資安技術專有名詞
電腦病毒,Virus:你可以用生物學上的病毒來「想像」電腦病毒的運作模式。電腦病毒會從宿主程式上複製自己,以在不同應用程式或系統間傳播,感染其它使用者的檔案,病毒可能會挾持、破壞使用者的檔案與磁碟,但是病毒也有可能潛伏而不作任何動作,直到時效到達的那天。電腦病毒兩個最重要的行為是「自行複製」與「感染、挾持其它程式」。
惡意軟體,Malware:光是第一個名詞,我就在上面三個資料來源看到不太一樣的說法。不過可以確定的是, Malware 一詞是一種「統稱」,它指稱會對使用者電腦進行惡意行為的軟體,所謂的惡意,就是在使用者不知情、不願意的情況下所進行的對使用者(或其電腦)來說任何不舒服的行為。在微軟網站裡把病毒、木馬、蠕蟲歸入惡意軟體,在維基百科則把廣告、間諜、流氓歸入惡意軟體,而有些網站也會將上述兩大類攻擊都歸入惡意軟體的行為。我則比較傾向把惡意軟體當作一種統稱,而不是特定的攻擊行為或攻擊軟體。
蠕蟲,Worm:如果這個惡意程式會自行複製,但是它並不感染其它檔案的話,就可能是屬於蠕蟲的攻擊行為。蠕蟲會自行複製,利用系統與網路的漏洞,傳播到網路上的任何一臺連接的電腦上,造成網路、系統的癱瘓。
特洛伊木馬,Trojan:利用看起來無害的外觀來偽裝自己,並吸引使用者執行它,木馬不會自行複製或感染,但是被啟動後就會執行像開啟後門之類的惡意行為,讓使用者系統處在無防備的狀態,導致使用者系統被利用或當作跳板,也可能作為其它攻擊的前導。
Rootkits:這是透過一種軟體工具集合的方式,隱藏自己的蹤跡、偽裝成正常程序、甚至取代你的系統檔案,但是在這個工具集中卻包含了惡意程序,可能會開啟你的系統後門、引導駭客入侵、或攻擊你的電腦。
後門,back door:指繞過軟體的安全性控制而從比較隱秘的通道獲取對程序或系統訪問權的駭客方法。在軟體開發時,設置後門可以方便修改和測試程序中的缺陷。但如果後門被其他人知道(可以是泄密或者被探測到後門),或是在發佈軟體之前沒有去除後門,那麼它就對電腦系統安全造成了威脅(直接引自維基百科)。
間諜軟體,Spyware:專門在用戶不知情或未經用戶準許的程況下收集用戶個人資料的程序。它所收集的資料範圍可以很廣闊,從該用戶平日瀏覽的網站,到諸如用戶名稱、密碼等個人資料。
鍵盤側錄,keylogger:算是一種廣義下的間諜軟體,會記錄你的鍵盤操作並傳送給惡意的它方。
廣告軟體,Adware:並非所有的軟體內包含的廣告都是有害的,有時候內含廣告也只是單純營利的手段。不過有時候這些廣告的植入可能是使用者不願意的,並且會在執行時竊取使用者的資料。所以這也算是廣義下的一種間諜軟體。
流氓軟體,Hijacker:通常是Browser Hijacker,它會綁架你的瀏覽器首頁、搜尋列、和各種設定,可能是會了廣告目的,也可能是有間諜行為,但是都是令使用者困擾的惡意程序。
釣魚,phishing:網路犯罪者利用偽裝的網站或郵件等,騙取受害者的個人資料與金錢等行為。
彈出視窗,popups:現在幾乎所有的瀏覽器都具備阻擋彈出視窗的功能,並非所有的彈出視窗都是惡意的,但是其中也有不少是使用者不願看到的廣告或惡意連結。
垃圾郵件,SPAM:帶有廣告、惡意程序、以及任何使用者不願意看到、不願意收到的內容的郵件,都可以算是垃圾郵件。
Zero Day Attack:在病毒剛被創造並進入網路流傳的時候,還沒有一個防毒廠家迅速開發出相應的辨認和撲滅程序,於是這種全新的病毒就很快大肆擴散、肆虐於網路、危害單機或網路資源。
DOS阻斷服務攻擊:攻擊者藉由不當方式佔用系統分享資源(CPU、網路、硬碟…),達到幹擾正常系統運作的進行。不同於一般網路入侵,DoS 不一定需要取得系統使用的權力,即可達到目的。最常見的DoS方式即是透過所謂的訊息洪泛(Message Flood),向攻擊對象送出大量且無意義的網路訊息,不管被攻擊對象是否回應,都會因頻寬的被佔用,而導致不正常運作(直接引用維基百科)。
DDOS分散式阻斷服務攻擊:利用網路上因為惡意程序而被控制的電腦作為跳板,集中向某一特定的目標電腦發動密集的「拒絕服務」要求,藉以把目標電腦的網路資源及系統資源耗盡(直接引用維基百科)。
防毒軟體,Anti-Virus:透過即時監控的方式,掃描電腦裡執行的程式,並將其與病毒庫資料比對,若發現為病毒感染時可將病毒的部分清除,或將可疑程序放入隔離區以免擴大破壞。基本上目前的防毒軟體都具備即時查殺病毒、蠕蟲、木馬的功能,可以第一時間阻止電腦被感染或破壞。而許多商業版的防毒軟體還具備阻止、清除間諜類軟體的功能,或是加入了清除垃圾郵件的功能。
防火牆,Firewall:只以軟體防火牆來看的話,簡單的說防火牆可以監控進出你電腦的網路連線,從而達到阻止他人連線入侵你的電腦,或者阻止你的電腦向外發送不當的連線。不過這通常還需要配合使用者高度的警覺性與對設定的了解。
單機入侵防禦系統,HIPS:這個比較新的安全技術,是透過監視正常的程式與數據,當其出現可疑、異常的動作時,進行有效的阻止,除非使用者允許才放行。這種方式可以彌補防毒軟體來不及更新病毒碼的缺點,也可以監控到更深層的系統改變。當然它還是無法取代傳統的防毒、防火牆。
反間諜軟體,Anti-Spyware:間諜類軟體與病毒不一樣的地方,是它可能不會感染或破壞你的系統,但是卻會竊取你的個人資料、植入惡意的廣告紀錄程式,為了防止這些新的惡意程序,也誕生了許多專門掃描、清除間諜、廣告、流氓軟體的反間諜程式。
0day
在網路安全界通常是指沒有修正的漏洞利用程序.提供該利用程序的人通常是該漏洞的首發者或是第一個公開該漏洞利用細節的人。
網路安全意思上的0day就是指一些沒有公布修正的漏洞,或者是還沒有被漏洞發現者公布出來的漏洞利用工具,由於這種漏洞的利用程序對網路安全都具有巨大威脅,因此0day也成爲黑客的最愛
bug
臭蟲(bug)有兩種,一種是指軟體漏洞或瑕疵,另一種則是用來追蹤使用者在網路上行蹤,後者即所謂的Web bug。通常它只是一個1x1像素大小的透明GIF圖檔,隱藏在網頁或email信件中,網站或公司可藉由設置網路臭蟲來瞭解網友在網路上的瀏覽習性。
這或許會讓你聯想到cookie,因為在某種程度上cookie也可以偵測網友與網站之間的互動關係,不過Web bug與cookie之間的最大差異在於網友可選擇接不接受cookie,但對Web bug的偵測活動就無能為力了,因為它夾在網頁中也不過被當作一般圖檔罷了。
由於Web bug通常是透明圖檔,所佔空間又極小,因此網友要發現它的存在並不容易,除非刻意打開網頁的原始檔,並檢查是否有某個圖檔的伺服器位置跟其他圖片的存放位置有差異。Web bug的圖檔通常是由不同的伺服器來發送。
webshell
是web入侵的腳本攻擊工具。 簡單的說來,webshell就是一個asp或php木馬後門,黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。
OOB nuker(藍屏攻擊),
IRC nuker攻擊(簡直就是個完美版的click2),
IP flooding(連續洪水攻擊),
ICQ flooder(ICQ短消息轟炸),
mailbomb(郵件炸彈),
IRC bots flooder(IRC機器人攻擊),
IRC DCC Flooder(DCC攻擊)
Ethic and Legal Issues 倫理與法律
Footprinting 足跡
Scanning 網路掃瞄技術
Enumeration 列舉
System Hacking 電腦系統入侵
Trojans and Backdoors 木馬程式與後門程式
Sniffers 封包監聽
Denial of Service 阻斷服務
Social Engineering 社交工程
Session Hijacking 連線劫持
Hacking Web Servers 網站入侵
Web Application Vulnerabilities 網站應用程式的弱點
Web Based Password Cracking Techniques 密碼破解技術
SQL Injection 資料隱碼的入侵模式
Hacking Wireless Networks 入侵無線網路系統
Virus and Worms 病毒與病蟲
Hacking Novell 入侵 Novell 系統
Hacking Linux 入侵 Linux 系統
IDS Firewalls and Honeypots 入侵偵測系統,防火牆與網路誘陷系統
Buffer Overflows 緩衝區溢位
Cryptography 密碼學
防軟技術專有名詞:
啟發式:
啟發式防毒是基本的防毒技術,幾乎各家都有,基本上就是建立一個虛擬環境,當你要執行某個程式時,他會先在虛擬環境執行,確定沒有問題才會真正執行程式,而免疫防護各家定義不同,一般會誤解為HIPS‧其實諾頓的SONAR技術才是真正的免疫防護;SONAR與HIPS的差異:原理上,HIPS可被視做為針對連線封包是否存在利用「系統漏洞」、「應用程式漏洞」的攻擊特徵所研發的防護工具。SONAR則可以主動偵測出系統中的程式是否可能有潛在惡意攻擊的風險。前者是利用漏洞特徵提前阻絕惡意封包進出電腦;後者則是主動對所有存在系統中的程式進行行為偵測分析,不需要最新的病毒定義也可有效應付未知的惡意程式,兩者絕不等同。
當新病毒的數量越來越多,防毒專家開始思考如何讓防毒軟體能夠偵測到未知的惡意威脅(沒有相關的病毒特徵資料庫)。為了解決這個問題,啟發式分析就應孕而生。啟發式分析法能夠分析執行檔的程式檔,以找出還未被加入病毒特徵資料庫的惡意威脅。
換句話說,啟發式分析能夠找出未知的病毒。當掃描一個應用程式時,啟發式分析器會將程式放到虛擬機器內模擬執行,藉此來判定是否為可疑活動,例如開始或關閉檔案、中止中斷向量(intercepting the vectors of interruption)等。如果對應到特定的活動,那麼該程式可能就已遭受感染。
因此,啟發式分析大約能夠偵測92%的新病毒。這個功能非常有效,而且很少誤報。假如檔案經過病毒特徵比對沒有發現可疑威脅,之後就會透過啟發式分析來掃描。
「Heur」開頭的病毒即為啟發式分析所偵測出的病毒。
啟發式分析是免疫防護的一部份,能夠偵測潛藏在執行檔、硬碟磁區和記憶體中的惡意程式。啟發式分析的主要特色是架構彈性、整合不同的技術,以偵測最大量的惡意軟體,並降低誤報率。這個元件能夠分析惡意程式入侵系統的過程。
啟發式分析應用在下列元件:檔案防護、郵件防護和網頁防護。
免疫防護是一個廣泛的概念。它是設計用來監控和分析電腦上應用程式的行為模式。卡巴斯基防毒軟體依據程式執行後的「動作」,來判斷應用程式是否危險。免疫防護能夠保護您的電腦對抗已知和未知的威脅。
殺毒軟件:
電腦病毒指的是一些具有惡意代碼可能危害計算機的程序。
殺毒軟件基本上應當具有以下兩個基本功能:
1:殺毒-- 即對帶毒文件或病毒本身進行查殺的功能。
2:監控-- 一般具有文件監控,網頁監控(即監控遠程80/8080等常用端口),郵件監控(即監控POP和SMTP端口),等。能夠殺毒防毒的是殺毒軟件,不是防火墻。
防火墻:
"U Z$K5@+^-O#^%a,B$k
簡單的理解,防火墻是架在兩個互相通信主機之間的一個屏障,對非法數據包進行過濾。"i,t&H1[*O-?+j+?
我們使用的多數個人防火墻基本具有:防止非法入侵(防止內連) 與 防止本地非法外連 的功能,而SP2系統自帶的墻沒有後者的功能。
基於這兩點,我們可以簡單理解防火墻的兩個作用:
1:通過阻止非法數據包,防止黑客通過某些手段入侵。
2:防止木馬發生外連盜取本地機密信息。個人防火墻沒有殺木馬的功能,它所做的是在中了木馬之後,通過規則禁止其外連以免丟失數據。
現在有不少廠商將自己的殺軟和防火墻做成一個網絡防護體系,比如:KIS(卡巴) NIS(諾頓) MIS(咖啡)等。。。
HIPS:Host Intrusion Prevent System 主機入侵防禦系統"_$
因為病毒天天變種天天出新,使得殺軟可能跟不上病毒的腳步,而HIPS能解決這些問題。
我們個人用的HIPS可以分為
3D: AD(Application Defend)--應用程序防禦體系、RD(Registry Defend)註冊表防禦體系、FD(File Defend)文件防禦體系。它通過可定制的規則對本地的運行程序、註冊表的讀寫操作、以及文件讀寫操作進行判斷並允許或禁止。
目前在有些殺軟或防火墻中,也含HIPS功能。
■ 病毒
病毒是一段電腦程式碼,它會將自身附加到程式或檔案,在電腦之間傳佈,並在旅行途中感染電腦。病毒可能會損壞您的軟體、硬體和檔案。
病毒 (n.)為程式碼,以表達複製自身的意圖寫成。病毒會嘗試將自身附加到主機程式,嘗試在電腦之間傳佈。它可能會損壞硬體、軟體或資訊。就像人類病毒的嚴重性範圍,可從伊波拉病毒到 24小時流感,電腦病毒的範圍也可歸類為溫和侵擾到完全毀滅。幸運的是除非人們移動真正的病毒 (如共用檔案或傳送電子郵件),否則它們並不會傳佈開來。
■ 病蟲
是一種不需使用者介入即可傳播其本身的程式。以技術層面來說,病蟲並不是病毒,因為它能獨立繁殖。
一個很有名的例子就是 ILOVEYOU 電子郵件病蟲,它能透過電子郵件將其本身自動傳送到收件者通訊錄中的每個人。 病蟲可透過網路或區域網路,迅速將本身傳送到成千上萬臺電腦中。
■ 蠕蟲
蠕蟲 (Worm) 就像病毒,它的設計目的是在電腦之間複製它本身,但它會透過掌控電腦上可傳輸檔案或資訊的功能自動進行複製。一旦系統有蠕蟲時,它便會獨自行進。蠕蟲極具危險的一點是,它會大量複製。例如,蠕蟲可將它本身的複本傳給您電子郵件通訊錄所列出的每個人,該人員的電腦接著會執行相同的動作,從而發生大量網路流量的連鎖效應,並進一步降低整個企業網路和網際網路的速度。當新的蠕蟲散播時,它們會以極快的速度散佈開來,塞滿網路並可能讓您 (及每個人) 必須等待兩倍的時間才能檢視網際網路上的網頁。
蠕蟲 (n.)病毒的子類別。蠕蟲通常不需要使用者的動作即可散佈,而且它會將它本身的完整複本 (可能已修改) 透過網路發佈。蠕蟲可耗用記憶體或網路頻寬,使得電腦停止回應。
由於蠕蟲不需要透過「主機」程式或檔案即可傳播,所以它們也能入侵您的系統,並讓他人從遠端控制您的電腦。最近流行的有: Sasser 和 Blaster 蠕蟲。
■ 巨集
是一種內嵌檔案,可在使用者不知情的狀況下自動執行軟體指令的語言。當下載或執行巨集之後,它們對於使用者的檔案就擁有完全的存取權,並且可執行撰寫人員所指定的系統修改動作。許多 Windows 型巨集都是 以 Visual Basic 所撰寫。
■ 網路駭客
如果您的電腦在未受保護的情形下存取網路,那麼任何「駭客」或「破解者」都可以任意非法進入您的電腦了。事實上,寬頻會讓駭客活動更為容易,因為雖然連線速度加快了,但是不長變換的 DNS (網域名稱系統 Domain Name System) 位址會讓您的電腦幾乎永遠處於連線狀態,此狀況可讓網路駭客更容易破解您個人電腦的密碼。至於更惡劣的駭客會使用機動程式碼,透過您的寬頻連線堂而皇之的登入您的硬碟,竊取或摧毀您的檔案。
■ 特洛伊木馬程式
特洛伊木馬程式就像神話中所述的一樣,看起來像是一件禮物,但結果卻是一些突擊特洛伊城的希臘士兵,今日的特洛伊木馬程式看起來像是有用軟體的電腦程式,但它們卻會危害您的安全性並造成許多的損害。最近的特洛伊木馬程式的形式為一封電子郵件,其包含宣稱為 Microsoft 安全性更新的附件檔,之後即化身為病毒並嘗試停用防毒軟體和防火牆軟體。
特洛伊木馬程式 (n.)看似有用,但實際上卻會造成損害的電腦程式。當人們被引誘開啟程式 (因為他們認為該程式來自合法來源) 時,特洛伊木馬程式即會散佈開來。為了更完善地保護使用者,Microsoft 通常是透過電子郵件寄出安全性公告,但絕不會包含附件檔。在我們將所有安全性警訊以電子郵件傳送給客戶前,會先在我們的安全性公告網頁上進行公佈。
您下載的免費軟體也可能包含特洛伊木馬程式。絕不要從不信任的來源下載軟體。請務必從 Microsoft Windows Update 或 Microsoft Office Update 下載 Microsoft 更新和修補程式。
■ ActiveX 控制項
有時類似 Java Applet (但是它們是根據 Microsoft 微軟開發的技術而成),可完全存取 Windows 作業系統,因此有時比 Java Applet 更危險。
■ VBScript
是一種與 Netscape 的 JavaScript 相似的 Microsoft 指令檔語言,可將其互動式元素內嵌到 HTML 文件中。
■ 僵屍 (zombie)
這個術語是用來表示一臺被秘密植入潛伏程式的電腦,它可在稍後醒來並協助對另一個系統發動集合式攻擊。「僵屍」是一種相當新穎的攻擊方式。
■ 機動程式碼
機動程式碼事實上就是指定應用程式交換使用者資訊的程式設計。它是由 Web 開發人員所建立,用來撰寫 Web 瀏覽器自動下載並執行的應用程式。然而,它也可以成為電腦戰爭中的武器。只要它被下載到您的系統上,駭客就能在您不知情的狀況下,將您電腦上的資料傳輸至他們的電腦中。他們可以竊取您的密碼或個人隱私資訊、移除或傳輸重要檔案,甚至還能使您的電腦系統無法運作。
機動程式碼的常見形式:
Java Applet 是使用 Java 程式設計語言所撰寫的自動執行程式 (原本是由 Sun Microsystems 所開發)。Java Applet 可以執行各種工作,也可以內嵌在網頁中,或是以電子郵件附件的形式傳送。因為大部份的 Web 瀏覽器都是設定為自動執行,所以惡意的Java Applet 就成為嚴重的威脅。您可以變更 Web 瀏覽器的設定,使其在執行前先警告您。