电脑病毒防护与防骇

電腦病毒防護與防駭台灣康銓科技彭建國課程大綱資訊安全概論常見的資安事件認識病毒基本防護與防範防毒軟體介紹結論資訊安全概論「資料」是指未經處理之原始訊息，其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式。「資訊」則是將眾多資料藉由整理或分析的過程，使其成為有意義之內容，可透過網路來互通共享，為有效確保重要資訊的保存，防止非法存取、竄改或惡意毀損與破壞，資訊安全之維護成為日益重要的議題，而有關資訊保護之研究的總合稱為「資訊安全」。資訊安全概論在資訊安全中所討論的資訊，一般而言指的是企業或組織在營運時所收集，產生，或運用的資料，不論是有形或無形的，它可以是存在於電腦中的資料，列印或書寫在紙張上的資訊，甚至是存在於通訊中。這些資訊對企業或組織而言都是有價的，對企業或組織的營運有相當的影響。因此，需要適當的保護措施，降低其風險，避免遭受內在或外來的威脅。資訊安全的重點-C.I.A.資訊安全的定義年代資訊安全觀念的演進1984對資訊資產的有意或意外情形下，未經授權的公開、修改、破壞或使之失效等等行為的保護1992就是把管理程序和安全防護技術應用於電腦硬體、軟體和數據(或資料上)，以確保儲存中或傳遞中的數據(或資料)免於他人有意或無意的讀取、刪除或修改1995電腦安全的保護範圍包括：機房、電腦主機、終端機、電腦網路線、軟體與資料等有形及無形的相關事務，良好的安全措施維護其機密性(ConfidentialorSecure)、真確性或完整性(AccuracyorIntegrity)以及可用性(Availability)1995資訊安全的威脅分類為：潛在的威脅、實體災難、裝備故障、軟體故障、人員錯誤、資料的濫(誤)用及資料遺失等威脅1997資訊安全的全貌就是對於有關個人或組織在使用所有關於說的、印行的及自動化紀錄等情事的保護；及保護資訊的產生、處理過程、傳遞、儲存使用、展示及控制等來源2000為降低資訊的風險所進行的各種量測方法2002資訊安全，是一種管理而非技術資訊安全維護實體與技術安全實體建築、文件電腦軟、硬體網路通訊資料儲存與傳送人員訓練與預防安全操作觀念指導專業的教育訓練預防人員犯罪資訊安全維護考量因素資訊安全的威脅資訊安全威脅類型可能發生事件範例非人為因素天然災害火災、水災、地震、雷擊、冰雹等納莉颱風基礎設施故障軟體程式、硬體、網路通訊障礙硬碟壞軌人為因素人員疏失操作、維護及管理等疏失電腦用畢未登出蓄意性威脅資料破壞電腦系統破壞資訊設備破壞資料程式破壞資料/程式竄改或毀損病毒破壞資料濫用擅自使用電腦設備不當使用資料或資訊服務透過社交手法獲得使用權限或資訊駭客入侵違反隱私權不當之資料收集、使用或公開犯罪者竊取他人信用卡資訊人為因素為最主要的威脅來源資訊安全的重要資訊安全含括了網路安全、系統安全、資料庫安全、數位簽章、加/解密技術、電腦病毒和身份識別等不同層面的問題，隨著電腦技術之提昇及網路之發達，這些已經與我們的生活密不可分，才使資訊安全問題日漸引起重視與注意。有些人誤解為電腦不連結網路或內部網路和外界網路不連結(實體隔離)就沒有資訊安全的問題；事實不然，從許多電腦犯罪的案例來看，人才是最大的關鍵。個人電腦為什麼會被攻擊??竊取機密檔案/文件資料蒐集盜取線上遊戲虛擬寶物(裝備)部落格帳號密碼利用你的電腦資源跳板(殭屍)惡作劇/監控一般常見的資安事件(威脅)個人資料(信用卡資料)外洩電腦中毒被植入後門木馬程式被惡意程式綁架成為僵屍電腦誤上釣魚網站或是惡意網站e-mail被不當收集及垃圾信、釣魚郵件氾濫被迫連結到色情、廣告及非法網頁WHY??..只要有可能，它一定會發生!!一般常見的資安事件(威脅)一般常見的資安事件(威脅)63%的學校每年都有2次以上的資安麻煩雲端資安防護廠商－Panda防毒軟體公司最近發表了一份針對12歲以下幼兒教育環境的資安研究報告。這份報告同時訪問了超過100位任職於上述環境的美籍資安從業人員，探討他們如何落實資安教育，以及目前校內最棘手的資安難題。研究指出，63%的學校都曾遭到惡意軟體入侵或曾遭受未經授權的用戶闖入，而且每年至少發生2次以上，這結果顯示資訊安全對學校而言確實是一項耗時又費工的苦差事。資料日期：2011-05-17資料來源：Panda電腦中毒或遭入侵的現象系統執行中會出現出現莫名其妙的訊息、對話框或聲音，無緣無故經常會當機或自動關機。磁碟可利用的空間突然減少。電腦突然開不了機。程式執行速度突然變慢，連線上網異常慢，且電腦傳送封包數量異常增加。可執行檔的檔案大小或日期改變。記憶體內增加來路不明的常駐程式。防毒軟體自動防護不定時被關閉。電腦中毒或遭入侵的現象(續)網頁瀏覽器首頁被綁架（無法自訂首頁或自訂失效），或不斷開出特定網頁及彈出式廣告。異常自動開啟多重視窗。網頁瀏覽器增加未曾看過的工具列。操作系統變的反應遲鈍一些應用軟體無法正常開啟或有部份功能無法正常使用CPU使用率連續且異常偏高。電腦資料損毀或突然硬碟開始自動格式化。…………《孫子兵法》的《謀攻篇》：「知己知彼，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必殆。」認識電腦病毒(VIRUS)電腦病毒是一種附掛在其他可執行程式的程式碼，在未經「正當」的允許下，進入電腦系統中，從事干擾電腦系統正常運作、在電腦螢幕上顯現訊息、或是損毀電腦系統中的電子資料等進行干擾性、破壞性、或惡作劇的行為，通常具備自我隱藏、複製與再生、變種等基本人工智慧。在執行附加病毒的程式之後，病毒碼就會執行預設的動作，這些動作包含將自己散播到其他程式或磁碟之中；某些病毒更惡毒，不但會刪除檔案還可能造成電腦毀損。但某些病毒除了將自己散播到其他系統之外，並不會執行任何惡意的動作。

病毒的特性複製性隱藏性傳播性觸發性寄生性病毒的特性病毒的特性(續)複製性當使用者存取到含有病毒的檔案時，病毒就會試圖將含有病毒的檔案，複製到電腦系統中。傳播性病毒會透過各種管道(移動式儲存媒體、P2P、FTP、檔案分享等)來傳播，感染更多的電腦或系統。隱藏性為了不讓使用者(防毒軟體)發現，以便順利傳播感染更多的電腦，因此會隱藏而不易察覺。病毒的特性(續)寄生性病毒無法單獨存在，必須依附在其他檔案或程式中，當然也會跟著許多隨身裝置(USB、記憶卡等)到處亂竄。觸發性有些病毒會依據某些特殊的狀況或是條件而啟動，像是特定的日期等。電腦病毒的產生電腦病毒的產生，其實有很多不同的原因，諸如：故意製造用來報復、有些就是用來慶祝某些節日、有些程式設計師製造電腦病毒的目的是為了表現自己的能力或挑戰自己或別人、甚至有些是由宗教狂、政治狂為了特定目的所製造的。Stuxnet發威！美國、以色列毀伊核武(國際新聞2011/01/17)伊朗核武研發技術傳出遇到瓶頸，須延至2015年才可製造核彈。此舉似乎間接證實「美國和以色列共同研發的電腦病毒Stuxnet發威了」！這款毀滅性病毒能讓伊朗的核子離心機運轉失控。對此，美方戰略顧問表示，樂見此狀，「將盡力讓情況變得更複雜」。

病毒的生命週期電腦病毒就好像細菌的生長一般，所以我們才將它稱做「病毒」。而電腦病毒的成長可以被歸納成下列幾個階段:創造期:當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼，電腦病毒就這樣誕生了。當然，他們是不會這樣就算了的，他們通常都會設計一些破壞的行為在其中。孕育期:這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站、Internet的FTP站，甚至是公司或是學校的網路中等等。病毒的生命週期(續)潛伏期：在潛伏期中，電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期，如此一來病毒就有更多的時間去傳染到更多的地方，更多的使用者，一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒，在每年三月六日發作前，有整整一年的潛伏期。發病期：當一切條件形成之後，病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病，有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作，但是它們仍然會佔據一些系統資源，而降低系統運作的效率。病毒的生命週期(續)根除期：如果有夠多的防毒軟體能夠偵測及控制(清除)這些病毒，並且有夠多的使用者購買了防毒軟體，那麼這些病毒就有機會被完全消滅。但是到現在為止，並沒有人敢宣稱某一隻病毒完全絕跡，但是有些病毒已經很明顯的被制止了，如早期的DiskKiller等。病毒及其他威脅種類開機型病毒檔案型病毒巨集病毒複合型病毒隱型病毒多型病毒第二代病毒VBS、JavaScript&ActiveX病毒蠕蟲後門程式木馬程式間諜軟體惡意程式殭屍網路社交工程病毒種類(續)開機型病毒由於開機型病毒通常會去感染硬碟或磁片的系統啟動部位，因此開機型病毒我們又稱之為『系統型』病毒。通常這一類型的電腦病毒會吃掉電腦中的記憶體；也就是說在有電腦病毒常駐的情形下由硬碟開機的話，則記憶體就會減少。另外，在比較嚴重的情形之下，由於此類型的電腦病毒可能破壞電腦的系統部位，所以它也有可能使你的電腦無法正常的開機，這就是開機型病毒最大的威力所在！典型：CIH、米開朗基羅病毒、猴子病毒…等。病毒種類(續)檔案型病毒所謂『檔案型』病毒就是指病毒會依附在程式的可執行檔上面，我們稱之為檔案型病毒。檔案型病毒專門感染系統程式的可執行檔（例如附檔名為.com、.exe等，有的病毒會寄生在.sys檔），也有的病毒會同時侵襲OVL、SYS、BIN等類似執行檔的二進位檔案。檔案型的病毒依傳染方式的不同，又分成非常駐型以及常駐型兩種，通常附身的宿主程式不是會逐漸變大，就是逐漸變小。如果重覆感染，檔案的大小還會繼續改變。病毒種類(續)非常駐型病毒(Non-memoryResidentVirus):

非常駐型病毒將自己寄生在*.COM，*.EXE或是*.SYS的檔案中。當這些中毒的程式被執行時，就會嘗試地去傳染給另一個或多個檔案。常駐型病毒(MemoryResidentVirus):

常駐型病毒躲在記憶體中，其行為就好像是寄生在各類的低階功能一般(如Interrupts)，由於這個原因，常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中，只要執行檔被執行，它就對其進行感染的動作，其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。典型：FridayThe13th、MacGyvver、Connie病毒、耶路撒冷病毒(Jerusalem)…等。病毒種類(續)巨集病毒主要是利用軟體本身所提供的巨集能力來設計病毒，通常巨集都是伴隨著主程式啟動時一起被載入記憶體中，巨集通常可以允許使用者自行設計以便能夠一次執行連串的指令或動作。它的概念就很類似在DOS環境下的批次檔。以MicrosoftWord為例，當我們啟動Word之後，會載入Normal.DOT的範本檔以設定如字型，行距等等相關資訊。巨集病毒就是利用類似的動作。只要開啟含有巨集病毒的文件之後，以後我們所開啟的舊檔或者是開啟新檔案等等都難逃巨集病毒的惡夢。典型：TaiwanNo1、Melissa、台灣劇場病毒、釣魚台病毒、教師節病毒、聖誕節病毒、亞特蘭大病毒…等。病毒種類(續)複合型病毒(Multi-PartiteVirus)：複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染*.COM，*.EXE檔，也可以傳染磁碟的開機系統區(BootSector)。由於這個特性，使得這種病毒具有相當程度的傳染力，一旦發病，其破壞的程度將會非常可觀！典型:大榔頭(Hammer)、Flip翻轉病毒等。

病毒種類(續)隱型病毒(StealthVirus)：隱型病毒又稱作中斷截取者(InterruptInterceptors)。顧名思義，它藉由控制DOS的中斷向量，當外部程式呼叫DOS的中斷服務時，便同時執行到病毒本身，使得病毒能從容地將被感染的檔案，來讓作業系統以及防毒軟體誤認為所有的檔案都是乾淨的。隱型病毒是常駐型，會欺騙電腦系統，不知病毒存在或檔案已受破壞。此型病毒DREAMINGKING、NATAS。病毒種類(續)多型病毒(Polymorphic/MutationVirus)：多型病毒可怕的地方，在於具有自我編碼的能力，每當它們繁殖一次，就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中，所含的病毒碼都不一樣，對於掃描固定病毒碼的防毒軟體來說，無疑是一個嚴重的考驗！如Whale病毒依附於.COM檔時，幾乎無法找到相同的病毒碼，而Flip病毒則只有2byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。病毒種類(續)第二代病毒??第一代病毒(傳統型病毒)的共同特色，就是一定有一個「寄主」程式，所謂寄主程式就是指那些讓病毒窩藏的地方。最常見的就是一些可執行檔，像是副檔名為.EXE及.COM的檔案。但是由於微軟的WORD愈來愈流行，且WORD所提供的巨集功能又很強，使用WORD巨集寫出來的病毒也愈來愈多，也因此副檔名為.DOC的檔案，甚至壓縮檔也會成為寄主程式。

病毒種類(續)第二代病毒完全不需要寄主的程式，如果硬要說它寄生在哪裡，或許只能說它是寄生在「網路」上吧。如果網頁只是單純用HTML語法寫成的話，那麼要傳播病毒的機會可說是非常小了。但是呢，為了讓網頁看起來更生動，更漂亮，許多語言也紛紛出籠，其中最有名的就屬JAVA和ActiveX了，不幸的是，這兩個語言都相繼地被有心人士「點召」,成為第二代病毒的溫床。病毒種類(續)VBS、JavaScript&ActiveX病毒以往經由網際網路中毒，多半是在不安全的網站裡下載某個檔案，病毒夾帶在檔案裡一起被下載到電腦裡，導致電腦被感染，但是隨著網頁技術的進步，可資利用的漏洞也日益增多，此類型的病毒只要單純的瀏覽網頁就會中毒，這是駭客惡意竄改網頁的結果，在網頁上刻意放上VBScript、JavaScript、ActiveX類型的病毒，使用者在瀏覽網頁時病毒會隨著HTML網頁一起被暫存在電腦的記憶區，這時電腦就中毒了。典型：VBS.HappyTime蠕蟲(WORM)蠕蟲最早期出現於Unix系統，除了具備自我散播、複製、攻擊、破壞與隱藏之能力，最常透過網路自我散播。蠕蟲是病毒的子類別，病毒與蠕蟲之間最大的差別在於病毒大量散播須經因人為造成的傳播，而蠕蟲散佈通常都是自動的，不需要使用者執行感染動作，而且蠕蟲會將自己完整複製，再透過網路傳播。蠕蟲-WORM(續)在蠕蟲複製的過程中，甚至會對自體做出修改的動作，已規避偵測軟體的偵查。由於蠕蟲藉由不斷複製能消耗記憶體或網路頻寬，最後導致系統資源不足而使電腦當機，並造成網路流量大增的連鎖效應，最終就會拖慢整個企業網路以及對外連結網際網路的速度。再加上蠕蟲不需要透過「母體」程式或檔案，即可自行傳播，所以有些蠕蟲程式也會入侵電腦系統，讓他人從遠端執行遙控。典型：Sasser、Blaster蠕蟲、USB病毒蠕蟲等。因利益或需求製作惡意程式利用網路或儲存媒體擴散入侵電腦下載惡意程式偵測並刪除偵測網路環境攻擊電腦弱點自我複製感染物件蠕蟲生命週期蠕蟲-WORM(續)蠕蟲依據不同的攻擊與行為模式可以分為：IM-Worms：此類型蠕蟲會透過如MSN、SkYPE、QQ等即時通訊軟體做為散播途徑，蠕蟲通常會透過IM軟體發送惡意連結或傳送惡意檔案到所有的好友清單或通訊錄中。IRC-Worms：IRC蠕蟲會透過線上多人聊天室的聊天頻道進行散播，使用者電腦感染該蠕蟲，用戶端IRC軟體可能會自動登入到特定IRC頻道，等待執行惡意指令或散佈惡意連結。蠕蟲-WORM(續)P2P-Worms：該蠕蟲利用現今最流行的P2P下載軟體，透過共享資料夾進行傳播，使用者可能在線上下載並執行偽裝的惡意程式，再透過分享資料夾傳播給網路上其它使用者。NET-Worms：此類蠕蟲通常會透過應用程式或是作業系統漏洞進行攻擊與感染，並藉由網際網路或是區域網路媒介進行散播，同常俱有主動感染、快速與大規模散播的特性。Email-Worms：該蠕蟲會透過email本文或是附件散播惡意程式與惡意連結，感染後會搜尋該電腦的通訊錄清單來發送惡意郵件。Stuxnet蠕蟲分析Stuxnet蠕蟲的事件牽涉到複雜的國際關係(伊朗核能發電廠)並且以工業電腦為主要目標的手法。根據ESET的StuxnetUndertheMicroscope這份報告分析，Stuxnet蠕蟲在設計階段即以設定其攻擊的目標分為二大類：一般或特定的組織與公司特定的軟體或基礎建設

Stuxnet蠕蟲分析(續)由於目前作業系統在安裝應用程式時都會檢查其數位簽章(模式為微軟預先建立的白名單核對)為避免目標使用者在安裝Stuxnet蠕蟲時接收到作業系統不明程式安裝的警告，它使用了位在新竹科學園區的瑞昱半導體(Realtek)及智微科技(JMicron)的數位簽章，這使得蠕蟲可以在不被注意下安靜的植入目標系統。我們可以推測，蠕蟲的設計者使用瑞昱半導體(Realtek)及智微科技(JMicron)的數位簽章是依據其對設定的攻擊目標的了解而特別匯入，也就是說，一開始這個蠕蟲就帶有針對性且事先就了解目標的硬體使用狀況。

Stuxnet蠕蟲分析(續)Stuxnet蠕蟲另一個特殊的地方在於其利用Codeinjection技術植入程式碼在西門子工業電腦的相關應用程式中，這也表示設計者非常了解目標所使用的自動控制系統，因為Codeinjection要能成功執行其限制條件遠比一般技術要高很多。其使用的軟體隱藏技術(rootkit)，完整涵蓋應用程式安全模型裡的使用層(usermode)與核心層(kernelmode)，除了一般惡意程式所常使用的使用層訊息攔截技術(APIHook)外，為了加強隱藏的能力，Stuxnet甚至產生自己的一個mrxnet.sys驅動程式，以驅動程式的身分常駐在核心以躲過大部分的防毒軟體偵測。

Stuxnet蠕蟲分析(續)Stuxnet蠕蟲具有以下幾種感染的途徑:利用MS10-046WindowsShelllink漏洞透過USB磁碟感染利用MS10-061漏洞與WBEM感染利用共享文件方式利用MS08-067漏洞Stuxnet蠕蟲分析(續)為了避免被發現，使用了非常複雜的隱藏方式，包含:當程式被執行後會攔截系統API，讓使用者看到與Stuxnet蠕蟲相關的檔案。釋放一個名為mrxnet.sys的驅動程式，在開機時以MRXNET為名自動載入，直接在核心過濾任何跟蠕蟲有關的檔案。釋放另一個驅動程式Mrxcls.sys，建立了一個名為MRXCLS的服務，在啟動時自動載入並驅動。搜尋名稱為services.exe，S7tgtopx.exe等程式，並植入自己的程式碼。這都是與西門子系統相關的程式。被注入的代碼尋找名為s7otbxsx.dll的可執行模組，並嘗試hook該模組中的API函式。建立(修改)相關登錄資料，並試圖連接以及進行更新以及接收指令。

惡意程式-Malware在中國大陸此程式又稱為流氓軟體，是指在未明確提示使用者或未經使用者許可的情況下，在使用者電腦或其他終端上安裝執行，侵犯使用者合法權益的軟體。駭客利用各種手法在個人電腦中植入惡意程式後，使該電腦可被遠端控制在使用者不知的狀況下發送垃圾郵件、提供色情圖片甚至發動阻絕式服務的攻擊。<P.S>依據趨勢科技威脅研究發現(2010年4月至9月的統計資料)，排名最高的惡意程式當中有80%以上都是利用網頁來入侵使用者的系統。後門程式-Backdoor後門程式的起源有兩種，一種是不懷善意的後門程式，另一種是遠端管理程式。其目的是為了方便遠端管理，但是如果以不正當的手法、或是不懷好意的心態來使用的話，對於個人隱私卻有相當大的影響。這些後門程式最基本的可以偷偷紀錄你的密碼或個人資料，幫你開、關機，增、刪你的檔案，比較強大的（遠端管理程式）還可以監看你的螢幕，記錄你的keystroke，執行程式等；遙控者可以利用後門程式，透過預先定義好的port來控制受害者的機器，甚至會透過電子郵件、IRC或其他方式來散佈受害者的上網IP，以避免撥接者IP動態改變的問題。木馬程式-TrojanHorse木馬程式指的是一種後門程式，是駭客用來盜取其他使用者的個人資訊，甚至是遠程控制對方的電腦而加殼製作，然後透過各種手段傳播或者騙取標的使用者執行該程式，以達到盜取密碼等各種資料等目的。當系統遭植入木馬程式後，很難阻止它的行動，執行後，立刻自動登陸在系統啟動區，會隨作業系統啟動而啟動。不像電腦病毒一樣會感染其他檔案，但與病毒相似的，是具有很強的隱秘性，甚至執行後立刻自動變更檔名，甚至隱形；或馬上自動複製到其他資料夾中，執行連用戶本身都無法執行的動作。木馬程式-TrojanHorse(續)木馬程式的植入通常是利用了作業系統的漏洞，繞過了對方的防禦措施（如防火牆），然後伺機執行其惡意行為（如格式化磁碟、刪除檔案、竊取密碼等）。一般會偽裝成某種有用的或有趣的程式，比如螢幕保護程式、算命程式、電腦遊戲等，但是實際上卻包藏禍心，暗地裡做壞事；它可以破壞資料、騙取使用者密碼。特洛伊木馬不經准許就可獲得電腦的使用權。程式容量十分輕小，執行時不會浪費太多資源，因此沒有使用防毒軟體是難以發覺的。木馬程式-TrojanHorse(續)一個完整的木馬程式套裝程式含了兩部分：服務端（伺服器部分）和用戶端（控制器部分）。植入對方電腦的是服務端，而駭客正是利用用戶端進入執行了服務端的電腦。執行了木馬程式的服務端以後，會暗中打開特定連接埠(Port)，向指定位址發送資料（如網路遊戲的密碼，即時通訊軟體密碼和用戶上網密碼等），駭客甚至可以利用這些打開的連接埠進入電腦系統。木馬程式-TrojanHorse(續)木馬程式依其行為模式，區分如下：Backdoors後門程式也可以歸納為木馬的一種，其主要的特性是會在受感染的電腦上開起特定的連結埠或是服務，等待攻擊者的命令或是入侵，通常感染了後門程式也會成為傀儡網路的一員。GeneralTrojans較為廣義或有多目的性的木馬，可能會有破壞資料完整性、竊取用戶電腦資訊以及破壞電腦系統等徵狀。PSWTrojans主要以竊取用戶端電腦上相關的帳號與密碼資訊。TrojanClickers是一個終止某些殺毒軟體程序的木馬點擊器，運行後終止與安全相關的進程和服務。另外可能會阻止用戶瀏覽一些常見安全網站。木馬程式-TrojanHorse(續)TrojanDownloaders此類型木馬會透過網路下載新的變種木馬或是其它類型的惡意程式，導致惡意程式不易完整根除。TrojanDroppers此類型木馬除了本體程式之外還會承載其它的惡意檔案，其主要目的是以木馬為宿主，再植入病毒、間諜、廣告等其他類型的惡意程式。TrojanProxies這種類型的木馬主要是未經授權許可從受感染的電腦，以匿名代理服務器連上網際網路，通常被用來傳播垃圾郵件。TrojansSpies類型的木馬主要是蒐集的受感染的電腦的各種信息，包括按鍵，屏幕截圖，相關的應用程序和使用者操作動作，並將相關訊息回傳到服務端。這種類型的木馬常用來盜取用戶識別相關的信息銀行和其他在線支付系統。木馬程式-TrojanHorse(續)TrojansNotifiers這類型的木馬程序，是一個欺騙性的程序，它不會複製，主要是在客戶未許可的狀態下執行其他操作。Rootkits原為Unix作業系統的一組指令，是可以獲得電腦系統最高存取權限藉工具組(Kit)，root是Unix系統的最高存取權限，因為稱為Rootkits。它是一組收集資訊的程式，可以通過電腦安全性偵測與無法使用正常性移除方式移除；駭客利用Rootkits來隱匿入侵與攻擊行為被偵測。通常偽裝成系統檔案或驅動程式，或著被安裝於核心模組(KernelModules)中。Rootkits會快速的探測電腦帳號密碼與弱點，直到取得電腦最高存取權限。木馬程式-TrojanHorse(續)視窗木馬新病毒系統還原才能解微軟提出新的惡意軟體威脅警告，受到影響的Windows用戶只能將系統還原至前一狀態或是格式化硬碟才能完全清除。這次的罪魁禍首是「Popureb」(Trojan:Win32/Popureb.E)的特洛伊木馬病毒的最新變種，它會將部分的資料儲存在硬碟的主開機記錄區(MBR)，並且還會推出驅動程式元件監控磁碟的寫入操作，當寫入操作嘗試覆寫MBR或內含有惡意程式碼的磁區時，它就會把寫入操作取代為讀取操作，資料實際上並不會被寫入到磁碟，以防止惡意程式碼遭到更動。目前尚不清楚受到感染會出現哪些症狀，但是它的前一版本(Trojan:Win32/Popureb.B)會顯示廣告以及修改IE首頁。資料日期：2011-06-30資料來源：ZDNetTaiwan編輯部譯間諜軟體-Spyware此手法常見於各大論譠網站，當使用者不小心點選了網頁旁邊的廣告後，即有可能遭植入廣告軟體附帶的間諜程式，間諜軟體(Spyware)在未經用戶許可的情況下大量蒐集用戶個人訊息的程式，即有可能造成隱私資料遭人蒐集而作為非法用途。通常包括兩種不受歡迎的行為模式，第一種一如其名，偷看使用者如何使用系統﹙如測錄敲擊鍵盤的習慣﹚；第二種是「回傳」偷偷摸摸收集而來的機密資料。許多客戶成為間諜軟體宰割的祭品，完全不知自己的信用卡資料已被在遠端操控間諜軟體的不肖人士竊取。間諜軟體-Spyware(續)間諜程式嚴格來說與病毒或惡意程式是有所區隔的，間諜軟體通常未事先取得同意而擅自執行特定工作(例如：廣告、收集個人資訊或是變更電腦設定)。經常會與某些應用程式或是網路服務同時下載。例如註冊使用免費的音樂服務同時，可能會要求你同意接收相關廣告，或者變更網頁瀏覽器首頁、搜尋頁面，或是新增不需要或不想要的額外元件。這些程式也會讓您難以恢復原本的設定。唯一的關鍵都在於使用者是否瞭解該軟體會做些什麼事，以及是否同意在電腦上安裝軟體。間諜軟體-Spyware(續)每次在電腦上安裝任何軟體時，請確定您已經仔細閱讀所有通知，包括授權合約和隱私權聲明。有時特定軟體的文件會說明含有其他軟體，但可能會將相關資訊放在授權合約或隱私權聲明的最後。要特別注意的是，前述這些狀況都是在使用者可能疏忽的情形所衍生的問題；但是間諜軟體安全威脅還可能包括間諜程式(如側錄鍵盤動作、帳號、密碼)、惡意撥號程式、惡作劇程式、駭客工具、遠端存取工具、密碼破解應用程式，以及其他未分類的軟體等等，所以絕對不要等閒視之。間諜軟體-Spyware(續)用Bing搜尋GoogleChrome,竟被間諜軟體附身?!如果你使用微軟的Bing來搜尋現在的熱門瀏覽器–GoogleChrome。你會看到下面這個畫面：資料日期：2011-07-07資料來源：趨勢科技DavidPerry（趨勢科技全球教育訓練總監）間諜軟體-Spyware(續)就跟你會期望看到的一樣。大多數人會直接點最上面的連結，也就是說，其實是點到最上面的付費廣告。你會被重新導到一個下載頁面，讓你能夠馬上下載Chrome。下面就是這個連結會帶你去的地方。

間諜軟體-Spyware(續)但如果你點了下載按鈕，也就是右上角的那個藍色大按鈕，你的InternetExplorer瀏覽器會出現警告，告訴你，這個下載可能是有問題的。如果你不去注意它，那麼最後你就會有個中毒的系統。趨勢科技威脅反應工程師KathleenNotario指出，一旦下載了這個檔案，它會存成chrome_11.0.696.68.exe（偵測為TSPY_ONLINEG.MU）在系統中。這個間諜軟體接著會產生檔案cleanhtm.exe和cleanhtm.dll到%ApplicationData%目錄裡。這些檔案具有rootkit的功能，可以隱藏自己的進程（Processes）和檔案不被使用者發現。TSPY_ONLINEG.MU還會修改hosts檔案並加入以下內容：l

{BLOCKED}{BLOCKED}.118.187l

{BLOCKED}{BLOCKED}.118.188l

{BLOCKED}{BLOCKED}.118.188所以當使用者想要連到上述網站時，就會連到這些攻擊者所擁有的IP位址。殭屍網路-BotNet殭屍網路(BotNet)：由被殭屍程式所控制的電腦組成的網路，攻擊者可以發布指令展開分散式阻斷服務攻擊(DDoS)、發送垃圾郵件或作為匿名代理器。這些被殭屍程式感染(控制)的電腦，就是殭屍電腦(Zombie)，有些人稱之為「肉雞」，通常只是殭屍網路裡面眾多中的一環，而且會被用來去運行一連串的或遠端控制的惡意程序。很多「殭屍電腦的擁有者」都沒有察覺到自己的系統已經被「殭屍化」，就彷彿是沒有自主意識的殭屍一般。殭屍網路-BotNet(續)特性針對有漏洞的電腦(主機)，自行展開攻擊會自動變種並自我複製隱藏能力高不易被發現短時間內造成大量感染具備自動刪除功能殭屍網路-BotNet(續)感染途徑電子郵件，如社交工程。網頁瀏覽，如網頁掛馬、釣魚網站、網頁重導等。系統漏洞。P2P軟體，如免費工具軟體、偽冒修補程式，破解程式等。即時通軟體，如MSN、Messenger……等其他惡意程式、木馬、後門程式等殭屍網路-BotNet(續)惡意行為模式分散式阻斷攻擊，SYNFlood、UDP

Flood……且取使用者資料，側錄程式、帳號密碼、信用卡卡號、銀行帳號散佈垃圾郵件，蒐集通訊錄資料恐嚇或綁架檔案，DDOS，重要檔案加密……殭屍網路-BotNet(續)殭屍電腦已被廣泛用於傳發垃圾電郵，在2005年，估計有50至80%的垃圾電郵是由殭屍電腦傳送。同理，殭屍電腦被用來做「點擊欺騙」(clickfraud)，就是點擊那些按點擊次數付費的網路廣告。其他則被用來充作釣魚(phishing)或者錢騾(moneymule)招募網站的宿主。所謂錢騾(moneymule)，是犯罪份子針對使用線上金融交易的小型企業，使用特殊的木程式馬(如：Zeus和URLzone，竊取其銀行憑證，然後將錢匯出受害者帳戶，金額通常在美金數萬元到數10萬元。殭屍網路-BotNet(續)殭屍電腦同樣可以用來進行分散式拒絕服務攻擊(DDOS)，比如2003年針對SPEWS服務的攻擊，和2006年對藍蛙（BlueFrog）服務的攻擊。2000年，一些著名的網站（雅虎、易趣等等）被加拿大的一個青少年使用分布式拒絕服務攻擊而使網站的整個運營陷入停頓。殭屍網路（ZombieNetwork)超級殭屍網路：TDSS三個月感染450萬部PCTDL透過強大的Rootkit藏匿在系統之中，加上其加密通信的特性，讓其難以防禦，尤其作者已經領先其他惡意軟體，開發出64位元的Rootkit。卡巴斯基估計該惡意軟體在三個月內已經感染了450部電腦，其中28%是在美國，印尼及印度各佔7%。卡巴斯基公布一份研究報告表示，TDSS殭屍網路可能是當今最先進的殭屍網路，其軟體使用多種方式閃避簽署、主動偵測、被動偵測，殭屍網路間的聯繫也採加密式通訊，TDSS含有強大的Rootkit模組，比其他惡意軟體更難以被發現。該惡意軟體才被發現三個月，卻以驚人的速度進駐約450萬部電腦。資料日期：2011-07-01資料來源：.tw/itadm/article.php?c=68456殭屍網路（ZombieNetwork)20大病毒資料日期：2011-04-21資料來源：趨勢科技電腦病毒演進40年,20大病毒出列

網路雲端防毒專家趨勢科技(東京證券交易市場股票代碼：4704)以「新病毒開發概念」以及「電腦疫情擴散嚴重性」為分析準則，條列出史上20大病毒。病毒的攻擊模式從1998年至2011年間有相當幅度的改變，從早期的梅麗莎、我愛你ILoveyou等知名病毒以大量擴散、迅速爆發的模式取得國際關注，演化為近年來以運用惡意程式鎖定單一目標，如:政府機關、軍事單位、民間企業、教育機構等進行「智慧化」攻擊，病毒的演變史與人類科技智慧一樣越來越聰明。病毒史中的20大病毒CREEPER(1971)-首隻Creeper病毒是在DEC10電腦的TOPSTEN操作系統下運作。ELKCLONER(1985)-是首隻在AppleIIe中運作的病毒。這隻病毒是由一個15歲的高中生所撰寫。

THEINTERNETWORM(1985)-是由Cornell康乃爾大學的一名研究生所撰寫，是首隻造成網路的停擺病毒。PAKISTANIBRAIN大腦病毒(1988)-是第一隻感染IBM個人電腦的病毒，由來自巴基斯坦的兩兄弟所寫成。雖然病毒在科幻故事中已為人熟知，這卻是首隻受媒體大篇幅報導的病毒。JERUSALEMFAMILY耶路撒冷(1990)-此病毒約有59個變種，是以當時最多變種的病毒,據信來自Jerusalem耶路撒冷大學。STONED石頭(1989)-是在病毒開始肆虐的第一個10年間散播最廣的病毒，stoned是開機程式MBR感染程式，會計算從受感染開始的重新開機次數，並顯示一則「yourcomputerisnowstoned」訊息。DARKAVENGERMUTATIONENGINE(1990)-此變種引擎實際上是在1988年寫成的，但到了90年代初期才被運用在如POGUE和COFFEESHOP病毒中。這個變種引擎是第一個真正在網路間流傳的千面人（Polymorphism）病毒,千面人病毒乃指具有“自我編碼”能力的病毒，其目的在使其感染的每一個檔案看起來皆不一樣，藉以躲避以掃描固定病毒碼為技術的防毒軟體偵測，可說是第一個會干擾防毒軟體偵測的病毒，從此改變了病毒的作用方式。MICHEANGELO米開朗基羅(1992)-是STONED的變種，挾帶了致命性的惡意程式。在3月6日，這隻病毒將會清除掉硬碟中的前100的區塊，讓硬碟毫無用處。WORLDCONCEPT(1995)-是網路世界第一隻MicrosoftWordMacro文件巨集病毒，WordConcept會顯示一則訊息「這就足以表達我的論點」“That’senoughtoprovemypoint”的訊息。此病毒開啟了電腦病毒的次世代，由於此電腦病毒會讓駭客所需的技術階層下降，因此深具重要性。CIH/CHERNOBYL(1998)-是當時有史以來破壞力最大的病毒。此隻病毒會在任何一個月份的26日展開攻擊（依不同的病毒版本為主），會同時清除硬碟及造成電腦ROMBIOS毀滅性破壞，導致電腦無法使用。由於它執行於舊的Windows9X作業系統，目前CIH不再像剛出現時分布那麼廣泛傳播Melissa梅麗莎(1999)-首隻透過電子郵件散播的主要病毒，也開啟了網路病毒的年代。雖然Melissa不具毀滅性，但所到之處因為會複製並塞爆電子郵件收件匣而造成困擾。1999年3月26日晚間MELISSA展開大規模的"全球性感染"，一夕之間迫使著名的大型企業強迫關閉他們的EMAILSERVER，紐約時報（NEWYORKTIMES）甚至以"前所未有的INTERNET病毒風暴"來形容，ＦＢＩ也對各公民營企業發出呼籲，甚至發出通緝令將逮捕該名病毒作者。LOVEBUG/ILoveYou情書/愛情蟲(2001)-最熱門的電子郵件病毒，純粹由社交工程(SocialEngineering)陷阱手法驅動。CodeRED紅色警戒(2001)-是以一款暢銷的含高咖啡因不含酒精之飲料為名，這隻網路病毒不需透過電子郵件或網頁來散佈，它自己會去尋找並感染具弱點漏洞之電腦。NIMDA娜妲(2001)-被稱為「瑞士萬用刀」的病毒，使用緩衝區溢位、電子郵件網路分享等不下10種之方式進入到網路中。BAGEL/NETSKY(2004)-這兩隻病毒會在程式碼中互相較勁，用不堪的髒話隔空喊話，互相攻擊對方。每隻病毒都分別有上百的變種，及不同數量的新技術和成功紀錄，也因此這兩隻病毒幾乎整年皆是新聞話題。同時Bagle和Bobax是最早用來散發垃圾郵件的二個殭屍網路Botnet。殭屍網路/傀儡網路Botnet(2004)這些網路的傀儡殭屍戰士們讓網路犯罪份子們取得了不計其數受感染電腦的控制權，這些電腦皆可在網路中被重新設定來轉寄垃圾訊息，感染新的受害者以竊取資料，讓不法之徒可以利用做為資料販售謀利。ZOTOB(2005)病毒只會感染未經修補的windows2000系統，但也拿下了數個主要的媒體網站，包括CNN和NewYorkTime紐約時報。Rootkit(2005)-廣義來說，Rootkit其實是一項技術，用來隱藏駭客所進行的活動，目前已然成為惡意程式世界中最受歡迎的隱匿工具，使惡意軟體隱形避開系統監測。STORMWORM(2007)-透過上千回的覆式流程，最後形成了世界最大的殭屍網路/傀儡網路Botnet。一度認為共有高達1千5百萬台電腦同時遭到感染，受地下犯罪世界所操控。ITALIANJOB(2007)-不是單一的惡意軟體，而是使用以MPACK為名的預先包裝工具套組進行協調攻擊。手法包括腐蝕超過上萬的網站，造成植入現代的竊取資料的惡意軟體（DataStealingMalware）。

社交工程介紹「社交工程」是指利用人性弱點，哄騙他人提供個人資料(如密碼)的技倆，而這種技倆足以危及系統的安全。非法電子郵件有時會看似來自真實的寄發來源，藉此騙取個人資料或敏感資料。此類侵害通常稱為「社交工程攻擊(SocialEngineeringAttack)」，具體地說，就是「仿冒詐騙(Phishing)」。社交工程攻擊四步驟社交工程攻擊首先取得一個攻擊目標的背景資訊，透過交談與受害人建立信任，然後向受害人要求資訊，再利用這些資訊向其他或更高層人員欺騙，不斷重覆這些步驟，以達成最後目標。應用社交工程的各種攻擊方法除了利用電話詐騙之外，常見的社交工程攻擊還包括以下幾種模式︰

社交工程攻擊方式電子郵件隱藏電腦病毒駭客利用社交工程的概念，將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，這些看似朋友所寄來的郵件，卻是應用社交工程的電子郵件陷阱，例如過去造成重大損害的ILOVEYOU蠕蟲，就是一種利用社交工程散播的電腦病毒。

偽冒郵件社交工程攻擊方式(續)網路釣魚有一種偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，這種詐騙稱為網路釣魚。收件人若未求證而直接連上郵件中的鏈結，可能就下載了惡意程式或者在假網頁上輸入了帳號密碼或信用卡等資料，將造成銀行戶頭被盜領或盜刷等的嚴重後果，這是近年來造成個人與企業極大損害的犯罪手法，而網路釣魚就是一種典型的社交工程攻擊。釣魚網站通常會唯妙唯肖地模仿合法的網站，藉由釣魚郵件或是廣告軟體等誤導使用者連結至釣魚網站輸入帳號密碼或個人資料，達到騙取個人資訊的目的；釣魚網站的網址通常會申請與受害網站非常相似的網域名稱。社交工程攻擊方式(續)webmail.tku.edu.tw webmail.tku.eud.tw 淡江大學webmailwww.chinatrn.tw www.chinatru.tw 中國信託www.ntx.gov.tw www.ntx.com.tw 財政部北區國稅局TW.BID.YAHOO.COM TW.BlD.YAHO0.COM 雅虎拍賣www.vvretch.cc/

www.wretch.cc/

無名小站www.pchom.tw

www.pchorn.tw

PCHomeservice@1.tw service@l.tw 土地銀行社交工程攻擊方式(續)圖片中的惡意程式明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一，這些都是利用使用者的好奇心來散佈惡意程式，之前Sobig網路病毒出現在某個含有色情內容的網路討論群組，網友點選了其中像是裸照的內容就會感染病毒，而該病毒總共導致了約10億美金的損失。偽裝修補程式另一種社交工程的欺騙手法，就是偽裝成微軟的修補更新程式，因為一般使用者不會覺得這是來路不明的程式，卻沒有防範社交工程也會利用這個漏洞，而將惡意程式隱藏其中。使用者若安裝了這個檔案，不但不會修補作業系統的任何漏洞，還可能被安裝了遠端竊取資料的木馬程式。Microsoft山寨版防毒軟體Microsoft山寨版防毒軟體(續)Microsoft山寨版防毒軟體(續)Microsoft山寨版防毒軟體(續)Microsoft山寨版防毒軟體(續)Microsoft山寨版防毒軟體(續)Microsoft山寨版防毒軟體(續)社交工程攻擊方式(續)即時通等社群軟體或網站也是社交工程新途徑近年來，社交工程傳播惡意程式的途徑擴大至即時通訊軟體，如MSN、ICQ、YAHOO即時通、QQ等。2005年2月，一個使用MSN大量散播的病毒造成嚴重災情，這個電腦病毒會利用MSN自動傳檔給MSN連絡人上的朋友，亞洲各國皆傳出災情，包括台灣的案例也有千起以上。Fortinet公佈的今年四月網路威脅概況月報顯示，兩個最新的惡意軟體已鎖定Facebook用戶。這些惡意軟體企圖讓使用者以為它們來自Facebook，宣稱使用者的Facebook密碼已重設，並隨附件檔案提供新的密碼。一旦使用者點擊附件，電腦便會立即遭受感染。社群網站攻擊手法社群網站攻擊方式說明Facebook按「讚(Like)」即遭感染典型手法是，駭客利用季節性事件、名人新聞甚至是災難消息發表吸引人的貼文，使用者一旦點擊連結，無意中也讓自己變成攻擊幫兇。流氓應用程式駭客開發流氓應用程式，發佈垃圾訊息或進行網路釣魚攻擊。聊天室攻擊駭客利用聊天訊息散播惡意軟體，或是宣傳網路釣魚應用程式。Twitter垃圾訊息&下載惡意軟體駭客運用Twitter微網誌的字數限制特性，散布短卻引人注意的訊息，此類訊息中通常含有惡意程式，將使用者導向特定網站，目的是為了竊取使者個人資訊。TwitterBot駭客們利用Twitter發展出管理和控制殭屍網絡的方法資料來源：趨勢科技，資安人整理，2011/6Facebook郵件攻擊假冒Facebook要求重新登入通知信預覽就中毒，趨勢科技表示員工個人信箱恐成企業目標攻擊的管道趨勢科技日前發現一則假冒臉書(facebook)為名發出的客製化中文電子郵件攻擊,郵件標題為「你曾在其他新地點登入過Facebook？」，和其他電子郵件攻擊不同的是，網友不需要打開電子郵件去點擊連結或下載執行附件檔，只要使用者在瀏覽器中預覽郵件會中毒。一旦使用者預覽該信件，將被下載一個名JS_AGENT.SMJ的惡意程式，請使用者去一個網址下載一個腳本(Script)，之後將開始盜取電子郵件相關資訊並設定自動轉寄功能到駭客指定信箱，以方便駭客可以同步收到受害人信箱內所有的信件。資料日期：2011-5-17資料來源：趨勢科技駭客入侵的手法資訊收集收集電腦的相關資訊,以利入侵行動。利用ping、whois收集使用IP網段。利用nmap/strobe找尋作業系統版本。利用RPC找尋遠端存取服務。利用CGISCAN找尋Web上的漏洞。透過DNSZoneTransfer找出有註冊網域名稱的系統，取得較明確的攻擊目標。SearchEngine：google、yahooNews、公佈欄及其他…社交工程也是資訊收集的手段之ㄧ，而且效果很好。駭客入侵的手法(續)監聽或掃描對攻擊目標送出特定的封包，想辦法找出有用的資訊利用各種工具,達到收集軟體版本的資訊利用網路與作業系統方式聽取特定資訊網路方式監聽(sniffer、esniffer、supersniffer)作業系統方式監聽(ttysniffer、keylogsniffer)Traceroute、Nessus、PortScan等防火牆的policy駭客入侵的手法(續)入侵及破壞以偽冒方式，偽造IP或其它網路資訊，將惡意程式或資料植入目標。藉由系統或是應用程式漏洞，侵入目標。或以密碼破解方式直接侵入目標，取得系統管理權限。直接攻擊，如攔截及更改封包，竄改網頁、阻斷服務攻擊(DOS)等。安裝後門程式或遠端管理程式。安裝竊聽程式。當作攻擊的跳板，再向其他的主機發動攻擊，如分散式阻斷服務攻擊(DDOS)。駭客入侵的手法(續)清除入侵紀錄刪除或修改log檔隱藏檔案，繼續潛伏。駭客入侵的手法(續)蘋果遭AntiSec駭客入侵由LulzSec及Anonymous駭客集團所組成的AntiSec反機密聯盟，於週日(7/3)在網站公布蘋果公司網站的27筆帳號及密碼。不過AntiSec在Twitter上表示，蘋果目前不需要緊張，蘋果可能是目標之一，但他們還在忙別的事情。蘋果曾宣稱iTunes商店有高達2.25億個帳號連結信用卡資料，如果資料慘遭竊取，後續處理費用可能比先前Sony遭入侵更為嚴重。蘋果在去年七月曾承認約400個帳號密碼遭竊，之後大幅提昇iTunes等線上商店所用的AppleID帳號密碼安全等級。蘋果公司尚未針對這兩起入侵事件提出說明。

資料時間：2011-07-05資料來源：iThome即時新聞駭客入侵的手法(續)花旗銀行資料外洩案：客戶損失270萬美元華爾街日報上周引述消息來源報導，花旗銀行遭駭客入侵後，向政府官員報告其中3400名外洩的信用卡客戶資料己導致客戶損失270萬美元。花旗銀行是在今年5月進行例行性偵測時發現信用卡的線上帳號系統遭到駭客入侵，總計有36萬名客戶帳號資料外洩，約佔北美客戶帳號的1%，外洩的資料涵蓋姓名、帳號號碼，以及包括電子郵件在內的通訊資訊，但社會安全碼、生日、卡片有效日期及卡片安全碼並未受到危害，根據PonemonInstitute的研究調查顯示，因駭客攻擊所造成的每筆資料外洩平均成本將高達318美元。

資料時間：2011-06-27資料來源：iThome即時新聞電腦基本防護與防範安裝防毒軟體安裝防火牆養成良好使用習慣安裝防毒軟體防毒軟體通常含有即時程式監控識別、惡意程式掃描和清除和自動更新病毒資料庫等功能，有的防毒軟體附加損害恢復等功能。防毒軟體所賦予的任務是隨時監控電腦程式的舉動、及掃瞄系統是否含有病毒等惡意程式。部分防毒軟體可經由作業系統開機後隨常駐程式啟動。安裝防毒軟體(續)防毒軟體對於即時監控的技術不盡相同。有的防毒軟體，會利用部分空間，使正在進行的程式特徵與病毒資料庫比較，以判斷是否為惡意程式。另一些防毒軟體會利用一些空間，模擬系統或使用者所允許動作，使受測程式執行內部程式碼的要求，根據程式的動作即可判斷是否為病毒。安裝防毒軟體(續)掃描硬碟的方式，則和上面提到的即時監控的第一種執行程式一樣，只是在這裡，防毒軟體會根據使用者的需求（掃描的定義範圍）做一次檢查。另外，防毒軟體更涉及更多掃描技術。掃描壓縮檔技術，即是對壓縮檔案和封裝檔案作分析檢查的技術。具備程式竄改防護，即是避免惡意程式藉由刪除防毒偵測程式而大肆破壞電腦。具備修復技術，即是對惡意程式所損壞的檔案進行還原。安裝防毒軟體(續)雖然現在大部分的防毒軟體都有行為模式偵測功能，分作兩個部份，一個是傳統防毒掃描，一個是網路行為模式比對，但還是會中毒，並沒有百分百的安全。安裝防火牆防火牆(firewall)是一項協助確保資訊安全的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可能是硬體或是軟體。防火牆最基本的功能就是控制不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域，而內部網路是高度信任的區域，兩個不同的區域應該套用不同的安全策略，為避免安全策略中禁止的一些通訊未經允許直接流入網際網路，或是網際網路具威脅的通訊直接流入內網造成影響，就使用防火強將兩個區域隔離，藉由事先律定的規則，允許或不允許相關通訊的通行。防火牆的種類封包過濾防火牆(Packet-filteringFirewall)狀態檢視防火牆(statefulInspectionFirewall)代理防火牆(Proxy)電路層閘道器(CircuitLevelgateway)應用層閘道器(application-levelgateway)防火牆的種類封包過濾防火牆(Packet-filteringFirewall)可視為一種IP封包過濾器，以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止(另一種較寬鬆的防火牆規則，只要封包不符合任何一項「否定規則」就予以放行)。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內建的規則。較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源IP位址、來源埠號、目的IP位址或埠號、服務類型(如WWW或是FTP)。也能經由通訊協定、TTL值、來源的網域名稱或網段...等來進行過濾。防火牆的種類(續)通常只檢查IP、TCP、UDP、ICMP封包的標頭(Header)，並不會檢查資料段內容。獨立的過濾個別封包。依據封包標頭的欄位檢查:來源地的IP位址目的地的IP位址協定(TCP，UDP,…)TCP或UDP的來源埠TCP或UDP的目的埠ICMP的訊息防火牆的種類(續)優點：建置簡單便宜、效率佳。具透通性，用戶端機器無需作任何設定。缺點：難以設計出一組長期有效又正確的無誤過濾規則。無法處理應用層協定，所以對於封包資料段或特定應用服務弱點的攻擊方式無能為力。缺乏驗證能力，安全性較差。防火牆的種類(續)狀態檢視防火牆(StatefulInspectionFirewall)是一種動態封包過濾的防火牆技術，能夠更細部(moregranularly)的檢視封包及連線工作階段的防火牆類。狀態檢視防火牆不僅採用封包過濾類似的方法來監控網路傳輸，還會更進一步檢查封包資料流的內容與行為，並非只是單純地過濾個別封包。持續追蹤連接狀態直到結束連線為止，藉以判斷是否為有效的連線而允許封包通過。建立每個連線階段的狀態表，然後根據此前後關聯狀況來判斷是否允許或拒絕此封包通過。防火牆的種類(續)優點狀態檢視防火牆可以透過連線狀態來判斷是否為合法授權的封包，所以安全性較靜態封包過濾防火牆為高。缺點效能較封包過濾稍差。無法處理應用層協定。通常在安全性與效能上取捨與妥協下，此類型防火牆是常被採用的類型。防火牆的種類(續)代理防火牆（ProxyFirewall）電路層閘道器(CircuitLevelgateway)應用層閘道器(application-levelgateway)防火牆的種類(續)電路層閘道器針對內部使用者要和外部進行TCP連線時，會建立二個TCP連線處理，一個是內部使用者和閘道器間的TCP連線，另一個是閘道器與與外部的連線。不允許用戶端點與網際網路伺服端點間的直接連線，可以隱藏內部IP位址。處理封包標頭和連線狀況。一種屬於共通的代理程式，並非特定應用程的代理器。防火牆的種類(續)防火牆的種類(續)優點：通常比另一種應用層代理閘道器快速。為一般目的的共用型代理服務，可支援許多應用層協定的代理存取功能。提供比封包過濾防火牆較佳的記錄功能。缺點：需要修改用戶端應用程式或TCP/IP協定堆疊。無法處理應用層協定。除了TCP、UDP外，並無法限制其它協定(如ICMP)。防火牆的種類(續)應用層閘道器此類型防火牆是在TCP/IP堆疊的「應用層」上運作，使用瀏覽器時所產生的資料流或是使用FTP時的資料流都是屬於這一層，屬於能夠更深度檢視封包內容的代理(Proxy)服務。負責處理特定應用層協定(例HTTP、FTP)的請求，並依據此應用協定的安全性規則，決定攔截(或允許)進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料進到受保護的機器裡。防火牆的種類(續)防火牆的種類(續)優點支援代理存取，可避免內外直接連線並隱藏內部位址。可過濾封包內容(Contents)與命令來阻斷針對應用協定弱點的攻擊。若閘道器中沒有包含某種特定程式的代理程式碼的話，則此種類型的封包將無法進出防火牆。對於應用層協定的流量進出，可以作較詳盡的記錄或稽核。防火牆的種類(續)缺點效能較差，需針對特定應用層的連線或作內容或命令篩選。擴充性差，需針對每個應用類型撰寫對應的代理程式，不僅擴充性差且代理程式價錢高。管理及系統資源負荷較高，應用層閘道器設定複雜度較高，較可能因設定不當而造成存取問題，此外，也比較耗費系統資源。防火牆無法做到的事防火牆雖然可以過濾網際網路的封包，但卻無法過濾內部網路的封包，因此若有人從內部網路攻擊時，防火牆是毫無用武之地的。電腦本身作業系統亦可能一些系統漏洞，使入侵者可以利用這些系統漏洞來繞過防火牆的過濾，或是透過其他方法取得內部機器存取權限，進而入侵電腦。防火牆無法有效阻擋內部機器執行惡意程式碼，或病毒的攻擊，尤其是隱藏在資料中的病毒。無法防制新的威脅，或管制不經過它的網路連線。養成良好習慣安裝防毒軟體一定要隨時更新病毒碼及掃毒引擎，並適時(定期)掃毒，通常防毒軟體會提供排程功能，讓使用者可以自動(定期)更新與掃毒。一個是要適時做更新相關軟體，尤其是作業系統，最好啟動自動更新功能。修補各類平台的漏洞，例如：Windows、Linux…等；修補各類套裝中體的漏洞，例如：MSSQL系列產品、Office系列產品的servicepack更新…等。養成良好習慣(續)安裝防火牆後，一定要定時檢視政策(規則)。密碼安全原則不要使用簡單的密碼，如：生日、單字或電話號碼，密碼的長度至少要8個字元以上，包含數字、大、小寫字母和鍵盤上的特殊字元混合。對於不同的網站和程式最好使用不同密碼，以防止被駭客破解。要記錄好你的ID和密碼以免忘記，但不要將記錄存放在上網的電腦中。不要為了下次登錄方便而保存密碼。經常更改密碼和不要向任何人透露您的密碼。養成良好習慣(續)電子郵件安全原則不要輕易打開電子郵件中的附件，更不要輕易執行郵件附件中的程式，除非你知道資訊的來源。要時刻保持警惕性，不要輕易相信熟人發來的E-mail就一定沒有惡意程式。不要在網路上隨意公佈或者留下您的電子郵件地址，去轉信站申請一個轉信信箱，因為只有它是不怕炸的。不回應任何來自不明單位於電子信件中要求提供個人隱私安全相關資訊，這些資訊包括使用者名稱、密碼、帳號。不點選來路不明的電子郵件中所載之網頁連結。不利用校園網路轉寄垃圾信函。養成良好習慣(續)在E-mail用戶端軟體中限制郵件大小和過濾垃圾郵件。使用遠端登錄或網頁信箱的方式來預覽郵件。對於郵件附件要先用防病毒軟體和專業清除木馬的工具進行掃描後方可使用。收信軟體取消【信件預覽】功能。將郵件傳送格式從「HTML」改用「純文字」。養成良好習慣(續)使用電子郵件應有的警覺性觀念：為何會收到這封郵件？是不是應該收到這封郵件？是不是有必要開啟附件或點選連結？做好信箱管理，很多網站會員或抽獎活動都要填寫個人E-Mail，現在人應該不只一個E-Mail信箱，可以填寫其中一個不常用的信箱來收垃圾信，這樣可以保護其他重要的信箱不受垃圾信件或釣魚郵件的騷擾。搭配「自然人憑證」確認身分&使用密件傳送。養成良好習慣(續)瀏覽器安全原則在使用公共電腦上網時，最好停用瀏覽器的自動完成功能，並在離開之前一定要清除歷史記錄。還要使用具有控管Cookie的安全程式，因為Cookie能將資訊傳送回網站，當然安裝個人防火牆也可對Cookie的使用進行禁止、提示或啟用。瀏覽器中的安全設定至少設為中高安全性(以上)，並注意網頁網址是否正確，盡量不要瀏覽不明網頁或是直接開啟不明來源的網頁鏈結。

使用者在瀏覽網站時，常會有一些網站要求使用者安裝某些軟體，這時候必須注意網站所要求安裝的軟體是否為合法、安全的軟體。如果無法確定，則最好不要任意安裝或執行那些軟體。養成良好習慣(續)聊天室安全原則在使用聊天軟體的時候，最好設定為隱藏用戶，以免別有用心者使用一些專用軟體查看到你的IP地址，然後採用一些針對IP地址的駭客工具對你進行攻擊。預防Java炸彈，攻擊者通常發送一些帶惡意代碼的HTML語句使你的電腦打開無數個窗口或顯示巨型圖片，最終導致當機。絕對不要任意開啟別人傳送過來的網址鏈結。養成良好習慣(續)網路購物安全原則帳號、密碼定期更換並不隨意供人使用。多留意購物網站的公告與新聞。做金融交易前，先確認所使用電腦當時環境是「乾淨無毒」的狀態。不隨意安裝免費軟體，以免感染木馬程式使密碼遭竊。確認該「購物網站」是正確的。(DNS的問題??)養成良好習慣(續)網路搜尋點選搜尋引擎所提供的連結以前，先注意該連結之網址是否正確。盡量勿用「不具有惡意連結提醒」之搜尋引擎。取得搜尋結果後，盡量不要從不知名網站（特別是不可靠的FTP）或是某些部落格提供的鏈結去下載，最好找到官方網站下載較為可靠。

養成良好習慣(續)不要下載、拷貝、安裝、執行來路不明的軟體(如：破解程式、遊戲外掛等)。不下載來路不明的軟體或檔案(圖片、影片、壓縮檔、Word、Excel)，在網際網路裡，有許多來路不明的檔案可能會對電腦系統造成損害，這些檔案很可能含有惡意的程式，會讓電腦受到病毒的感染、存放的資料被竊取、系統被破壞等等，因此最好不要任意下載或使用不明的軟體或檔案。不要太容易信任別人，不要輕易安裝和執行從那些不知名的網站（特別是不可靠的FTP）下載的軟體和來路不明的軟體。養成良好習慣(續)關閉不必要的服務，如：IIS、FTP、網路芳鄰等。只開啟必要的連接埠(port)。盡量減少使用P2P或BT…等點對點傳輸軟體。定期去了解資安的訊息。重要資料要養成多重備份的習慣。幾個簡單的指令netstat–anoTasklistnslookup電腦中毒的處置立即切斷網路，使網路處於離線狀態(如拔除網路線或將網卡停用)。由其他安全的電腦上網下載最新之病毒碼，並查詢中毒情況及解毒方式(取得解毒程式或工具)。於安全模式下執行掃毒程式，利用解毒程式或防毒軟體正確移除病毒。使網路連線(如裝上網路線或將網卡啟用)。開啟防火牆。後重新開機至一般模式。開機後執行Windowsupdate，於開始/控制台/自動更新設為「自動」。確定防毒軟體為啟動且病毒碼為最新的狀況下並將病毒碼更新設為自動。若無法開機，只能格式化硬碟重新安裝作業系統。電腦遭到駭客入侵時處理原則立即停止使用網路與外界連線。確認作業系統相關修補程式已部署使用。啟動可信度高的防火牆管控與外界連線。使用可信度高的防毒軟體做系統全盤掃瞄，找出可能潛在的主動式木馬程式。若遭受駭客入侵的情況依然無改善則須立即停用網路，並考慮重新安裝作業系統。連絡可能受到影響的個人或單位，並更改重要系統、服務的帳號密碼。倘若遭到駭客入侵的影響甚鉅，包含重大機密資料遭竊或相關財務損失，則需考慮向警方報案尋求協助處理。防毒軟體介紹來源：AV-Comparatives

這是由

AV-Comparatives

在今年2月所做的防毒軟體手動掃描檢測能力報告，數值越高越好。防毒軟體介紹(續)來源：AV-Comparatives

防毒軟體誤報率排名，數值越低越好防毒軟體介紹(續)來源：AV-Comparatives

防毒軟體掃描速度評比，數值越高越好。防毒軟體介紹(續)防毒軟體名稱：卡巴斯基(Kaspersky)台灣網站.tw/防毒軟體名稱：賽門鐵克台灣網站/zh/tw/防毒軟體名稱：趨勢科技(PC-cillin)台灣網站.tw/index.html防毒軟體名稱：ESETNOD32