iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 2
1

古有名言

有需求才有發明

電腦裡大大小小的資料,對於駭客而言可能是不可多得的寶藏,對於病毒的認識不足,不加以防護, 對駭客而言就像是在說
航海寶藏
在這30天內, 將會介紹有關資訊安全所需的基礎知識。

惡意程式種類的介紹

-要先了解敵人,才有辦法防範-

惡意程式:Malware - Malicious Software
何謂木馬?何謂蠕蟲?何謂病毒?
教你如何分辨
病毒勒索病毒


病毒(Virus):

惡意程式幾乎都有感染其他電腦的能力,但病毒的目標不只是在電腦,它的目標也包含電腦中的檔案,它會對檔案進行修改,加密。被修改的檔案可能會被植入 virus 本身的程式碼,當在別台電腦上執行時就能再進一步傳播。

加密檔案就像是最近一直鬧得沸沸揚揚的勒索病毒。莫名其妙開個文件就讓包括 D 槽在內的很多磁碟都鎖住(論文以及重要相片之類的)。
勒索病毒通常會藉由 email 附件傳播或者當你造訪某些網站時下載 script 並在背景執行。藉由 RSA 加密演算法, 把目標檔案(可執行檔、圖片檔、doc 文件)加密並跳出一個嘲諷視窗或文件檔恭喜你中毒了,要求支付贖金才能得到解密的金鑰。

木馬(Trojan):

通常不帶感染性,在使用者正常使用背後有些隱藏的行為,例如刪除檔案、竊取密碼、遠端操控、紀錄鍵盤輸入以及協助DDoS攻擊。

蠕蟲(Worm):

為了永續生存而不斷在共享資料夾,USB 或網路上繁衍複製自己。對於密集恐懼症的患者,在打開資料夾後發現滿滿的複製品應該會有些受不了。與 Virus 不同的是,蠕蟲並不需要附在別的程式內,可以利用系統漏洞自行複製與執行。

灰色軟體(Grayware):

會因為使用者的使用方式或認定而不同,有些人認為他是有用的程式,但也有人認為他會造成困擾(跟雅量裡的綠豆糕一樣)。

環境以及工具介紹:

-準備好戰場, 以免打完戰爭家裡已經面目全非-
如何設置安全的環境並安裝協助工具來分析以及研究病毒,並且在分析判斷完後像工具人一樣用後即丟 還原回中毒前狀態。對病毒進行分析總不希望分析完一個就重灌一次。

VMWare, VirtualBox

我們可以設置一個虛擬的環境,讓病毒在裡面執行後健健康康的成長茁壯,藉此以看到的行為做最初步的分析,確定它是病毒。

InstallWatch, WireShark

監控當病毒在執行後,電腦有哪些異常,包含可以比對執行前後是否新增或刪除,更改那些檔案,網路流量是否有異常,在背景偷偷造訪哪些網站等等。依據這些行為方便我們做靜,動態的分析。

病毒靜態動態的分析:

了解病毒的行為後,從程式碼中了解它是怎麼達到其目的,病毒的程式碼分析多半會需要研究其反編譯後的結果,也就是組合語言。

IDA, Hiew

以靜態分析,一直看著病毒的程式碼,看到它心裡發寒,原形畢露。
靜態分析不會真正執行程式,而是單純研究其程式碼內容,但對於使用額外申請記憶空間並寫入執行的程式,或是對自己程式碼有解密行為的病毒則無法獲得更多資訊。

OllyDbg

動態分析,像跟蹤狂般一步一步跟著他足跡, 直到它受不了把它要做的事顯露給你看。不像對於一般exe檔點兩下後全部執行完畢,OllyDbg能夠對於反編譯後的程式碼一步一步執行, 並顯示出相關結果。但在一步一步執行中, 病毒也一步一步的完成他的行為。所以仍需要在模擬, 安全的環境下進行動態分析。

網路攻擊:

其中之一是時常聽到的DDoS。以最貼近大眾經驗來看大概就是大家一窩蜂要在網路上搶五月天的門票, 然後網路購票系統就一直轉圈圈一樣。很多被操控的電腦在同一時間造訪某一個網站, 如果他的伺服器不夠力,擺了一百包乖乖在上面也照樣超過負荷, 使其他正常使用, 想要造訪該網站的使用者無法連上該網站

Exploit

針對系統的漏洞, 讓系統發生無法處理的例外事件,導致當機或安全漏洞,使駭客能趁虛而入,例如:
如果你滿了那我就漫出來了的buffer overflow,以及可能會造成世界毀滅的除以0。
除以0

防毒認證:

究竟哪家防毒公司好,不要再相信沒有根據的業配文了(?)。介紹國際上的防毒軟體相關認證系統,至少不要別人推銷你這家防毒 CAS 認證你也傻傻付錢買。
CAS認證

以上的種種都將在接下來就進入一連串的資訊安全的鐵人 PO 文中做介紹囉。
由於台灣受到病毒攻擊的次數一直都很高,期盼能與各位前輩大大們一起討論一起進步。
希望有興趣的讀者也能夠點個追蹤,有任何問題或有想多了解的地方也可以回覆在文章底下唷,謝謝你們XDDDD!


上一篇
[Day01] 前言 - 資事體大 毒擋一面 - 資安防護深入淺出
下一篇
[Day03] 病毒介紹 - 關於電腦病毒的故事
系列文
資事體大 毒擋一面 - 資安防護深入淺出31

尚未有邦友留言

立即登入留言