1 / 68

電腦病毒( Computer Virus )與 入侵攻擊

電腦病毒( Computer Virus )與 入侵攻擊. 講者:陳建源 教授 國立高雄大學資訊工程系. 大綱. 一 . 簡介 二 . 電腦病毒的基本原理與結構分析 三 . 偵毒與解毒 四 . 預防重於治療 五 . 電腦病毒例子 六 . 入侵事件實際案例 七 . 結論. 一 . 簡介. 1. 何謂電腦病毒. 電腦病毒( Computer Virus )一種能透過磁碟、網路等媒介,傳染給電腦中其他檔案的程式碼。. 2. 電 腦病毒有四種行為特性. 寄生 ── 附加:長度增加,流行高;覆蓋:破壞程式,流行低. (2) 繁衍.

Download Presentation

電腦病毒( Computer Virus )與 入侵攻擊

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 電腦病毒(Computer Virus)與 入侵攻擊 講者:陳建源 教授 國立高雄大學資訊工程系 大綱 一. 簡介 二. 電腦病毒的基本原理與結構分析 三.偵毒與解毒 四.預防重於治療 五.電腦病毒例子 六.入侵事件實際案例 七. 結論

  2. 一.簡介 1. 何謂電腦病毒 電腦病毒(Computer Virus)一種能透過磁碟、網路等媒介,傳染給電腦中其他檔案的程式碼。 2. 電腦病毒有四種行為特性 • 寄生 ── 附加:長度增加,流行高;覆蓋:破壞程式,流行低 (2) 繁衍 (3) 感染 ── 以次數而言:分單一感染及重感染。 以行為而言:分常駐:(在memory中)life長,可由中斷 向量表比較得知;直接:life短,無跡可尋 以途徑而言:儲存媒體、網頁瀏覽與下載檔案、區域網路、 Email、即時傳訊軟體 (4) 發病 ── 以破壞的程度來分 徹底破壞:如磁碟格式被破壞,必需低階格式化。 部份破壞:如整個file被破壞。 選擇性破壞:如 .exe 檔。 網路飽和:消耗資源;惡作劇; 偷錢或盜打國際電話。

  3. 一.簡介 NOTE1:潛伏期:從感染至發病之期間,正是一般偵毒程式之工作時。 NOTE2:只含有部份特性之程式,稱為類病毒(quasi-virus)。 類病毒的分類: (1) 非寄生:蠕蟲(自己複製自己),如1987之CHRISMAS。 (2) 非繁衍: (a) Torojon Horse 木馬或間碟,流行於BBS。 (b) 邏輯炸彈(報復之工具)依日期,時間引爆。 特洛伊木馬程式不像電腦病毒一樣會感染其他檔案,特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中,然後伺機執行其惡意行為(如格式化磁碟、刪除檔案、竊取密碼等),Back Orifice特洛伊木馬程式便是一個案例,透過該程式電腦駭客便有機會入侵主機竊取機密資料。 一般會偽裝成某種有用的或有趣的程式,比如螢幕保護程式、算命程式、電腦遊戲等,但是實際上卻包藏禍心,暗地裡做壞事;它可以破壞資料、騙取使用者密碼。 • 電腦蠕蟲不會像電腦病毒程式一樣感染其他檔案,但『本尊』會複製出很多『分身』,就像西遊記中的孫悟空一樣,拔幾根毛就可以複製出幾個分身,然後像蠕蟲般在電腦網路中爬行,從一台電腦爬到另外一台電腦,最常用的方法是透過區域網路(LAN)、網際網路(Internet)或是 E-mail 來散佈自己。著名的電腦蠕蟲『VBS_LOVELETTER』就是一個例子。 NOTE3:Carrier 帶原者:含有 computer virus 之程式

  4. 一.簡介 3. 電腦病毒的相關性質 生命週期: 創造期;孕育期 ;潛伏期 ;發病期 ;根除期 藏身之處: boot sector (啟動磁區),檔案配置表中“不良”記號之磁區,磁軌41(track 41),磁軌之空隙(gap),分區記號(partition record),exe,com,ovl,sys檔,hidden file,data file。 exe com, boot sector, partition record, device driver, overlay file 病毒入侵之所 病毒的徵狀(symptom) 螢幕異常,load time變長,memory 較正常為少,不正常hard disk 存取,file 消失,file 日期不正常修改,file 長度不正常增加。 病毒的命名 發現者、地,增加長度,中毒訊息,病發特性。

  5. 一.簡介 4. 電腦病毒的歷史 1960:第一個病毒,Hacker,出現於MIT,擾亂使用者工作。 1984:Cohen正式命名為Computer Virus。 1988:*Morris,康乃爾大學研究生,釋放一個worm。 四個途徑進入電腦系統: (1.) 利用電子郵件的SEND MAIL程式中的漏洞、錯誤(hole; bug); (2.) 利用finger demon程式;這個程式是用來讓網路上使用人可以藉由這個 程式來發現其他同時使用這個電腦網路的類似尋人程式; (3.) 利用授權(trusted host feature)的方式;這種網路使用行為是讓網路使用 人,在經自己網路的授權使用後,即可不必再有其他的通行碼 (password)就可以進入其他網路享受相同的使用權限; (4.) 利用猜解網路通行碼程式(program of password guessing)。 結果:1990年被判刑$10,000罰款,400小時社區服務,3年緩刑,共有6000台電腦shut down,損失金額10萬美金至9千7百萬元。

  6. 一.簡介 4. 電腦病毒的歷史 美國《Techweb》網站日前評出了20年來,破壞力最大的10種電腦病毒:

  7. 一.簡介 4. 電腦病毒的歷史

  8. 一.簡介 5.電腦病毒的分類 感染的對象:開機型病毒、檔案型病毒、混合型 傳染的方式:常駐型病毒 、非常駐型病毒 發病的情形:破壞磁碟資料 、開玩笑 • 開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。因為DOS的架構設計,使得病毒可以於每次開機時,在作業系統還沒被載入之前就被載入到記憶體中,這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制,並且擁有更大的能力去進行傳染與破壞。 • 軟碟──啟動磁區(boot sector) •   硬碟──分割表(partition table) •  如C-Brian,Disk-Killer • 傳統的執行檔, 如:.EXE、.COM 。 • 含有 VBA 巨集的文件檔案, 如 .DOC、.XLS 的檔案, 如 Taiwan NO.1。 • 由 VBScript 或 JAVAScript 描述語言撰寫出來的病毒, 這類病毒檔案的副檔名為 .VBS、.JS。 • 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM,*.EXE 檔,也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性,使得這種病毒具有相當程度的傳染力。一旦發病,其破壞的程度將會非常可觀! 例如:台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒和塑膠炸彈(plastique) 以特徵而分:傳統有病毒樣碼 、新生可更改病毒樣碼 以internet來分: 第一代病毒(傳統型病毒)的共同特色,就是一定有一個「寄主」程式 第二代病毒完全不需要寄主的程式,如果硬要說它寄生在哪裡,或許只能說它是寄生在「Internet」上。

  9. 二.電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (1)開機型

  10. 二.電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (2) 檔案型-常駐型

  11. 二.電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (2) 檔案型-非常駐型 (2) 檔案型-混合型

  12. 二.電腦病毒的基本原理與結構分析 為什麼病毒喜歡感染.EXE檔? 一般檔案分為資料檔、批次檔及可執行檔(.COM OR .EXE) 若感染資料檔,易被發現,且傳播將被中斷。 若感染批次檔,易被發現。 感染執行檔的優點:(1) 可繼續傳播 (2)不易被發現(原碼為機器碼) .COM與EXE之比較 .COM:其程式區(CODE)、資料區(DATA)、堆疊區(STACK)均在同節區(segment),最多有64K memory。      優點:程式少,載入速度快。      缺點:無法提供大程式執行。 .EXE:其3區均由使用者安排到不同節區,空間較大。 COM與EXE載入MEMORY不同。

  13. 二.電腦病毒的基本原理與結構分析 2.病毒的結構分析 病毒放在前端 (1)COM

  14. 二.電腦病毒的基本原理與結構分析 2.病毒的結構分析 病毒放在前端直接覆蓋 (1)COM

  15. 二.電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端

  16. 二.電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端

  17. 二.電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端

  18. 二.電腦病毒的基本原理與結構分析 2.病毒的結構分析 (2)EXE檔

  19. 三.偵毒與解毒 1. 如何偵測電腦病毒 所謂的病毒樣碼其實可以想像成是犯人的特徵,當防毒軟體公司收集到一隻新的病毒時,他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼 (Binary Code),來當做偵測此病毒的依據,而這段獨一無二的二進位程式碼就是所謂的病毒樣碼。 病毒樣碼掃描法 有3種方式 連續式:病毒樣碼為一串連續的位元組。 間續式:病毒樣碼為幾串連續的位元組。 定址連續式:病毒樣碼為某固定位址之一串連續位元組。         優點:長度較短,固位址固定,不易誤判。 一般scan的次序:先scan .EXE .COM之樣碼比對。再BOOT與partition之樣碼比對。

  20. 三.偵毒與解毒 1. 如何偵測電腦病毒 加總比對法(Check-sum) 根據每個程式的檔案名稱、大小、時間、日期及內容,加總為一個檢查碼,再將檢查碼附於程式的後面 這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是哪種病毒感染的。對於隱形飛機式病毒,亦無法偵測到。 人工智慧陷阱(Rule-based) 人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中,人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。

  21. 三.偵毒與解毒 1. 如何偵測電腦病毒 軟體模擬掃描法 軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時,都以不同的隨機亂數加密於每個中毒的檔案中,傳統病毒樣碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。 VICE(Virus Instruction Code Emulation)先知掃描法 VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器,模擬CPU動作並假執行程式以解開變體引擎病毒,那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒樣碼。因此VICE將工程師用來判斷程式是否有病毒樣碼存在的方法,分析歸納成專家系統知識庫,再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒,則可分析出新病毒樣碼對付以後的病毒。

  22. 三.偵毒與解毒 1. 如何偵測電腦病毒 即時的I/O掃描(Realtime I/O Scan) Realtime I/O Scan的目的在於即時地對資料的輸入/輸出動作做病毒樣碼比對的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來。理論上,這樣的即時掃描程式雖然會影響到整體的資料傳輸速率,但是使用Realtime I/O scan,檔案傳送進來之後,就等於掃過了一次毒,整體來說,是沒有什麼差別的。 文件巨集病毒陷阱(MacroTrapTM) MacroTrapTM 是結合了病毒樣碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule base) 來偵測已知及未知的巨集病毒。 其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除

  23. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (1)線上型 自己以人工餵餌,再與中毒程式之備份,做比較,取得病毒樣碼。    => 只能得到常駐型的病毒樣碼(優點:親和力高)。 (2) 離線型 有一組原始程式與被感染的程式做為分析的樣本。    => 主要擷取非常駐型的病毒樣碼。 一般特別注意環境變數下的程式,如PATH COMSPEC,尤其是COMMAND.COM檔的變化。 (優點:分析的病毒較多)

  24. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料相同      ↑────相同────↑ 可得 1.病毒長度 2.病毒樣碼:為了避免取到堆疊(stack)的資料最好不要取前後的位元。

  25. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料不同

  26. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料不同

  27. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析

  28. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 EXE檔的病毒分析 處理檔頭資料,包含SS,SP,CS,IP的更改。 (a)四個值連續放置在病毒體中: 依SP,SS,IP,CS,次序放入。 (b)分兩組放置(SS,SP),(IP,CS) 得:病毒長度、病毒樣碼、SP,SS,IP,CS在病毒體中的位置。 (對於編碼型病毒wolf-man狼人無效)

  29. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 EXE檔的病毒分析

  30. 三.偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (3)開機型病毒分析 主要探討BOOT或partition table被移去那裡 固定位址:移到某一固定位址,如stoned。 變動位址(Disk-Killer,C-Brian) <1>磁片將尋找連續幾個未用之cluster,放置BOOT,再標示為壞軌, DOS即無法使用。 <2>硬碟BOOT與Partition Table放在PT之後未用之磁區, (如0 Head,0 Track,2-17 sector)其位址會記錄在病毒本體程式之某一固定位置上。

  31. 三.偵毒與解毒 3. 如何解毒 檔案型: COM檔 <1> 解毒資訊:病毒長度(來自SCAN)  無解 覆蓋型

  32. 三.偵毒與解毒 3. 如何解毒 檔案型: COM檔

  33. 三.偵毒與解毒 3. 如何解毒 檔案型: EXE檔

  34. 三.偵毒與解毒 3. 如何解毒

  35. 四.預防重於治療 1. 如何預防病毒感染? (1) 一般預防 第一種:修改程式,使病毒誤判此程式已受感染而放棄感染。    缺點:每個病毒辨識不同,修改結果造成程式無法執行。 第二種:當程式執行時,先執行疫苗程式檢查病毒,若有即將其刪除。

  36. 四.預防重於治療 1.如何預防病毒感染? (1) 一般預防 為什麼將MEMORY之程式碼重回DISK? 因為一般感染病毒之程式,在未發作之前,仍然要維持原程式的執行, 為了達到此一目的,病毒必須自己解毒,即MEMORY的程式是正常的,但是放在DISK的程式仍然是有感染的。

  37. 四.預防重於治療 1.如何預防病毒感染? (1) 一般預防

  38. 四.預防重於治療 1.如何預防病毒感染? (2) 注射病毒疫苗 如何注射電腦病毒疫苗? (注射疫苗後,該程式無法保証不被感染,但是一旦執行該程式就可以解回原程式)

  39. 四.預防重於治療 1.如何預防病毒感染? (2) 注射病毒疫苗 若此程式中毒將來如下:此程式仍可正常執行,WHY?

  40. 四.預防重於治療 1.如何預防病毒感染? (2) 注射病毒疫苗 將疫苗加入檔尾 修改檔頭資料,假設原程式之檔頭資料為: 檔案長度 filesize 檔頭長度 headersize,CS,IP,SS,SP 且疫苗長度 vac_size (16 bytes為單位) 新的檔案長度=((filesize+15)/16 * 16) + vac_size; (調為16bytes) CS(段位址)=((filesize+15)/16) – headersize IP指向疫苗的第一道指令 SS=CS SP=vac_size 堆疊區為疫苗之頂端

  41. 五. 電腦病毒例子 USB隨身碟病毒 USB隨身碟的病毒藏在Autorun.inf檔案,可感染電腦,常駐在作業系統中,伺機感染新的USB隨身碟(ㄧ般設定為可讀寫模式)之Autorun.inf檔案。

  42. 五. 電腦病毒例子 USB隨身碟病毒 USB隨身碟的病毒藏在Autorun.inf檔案,可感染電腦,常駐在作業系統中,伺機感染新的USB隨身碟(ㄧ般設定為可讀寫模式)之Autorun.inf檔案。 1. 感染途徑 最初的病毒檔案,利用電子郵件散布,或藉由瀏覽器漏洞,下載到個人電腦上執行。一般會在C:\WINDOWS\system32建立一病毒執行檔(如sysudisk.exe),偽裝成開機常駐程式。受病毒感染的電腦(Windows 作業系統)上,會在各分割區(c:\,d:\,e:\…)建立隱藏的系統檔案 autorun.inf ,並建立一隱藏系統資料夾來存放其病毒執行程式(udisk.exe,shell.exe),資料夾名稱會偽裝成recycle或recyled(病毒會變種而有不同的資料夾名稱), 確保重灌作業系統後也能繼續感染該主機。當使用者將USB裝置插入受病毒感染的電腦、掛載網路磁碟機、新增分割區,受病毒感染的電腦會將病毒複製到USB裝置、網路磁碟機、新增分割區。當受感染的USB裝置插入到其他電腦時,因Windows 作業系統內的自動播放或執行用功能預設是啟用,所以USB內的autorun.inf 內的指令會被執行,而成為繼續傳染其它電腦的帶原者。因USB裝置具有可攜性與便利性,且Windows 作業系統內的自動播放或執行用功能預設是啟用,使得受感染的USB裝置快速傳播病毒。

  43. 五. 電腦病毒例子 USB隨身碟病毒 2. 解決方法 關閉自動播放功能,但是效率不好,因為一般使用者並不會以檔案總管的方式來開啟,而是用雙擊方式來開啟,一樣會受病毒感染。 自行刪除autorun.inf,但會造成USB裝置無法用雙擊方式來開啟,一定要用檔案總管的方式來開啟。 USB裝置插入他人電腦前,將唯讀功能鎖打開。 設置一個檔名為 autorun.inf的資料夾,防止病毒寫入 autorun.inf 檔案。若該病毒會做檢查,並自行刪除該資料夾和檔案,再重新寫入病毒執行程式,則此法會無效。

  44. 六. 入侵事件實際案例 • 阻斷服務(Denial of service;DoS)攻擊事件 • 資料隱碼(SQL Injection) 攻擊法

  45. 六. 入侵事件實際案例 阻斷服務 • 阻斷服務(Denial of service;DoS)攻擊事件 • 時間:2000/2/7 • 對象:Yahoo、Buy.com、CNN、Amazon、ZDNET、Datek、E-Trade • 影響 • 網站系統陸續癱瘓數小時,造成約12億美金的損失 • 美國總統柯林噸要求國會撥款900萬美金協助成立電腦安全中心

  46. 六. 入侵事件實際案例 阻斷服務(Denial of service;DoS) • 利用網路系統資源有限,加上部分網路系統或者相關通信協定等,在設計或實作上的漏洞,在一段期間內透過大量且密集的封包傳送,使被攻擊的網站無法處理,以致許多正常想要連上該網站的用戶都被阻絕在外連不上該網站。

  47. 六. 入侵事件實際案例 分散式阻斷服務(Distributed Denial of service;DDoS) • 第一階段 • 在網路上入侵安全機制較差的系統 • 成為日後發動攻擊的主機 • 第二階段 • 植入一些特定的網路服務程式 • 由這些網站來發動攻擊

  48. 六. 入侵事件實際案例 • Client(攻擊者所在的系統,簡稱C) • Host (攻擊者發號施令的監控系統;攻擊者可以直接控制,簡稱H) • Broadcaster (放大攻擊直接來源;被殖入攻擊程式者,簡稱B) • Target (被攻擊者,簡稱T)

  49. 六. 入侵事件實際案例 防止DDoS攻擊 • 透過Router • 透過DNS • 透過Server

  50. 六. 入侵事件實際案例 資料隱碼(SQL Injection) 攻擊法 • 事件 • 時間:2002/4/22[警政署刑事局] • 對象:SQL • Apache、IIS、Domino、Netscape的網站系統,透過APS、PHP與JSP等程式碼,攻擊破壞各種SQL資料庫,包括MS-SQL、MySQL、Oracle、Sybase與DB2等

More Related