200 likes | 387 Views
資訊安全. 電腦病毒與駭客入侵. 目錄. 1. 電腦病毒介紹 2. 駭客入侵的方式 3. 駭客的威脅 4. 如何防禦. 電腦病毒. 【 電腦病毒 】 只是一段幾 k Bytes 的程式,它是一種會不斷自我 【 繁殖 / 複製 ( 自我拷貝 )】 或 【 感染 / 覆寫 】 的程式碼,通常它都會寄存在可執行的檔案之中,或者是軟、硬碟的開機磁區啟動部份。
E N D
資訊安全 電腦病毒與駭客入侵
目錄 • 1.電腦病毒介紹 • 2.駭客入侵的方式 • 3.駭客的威脅 • 4.如何防禦
電腦病毒 • 【電腦病毒】只是一段幾k Bytes的程式,它是一種會不斷自我【繁殖/複製(自我拷貝)】或【感染/覆寫】的程式碼,通常它都會寄存在可執行的檔案之中,或者是軟、硬碟的開機磁區啟動部份。 • 既然電腦病毒只是一段程式,那麼它有沒有什麼特性存在呢?答案是『有的』。舉個例子來說,一般最常見到的電腦病毒特性為【檔案長度的增加】、【在螢幕上顯示訊息】以及【不斷的去感染其它程式】等等,對於這一類的程式,我們都可以通稱它為『電腦病毒』。
一般來說,我們把電腦病毒根據其所影響的地方,我們可以區分為下面五大種類:一般來說,我們把電腦病毒根據其所影響的地方,我們可以區分為下面五大種類: • <1>檔案型病毒 • <2>開機型病毒 • <3>混合型病毒 • <4>WORD文件巨集病毒 • <5>視窗型病毒
檔案型病毒 • (1)定義: • 所謂『檔案型』病毒就是指電腦病毒會依附在程式的可執行檔上面,我們稱之為檔案型病毒。 • (2)病毒實例: • 將以前的電腦病毒累積起來做個統計,檔案型病毒佔了絕大部份電腦病毒的比例以上。我們常見到的檔案型病毒有Connie系列病毒與耶路撒冷(Jerusalem)系列病毒等等。當然還有其它的檔案型病毒,只不過我們把比較常見的電腦病毒列出來,提醒使用者特別小心就是了!
開機(系統)型病毒 • (1)定義: • 由於開機型病毒通常會去感染硬碟或磁片的系統啟動部位,因此開機型病毒我們又稱之為『系統型』病毒。通常這一類型的電腦病毒會吃掉電腦中的記憶體(memory);也就是說在有電腦病毒常駐的情形下由硬碟開機的話,則記憶體就會減少了幾k。 • 另外,在比較嚴重的情形之下,由於此類型的電腦病毒可能破壞電腦的系統部位,所以它也有可能使你的電腦無法正常的開機,這就是開機型病毒最大的威力所在! • (2)病毒實例: • 至於開機型病毒是以『猴子(MONKEY)』病毒最為典型,另外像是曾經流行一陣子的米開朗基羅』病毒(又名:石頭三號病毒)也是屬於此類型的病毒。!!!當您的電腦中了Monkey病毒之後,我們還是可以正常由硬碟開機,若是此時我們以開機磁片由A槽開機的話,則會出現找不到C的情形(如:Invalid drive specification)。
混合型病毒 • (1)定義: • 就『混合型病毒』而言,顧明思義的我們可以知道它是由『檔案型』病毒以及『開機型』病毒的特性混合而成的,所以稱之為混合型病毒是最恰當不過的。 • 理所當然的是,此混合型病毒也同樣的具有檔案型病毒與開機型病毒的特性,通常這一類型的電腦病毒流傳率最高,原因是一旦在我們電腦在開機時只要感染了混合型病毒之後,隨之而後的在自動執行檔(AUTOEXEC.BAT)中所執行過的每一個程式、檔案都會被這隻混合型病毒所感染到。由於電腦病毒早就已經常駐在記憶體中,此時您隨便執行一個在硬碟中的程式也會被病毒所感染到,一下子的時間您的電腦可能就變成『毒窟』! • (2)病毒實例: • 混合型病毒的例子可多了,已經流傳開來的3783病毒,其威力雖然不大,但是它會在您電腦開機的時候發生當機情形,那就有得讓你受了,。除了3783這一隻病毒之外,在排行榜上有名的NATAS(4744)病毒它也是屬於此類型的病毒。另外,還有Tequila(龍舌蘭)以及Hammer系列病毒也是屬於混合型病毒。
WORD文件巨集(MACRO)病毒 • (1)定義: • 這是一種新型的電腦病毒,也由於這一類型病毒的出現使得電腦病毒的領域又擴大起來,它專門感染經由WORD所編輯過的文件,而這一類型的病毒又是一隻跨平台的病毒,它除了會在Windows95系統進行病毒的行為之外,同樣它在Windows3.1/NT以及OS/2等系統都可以發現到它的蹤跡存在。也就是說,只要有WORD存在的地方,巨集病毒就會存在。 • 那麼此類型的病毒其感染方式為,一旦我們開啟有巨集病毒的文件之後,以後我們所開啟的舊檔或者是開啟新檔案等等都難逃WORD巨集病毒的惡夢。至於每隻巨集病毒其破壞方式都不太相同,在下面的流行病毒剖析中,我們會逐一的來介紹目前在國內已發現到的WORD巨集病毒到底有哪些? • (2)病毒實例: • 目前根據感染WORD巨集病毒的災情中得知,到目前為止以『臺灣No.1』巨集病毒流傳率最高,其次我們也發現到臺灣劇場、釣魚台、教師節、聖誕節以及亞特蘭大等巨集病毒發生的災情傳出。
視窗型病毒 • (1)定義: • 『視窗型』病毒與傳統DOS的檔案型病毒在感染方面並沒有什麼不同,只不過這一類型的病毒必須在Windows的環境之下才能夠啟動執行。 • (2)病毒實例: • 到現在為止,我們先後發現到下面數隻的視窗型病毒:Win Tiny、Win Lamer、WinLamer2、BOZA以及WINVIR等病毒。 • 另外,像3783病毒由於它除了會感染在DOS系統下的系統啟動部份以及檔案之外,它也能夠在Windows的環境下運作,我們把它歸類在『混合型』病毒,也請使用者小心這一隻病毒在Windows系統下的流竄。
電腦病毒感染之目標 • 談論到電腦病毒會去感染或者是破壞那些地方,在學理上而言只要是能夠寫出來的話都可以成為電腦病毒的攻擊目標,至於電腦病毒會去感染哪些地方呢?請看看我們底下為各位使用者所做的分析。 • (1)可執行的檔案格式 • 通常病毒最喜歡感染的檔案格式為【.COM檔】與【.EXE檔】等,但是有一些比較特殊的病毒會去感染.SYS檔與.OVL檔等等。 • (2)文字或資料檔案格式 • 病毒會去感染的文字格式是指在Windows系統環境之下,而且病毒本身還會跨作業平臺的去感染,如OS/2與麥金塔系統等,所以使用者要更加小心防範才是。另外,再來介紹到病毒『破壞』資料檔案格式,目前只有發現到DBASE病毒會去破壞.DBF檔,當.DBF檔被病毒破壞之後,就會造成資料讀取的錯誤。 • (3)開機磁區部份 • 一般電腦病毒感染開機磁區的部份,我們通稱為『開機型病毒』或『系統型病毒』。而就軟碟而言,病毒也只能夠去感染Boot Sector部份;以硬碟來說,病毒除了會去感染Boot Sector之外,有些病毒會再感染Partition Sector部份。
駭客入侵的方式 • 首先要瞭解駭客可能入侵的方式,接著我們才有辦法採取相對的因應措施。Step 1. Gather Information about the Target System收集目標系統相關資訊:例如系統廠商,作業系統版本,使用者帳號等等有助於入侵的資訊。Step 2. Get to a Login Prompt取得登入系統時的提示資訊:一般而言當User使用telnet, ftp, SMTP等網路服務程式,系統回應的第一個訊息,會包含該系統的主機名稱。Step 3. Gain User Access to the System劫取使用者系統資料:駭客可能偷取user帳號相關資訊並且採用特定破解密碼程式,取得登入系統權限。Step 4. Perform Unauthorized Activities執行未經授權的動作:駭客可能植入攻擊網站的程式,或病毒程式。
電腦駭客最常入侵的途徑 o Hacking:運用Hacking軟體(例如:SATAN)的幫助來取得網路系統漏洞,進而達到入侵系統的目的。o Cracking:運用破解密碼軟體的幫助破解密碼(例如:cracker),達到入侵系統的目的。o Package Bomb:如Email Bomb,Ping Bomb用以灌爆或癱瘓對方的系統,著名的例子如2000年四月期間,美國一些大網站Yahoo,Amazon遭受不名人士以大量網路封包攻擊,造成通往這些網站的網路流量大增,堵塞網路導致伺服器當機。o Trojan:運用木馬軟體植入對方的電腦,進而掌控對方的電腦,達到竊取檔案以及密碼的目的。
電腦駭客最想得到的電腦資訊 • 1) 電腦系統的廠商2) 主機名稱3) 作業系統相關資訊,如版本,有哪一些應用程式在系統上跑4) 有哪一些LOGIN的名稱,USER帳號下列命令會提供系統訊息:· telnet 遠端連線· ftp 檔案傳輸· smtp 電子郵件· finger 查詢系統User狀態
1.安裝防毒軟體 • 防毒軟體並不保證有效,一定要隨時上網更新病毒碼A:Norton Internet Security僅僅是針對外國病毒堪稱有用,但國人自產之Trend PC-Cillin反而是針對在台灣流動之國內外病毒防犯有效 。
2.加裝防火牆 • 防火牆就是避免駭客入侵的把關人員,保障公司或個人的電腦網路,有效阻絕外界不明的入侵。
3.加裝反間諜程式 • 此軟體功能,在於清除電腦內間諜程式(此程式,因上網流覽網站或安裝軟體時,被私下安裝的。其將一步一步將個人資料藉由網路傳出)。
4.郵件攻擊 • 郵件攻擊是指針對電子郵件信箱,惡意的發送大的檔案或大量重複信件,讓你費時間接收,甚至導致超過信箱限制而無法接收正常郵件。這種行為不僅佔據大量網路資源,甚至會干擾ISP網路主機正常運作,因此被視為網路公敵,所以也因而有法律責任問題喔。
參考資料 • 1.http://myweb.hinet.net/home9/kkow/d6.htm • 2.http://www.hp.com.tw/ssn/artical/0112/arti011203.asp • 3.http://teashop.taiwantp.net/cgi/bbs.pl?board_id=3&type=show_post&post=47