@cc.ncu.edu.tw
他山之石 蔡維泰 984003033@cc.ncu.edu.tw
User Account Control 蔡維泰 984003033@cc.ncu.edu.tw
良好的電腦使用習慣 • 不開啟和安裝來路不明的軟體 • 不開啟來路不明網頁連結和郵件 • 注意別人的 USB 隨身碟或硬碟! • 定期系統更新 • 設定難以猜測的密碼並定期更改 • 關閉不必要的服務 蔡維泰 984003033@cc.ncu.edu.tw
CH.5 隨插即中的 USB 蔡維泰 984003033@cc.ncu.edu.tw
觀念釐清 • 自動播放 != 自動執行 • 有許多 USB 病毒都是利用「自動執行」的漏洞入侵電腦 • 目前已經有許多防毒軟體會自動掃瞄插入電腦的隨身碟 蔡維泰 984003033@cc.ncu.edu.tw
自動執行 Autorun • autorun.inf 為 Windows 作業系統提供的功能(since Windows 95, via shell32.dll) • 原意為放置在光碟片或隨身碟中,使用者放入媒體即可自動執行安裝程式或播放光碟等 蔡維泰 984003033@cc.ncu.edu.tw
Autorun.inf • 放置於根目錄 • 註明了要開啟的執行檔、光碟片或隨身碟的圖示等 [AutoRun] open=setup.exe icon=setup.exe 蔡維泰 984003033@cc.ncu.edu.tw
自動播放 Autoplay • Windows XP 出現之功能 • 當使用者插入各種媒體時,自動掃瞄內容並跳出視窗供使用者選擇不同動作 • 也支援硬體 • 應用程式可以去註冊對應各種 media type 的 handler 蔡維泰 984003033@cc.ncu.edu.tw
Autoplay • 插入 USB 隨身碟時跳出之視窗 蔡維泰 984003033@cc.ncu.edu.tw
Autorun 病毒 • AutoRun 病毒感染後,會在隨身碟根目錄產生惡意之 autorun.inf 檔案與若干病毒執行檔 • 可能利用執行檔的自動執行、或者是利用 shell32.dll 右鍵選單注入 • 當使用者插入隨身碟並於 explorer 中進行操作即感染病毒 • How? 蔡維泰 984003033@cc.ncu.edu.tw
插入隨身碟之後… • 檢查 Registry 設定是否關閉 AutoRun (這裡有 bug,後述) • 檢查磁碟區裡面有沒有 autorun.inf • Notify foreground window via COM interfaces (略) • 在檔案總管中註冊對應的動作 (滑鼠雙擊等) 並且更換圖示等 • 檢查 Shift是否被按下: • 若為 Vista or later 則 AutoPlay 會出現 • 其他則停止執行 • 執行 autorun.inf 中的 Open 指令,並且出現 AutoPlay 蔡維泰 984003033@cc.ncu.edu.tw
蔡維泰 984003033@cc.ncu.edu.tw 圖片來源: http://en.wikipedia.org/wiki/File:AutoPlay_flow.png
The “AutoRun” bug • 從 Windows 2000 以來這個 bug 都沒有被處理 • 儘管 Registry 設定了關閉自動執行,Windows 就是不理你 • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun • Will do anything except step 6 蔡維泰 984003033@cc.ncu.edu.tw
AutoRun handler • 右鍵選單 injection 蔡維泰 984003033@cc.ncu.edu.tw
The “AutoRun” bug • Already fixed in KB967715 • Released on 2009/2/24 • However, it is not pushed into official Windows Update • http://support.microsoft.com/kb/967715 • 修復剛剛提到的 bug • In addition, KB971029 • Released on 2011/2/8 蔡維泰 984003033@cc.ncu.edu.tw
「關閉自動執行」迷思 1 • Q: 於隨身碟插入時,按住 Shift 鍵不放,停止自動播放功能 蔡維泰 984003033@cc.ncu.edu.tw
「關閉自動執行」迷思 1 • Q: 於隨身碟插入時,按住 Shift 鍵不放,停止自動播放功能 • A: 由前面投影片可以發現,此舉僅僅只是停止 AutoPlay 視窗之出現,病毒依然會執行 蔡維泰 984003033@cc.ncu.edu.tw
「關閉自動執行」迷思 2 • Q: 於隨身碟裡面建立 AutoRun.inf 唯讀資料夾 蔡維泰 984003033@cc.ncu.edu.tw