TANet竹苗区网研习课程网路安全系列电脑网路病毒防治7.ppt

TANet竹苗區網研習課程網路安全系列 電腦網路病毒防治 陳昌盛 技術師 交通大學計算機與網路中心 90.11.21 課程概要 電腦網路系統端的防護簡介 電腦病毒簡介 電腦病毒防護模式 怎樣偵測電腦病毒? 怎樣移除電腦病毒? 系統防護案例 參考資料 1.電腦網路系統端的防護簡介 基本名詞 (term) Proxy server代理伺服器 Firewall 防火牆 Agent 代理人 Computer Virus 電腦網路病毒 Network Worm SPAM Mail IDS (Intrusion Detection System) Network Infrastructure(網路基礎建設) Hardware Infrastructure Connection/Access Media Router/switch/hub Software Infrastructure DNS (Domain Name System) , , 35 Directory System (Portal, Search Engine, …) Network Protection System Firewall Packet filtering proxy Information Gateway Proxy/Caching server E-mail Filtering System (e.g. anti-spam, anti-virus, anti-worm) Intrusion Detection System IDS or NIDS ( Network Intrusion Detection System) Misuse pattern matching Anomaly detection 網路流量分析與追蹤 了解各類主要應用的正常流量 (netflow) 流量異常的可能原因 系統工作或設定不正常 系統被入侵, 當作攻擊他站的跳板 系統被偽裝使用 e.g. 以 tcp port 25 跑其他非 SMTP 程式 其他 2.電腦病毒概念簡介 什麼是 “電腦病毒” ? 電腦病毒的傳染途徑. 電腦病毒的簡單分類. 如何防範電腦病毒. 電腦病毒的基本定義 一般來說，病毒泛指一些能夠影響電腦正常運作的有害程式。 一九八六年，可令個人電腦的操作受到影響的電腦病毒首次被人發現。 此後，病毒的數目不斷上升。 病毒發作所造成的破壞程度參差不同，其影響可小至僅僅對屏幕的顯示 造成滋擾，以至電腦儲存的珍貴資料受到破壞。 關於電腦網路病毒 電腦病毒與生物病毒有很多相似之處 兩者均需要貯 存在一個主體內。就電腦病毒而言，主體通常 指受感染的檔案∕磁碟。 兩者均可自行 衍生 ，由一個主體感染另一個主體。 最後， 通常兩類病毒均會對主體造成損害。 兩者之間最 少有一點是不同 電腦病毒是由人類編寫而 產生的，而生物病毒則是自然而生。 電腦病毒入侵的途徑 幾個常見的散佈途徑 經由 e-mail 的夾帶檔 (attachment) 經由網際網路的下載區 經由軟碟磁片或抽取可攜式硬碟 電腦病毒一般分類(1) 開機磁區病毒 開機磁區病毒會感染軟碟內的開機磁區及硬碟，而且也能夠感染用戶硬碟內的主開機磁區。 一但電腦機件中毒，病毒已駐留在記憶體內，每一個經受感染電腦讀取過的軟碟都會受到感染。 檔案型病毒 檔案型病毒，又稱寄生病毒，運行於記憶體，通常感染執行檔案。每次執行受感染的檔案時，病毒便會發作：病毒會將自己複製到其他執行檔案並於發作後仍可長留在記憶體。 電腦病毒一般分類(2) 複合型病毒 具有開機磁區病毒和檔案型病毒的雙重特點。 巨集病毒 巨集病毒專門針對特定的應用軟體，可感染依附於某些應用軟件內的巨集指令，如Microsoft Word 和Excel。巨集病毒採用程式語言撰寫，例如Visual Basic 或 Corel Draw，而這些又是易於掌握的程式語言。 電腦病毒一般分類(3) worm (蠕蟲) 蠕蟲是一種會自我複製, 經由網路擴散的程式。 它跟病毒有所不同，它不會附在一個主程式內。 它會用盡電腦資源、修改系統設定及最終令系統「死機」。 隨著互聯網的普及，蠕蟲利用電郵系統去複製，例如把自己隱藏於附件並於短時間內電郵予多個用戶。 近期知名例子 SirCam (E-mail), Code Red (IIS), Nimda (IIS, TFTP, …)等 電腦病毒一般分類(4) Trojan horse (特洛伊木馬) 程式 特洛伊或特洛伊木馬是一個看似正當的程式，但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程式或數據。與病毒的分別是特洛伊不會複製自己，只會駐留在電腦內作破壞