駭客攻防剖析與防範
大綱 電腦中毒跡象 簡易自我查找電腦中毒 勒索軟體剖析與防範 駭客手法分享
電腦中毒跡象
電腦中毒跡象 電腦龜速行動 電腦運行比平常遲鈍, 反應相當緩慢, 出現藍屏或死機 ; 很多問題都會造成類似情形發生, 而電腦中毒就是其中的一個 一旦電腦受到病毒 蠕蟲或是特洛伊木馬的感染, 這些惡意軟體就會在裡面執行一些超吃資源的工作, 進而讓系統慢到不行, 甚至卡住不動
電腦中毒跡象 應用程式無法開啟 你是不是有過類似的經驗 : 點擊應用程式捷徑卻什麼事也沒發生, 然而別的應用程式卻又正常執行著 雖然, 這可能是其他問題所引發的症狀, 但至少它是一種徵兆, 告訴你電腦現在不太對勁
電腦中毒跡象 連不上網路或是只能上網速度緩慢 (ex: 上網速度變慢, 尋求網路公司檢查卻正常, 或者突然昨天好好地今日卻連不上網路 ) 這些都是極為常見的中毒症狀, 儘管這也有可能是因為網路服務供應商或路由器所引發的問題 一旦電腦中毒, 惡意軟體就有可能會自動幫你連到奇怪的網址, 或自動開啟不同的網路區段, 進而增加網路頻寬的負荷, 甚至讓人根本上不了網
電腦中毒跡象 連上網路的時候, 突然跳出各種視窗, 或是瀏覽器突然出現從沒看過的網頁 (ex: 首頁被綁架 瀏覽器遭修改.. 等 ) 這也是典型的中毒症狀 很多惡意威脅都會強迫使用者進入某些特定網頁, 或是把他們導引到跟原本網頁非常類似的假網頁裡, 然後偷偷地竊取帳密資料來進行惡意用途
電腦中毒跡象 檔案消失不見了 雖然現在還有一些專門刪除加密資訊或搬移文件資料的惡意威脅, 但這種 榮景 早就已經作古了 要是你真的遇到這種困擾的話, 建議你進行一次完整的線上掃毒, 再來思考如何處理後續的麻煩
電腦中毒跡象 防毒軟體不見了! 防火牆也失效了! 很多電腦中毒的典型徵兆就是已安裝的防護軟體無法正常運作 ( 包括防毒軟體 防火牆等等 ) 一個程式關閉也許會是軟體發生錯誤, 但若是全部的防護程式都無法正常運作的話, 那肯定就是電腦中毒了
電腦中毒跡象 電腦開始顯示奇怪的文字 如果某些應用程式的語系變了 應用程式視窗突然從背景跳到前面, 或是怪蟲開始蠶食你的桌布時, 你的系統就很有可能已經中毒了
電腦中毒跡象 啟動應用程式所需的檔案遺失 雖然這很有可能是因為應用程式安裝不完全所導致的問題, 但也可能是電腦中毒的徵兆
電腦中毒跡象 電腦整個癡呆了! 如果你的電腦開始不聽指揮, 像是胡亂寄送電子郵件 即時通訊息, 或是自行開啟應用程式, 你的電腦就很有可能已經慘遭惡意軟體的毒手
電腦中毒跡象 資料夾無緣無故多出一些重複檔案 像類似 Nimda 娜妲病毒, 它曾透過區域網路或網際網路, 感染有提供寫入權限的電腦, 在大量感染後, 會發現電腦許多資料夾下都多出一個名為 desktop.eml 的檔案 所以哪天你打開資料夾, 發現許多資料夾下都莫名奇妙多一個檔名重複的檔案, 很可能病毒已經入侵你的系統, 謂趕緊執行偵毒動作
電腦中毒跡象 資料夾無緣無故多出一些重複檔案 像類似 Nimda 娜妲病毒, 它曾透過區域網路或網際網路, 感染有提供寫入權限的電腦, 在大量感染後, 會發現電腦許多資料夾下都多出一個名為 desktop.eml 的檔案 所以哪天你打開資料夾, 發現許多資料夾下都莫名奇妙多一個檔名重複的檔案, 很可能病毒已經入侵你的系統, 謂趕緊執行偵毒動作
簡易自我查找電腦中毒
簡易自我查找電腦中毒 線上掃毒類 可以掃描電腦硬碟 抽取式磁碟中的所有檔案或資料夾是否感染病毒 ( 但 不見得 提供解毒的功能 ) 單檔掃毒類 將可能遭到感染的檔案上傳到掃毒服務的網站上, 判斷是否被感染或是為惡意檔案
簡易自我查找電腦中毒 線上掃毒類 BitDefender http://www.bitdefender.com/scanner/online/fr ee.html Kaspersky http://www.jadespring.com.tw/freescan.htm ESET http://www.eset.com/int/home//products/onlin e-scanner/
簡易自我查找電腦中毒 線上掃毒類 Symantec https://security.symantec.com/nss/getnss.asp x F-Secure Online Scanner https://www.fsecure.com/en/web/labs_global/tools-beta 趨勢 Housecall http://housecall.trendmicro.com/
簡易自我查找電腦中毒 線上掃毒類 Hinet 免費病毒掃描 http://hisecure.hinet.net/free_checkup
簡易自我查找電腦中毒 檔案掃毒 FortiGuard Online Virus Scanner http://www.fortiguard.com/virusscanner 使用方法很簡單, 點擊 Choose File 選取檔案後按下 Scan 即可掃描 必須注意的是目前 FortiGuard 線上掃毒服務僅能一次掃描一個檔案, 且檔案大小不得超過 1MB
簡易自我查找電腦中毒 如果你希望 Fortinet 能夠就您提交的掃描樣本給予答覆, 那麼可以將下方的表格填妥
簡易自我查找電腦中毒 如果掃描結果沒有發現惡意程式, 會顯示一張 It s Clean 的圖片, 告訴使用者你所上傳掃描的檔案是安全的
簡易自我查找電腦中毒 單檔掃毒類 Dr.Web Online Check http://www.drweb-online.com/en/online_check.asp Dr.Web( 俗稱 大蜘蛛 ) 是另一間俄國的掃毒公司, Dr.Web 網站也提供了單檔線上掃毒的服務, 而且可以上傳壓縮檔 ( 如 ZIP RAR ARJ ) 來掃描裡面的檔案, 算是一個相當不錯的服務 VirusTotal http://www.virustotal.com/ VirusTotal 是個相當知名的線上掃毒服務, 它使用了 40-50 種掃毒引擎來掃描你上傳的檔案, 可上傳的檔案最大可達 20MB, 還會在掃描後列出所有掃毒引擎的掃描結果, 提供給你參考
簡易自我查找電腦中毒 單檔掃毒類 Dr.Web Online Check http://www.drweb-online.com/en/online_check.asp Dr.Web( 俗稱 大蜘蛛 ) 是另一間俄國的掃毒公司, Dr.Web 網站也提供了單檔線上掃毒的服務, 而且可以上傳壓縮檔 ( 如 ZIP RAR ARJ ) 來掃描裡面的檔案, 算是一個相當不錯的服務 VirusTotal http://www.virustotal.com/ VirusTotal 是個相當知名的線上掃毒服務, 它使用了 40-50 種掃毒引擎來掃描你上傳的檔案, 可上傳的檔案最大可達 20MB, 還會在掃描後列出所有掃毒引擎的掃描結果, 提供給你參考
簡易自我查找電腦中毒 單檔掃毒類 VirusChief http://www.viruschief.com/ VirusChief 是個德國的線上掃毒服務, 內建了十多種掃毒引擎, 病毒碼也更新得相當快, 比較可惜的是有時候網站主機負載過重, 必須等候一段時間才能夠進行掃描 Metascan https://www.metascan-online.com/#!/scan-file Metascan Online 是由位於美國舊金山的 OPSWAT 公司所推出的免費線上單檔掃毒服務, 內建 19 種知名的掃毒引擎 ( 其中不少都是專業版 ) avast! Pro Antivirus AVG scan engine Avira AntiVir Premium BitDefender Antivirus Pro BullGuard Internet Security CA scan engine ClamWin scan engine Emsisoft Anti-Malware ESET scan engine F-PROT Antivirus for Windows F-Secure Anti-Virus Kingsoft Internet Security 9 Premium McAfee VirusScan Enterprise Norman scan engine Quick Heal scan engine Sophos Anti-Virus Sunbelt scan engine Symantec Scan Engine VirusBuster scan engine
簡易自我查找電腦中毒 單檔掃毒類 Anubis http://anubis.iseclab.org/ 可做檔案分析, 中繼站分析等相關進階功能
電腦防護三劍客 - Autoruns
電腦防護三劍客 -Autoruns Windows Sysinternals Suite Windows Sysinternals Suite 包含 60 個以上的工具程式, 雖然都只是小程式, 卻非常實用, 而且威力不輸一些專門的管理程式
電腦防護三劍客 -Autoruns 下載點 https://technet.microsoft.com/enus/sysinternals/bb842062.aspx
電腦防護三劍客 -Autoruns- Autoruns Autoruns Autoruns 適用處理範圍 : 木馬 間諜 廣告 後門 大致上全部都可以處理, 不過有部份會進行檔案感染的蠕蟲就無法簡單的使用工具處理了
電腦防護三劍客 -Autoruns- Autoruns 木馬基礎概念 防毒軟體偵測到木馬, 但是卻刪不掉, 或者刪除過後又再生, 這因該很多人都碰過, 也是許多人的夢魘 究竟為什麼會造成這個原因呢? 一隻完整的木馬, 通常不會只有一個檔案, 它會利用各種手動想辦法不要被刪除, 於是產生很多生成物, 這些生成物之前彼此保護, 防毒軟體通常都沒砍乾淨, 甚至連偵測到都沒有, 這就是所謂 斬草不除根, 春風吹又生, 要徹底清除木馬, 得砍掉他最重要的啟動程式 木馬也只是個普通的程式, 若沒特殊條件進行啟動, 根本無法運作, 且最常利用的方式就是註冊表 ( 登錄檔 ), 但是那麼繁雜混亂的登錄檔, 一般人根本無從判斷起, 也絲毫沒有頭緒, 這時候就該借助工具了,Autoruns 就是一款操作簡單, 判斷容易的安全軟件, 足以讓您 DIY 清除木馬
電腦防護三劍客 -Autoruns- Autoruns 自動判定啟動項 產生 Log 當檔案下載完成, 且解壓縮之後, 雙擊兩下 "autoruns.exe" 程式就會啟動了
輸出 Log 的動作, 方便日後運用
電腦防護三劍客 -Autoruns- Autoruns 啟動項的判斷 判斷啟動項有兩種方法, 一種是節省時間, 也較為方便的方法, 不過還是得靠一點經驗
電腦防護三劍客 -Autoruns- Autoruns 方法 (1). 網路搜尋資料
電腦防護三劍客 -Autoruns- Autoruns 方法 (2).Virustotal 判讀法
電腦防護三劍客 -Autoruns- Autoruns 威脅處理 要清理一隻木馬要分兩個部份, 登錄檔 (Registry) 實體檔案 Autoruns 只能處理登錄檔, 實體檔案部份請自行運用工具處理, 只要是能刪除檔案的工具都可以, 沒了啟動項, 木馬就無法執行
電腦防護三劍客 -Autoruns 懷疑中毒? 自己 DIY 比對 Log
電腦防護三劍客 -Autoruns
電腦防護三劍客 -TCPView TCPView 可以清楚了解作業系統與網路之間的運作, 以下簡單的說明個欄位的功能及用途 Process: 運作的程式名稱, 不過這個欄位同一支程式並不會只有一個, 若有多個連線就會出現多個的程式名稱, 所以無需看到太多個同一程式執行就覺得有問題, 那只代表該程式有多個連線 PID: 每個程式執行, 系統就會給該程式一個 PID 權限, 與使用的權限有相關 Protocol: 程式要與網路做連線, 就必需要有個通訊協定, Protocol 也有分成 TCP 及 UDP, 若要開防火牆的連接埠時, 就必須要知道目前該程式所運作的 Protocol 是什麼, 不然就算是連接埠號碼是對的, 也是無法對外開放連線 另外提一下 TCP 及 UDP 有 65536 個連接埠號碼
電腦防護三劍客 -TCPView Local Address: 本地的連線端的位址, 一般來說都會顯示為該電腦的電腦名稱或是 IP 位址 Local Port: 本地的連線端的連接埠 Remote Address: 遠端的被連線端的位址, 一般來說都是顯示該程式所連線的網址或是 IP 位址, 有些會顯示本地的連線端電腦名稱或是 Localhost, 其實只是暫時與本地端坐連線, 可以不理會 Remote Port: 遠端的被連線端的連接埠, 這樣就可以了解目前程式所連線的連接埠 State: 狀態可以了解目前程式是正在連線還是關閉連線中 其實 TCPView 還有很多的欄位, 不過沒有太大的意義, 所以就不列入介紹,TCPView 雖然只有監控的作用, 但是這樣對於自己電腦的網路運作一目了然,
電腦防護三劍客 -TCPView
電腦防護三劍客 -Process Explorer Process Explorer 以樹狀的分類方式詳細的列出所有執行中程序的消耗資源量, 因為我們電腦用一用都會突然變的超級龜速, 只看著硬碟燈狂閃, 或是明明硬碟燈沒有在閃偏偏只是開個檔案總管也要等十秒, 那麼肯定是有某個程序在鬼打牆狂吃你的電腦系統資源, 或者是被某個病毒程序入侵瘋狂讀取硬碟也說不定, 我們就可利用 Process Explorer 來抓出這些兇手
電腦防護三劍客 -Process Explorer 這軟體是不需要安裝的, 下載後直接解壓縮即可使用, 開啟後會直接顯示所有使用中的程序, 清楚的了解每一個程序佔用了多少 CPU 及記憶體用量, 特別是當電腦慢到爆炸時最需要看一下到底是哪一支程序吃系統資源了
電腦防護三劍客 -Process Explorer
電腦防護三劍客 -Process Explorer 如果察覺到有哪一支程序太吃系統資源的話, 可以在上面右鍵直接 Kill 掉, 就可以直接停用, 或是重啟這個程序, 也可以用 Suspend 暫時停用他
駭客網路釣魚技巧
釣魚郵件是 APT 攻擊首部曲 5454
郵件入侵安全 層層把關? 惡意程式 55
釣魚郵件 釣魚郵件攻擊模式 Internet 1. 駭客設計攻擊陷阱程式 ( 如特殊 Word 檔案 ) 2. 將攻擊程式埋入電子郵件中 3. 寄發電子郵件給特定的目標 4. 受害者開啟電子郵件 5. 啟動駭客設計的陷阱, 並被植入後門程式 6. 後門程式逆向連接, 向遠端駭客報到 7. 遠端駭客進行資料竊取 56
如何判定真假網站 57
釣魚網站測試 https://www.staysecureonline.com/stayingsafe-online/ 58
釣魚網站測試 http://safeweb.norton.com/?ulang=cht 59
60
釣魚網站測試 http://www.urlvoid.com/ 61
釣魚網站測試 62
電子郵件攻擊手法
勒索軟體剖析與防範
什麼是勒索程式? 勒索程式是一種會挾持資料的嚴重資安威脅, 它會讓檔案和系統功能無法使用, 甚至讓整台電腦都無法使用 受害者必須支付一筆贖金來贖回自己的檔案和系統
如何感染?
資安威脅
如何防護
如何防護 預防大於治療
資安新知分享
臉書最新駭客手法 奪舍! 讓你的帳號變空殼
臉書最新駭客手法 奪舍! 讓你的帳號變空殼
駭客第一步 : 盜用帳號 今天之所以將這危險稱之為 駭客手法 而不是 臉書漏洞, 是因為駭客必須先成功盜用你的臉書帳號 獲得存取權, 才能進行下一步動作 而盜用的手法, 不外乎 釣魚網站騙使用者輸入帳號密碼 騙你下載瀏覽器外掛, 安裝就中毒 在不安全的地方使用電腦 鍵盤側錄程式 電腦本身就中毒 等等
臉書最新駭客手法 奪舍! 讓你的帳號變空殼 駭客第二步 : 幫你改名 駭客通常是利用 更改多語言姓名 方式幫你新增一個名字, 例如 Kan World, 這個名字通常跟駭客在經營的粉絲團一樣或接近 臉書帳號除了我們常用的中文姓名外, 還可以新增更多組姓名 例如匿名或 多語言姓名 當駭客篡改你的多語言姓名時, 你很可能根本無法察覺 : 因為對台灣人而言, 帳號看上去完全沒變! 檢查方式 : 進入 你的臉書個人頁 / 關於 / 有關你的詳細資料, 看看別名的地方, 有沒有出現陌生的名字? 如果出現了, 快點點擊 選項 / 刪除 移除掉它, 然後修改你的臉書密碼
臉書最新駭客手法 奪舍! 讓你的帳號變空殼 駭客第三步 : 把你的帳號申請成為粉絲團 這一步是最狠的! 因為一旦申請通過了, 帳號持有人是沒有回頭路的 你的帳號從此就變成了一個 粉絲團管理中心, 你的朋友都會變粉絲團的粉絲, 而不是私密好友
臉書最新駭客手法 奪舍! 讓你的帳號變空殼 駭客第四步 : 合併掉你! 如果你以為, 個人帳號被轉變成粉絲頁已經夠淒慘, 那就大錯特錯了 別忘了, 駭客之前已經幫你改名成 Kan World, 他們會先將他們自己也設定為粉絲專頁的管理員, 再利用臉書提供的 合併重複的粉絲專頁 功能, 將你的粉絲頁 ( 裡面的粉絲都是你原來的好友 ) 合併到他的粉絲頁去 於是, 你的臉書帳號就像被 奪舍 一樣, 你的好友全部被駭客給 吃掉 併吞, 變成駭客的粉絲 ; 而你的臉書帳號, 則什麼也不剩, 沒辦法去朋友那邊留言 也沒辦法變回原來的樣子 ( 這個動作是不可逆的 )
臉書最新駭客手法 奪舍! 讓你的帳號變空殼 可能有人會問, 駭客吃掉你的好友變成他的粉絲, 有什麼好處啊? 答案是 : 好處可多了呢 這個名為 Kan World 的粉絲頁,2015 年 4 月中才創立, 到今天也才三個月, 粉絲已經突破 130 萬 他的粉絲可是 真實粉絲 而不是 假粉絲 呢! 除了粉絲團可以賣掉賺錢, 他經營的內容農場網站, 也可以因此獲得更多潛在讀者, 賺取廣告費
臉書最新駭客手法 奪舍! 讓你的帳號變空殼 啟動你的兩階段驗證! 請點擊右上角的小三角形, 選擇 設定 / 帳號安全 / 登入許可, 設定兩階段驗證吧! 無論是用簡訊還是驗證碼產生器都行