F7863a-第4篇_电脑入侵防治的基本自保.PPT

電腦入侵防治的基本自保 電腦病毒與駭客入侵的威脅 使用者心中的困擾 「我的電腦被入侵了嗎？」、「我的電腦是否中電腦病毒了？」 有沒有簡單的方法，可以讓一般非電腦專業的使用者也能判斷、評估電腦目前的狀態是否安全？ 電腦異常的處理 電腦異常的初期判斷 電腦異常的進階診斷 電腦防護原則 電腦異常的初期判斷 電腦異常徵候 在沒有使用電腦時，網路連線燈號仍不斷閃爍代表未有人使用的狀態下，依然有網路活動私底下在進行著 執行程式時，電腦變得異常緩慢代表系統資源已不敷使用，必須找出造成異常的程式與這程式所佔的資源，進而試著將問題解決 電腦硬碟空間不足資料的異常大量寫入，往往是造成硬碟空間迅速耗盡的原因。 電腦每隔一段時間即會當機或自動重新開機可能為硬體的故障或是軟體相互衝突所造成的問題 電腦異常的初期判斷 查看網路連線 在 Windows系統下，有一個指令netstat可以幫助我們看看目前的網路連線狀態 執行「命令提示字元」 Windows XP系統中利用『開始/執行』命令，打入“cmd”後按下確定，進入命令列模式 Windows Vista中可選擇執行『開始/所有程式/附屬應用程式/命令提示字元』 鍵入 netstat -an，就可以看到目前的連線狀態 Netstat 結果 Netstat 結果解析 狀態為LISTENING代表系統對外開放的服務連接埠，80為網頁伺服器的連接埠，135、139則為Windows系統的服務。 狀態為ESTABLISHED代表系統目前與外部已建立的連線 系統有連接到的21埠，21埠的功能是FTP檔案傳輸服務 系統有連接到9的80埠，如果使用者目前並沒有透過任何FTP客戶端工具連線到，那麼代表此一進行中的連線是有問題的 同樣的，我們也可以查看目前是否有使用瀏覽器連線到9，如果沒有的話，也必須進一步追查是什麼原因造成此一異常情形 電腦異常的初期判斷 查看程式執行 Windows系統中，「工作管理員」可幫我們看看目前所有正在執行的程式 在桌面的下方工作列上按滑鼠右鍵（注意滑鼠不要點在任何圖示上） 選擇「工作管理員」 工作管理員 點選「處理程序」標籤 可查看系統中有哪些程式正在執行、消耗多少的CPU資源、暫用多少記憶體等資訊 持續偏高的CPU使用率之程式，往往是影響系統執行效能的重要因素 有經驗的使用者亦可從程式的影像名稱與描述等資訊，察覺出哪些是系統中的正常程式、哪些可能是惡意程式。 「處理程序」標籤 工作管理員 點選「效能」標籤 可以察看系統目前的運作效能。包含整體的CPU使用率、記憶體使用量等資訊 整體CPU使用率如果一直居高不下，那麼系統的反應肯定會較為緩慢甚至可能毫無回應 此時應回到「處理程序」標籤，找出是哪個程式耗費了大量的CPU資源 記憶體的使用量如果超過了實體記憶體的大小，就必須要經常讀寫硬碟的資料（因此時系統中的虛擬記憶體管理系統會借用硬碟中的空間作為虛擬的記憶體）而使得整體速度下降 不要同時執行過多的程式、避免記憶體的使用量超過實體記憶體大小，可以解決此問題 「效能」標籤 電腦異常的進階診斷 網路連線與程式的關係 進一步追蹤與查探程式與網路通聯間的關聯性 CurrPorts是一個可以查看網路通聯與程式間的關聯之圖形介面工具 到/utils/cports.html下載CurrPorts工具 下載後，可得到cports.zip，解壓縮後有三個檔案，其中cports.exe為執行檔 執行cports.exe即可開啟CurrPorts工具 CurrPorts 結果 CurrPorts 結果解析 現象 系統目前與外界建立了21與80埠的連線 21埠是由FlashFXP.exe連線到.tw 80埠是由iexplorer.exe連線到 行為說明 用了FTP工具FlashFXP連線到.tw進行檔案傳輸的工作 使用IE瀏覽器連接到 可疑程式的後續處理 異常的程式對外通聯，使用Current可以很清楚地找到它，並進一步終止其連線 假設FlashFXP通聯不是使用者自己執行的可疑程式 以滑鼠右鍵點選第一行FlashFXP通聯 選擇「Close Selected TCP Connections」可以關閉其網路通聯 選擇「Kill Processes of Selected Ports」則可以將開啟此網路通聯的程式關閉，終止它的執行 可疑程式的後續處理 電腦異常的進階診斷 系統執行中的服務分析 網路通聯的發生可分為兩種情形 本機程式主動連接到網際網路上的服務 在正常情形下，是由使用者執行了特定應用程式，主動連接到網際網路上的主機所提供的服務 本機程式開啟了服務，供外界連入 一個開啟中的服務，即使是沒有正在進行中的通聯，也可以從CurrPorts中看到有一筆狀態為「Listening」的資料 當有外界程式連到