資安觀念與工具介紹-電子計算機中心.pptVIP

RDP * Demo Hijack This (using log file) * 疾風病毒 Worm.Blaster 主要攻擊 Windows XP 與 Windows 2000 爆發於2003年8月，透過 RPC 服務緩衝區溢位攻擊 在爆發前一個月就在 KB823980 與 KB824146 修正 * 蔡維泰 984003033@.tw * 防毒軟體是什麼？ CH.7 * * 蔡維泰 984003033@.tw 防毒軟體 防毒軟體非萬能！ 知名防毒軟體評鑑： /index.php /certifications * 蔡維泰 984003033@.tw * 防毒軟體 付費版並非一定強過免費版、免費版也未必弱於付費版 知名免費防毒軟體： Avast! /index Avira AntiVir / * 蔡維泰 984003033@.tw * 防火牆是什麼？ CH.8 * * 蔡維泰 984003033@.tw 防火牆 Firewall software * 蔡維泰 984003033@.tw * 防火牆 網路層防火牆比對封包的 source IP, destination IP, protocol, port number 等資訊 應用層防火牆分析封包內容 對於未定義的封包則交由使用者判斷 * 蔡維泰 984003033@.tw * * 蔡維泰 984003033@.tw * 防火牆的條件 所謂門禁 如何放行安全的應用程式？ 依照應用程式選擇相對應的規則 * 蔡維泰 984003033@.tw * * 蔡維泰 984003033@.tw * 防火牆檢查途徑 收到外來封包 分析封包資訊 檢查應用程式規則 檢查全域規則 * 蔡維泰 984003033@.tw * 防火牆 + 入侵防禦 傳統防火牆已經不足敷阻擋惡意程式 現在許多系統安全公司都推出了整合 HIPS 的網路安全軟體 * 蔡維泰 984003033@.tw * HIPS Host-based Intrusion Prevention System 主機入侵防禦系統 除了網路封包，也監測系統內應用程式行為 如果說防火牆是海關， HIPS 就是貼身保鑣 以下以 Comodo Internet Security 來示範 * 蔡維泰 984003033@.tw * HIPS: AD Application Defend ，應用程式行為的保護 當應用程式有以下行為時警告使用者： 修改其他程式的記憶體 中止其他程式的運作 接管 Windows 服務 …等 Sandbox 系統 * 蔡維泰 984003033@.tw * * 蔡維泰 984003033@.tw * * 蔡維泰 984003033@.tw * HIPS: AD: SandBox 砂盒系統，類似 Unix-like 系統下的 chroot 為不受信任的執行檔建立一個虛擬環境 Chrome 也有採用 * 蔡維泰 984003033@.tw * HIPS: RD Registry Defend ，登錄機碼的保護 程式意圖修改登錄機碼時警告使用者 * 蔡維泰 984003033@.tw * HIPS: FD File Defend，檔案系統的保護 程式意圖修改系統檔案時警告使用者 * 蔡維泰 984003033@.tw * 實用軟體介紹 CH.9 * * 蔡維泰 984003033@.tw VirusTotal * 蔡維泰 984003033@.tw * Sandboxie / Available on both x86 and x64 * 蔡維泰 984003033@.tw * Process Explorer 工作管理員超進化版 可以看到各個處理程序的父子關係、開啟的 thread、佔用的記憶體以及內含的 handles /en-us/sysinternals/bb896653 * 蔡維泰 984003033@.tw * * 蔡維泰 984003033@.tw * Hijack This 系統已安裝的服務、右鍵選單、瀏覽器外掛等 * 蔡維泰 984003033@.tw * 結論 CH.10 * * 蔡維泰 984003033@.tw 所以說… 不開啟和安裝來路不明的軟體 不開啟來路不明網頁連結和郵件 注意別人的 USB 隨身碟或硬碟！ 定期系統更新 設定難以猜測的密碼並定期更改 關閉不必要的服務 * 蔡維泰 984003033@.tw * QA * * 蔡維泰 984003033@.tw References /wiki/AutoRun /zh-tw/電腦病毒 /kb/967715 /wiki/User_Account_Control .tw/phpbb/viewtopic.php?t=14339 /