Duke的隨手札記

2016/05/08

近年流行的勒索型病毒

Filed under: 防毒防駭 — jj8113 @ 19:27:04

筆者因工作忙碌的原因,已經有一整年的時間沒有更新部落格了。近日許多 IT 新聞、一般電視台新聞都有報導過兇猛且惡質的勒索型病毒了。由於使用的 RSA 加密技術是正規的演算法(並非病毒作者自己開發的技術,只是借用這個加密技術去作勒索的行為),一般檔案如經過 RSA 2048bit、4096bit 加密過,若沒有公鑰+私鑰(有時候必須搭配密碼),任何人都無法解密(FBI 探員也說過花錢消災最快)。中招者只有兩條路可以選擇: 1.支付比特幣,相當於13,000~25,000台幣的贖金以換取解密檔案的私鑰(不一定可取得私鑰,就算取得了也不一定可以完全解密,也有人拿到私鑰,在解密的過程中又被加密,總共付了兩次比特幣(數萬新台幣)才完整解開),2.放棄所有檔案、照片,創造新回憶,一切從頭開始。

近期由於筆者的公司有幾位同仁誤開啟了陌生的郵件中的 .zip 附件(筆者自己用測試機玩過,壓縮檔的內容其實是 .js 指令碼,且已混淆加密內文。執行 .js 後會自動下載亂數檔案名稱的 .exe 及公鑰,並開始掃描電腦中的檔案,然後進行加密,並刪除原始檔案。),除了提升同仁的資安意識外,也只能將整顆硬碟格式化(所幸因該位同仁開啟 Outlook,.pst 無法被勒索病毒刪除,相關文件還可以從寄件備份下載回來)。但筆者的朋友因為上大陸網站追劇而中獎,就沒這麼幸運了。很多檔案、照片一夕間全毀,導致欲哭無淚… 如下圖,所有檔案均已無法開啟

如果公司有導入防毒軟體的企業版,通常也可以在主控台上監控使用者們的電腦是否有中毒或是木馬,可以非常方便的讓 MIS 逕行代使用者處理:

防治的方法其實已經老生常談了,以下大略再整理一次:

1.安裝防毒軟體,並每天自動更新病毒碼,正確的設定防毒軟體掃描等級

2.不開啟可疑的郵件,尤其是附件

3.不開啟陌生的網站,也不隨意點選任何可疑連結及內容誇大的廣告

4.移除 Flash Player (現階段 Flash 應該都已經是廣告居多了,必要性已不大。有網友沒點廣告一樣被植入勒索病毒,因為 Flash 漏洞及的權限都太大,不合時宜。且現階段 HTML5 已逐步成熟)

5.停用系統內建的 Windows Script Host (禁止執行 .js、vbs,對不需要開發程式的一般使用者來說毫無影響)

6.定時做系統更新 (Windows Update)

7.定時更新 Java (JRE)

8.定時更新 Adobe Reader 或 Adobe Acrobat

9.備份所有檔案到隨身碟。備份完成後立即移除隨身碟,切勿一直連接電腦

如果能做到上述幾點,勒索型病毒也不會這麼容易找上您的! 與各位朋友分享!

回首頁 回首頁

2015/01/08

在PC端綁定路由器IP、MAC,簡易暫時解決因ARP攻擊造成無法上網

Filed under: 防毒防駭 — jj8113 @ 22:11:28

首先,讓我們先簡單的瞭解一下什麼是 ARP 病毒吧! 它的症狀大概就是會在短時間內斷線(全部斷線或部分斷線),但卻又會在很短的時間內會自動恢復。這是因為 IP、MAC 位址衝突所引起的,當中毒電腦的 MAC 位址映射到主機或路由器之類的 NAT 裝置,那麼整個網路都會斷線。但如果只映射到區網內的其它電腦,則只有這部分的電腦會出現問題而已。

ARP 這類型的病毒是對內網的PC進行攻擊,使內網PC的ARP表格混亂。在區域網路中,透過ARP協定來完成IP位址轉換為第二層物理位址(即MAC位址)。ARP協定對網路安全具有重要的意義。透過偽造IP位址和MAC位址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,進行ARP重新導向和嗅探攻擊。用偽造原始MAC位址發送ARP回應封包,對ARP快取記憶體機制的攻擊。這些情況主要出現在學術網路、宿舍、網咖等公共場所,進而造成部分電腦或所有電腦暫時斷線或無法上網,在重新啟動電腦或路由器後即可解決,但維持不了多久又會出現這樣的問題。網路管理員可以對每台電腦下「arp –a」的命令以檢查本機的ARP表格,若發現路由器的 IP 和 MAC 被修改,這就是ARP病毒攻擊的典型症狀。

這種病毒的程式如 PWSteal.lemir 或其變種,屬於木馬、蠕蟲類病毒,Windows 全系列都將會受到影響(即便是 Windows 8.1 也無可避免),病毒攻擊的方式對影響網路連線暢通來看有兩種:

1.對路由器的ARP表格進行欺騙,主要是先擷取閘道資料,再將一系列的錯誤的內網 MAC 資訊不停的發送給路由器,造成路由器傳遞到的也是錯誤的MAC位址,造成區域網路內的PC無法收到資訊。

2.而第二種則是ARP攻擊主要是偽造閘道。它會先建立一個假閘道(通常是中ARP病毒的PC),讓被它欺騙的PC向假閘道發資料,而不是透過正常的路由器途徑上網。在PC看來,就是上不了網了。也就是除了中ARP病毒本身的PC可以上網,而其它正常的PC反倒無法上網。這種情況可能比較需要擔心,因為封包會經過那台假造的電腦,可能會因此被竊取帳號、密碼。但如果只是單純的使用 NetCut 那就只要把人抓出來肉搏戰就好了(誤)!

就這兩種情況而言,如果對ARP病毒攻擊進行防制的話我們必須得做路由器客戶端雙方面的 IP、MAC 位址綁定才較能保障問題能夠獲得最終解決。因此我們在選擇路由器的時候,最好先看看路由器是否帶有防制ARP病毒攻擊的功能,並設定完成後才能防止ARP病毒攻擊。(筆者因為僅有租用中華電信的合勤P880數據機,這台數據機的等級較差,因此手邊並沒有能夠防範ARP病毒攻擊功能的設備(但其實也不太需要,因為筆者家中才三部電腦,並非大型區域網路)… 因此就僅介紹上述所說的第二種攻擊,也就是中毒電腦偽造成閘道。解決的方式,也就是在內網中其它的PC綁定原始閘道的IP及MAC位址):

輸入「ARP.EXE -d」的目的是在於清空ARP表格。而「netsh i i show interface」命令則是檢視網路卡的Idx編號,最後則是「netsh -c "i i" add neighbors “網路卡的IDX編號" “匣道IP位" “匣道MAC位址" store=persistent」。Windows Vista、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1、Windows Server 2012 R2 可以永久綁定ARP表格,不會因為重開機而導致效果消失。然而 Windows XP、Windows Server 200 3等 NT 5.X 較舊的作業系統則無法永久綁定ARP表格,重開機後需要再次綁定:

輸入「ARP.EXE -a」即可看到我們在第一步綁定匣道IP位址、匣道MAC位址後已顯示為「靜態」,這就表示已完成綁定匣道的動作了:

綁定完成後別忘記去尋找中ARP病毒的那台PC,也就是假匣道。只要找到如下圖所示的MAC位址(實際位址並非如下圖,而是所有MAC位址都被欺騙),即是中毒電腦:

回首頁 回首頁

2014/04/23

檢視 Windows 內建防火牆日誌

Filed under: 防毒防駭 — jj8113 @ 11:08:22

在很多情況下,或許我們不會使用作業系統內建的防火牆。但如果沒有額外的經費添購硬體防火牆、防毒軟體,或是購買軟體防火牆時,作業系統所內建的防火牆其實也還勉強算堪用。

但我們不能僅開啟防火牆,然後就放著完全不管,我們應該要養成檢視 log 的好習慣。因為您並不知道哪些 IP 正在反覆的連您的電腦,而這時候更有可能是以大量封包去癱瘓您的網路,也可能是正在用字典檔破解您的密碼… 而此時,我們只能先以封鎖IP的方式才做應急處理。接下來,筆者就簡單的講述如何開啟防火牆日誌。

1.首先進入控制台後,再點選「Windows 防火牆」→「進階設定」:

2.以滑鼠右鍵點選「本機電腦上具有進階安全性的 Windows 防火牆」→「內容」:

3.依照您的網路環境選擇「網域設定檔」或「私人設定檔」或「公用設定檔」,然後點選「自訂」:

4.將「記錄丟棄的封包」、「記錄成功的連線」選擇「是」,再點選「確定」:

5.之後可以在「%Systemroot%\System32\LogFiles\Firewall」中看到防火牆的日誌檔:

回首頁 回首頁

2013/11/05

Kaspersky (卡巴斯基) 2014 正體中文版

Filed under: 防毒防駭 — jj8113 @ 22:16:09

Kaspersky 依照往例進行了一連串的公測後,台灣代理商總算於2013年10月中旬釋出了 Kaspersky Internet Security 2014Kaspersky Anti-Virus 2014 台灣正體中文版。與過去幾年完全一樣,有新版本時,會先推出英文版→簡體中文版→香港正體中文版,最後才是台灣正體中文版,台灣的市場或許真的太小了吧… 所以感覺並沒有很積極地進行產品本地化工作。對於喜歡嘗鮮的朋友來說,的確是有浪費授權時間的感覺…

資深的卡巴斯基老客戶都知道,絕對不要用最新版的卡巴斯基。因為即使是正式版的卡巴斯基,用起來也同樣是一堆BUG… OK,言歸正傳! 這次的 Kaspersky 2014 在使用者介面上採用了與 Windows 8.1、Windows Server 2012 R2 相似的介面,及更加簡潔的大圖示。其實筆者是不太重視什麼華麗的介面。筆者認為重點應該著重於是否跟網路謠傳的一樣,Kaspersky 已經沒有過去那麼強悍,甚至已經逐漸在走下坡路了呢? 這部分就留給各位朋友去做評斷吧。

附帶一提,筆者前陣子才中過一隻病毒,病毒徵狀是會感染並破壞系統中所有的 .exe,並產生 lpk.dll 的系統隱藏檔,甚至最後搞到連 Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 的主程式 avp.exe 都被病毒給K.O掉… 也就是憑空消失… 之後為了測試,又把隨身碟插到裝有 Kaspersky Endpoint Security for Windows 8.1.0.831 的電腦上,但同樣被感染。唯一不同的是主程式沒有被病毒解決而已。然而病毒樣本未保留,所以無法確定該病毒是否可為新版本攔截並殺毒… 只能說這是筆者去年使用卡巴斯基企業版的經驗… 因此,千萬別隨意信任帶有數位簽章的應用程式才是保險之道,起碼又多了一道防線! 因為每分每秒全世界都在產生新病毒,雖然卡巴斯基實驗室對病毒的反應已算很快,但總是需要時間來防堵。

Kaspersky Internet Security 2014 英文版90天試用啟動碼: QCGUH-J8FF6-33WGA-UBY62Kaspersky Anti-Virus 2014 英文版90天試用啟動碼: NUS4T-GKF2R-17SCB-4CKPN

Kaspersky Internet Security 2014 卡巴斯基網路安全軟體 (14.0.0.4651)(b) 正體中文版:

http://kaftp3.t-tech.com.tw/products/02-KIS/kis14.0.0.4651zh-hant-tw.exe

Kaspersky Anti-Virus 2014 卡巴斯基防毒軟體 (14.0.0.4651)(b) 正體中文版:

http://kaftp3.t-tech.com.tw/products/01-KAV/kav14.0.0.4651zh-hant-tw.exe

回首頁 回首頁

2013/05/17

解決瀏覽器被挾持、綁架的問題

Filed under: 防毒防駭 — jj8113 @ 14:35:39

看到標題,想必又有不少朋友說: 我又不用 Internet Explorer,況且 Internet Explorer 這麼慢又這麼爛,安全性又這麼差,當然會被綁架! 還有就是,Internet Explorer 的功用是拿來下載 Google Chrome、Mozilla Firefox 的這種說法,其實比較偏向於,好像不用 Internet Explorer 就是屬於比一般使用者還厲害的觀點。但別忘了,畢竟只是瀏覽器,談不上多與眾不同… 另外比較值得一提的就是,從 Internet Explorer 10 開始,甚至是 Windows 8.1 的 Internet Explorer 11,在安全性及資源占用的部分,都有著非常搶眼的表現! Google Chrome 新版本記憶體占用越來越高,且會收集使用者隱私。Mozilla Firefox 則是越來越慢…

但若非拜 Google Chrome 版本編號突飛猛進之賜,Internet Explorer 並不會長進的這麼快! 不可諱言的是,微軟先前的確不重視瀏覽器市場,這也是不爭的事實。但其實,依照作業系統的市占率來看,Windows 的病毒著實是比其它作業系統高。樹大招風嘛,但微軟還是能屹立不搖、持續改善作業系統的漏洞,這就顯示它們的軟體工程師團隊真的非常厲害,照理來說,應予以鼓勵才是,而非一昧的譴責。當然,有譴責才會有進步就是了… 所以還是需要多元化的聲音! 回歸正傳,現在的惡意挾持,已不僅僅是透過登錄機碼來篡改,也就是說,筆者也遇過 Google Chrome、Mozilla Firefox 被綁架的狀況。最近筆者比較喜歡針對 Internet Explorer 挾持首頁及掛上流氓 ActiveX 控制項的問題。又因為昨天剛好看到 ACDSee Pro 6 官方簡體中文版釋出,看到了這些要綁架 Internet Explorer 的外掛程式,就變得異常興奮:

在實驗的心態驅使下,筆者安裝了所有附加的外掛程式。安裝完成後桌面上出現 hao123 導航、百度瀏覽器:

不僅 Internet Explorer 首頁強制變成 hao123,而且無論點選哪個連結都永遠無法離開這個頁面,顯示 hao123 非常的流氓及缺廣告錢,真搞不懂為什麼很多軟體都跟 hao123 這個流氓導航網站扯上利益關係,就連老牌的 ACDSee 都扯上關係了:

最令筆者討厭的就是,點選桌面的 Internet Explorer 會變成建立捷徑,每點一次就出現一個捷徑,非常的討厭… 於是在使用筆者這幾個月來無聊收集的機碼來修復系統預設值,並刪除惡意軟體元件:

桌面乾淨溜溜,首頁及強制安裝的 Internet Explorer 工具列都消失無蹤:

 

結論就是,要安裝中華民國大陸地區的軟體一定不能一直點選「下一步」,因為據筆者的觀察,中華民國大陸地區軟體好用的不少,但相對的,流氓的也不少! 盡可能的,還是別使用較好,因為少數的程式甚至有可能會幫您的系統開後門,不得不注意!

回首頁 回首頁

2013/04/19

優秀的免費防火牆: COMODO Firewall

Filed under: 防毒防駭 — jj8113 @ 19:28:10

我們都知道,每部電腦有65536(256×256)個連接埠,連接埠的編號從0~65535各有特定的用途。若您的系統沒有定期安裝修補程式,是非常受到駭客經由特定連接埠攻擊,並且是很容易感染殭屍病毒,成為駭客控制的對象。最主要的行為表現就是被遙控去攻擊目標電腦,讓自己成為跳板的。除了關閉常被駭客攻擊的連接埠,如: 135、137、138、139、445、593、1025、3389 以外,安裝 COMODO Firewall,來監控系統也是個非常好的方案。COMODO Firewall 是一款由 COMODO 所開發的免費防火牆,備受讚譽的防火牆提供使用者基於預防的PC保護,阻擋病毒、惡意軟體和駭客。COMODO Firewall 的特色有:
保護您的PC免受來自網際網路的攻擊
控制檔案在您的PC上執行
防止安裝惡意軟體
自動沙盒技術
雲端計算的行為分析
雲端計算的白名單
獲獎並受到高度評價的防火牆

大多數防毒軟體都含有一個已知的惡意軟體清單,並透過這個清單來判斷哪些應用程式及檔案不應該存取PC。但如果這個惡意軟體清單缺少一些條目,或者是不是最新的? 那對於分析惡意軟體就會出現漏洞。DDP解決了這個問題保證完全的安全性。COMODO Firewall 引用了超過200萬已知的PC安全應用程式的清單。如果一個檔案,不是在此安全清單上,存取您的PC,防火牆會立刻發出警訊通知您有惡意軟體攻擊的可能性。而這一切都會發生在惡意軟體感染您的PC之前,這是基於預防的安全保護,因為唯有這樣,才能確保您PC的安全。

COMODO Firewall 6.3.38526.2970 多國語言免費版(防火牆及HIPS D+模組)(x86):
http://eu2.download.comodo.com/cis/download/installs/standalone/cfw_installer_x86.exe
COMODO Firewall 6.3.38526.2970 多國語言免費版(防火牆及HIPS D+模組)(x64):
http://eu2.download.comodo.com/cis/download/installs/standalone/cfw_installer_x64.exe

回首頁 回首頁

2013/03/18

善用軟體限制原則,並有效利用憑證來禁止安裝軟體及執行應用程式

Filed under: 防毒防駭 — jj8113 @ 06:03:18

先前我們在建立屬於個人風格的數位簽章就有提到關於憑證的相關資料了。筆者也有鑑於近年來對岸的網頁、軟體過於流氓,不僅廣告充斥,而且少部分甚至會不經詢問就強制安裝,尤其360更是會將使用者的個人隱私資料偷偷上傳至伺服器…等,讓筆者決心封殺這些中華民國大陸地區軟體。寧可不用,也不要用安全性風險極高的軟體!

以下的方法其實就是利用 Windows 內建的本機群組編輯器原則中的本機安全性原則→軟體限制原則來達成目的,主要適用於 Windws XP 專業版以上之作業系統(Windows XP、Windows Server 2003 較不推薦,因為可以很簡單的解除封鎖限制)。另外需要特別注意的是,這種憑證限制軟體執行的方式並不僅僅適合安裝程式。只要是帶有憑證(數位簽章)的元件(如 .exe、.dll、ocx…等)都可以封鎖,以達到無法在您的作業系統中偷偷執行。相關設定的部分請參閱第7個步驟選擇適合您的選項! 封鎖的方式不單僅有憑證,還有路徑…等方式可以變通運用,以下就讓我們進入今天的教學吧!

首先請開啟「控制台」→「系統管理工具」→「本機安全性原則」:

在「其他原則」的地方點選滑鼠右鍵,彈出功能表後選擇「新增憑證規則」:

點選「瀏覽」:

指定要列入黑名單的憑證所在位置後再點選「開啟舊檔」:

確認安全性等級已設為「不允許」後再點選「確定」:

點選「軟體限制原則」後,請在右邊的窗格以滑鼠右鍵點選「強制」後再選取「內容」:

這個步驟需要做兩個動作,首先是選擇「所有軟體檔案」,以及「強制執行憑證規則」:

完成後就連下載檔案時都會提示這是在憑證黑名單中的軟體,且無法順利執行:

無法安裝憑證黑名單的軟體,當然就不會被執行或自動安裝。這可以非常有效的防止您在不清楚發生什麼事的時候被偷偷安裝(如: 瀏覽網頁時):

憑證規則儲存在「C:\Windows\System32\GroupPolicy\Machine」之中,可以善加利用:

只要將 Registry.pol 配合批次檔來執行,就可以很快的把軟體限制規則複製到另一部電腦,是不是很簡單也很方便呢?

回首頁 回首頁

2013/02/05

建立屬於個人風格的數位簽章

Filed under: 防毒防駭 — jj8113 @ 09:05:19

數位簽章(又稱公鑰數位簽章、電子簽章)是一種類似寫在紙上的普通的物理簽名,但是使用了公鑰加密領域的技術實現,用於鑑別數位資訊的方法。一套數位簽章通常定義兩種互補的運算,一個用於簽名,另一個用於驗證。數位簽章並非是將簽名掃描成數位影像,或者用手寫板獲得的簽名。數位簽章的文件完整性是很容易驗證的(無須騎縫章、騎縫簽名,也不需要筆跡鑑定),且數位簽章具有不可抵賴性(即不可否認性),更不需要筆跡專家來驗證。 一些正式或有規模的廠商所發行的軟體元件(如: *.exe、*.dll、*.ocx、*.cab、*.cat)通常都會帶有數位簽章,請參閱下圖:

當然,我們還必須檢查一下這個數位簽章是否還是有效(此範例的數位簽章為有效):

但其實就算數位簽章有效也不見得安全,因為先前 Adobe 的數位簽章伺服器就曾被駭客攻破,導致病毒合法披上 Adobe 的數位簽章… 另外還有在2010年內有木馬含有有效的數位簽章,9天內就造成了百萬電腦使用者中標… 數位簽章當時面臨著嚴峻的挑戰,這個事件鬧得當時沸沸揚揚的,相信大家多多少少都還有一點印象! 回歸正題,如果我們如果想要針對自己所撰寫或封裝的程式加入數位簽章的話又該怎麼做? 當然,這種數位證書一般都是收取使用者昂貴的申請和維護費用的… 所以本篇所介紹的憑證並不是由正式機構所頒發的憑證,是自己簽發憑證給自己,目的只是為了自己看著高興而已… 當然,如果我們是針對 .cab 來做簽章的動作,那就會比較實用些。因為可以在 Internet Explorer 上直接安裝 Activex 控制項,因為未經過簽章的 Activex,在 Internet Explorer 上的預設值是無法安裝的。

首先我們以微軟的工具為例。這些簽署工具是安裝 Microsoft Visual Studio 2010 後所提取出來的(因 Microsoft Visual Studio 2010 的相容性最佳,其元件可用於 XP、Vista、7、8 環境。而 Microsoft Visual Studio 2012 的元件僅能用於 7、8,因此筆者不推薦)。我們主要會需要 makecat.exe (製作CA憑證)、signcode.exe (加入數位簽章,在 Microsoft Visual Studio 2010 中已被 signtool.exe 取代,因此不再有 signcode.exe 這個檔案)。當然在製作憑證及加入簽章的部分我們都可以利用命令提示字元去完成,可以完全無視以下以GUI介面所介紹的部分。製作屬於個人風格的 CA 憑證這邊就不詳述,我們就單純的以針對 .exe 加入個人的數位簽章為例,下圖就是我們要準備的工具:

由於只有 Microsoft Visual Studio 2005 內附的簽章程式 signcode.exe 有提供GUI,因此筆者就以舊版的 signcode.exe 為範例進行最簡易的說明。首先,我們執行 signcode.exe 後會彈出這個歡迎介面:

指定要簽章的檔案:

點選自訂:

選擇從檔案選取:

指定剛剛所建立的個人憑證(*.cer):

點選瀏覽:

再指定私密金鑰(*.pvk):

輸入建立私密金鑰時所設定的密碼:

選擇 sha1 這個摘要演算法:

這個步驟其實可以什麼都不用填,直接點選下一步就可以了:

輸入由 VeriSign 免費提供的時間戳記伺服器「http://timestamp.verisign.com/scripts/timestamp.dll」,或是由 WoSign 免費提供的時間戳記伺服器「http://timestamp.wosign.com/timestamp」:

點選完成:

再次輸入私密金鑰的密碼:

完成:

這是筆者自行封裝的檔案,已經具有筆者個人名稱的數位簽章了:

但是仔細檢查一下這份數位簽章,其實是無效的! 因為它是筆者自行建立的憑證,並不是由 CA 或是 VeriSign、GeoTrust 這種數位證書頒發機構頒發給筆者的,所以才會出現簽章無效的資訊,請參閱下圖:

最後筆者要說明的是,如果使用 Microsoft Visual Studio 2010 的 signtool.exe 來對程式做簽章的動作時,不僅只能用命令提示字元去完成,另外還需要 .cer、.pfx 格式的憑證。與 signcode.exe 相比,其實只是多了一個 .pfx 憑證及少了一個 .pvk 私密金鑰而已。因為在轉換成 .pfx 時,我們已經提供過 .spc 憑證及 .pvk 私密金鑰了! 另外再補充一下,我們用 makecert.exe 可以建立 .cer 憑證及 .pvk 私密金鑰 ,然後再用 Cert2Spc.exe 轉換為 .spc 憑證。最後再用 pvk2pfx.exe 轉換為 .pfx 後就可以用新的 signtool.exe 來對程式做簽章了! 是不是很簡單呢?

經過上面的解說,我們可以驗證一件事。就是千萬不要隨意信任具有數位簽章的軟體,因為病毒或木馬也同樣是會偽裝數位簽章的。當然,再重述一次,就算數位簽章有效,還是要經過掃描,以防止被病毒入侵! 畢竟,在這個資訊爆炸的時代,最基本的資訊安全是一般使用者特別需要去注意的一件事。

回首頁 回首頁

2012/09/15

Kaspersky (卡巴斯基) 2014 正體中文版

Filed under: 防毒防駭 — jj8113 @ 12:53:18

Kaspersky 依照往例進行了一連串的公測後,台灣代理商總算於10月中旬釋出 Kaspersky Internet Security 2014Kaspersky Anti-Virus 2014 兩種產品的正體中文版。與過去幾年一樣,先推出英文版、簡體中文版、香港正體中文版,最後才是台灣正體中文版,台灣的市場或許真的太小了吧… 所以代理商感覺並沒有很積極地製作本地化。

這次的 Kaspersky 2014 在使用者介面上已採用類似 Windows 8.1 的介面,及更加簡潔的大圖示。其實筆者不會太重視什麼華麗的介面,筆者認為重點在於是否跟網路謠傳的一樣,Kaspersky 已經沒有過去那麼強悍,甚至已經逐漸在走下坡路了呢? 這部分就留給各位朋友去做評斷吧。

附帶一提,筆者前陣子才中過一隻病毒,病毒徵狀是會感染系統中所有的 .exe,並產生 lpk.dll 的系統隱藏檔,甚至最後搞到連 Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 的主程式 avp.exe 都被病毒幹掉… 也就是憑空消失… 之後又把隨身碟插到裝有 Kaspersky Endpoint Security for Windows 8.1.0.831 的電腦上,同樣被感染,唯一不同的是主程式沒有被病毒解決而已… 經過這個案例可以告訴我們,千萬別隨意信任帶有數位簽章的應用程式才是保險之道,起碼又多了一道防線!

Kaspersky Internet Security 2014 卡巴斯基網路安全軟體 (14.0.0.4651) 正體中文版:

http://kaftp3.t-tech.com.tw/products/02-KIS/kis14.0.0.4651zh-hant-tw.exe

Kaspersky Anti-Virus 2014 卡巴斯基防毒軟體 (14.0.0.4651) 正體中文版:

http://kaftp3.t-tech.com.tw/products/01-KAV/kav14.0.0.4651zh-hant-tw.exe

回首頁 回首頁

2011/10/19

企業最佳解決方案: Kaspersky Endpoint Security for Windows

Filed under: 防毒防駭 — jj8113 @ 00:20:40

Kaspersky Endpoint Security 10 for Windows 是 Workstation (工作站) 的最新企業版。主要的新增功能如下:

「應用程式控制」:使您能夠依據公司 IT 部門的原則允許或阻止單一應用程式的啟動,且包含以下元件:

「應用程式啟動控制」:基於區域網路管理員指定的允許或阻止規則作業。您可以依據卡巴斯基實驗室提供的軟體類型建立規則,也可以依據公司區域網路管理員指定的條件建立規則。由於已經與 Active Directory 整合,允許或阻止應用程式啟動的規則已針對活動目錄內的使用者或使用者群組進行指定。

「應用程式權限控制」: 依據應用程式的危險等級和信譽資訊阻止應用程式活動。由卡巴斯基實驗室提供的應用程式信譽度的相關資訊。

「弱點監控」: 偵測電腦中啟動的應用程式的弱點,以及電腦中安裝的所有應用程式的弱點。

「網頁控制」: 可依據規則限制或禁止使用者對網頁資源的存取。網頁內容類型、資料類型、單一網頁位址或分組,可指定為規則參數。由於已經與活動目錄相整合,程式已經為活動目錄內的使用者或使用者群組設定了控制網頁存取規則。

新介面: 主程式視窗顯示控制元件和防護元件作業的統計資訊,以及掃瞄工作和更新工作的進度。

改進:

已增強檔案防護,部分歸功於與卡巴斯基安全網路的整合。與卡巴斯基安全網路整合以提供檔案和網頁位址信譽度的資訊。 已增強進階清除技術。 已增強對於變更應用程式檔案、記憶體處理程序、系統登錄機碼的自我防護技術。

已增強主動防禦技術: 「系統監控器」元件可記錄應用程式的活動。 BSS 主動防禦技術可依據定期更新的簽章偵測惡意行為。

現在您可以在清除期間回溯應用程式的惡意作業。已增強「防火牆」元件,現在允許您依據連接埠、IP 位址、產生流量的應用程式控制接收/發送的流量。 已增強「入侵偵測系統(IDS)」技術,增加了支援透過指定 IP 位址進行排除。 已增強「裝置控制」元件:

已延伸受支援匯流排和裝置類型的集合。 現在可將裝置序列號用做關鍵條件。 現在可依據讀取/寫入等級使用檔案系統限制對裝置的存取。 現在可設定使用者存取裝置的計劃。

‧已加入與活動目錄的整合。

‧已加入對透過 IRC、Mail.ru 和 AIMR 協定傳輸的流量進行掃瞄。

Kaspersky Endpoint Security for Windows 10.2.1.23 英文版: 

http://products.kaspersky-labs.com/products/english/endpoints/kes10windows/kes10win_10.2.1.23en.exe

英文版管理工具:

http://products.kaspersky-labs.com/products/english/administrationkit/ksc10

Kaspersky Endpoint Security for Windows 10.2.1.23 正體中文版: 

http://products.kaspersky-labs.com/products/chinese_traditional/endpoints/kes10windows/kes10win_10.2.1.23zh-Hant.exe

正體中文版管理工具:

http://products.kaspersky-labs.com/products/chinese_traditional/administrationkit/ksc10

Kaspersky Endpoint Security for Windows 10.2.1.23 簡體中文版: 

http://products.kaspersky-labs.com/products/chinese_simplified/endpoints/kes10windows/kes10win_10.2.1.23zh-Hans.exe

簡體中文版管理工具:

http://products.kaspersky-labs.com/products/chinese_simplified/administrationkit/ksc10

回首頁 回首頁

2011/07/16

解決 Kaspersky 無法連線至雲端防護

Filed under: 防毒防駭 — jj8113 @ 08:05:26

若您是撥接上網 (PPPOE) 的使用者,並且是系統預設的自動分配IP位址 (DHCP),那麼我們檢查本機連線資訊時,IP位址會顯示為「114」…等開頭的四組IP位址。

 
事實上這組IP位址是系統自動分配IP位址所顯示出的「虛擬位址」。說它是虛擬位址的原因是因為這些IP是由ISP (如中華電信) 分配的動態位址 (也稱浮動IP),完全是非固定制的。那現在問題來了,由於我們每次點選雲端防護按鈕時 Kaspersky 都會出現下圖的「正在向伺服器發送請求」的提示,也因此就可以斷定,若我們採用動態IP,那麼伺服器將無法辨識並定位使用者,造成無法連線至 KSN (卡巴斯基安全網路):

 

所以現在解決問題的方法就很明確了,您只需手動設定網路卡的IP位址,使IP位址固定 (無須關閉DHCP服務),只要您手動設定區域網路IP位址,DHCP服務就不會有作用:

 

然後重新啟動電腦,再撥接上網,開啟 Kaspersky 2012,點選雲端防護就可以順利連線至 KSN:

 
其實我們也可以用ISP配發的固定IP去撥接上網去解決這個問題,以上方法僅提供給浮動IP的使用者參考!

回首頁 回首頁

2011/05/29

免費使用公共 Wi -Fi 必須知道的五個技巧,讓使用更安全

Filed under: 防毒防駭 — jj8113 @ 05:56:02

Wi-Fi 的全稱是 WirelessFidelity,意為無線保真,與藍牙一樣,同屬於在辦公室和家庭中使用的短距離無線技術。而更準確一點說,Wi-Fi 是 Wi-Fi 聯盟製造商的商標,可作為產品的品牌認證,是一個創立於 IEEE 802.11 標準的無線區域網路技術,基於兩套系統的密切相關性,也常有人把 Wi-Fi 當做 IEEE 802.11 標準的同義術語。

雖然在資料安全性方面,該技術比藍牙技術要差一些,但是在電波的覆蓋範圍方面則要略勝一籌,Wi-Fi 的覆蓋範圍可達300英尺左右(約合90公尺),因此對於小型的無線區域網路和需要常常移動遷移的群組網路方式而言,Wi-Fi 還是有很大的應用市場,常常用於將個人電腦、手持裝置(如PDA、手機)等終端以無線方式互相連線。

而 Wi-Fi 技術能夠得以迅速發展還有一個重要的原因,就是與代價昂貴的 3G 企業網路相比,Wi-Fi 的免費方式明顯更勝一籌。鑒於上面的原因,Wi-Fi 帶來的高速無線上網在如今有了普遍而廣泛的應用,各廠商目前都積極將該技術應用於從掌上型電腦到桌面電腦的各種裝置中,製造新的賣點。

對於那些僅想在商店吃午餐或喝咖啡的同時上網的人來說,連線方便的 Wi-Fi 熱點地區正好是一個福音。不過如果使用者在使用免費公共 Wi-Fi 時不小心,陌生人就能夠窺探到使用者的電子郵件及社交網路內容。雖然使用者使用公共 Wi-Fi 存在不少風險,但使用者使用以下五個技巧可使自己在上網時更加安全。

關閉共用。使用者在工作場所或自己家裡使用筆記型電腦時可能會與其它電腦共用檔案及資料夾,但在使用公共 Wi-Fi 時關掉這些共用會更加安全。

不要自動連線 Wi-Fi 網路。使用者的智慧型手機、平板電腦及筆記型電腦自動連線家裡或工作網路確實方便,但當使用者在外使用公共 Wi-Fi 時自動連線 Wi-Fi 網路可能會導致一些麻煩,甚至可能遭到駭客的攻擊。

在網路銀行及購物方面使用者須保持「精明」。使用者最好在家時才進行與網路銀行或購物相關的事項。如果使用者確實需要進行一項緊急資產轉移,或者立刻購買能夠節省一大筆費用,那麼使用手機網路連線也比 Wi-Fi 更安全。

使用安全軟體。使用者的筆記型電腦也應該安裝與家裡電腦一樣的防毒、反間諜、防火牆等安全軟體,在使用公共網路時防火牆尤其重要,其整個目的就是將「窺探」隔絕於使用者的系統之外。

小心偷窺。在數位世界裡並不是所有的危險都源於高科技,使用者在使用公共 Wi-Fi 時須保持小心謹慎,以防有人從背後偷窺。當使用者在繁忙的機場休息室裡使用公共 Wi-Fi 時,可能會有人偷窺,希望使用者可能透露出一個使用者名稱、密碼或信用卡號碼等資訊。

回首頁 回首頁

2010/12/25

您是否有防毒軟體強迫症?

Filed under: 防毒防駭 — jj8113 @ 09:19:54

筆者常常看到電腦使用者分為兩種人,第一種人是對電腦一知半解的使用者,他可能會同時安裝兩套或是更多的防毒軟體 (如下圖,裝了一大堆防毒軟體),來確保系統安全性。

第二種人是患有防毒軟體強迫症,非得不斷的更換不同廠牌的防毒軟體才能滿足,否則會渾身不自在…

其實系統中最好只存在一套您信任且習慣的防毒軟體,兩套以上反而會導致系統不穩定及拖慢系統執行效能,而在安全性上面又會由於有兩套防毒軟體互斥,有可能會比安裝一套還要來得差…

雖然不斷的更換防毒軟體我們可以稱作是實踐的行為,但沒必要這麼辛苦吧? 選對一套適合自己的防毒軟體,才是根本之道!

回首頁 回首頁

2010/12/03

快速設定卡巴斯基防火牆,放行遠端桌面連線請求

Filed under: 防毒防駭 — jj8113 @ 21:29:40

最近筆者因為工作上的需求,暫時可能都要回家連線至公務電腦處理一些令我非常頭痛的海報及眾多文件,而公務電腦所安裝的防毒軟體為 Kaspersky Endpoint Security for Windows,若防火牆設定使用 Kaspersky 的預設值,是會阻擋所有遠端桌面請求的,如下圖:

筆者為了防止老人痴呆症隨時都有可能會復發,因此就先寫一篇備忘錄吧… 另外,若要使用遠端桌面必須具備滿足以下兩個條件:

1.兩部電腦必須處於開機狀態 (無須登入)

2.兩部電腦必須具備網際網路連線能力

滿足上述兩個條件後,我們就繼續看圖說故事吧…

只要作業系統是 Windows 家族,請務必勾選「允許使用者遠端連線到這部電腦」,至於「允許這部電腦發出遠端協助的要求」則是允許您透過mail等邀請的方式來請求朋友的協助:

設定 Windows 的登入密碼,這點一定要記得做:

開啟卡巴斯基設定介面後,請選擇「防火牆」→「網路封包規則」:

以滑鼠右鍵點選下方清單中的「遠端桌面網路活動」,並將其變更為「根據應用程式規則」,然後再點選左上方的「編輯」:

最後點選「遠端位址」下方的「新增」,並輸入家中的實際IP位址即可,若家中的ISP是中華電信 ADSL 8M 以上,則會擁有8組浮動IP (也可變更為1組固定IP、7組浮動IP),請務必確認自己家中所有的IP位址,然後依序新增進去即可:

上述四個步驟均完成後,只要輸入該部公務電腦的使用者名稱及密碼即可順利登入遠端電腦去處理事情了!

回首頁 回首頁

2010/11/27

企業級防毒軟體: Microsoft System Center 2012 R2 Endpoint Protection

Filed under: 防毒防駭 — jj8113 @ 19:30:25

微軟除了提供10人以下企業免費的 Microsoft Security Essentials 外,還有一套特別的管理工具,其中就包含了企業級的 Microsoft System Center 2012 R2 Endpoint Protection。相較於 Microsoft Security Essentials 之下,Microsoft System Center 2012 R2 Endpoint Protection 不僅需要付費,但功能也相對的會比較強悍,除了與 Microsoft Security Essentials 共用病毒資料庫以外,但防護能力明顯提升不少,且病毒資料庫可獨立更新,無須透過 Windows Update 來更新。另外,Microsoft System Center 2012 R2 Endpoint Protection 的前一代是 Microsoft Forefront Endpoint Protection 2010

Microsoft System Center 2012 R2 Endpoint Protection可以利用中央控管的方式,部署、派送 Endpoint Protection 至用戶端,還可以統一管理所有的病毒定義檔、反惡意程式軟體定義檔…等。附帶一提的是,Microsoft System Center 2012 R2 Endpoint Protection 可以從 Microsoft System Center 2012 R2 試用版中提取。建議您安裝試用完後,若並未購買 Microsoft System Center 2012 R2 的授權,請務必進行解除安裝的動作,以免違法!

關於 System Center 2012 R2 Endpoint Protection 與 Microsoft Security Essentials 和 Windows Defender 的區別,主要有以下幾點:

1. System Center 2012 R2 Endpoint Protection 有獨立的通知區域圖示和即時監控設定選項,另外兩款沒有(Microsoft Security Essentials 有通知區域圖示,但不能在 Windows 8、8.1 使用)。

2. Windows 8.1 系統中的 Windows Defender 資料庫更新頻率為24小時一次,System Center 2012 R2 Endpoint Protection 則為8小時一次。

3. System Center 2012 R2 Endpoint Protection 資料庫更新比 Microsoft Security Essentials 延遲幾個小時,以確保沒有誤報。

4. Windows Defender 沒有右鍵掃瞄,System Center 2012 R2 Endpoint Protection 有右鍵掃瞄。

5. System Center 2012 R2 Endpoint Protection 沒有 Microsoft Security Essentials 的正版驗證,不偵測作業系統是否為正版。

6. 其它細節微有不同,但不是影響使用的些微區別。

7. System Center 2012 R2 Endpoint Protection 可以增強 Windows 防火牆的篩選原則,增強防火牆效果。

回首頁 回首頁

2010/11/11

Kaspersky 垃圾檔案清理

Filed under: 防毒防駭 — jj8113 @ 06:22:40

各位朋友想必都已經知道最近在中華民國大陸地區掀起了一場防毒軟體大戰,而中華民國大陸地區的網友拜360腾讯QQ所賜,得到了不少好處! (下圖來源: 驱动之家)

正所謂鷸蚌相爭,網民得利啊… 這一次的大戰讓金山與可牛合併後改名為金山網路,並宣佈將金山安全旗下年收入破一億元人民幣的金山毒霸改為終生免費,而卡巴斯基安全部隊 2011PC-cillin 雲安全軟件 2011 全功能版也都提供免費使用一年,雖然台灣市場沒有中華民國大陸地區這麼龐大,但筆者還是想問,台灣的網友什麼時候才會有這種好康呢? 或許終生都不可能吧…

回歸正題,Kaspersky 在這幾年的表現及聲勢都明顯不如以往的6.0、7.0版時代那樣的叱剎風雲,尤其從2009版開始就逐漸的在走下坡。不僅病毒偵測率降低了,誤報率也比前幾年來得高,而唯一值得慶幸的卻只有掃瞄速度在2011版有所進步… 但 Kaspersky 終究還是一款值得推薦的防毒軟體,而且相信身為它的忠實支持者並不會因此而放棄的! 對於長時間支持並使用 Kaspersky 的朋友都應該知道,Kaspersky 用久了以後會在系統中產生許多的垃圾檔案,有時垃圾檔案甚至會高達數GB之多… 然而手動清理這些垃圾檔案既麻煩又容易出現手誤的狀況,因此我們只要用一個簡單的批次檔就可以簡單的清理這些垃圾檔案,更有效的去利用剩餘的磁碟容量。另外,使用本批次檔後資料庫可能會變成未知日期,請再次更新資料庫即可

 
以下指令碼適用於 Kaspersky Internet Security 2009Kaspersky Internet Security 2010Kaspersky Internet Security 2011,請將下方藍字部分複製到記事本後,然後另存為 清理Kis垃圾檔案.bat 即完成。然後再使用本批次檔前也請先關閉 Kaspersky 的自我防護,並結束 Kaspersky 主程式。希望以下的批次檔能對各位朋友有所幫助!

@echo off
title Kaspersky 垃圾檔案清理
color 1a
mode con cols=52 lines=15

 

:111
cls
echo 使用前請注意以下兩點:
echo 1. 請關閉「自我防護」
echo 2. 請結束「卡巴斯基」主程式
echo.
echo  請按下任意鍵後開始清理…
pause >nul
cls
echo 請稍後,正在移除 Kaspersky 垃圾檔案…
set var="%allusersprofile%\Application Data\Kaspersky Lab\AVP8″
set var="%allusersprofile%\Application Data\Kaspersky Lab\AVP9″
set var="%allusersprofile%\Application Data\Kaspersky Lab\AVP11″
echo.
echo 清理 Data 資料夾中的 *.tmp 檔案中…
if exist %var%\Data\*.tmp del %var%\Data\*.tmp /q
if not exist %var%\Data\*.tmp goto 222
::刪除卡巴斯基備份的安裝程式
::rd /s /q “%allusersprofile%\Application Data\Kaspersky Lab Setup Files\" >nul 2>nul
cls
echo 未達到清理要求,請檢查後再試…
ping 127.0.1 >nul
goto 111

 

:222
echo.
echo 清理 Update distribution 中…
rd %var%\"Update distribution" /s /q >nul 2>nul
md %var%\"Update distribution" >nul 2>nul
echo.
echo 清理 Report 中…
if not exist %var%\Report0 goto 333
if exist C:\Report rd C:\Report /s /q
md C:\Report
copy %var%\Report\*.dat C:\Report\ >nul 2>nul
rd %var%\Report /s /q >nul 2>nul
move C:\Report %var%\

 

:333
echo.
echo 全部完成後本程式將會自動結束…
ping 127.0.1 >nul

回首頁 回首頁

2010/10/16

善用本機 hosts 遮罩惡意網站及廣告

Filed under: 防毒防駭 — jj8113 @ 08:12:01
有的時候我們在看網頁或是私人部落格的時候多多少少總是會被旁邊「金光閃閃,瑞氣千條」的廣告所干擾 (尤其是使用 Internet Explorer 瀏覽網頁時會更為明顯),或者是擔心家中的小朋友誤入色情網站、挾帶惡意程式、惡意指令碼以及包含木馬…等各式有害網站,甚或是在不清不楚的情況下就安裝了中華民國大陸地區的軟體被流氓軟體綁架首頁…等一堆奇奇怪怪的問題,若您並未安裝防毒軟體或是防毒軟體太過薄弱的話,可能早就已經在您不自覺的情況下中招而不自知…
 
其實 Windows 就已經內建了一個類似簡易的防火牆,那就是今天的主角: hosts,它除了可以略微提升開啟網頁或是下載檔案的速度外,同時也能夠有效的阻擋廣告資訊附著在某些網路橫幅上,或者附著在您電腦上安裝的各種程式介面上。橫幅上的廣告資訊不僅不包含任何有用的資訊,而且還分散和增加了網路流量,尤其又大量採用 script 與 flash,這也是會讓CPU去做額外的運算,進而增加電腦負擔的。簡單的來說,hosts 可以有效遮罩網頁中帶木馬、色情、賭博、網路釣魚、低俗廣告…等多種類型的惡意、有害身心健康網站,阻擋病毒傳播途徑,保護您上網的安全。同時也具有小巧、靈活,以及不占系統資源的特性。
 

筆者這邊所收集的 hosts 已達4萬多條規則,可以有效的阻擋大量已知且常見的廣告伺服器及眾多惡意網站。其實網頁中附帶廣告其實並沒有多大的壞處,只是會在開啟網頁時速度變慢 (若您的硬體設備不是很好的話則會更加明顯),而且會感覺花花、亂亂的,這可是讓筆者最詬病的地方了… 因此,筆者將收集兩年多的色情、惡意網站及一些網站廣告主機的網域以及一些流氓型的外掛程式整合起來寫成一個簡單的批次檔,將它們給遮罩起來,這樣可造成我們本機無法存取這些網域及位址,自然您就無法開啟這些有害的網頁了。
 
接著就讓我們來了解一下什麼是本機 hosts 吧:
1.為什麼 hosts 可以更改功能變數名稱與IP的映射 (對應) 關係? 根據 Windows 的作業系統原則,在進行 DNS 請求以前,Windows 會先檢查自己的 hosts 檔案中是否有這個位址映射關係,如果有則調用這個IP位址映射,如果沒有再向已知的 DNS 伺服器提出功能變數名稱解析。也就是說 hosts 的請求等級比 DNS 高,所以 hosts 檔案可以輕鬆更改功能變數名稱與IP的對應關係。
2.hosts 檔案多了是否會影響存取網站速度? 目前筆者的 hosts 檔案大約是41000多則,在使用中並沒有發現因此而影響開啟網站的速度。再用一個比較能說服大家的理由吧… 因為目前大家的CPU動輒都是在2.0 GB以上,而記憶體也早已普及到1GB以上了。依據CPU的處理速度,處理幾百KB甚至幾MB的純文字檔案應該不會太困難吧? 所以說不用擔心因為 hosts 檔案過多而導致存取網站速度變慢。
3.除了過濾廣告、色情、賭博、惡意網站…等,還有什麼好處呢?
修改 hosts 檔案,不但可以遮罩外掛程式和廣告,其實也可以加速開啟網頁的速度。因為在瀏覽器進行 DNS 請求以前,Windows 會先檢查自己的本機磁碟中的 hosts 檔案中是否有這個網址映射關係,如果有就不用請求 DNS 去解析這個網址了。那麼我們可以將經常瀏覽的網站的IP位址(以台灣Yahoo! 為例,請在命令提示字元中輸入: ping tw.yahoo.com)在 hosts 檔案中映射一下,以後再瀏覽該網站的時候,就可以不用請求 DNS 解析,從而略為提升了一點點的速度…
4.什麼是 DNS 伺服器?
DNS 全名是 Domain Name System,透過 DNS 系統我們可以由一部電腦的 domain name 查其 IP,也可以由電腦的 IP 反查它的 domain name,除此之外 DNS 還與 Mail System 結合,提供 Mail routing 的功能。
再舉例說明一下,比如說台灣Yahoo!我們正常記的是它的英文網址: tw.yahoo.com,但實際上它的主機IP位址是 119.160.246.241,透過 DNS 伺服器的網域解析,才會變成好記的 tw.yahoo.com。若沒有 DNS 伺服器的幫忙,大家可能只能記著一堆數字如「119.160.246.241」才能夠瀏覽該網站。
最後,我們要了解的是 DNS 其實就只是把「人類看得懂且好記的網域名稱」解析成「電腦只認識的真實IP」這樣的功能而已! 而存取網站裡面的內容時就完全與 DNS 無關了!
 
另外還附加了一樣防禦功能,那就是新增常用軟體 ActiveX 控制項的類別識別項 (CLSIDs),微軟稱做 ActiveX Kill Bit:
實際上,使用 ActiveX 控制項的類別識別項 (CLSIDs) 防禦遠端執行程式碼弱點,這就是對漏洞最好的防禦方法了。封鎖 CLSID 的方法早在2004年以前就有了,雖說不是新方法,但卻是很好用的防禦方式!
 
回首頁 回首頁

2010/05/08

Google 安全瀏覽診斷

Filed under: 防毒防駭 — jj8113 @ 01:01:55
這幾天筆者常逛的幾個網站陸續被掛上木馬,才赫然發現自己的電腦中存在著已經有好一段時間沒使用的「Google 安全瀏覽診斷」捷徑。這是 Google 為一般使用者所提供的惡意網站診斷服務,只要您輸入網域名稱,就可以立即得知該網站的診斷資訊。
其實現在不少病毒都採取無差別攻擊,系統安全性只要不夠完整就很容易被突破,跟幾年前的偷偷放病毒比起來,現在可以說是演變成強盜直接隨機撞門 (例如被掃Port後被發現有弱點,而被加以利用、攻擊)…
若您有疑似被感染的網站,筆者建議可以先用「Google 安全瀏覽診斷」先檢查該網站 (請注意: 也有可能是誤報,就跟防毒軟體一樣,還是需要使用者自行判斷。養成良好的上網習慣才能最大化的降低風險),然後再配合防火牆封鎖特定危險的連接埠及外加網頁防護,相信是能夠有效的大幅降瀏覽網頁時中病毒或木馬的機率。
 
以下我們就來介紹如何使用「Google 安全瀏覽診斷」,首先請先開啟您的瀏覽器,然後在網址列的部分輸入:
http://www.google.com/safebrowsing/diagnostic?site=請填入欲查詢的網域名稱
或許有的朋友可能不是看得很明白,那筆者就再舉一個例子好了,比如說筆者的部落格完整網址是:
所以網域名稱為 duke8888.wordpress.com接著我們直接在瀏覽器的網址列中輸入:
就會得到以下的診斷結果:

2010/03/24

使用命令提示字元解決被病毒強制隱藏的磁碟全部或部分資料夾

Filed under: 防毒防駭 — jj8113 @ 00:57:15
一般電腦中毒後,病毒會對使用者的電腦進行各式各樣的「惡搞」。其中令人頭痛的惡搞之一就是: 強制將磁碟的部分或全部資料夾 (包括其中的子資料夾和全部檔案) 設定為「隱藏」,而且無法透過「勾選」有關選項 (資料夾/屬性) 還原為正常狀態。
 
下面向各位朋友提供一組可以徹底解決上述症狀的「命令提示字元」指令,以備大家不時之需:
1.解除對某磁碟某個資料夾的強制隱藏 (範例一):
attrib E:\"Program Files" -s -h /s /d
2.解除對某磁碟全部資料夾的強制隱藏 (範例二):
attrib E:\"*" -s -h /s /d
 
※以上範例中,e: 為磁碟機代號,引號內為資料夾名稱,相關指令參數如下:
+r 設定唯讀檔案屬性。
-r 清除唯讀檔案屬性。
+a 設定保存檔案屬性。
-a 清除保存檔案屬性。
+s 設定系統檔案屬性。
-s 清除系統檔案屬性。
+h 設定隱藏檔案屬性。
-h 清除隱藏檔案屬性。
/s 將 attrib 和任意指令行選項套用到目前的資料夾及所有子資料夾中相符的檔案。
/d 將 attrib 和任意指令行選項套用到資料夾。
/? 在命令提示字元中顯示說明。
 
您也可以在命令提示字元中輸入「attrib /?」來檢視相關指令

2010/03/03

免費的防毒軟體: Microsoft Security Essentials

Filed under: 防毒防駭 — jj8113 @ 02:17:31
早在2009年夏季時,Microsoft 就已經推出 Microsoft Security Essentials 的多國語言試用版,這是正版 Windows 使用者專屬的一套免費防毒、防間諜軟體。之前正體中文版也曾在台灣微軟的官方網站中曇花一現過,但是不到半天的時間就取消讓使用者下載,原因是台灣微軟稱還未準備就緒。也因此後來半年多的時間就一直都只有英文、日文、簡體中文版,如今總算釋出正體中文的正式版了。
 
筆者覺得 Microsoft Security EssentialsKaspersky Internet Security 比起來還真的是超簡單且易用,且運作起來的速度也挺快的,不怎麼會拖慢系統速度,但實際的防護效果到底是如何? 這就得花上一些時間來讓各方驗證了… 其實並非筆者不信任微軟這套防毒軟體… 畢竟,根據筆者多年接觸電腦的經驗來說,速度與安全性兩者之間本來就是背道而馳的最後要提醒的一點就是: 若您的電腦硬體等級夠新,筆者本身是建議可以嘗試安裝其它知名的防毒軟體。
最後就是,Microsoft Security Essentials 僅適用於 Windows Vista、7 三種個人用戶授權的 OS。絕不可使用在10人以上之企業,因為這是違反授權合約,故筆者未列出 Server OS 的原因所在。而 Windows 8、Windows 8.1 本身已內建 Windows Defender,故無須安裝。
 
1.開始安裝:
 
2.請記得務必定期更新病毒碼(建議設為自動更新):
 
適用於 Windows Vista、7 32-位元的 Microsoft Security Essentials 4.9.0218.0:
適用於 Windows Vista、7 64-位元的 Microsoft Security Essentials 4.9.0218.0:

2010/01/17

看到大毒窟了…

Filed under: 防毒防駭 — jj8113 @ 01:31:09
昨天去幫國中同學修電腦,初次見到那台電腦只有一個感想,那就是病入膏肓… 不但有超多KAVO變種病毒,還有一大堆木馬跟病毒,筆者認為主要還是該部電腦安裝了免費的P2P下載軟體「foxy」,那還真是讓您的電腦門戶洞開啊… 詳細情形請看下圖的掃瞄結果:

 
使用 Kaspersky Internet Security 9.0.0.736 (a.b) 進行將近兩小時的完整掃瞄是掃出一大堆木馬跟病毒也順利移除了沒錯,但最後檢查所有磁碟機根目錄下居然還有一堆 KAVO 的變種執行檔,例如: g0.cmd、kya6l.bat、0eboyg.exe、2w.exe、3ce.exe、3o0fp.exe、6rq6.exe、8gidy.exe、9o.exe、9yp8nyvg.exe、202tq6.exe、eito.exe、j16dp6.exe、jc1r11.exe、n1v93rqo.exe、ngq6hva0.exe、oaljb6.exe、ot.exe t2f.exe、v9l8.exe、w9fc.exe、xqg0.exe、91m.com,屬性均為「唯讀」、「隱藏」,可能這些病毒沒人上報給Kaspersky
而筆者先前寫的清理KAVO程式因為從未遇過,所以並不知道磁區根目錄下還會有這些變種,當下立即使用筆者自製的清理KAVO程式強制刪除,並檢查登錄檔,然後又馬上更新了病毒碼並在所有磁區及系統所在的磁區下「WINDOWS」、「WINDOWS\system」、「WINDOWS\system32」、「WINDOWS\system32\drivers」建立免疫資料夾。
不過,筆者認為卡巴並沒有完全掃乾淨,為什麼這麼說? 因為所有磁碟機根目錄下一堆莫名奇妙的 .exe .com .cmd,依筆者經驗判斷,99.9%是變種病毒…
還有一個比較大的問題就是電腦非常非常的卡,一開啟工作管理員後發現處理程序中有一個行程的CPU佔用率為95%~100%,該行程名稱為 svchost.exe,使用者名稱為 NETWORK SERVICE,照道理來說 svchost.exe 這個行程應該不會這麼吃CPU的,因為筆者幫忙安裝的驅動程式都是正式版,也都有經過認證,並非第三方修改及測試版,所以直覺判斷要就是要立即升級新版的驅動程式,若CPU佔用率還是一樣,那就代表還是有病毒或木馬在作怪:
 
解決方式:
1.更新新版網路卡驅動程式
2.使用自製的批次檔刪除 C:\Documents and Settings\您目前所登入的使用者名稱\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\您目前所登入的使用者名稱\Local Settings\Temporary Internet Files
C:\Documents and Settings\您目前所登入的使用者名稱\Local Settings\Temp
這三種暫存資料夾底下的所有檔案
3.重新登錄 WINDOWS\system32 底下所有的 .dll、.ocx 動態連結函式庫
重新開機,OK! 完全順利清除,最後弄到半夜2點多才回家…
 

後記:
卡巴斯基掃瞄的過程中,我第一次玩到了PS2的KOF 2002 Unlimited Match,感覺有些角色的攻擊判定跟大型電玩差很多,加上又是用手把,超不習慣的…所以回到家後立刻下載PCSX2回來用大搖桿玩…
PCSX2的建議硬體需求:
作業系統: Windows XP/Vista 32bit/64bit
CPU: Intel Core 2 Duo @ 3.2ghz 或以上
顯示卡: 8600GT 或以上
記憶體: 至少1GB RAM (Vista 則需要2GB)

2009/07/04

免費的防毒軟體: AVG Anti-Virus Free Edition 2014

Filed under: 防毒防駭 — jj8113 @ 14:19:34
相信各位應該都還記得由捷克 Grisoft 公司所推出的 AVG Anti-Spyware 7.5 (英文付費版) 防間諜、防木馬強悍的功能 (Grisoft 併購了德國的世界頂級殺木馬軟體 ewido,隨後並將其更名為「AVG Anti-Spyware 7.5」),但自從 AVG 8.0 開始,操作比起舊版就變得繁雜多了…
 
Grisoft 目前已釋出了 AVG Internet SecurityAVG Anti-Virus 正體中文版,共分為「免費30天試用版」「付費版」兩種,其中更有完全免費的 AVG Anti-Virus Free Edition
 
AVG 防毒軟體官方網站:
AVG Internet Security 2014 14.0 Build 4259a6848 正體中文30天試用版 (x86):
AVG Internet Security 2014 14.0 Build 4259a6848 正體中文30天試用版 (x64):
AVG Anti-Virus Free Edition 2014 14.0 Build 4259a6848 免費版 (x86):
AVG Anti-Virus Free Edition 2013 14.0 Build 4259a6848 免費版 (x64):
回首頁 回首頁

2009/06/28

Microsoft® Windows® 惡意軟體移除工具

Filed under: 防毒防駭 — jj8113 @ 14:39:51
Windows

Microsoft® Windows® 惡意軟體移除工具可以檢查 Windows 8、Windows Server 2012、Windows 7、Windows Vista、Windows XP、Windows 2000、Windows Server 2008、Windows Server 2003 的電腦中是否已經感染了一些比較流行的惡意軟體,包括 Blaster、Sasser、Mydoom,並可協助刪除感染的程式。

在完成偵測和刪除工作後,該工具還會建立報告,顯示工作結果,例如是否偵測到任何惡意軟體及是否已經刪除。Microsoft 會在每個月的第二個禮拜發佈該工具的升級版,該工具可以從 Microsoft UpdateWindows UpdateMicrosoft 下載中心取得。

請注意: 由 Microsoft UpdateWindows Update 所提供的該工具僅能在背景執行,並在找到感染的程式後才會發出報告。如果需要每月執行該工具多次,則需要使用該頁面上提供的版本,或安裝從 Microsoft 下載中心所下載的版本 (執行的指令是: MRT)。因為電腦在感染後依舊能夠正常運作,因此就算電腦看起來是正常的,最好也能定期執行該工具。另外您還可以使用最新的防毒軟體保護您的電腦防範其它惡意軟體。

Microsoft® Windows® 惡意軟體移除工具 (KB890830) – x86專用:

http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=zh-tw

Microsoft® Windows® 惡意軟體移除工具 (KB890830) – x64專用:

http://www.microsoft.com/downloads/details.aspx?FamilyID=585d2bde-367f-495e-94e7-6349f4effc74&DisplayLang=zh-tw


或是執行免費的線上安全掃瞄

若要在網站上掃瞄您電腦中的惡意軟體或潛在的不需要軟體,請點選:

Safety iconWindows Live OneCare 安全掃瞄

2008/06/30

線上防毒引擎掃描網站: VirSCAN.org

Filed under: 防毒防駭 — jj8113 @ 17:14:24
VirSCAN.org 是一個非商業性免費爲廣大使用者服務的網站,目前支援37款防毒引擎。它透過許多不同安全廠商提供的最新版本的掃毒引擎對您上傳的可疑檔案進行線上掃描,並可以立刻將檢查結果顯示出來,從而提供給您上傳檔案可疑程度的建議。
VirSCAN.org 並不能取代安裝在您個人電腦中的防毒軟體,且不能即時保護您的系統安全。它只能幫助您判斷您認爲可疑的檔案或程式,而且也不對所有掃毒引擎所報結果負責。就算所有的掃毒引擎全部沒有報告您上傳的檔案可疑時,也並不代表這不是一個新生的病毒、木馬或者惡意軟體。就算部分掃毒引擎報告您上傳的檔案感染某某病毒、木馬或者惡意軟體,也並不代表您上傳的檔案一定有問題,因爲這可能是某一款掃毒引擎的誤報。

2005/09/19

Kaspersky Virus Removal Tool

Filed under: 防毒防駭 — jj8113 @ 20:07:30

Kaspersky Virus Removal Tool 是由俄羅斯知名防毒廠商 Kaspersky 所發表的一款免費、免安裝的單機掃毒程式。讓您能在一般模式及安全模式下執行掃瞄、解毒,同時也具備啟發式掃瞄技術、自我防護,方便您將它儲存於隨身碟或其它可攜式儲存裝置中,其掃毒能力絕不輸給需要付費的 Kaspersky 防毒軟體。

Kaspersky Virus Removal Tool 主要是對已中毒的電腦進行掃瞄與解毒,及對於可能已被感染的電腦各磁區、軟碟、隨身碟…等給予掃瞄並解毒,是一個適用於已中毒電腦的臨時性的解決方案。

至於缺點則是:

1.無即時防護功能。

2.無滑鼠右鍵掃瞄選單。

3.無法針對單一檔案進行掃瞄。

4.無排程掃瞄功能。

5.無法直接更新病毒資料庫,需要重新下載。



Kaspersky Virus Removal Tool 英文版:

http://www.kaspersky.com/antivirus-removal-tool?form=1

2005/07/24

我們為什麼需要安裝防火牆?

Filed under: 防毒防駭 — jj8113 @ 10:27:37

很多初階使用者都認為,只要裝了防毒軟體系統就保證安全了,這種想法是很危險的! 在現今的網路安全環境下,木馬、病毒肆虐,駭客攻擊頻繁,而各種流氓軟體、間諜軟體也興風作浪。怎樣才能讓筆者們的系統保全於如此險惡的網路環境呢? 光靠防毒軟體足以保證筆者們的系統安全嗎? 下面筆者就從影響系統安全的幾個方面來剖析防火牆的重要性。

現在的網路安全威脅主要來自病毒、木馬、駭客攻擊以及間諜軟體的竊密。防毒軟體發展了十幾年,依然是停留在被動掃毒的層面 (當主動防禦這個概念出現以後,一些防毒廠商紛紛標榜已經實現主動防禦,實際上無非是炒作一些概念賺取獲利,這點急功近利的心理也是導致他們停滯不前的原因之一),從防毒軟體的原理來看,之所以能掃毒,純粹是根據病毒樣本的代碼特徵來辨識它是否為病毒,而且這個特徵碼還是需要在使用者反映遇到病毒後上傳病毒樣本才能取得。就如某人被偷了,幸運的是他抓住了這個小偷,於是告訴警察他抓住一個長頭髮戴眼鏡的小偷,於是警察就天天在街上盯著那些留著長頭髮戴著眼睛的人。這樣的防禦效果可想而知。同樣的道理,防毒軟體對於木馬、間諜軟體的防範也是基於這種被動的方式。

病毒和木馬的製造者們抓住了防毒軟體的這個致命弱點,不停開發新的變種,代碼特徵的頻繁改變讓被動的防毒軟體無所適從。從全球範圍內來看,能造成較大損失的病毒、木馬大部分都是新出現的,或者是各類變種。由於這些病毒、木馬的特徵並沒有被防毒軟體掌握,因此防毒軟體對它們是既無法預警,也無法清除,甚至導致一些防毒軟體本身都被病毒弄掛而無法啟動!

難道我們就只有任由病毒、木馬宰割的份了嗎? 當然不! 我們還有嚴守大門的防火牆呢!

防火牆為什麼就能擋住病毒、木馬甚至是最新的變種呢? 這就要從防火牆的防禦機制說起了。防火牆是根據連線網路的封包來進行監控的,也就是說,防火牆就相當於一個嚴格的守衛,掌管系統的各扇門 (連接埠),它負責對進出的所有人 (應用程式所發出的封包) 進行身份核實,每個人都需要得到最高長官的授權才能夠出入,而這個最高長官,就是您了。每當有不明的程式想要進入系統,或者連出網路,防火牆都會在第一時間攔截,並檢查身份,如果是經過您授權放行的 (比如在應用規則設定中您允許了某一個程式連線網路),防火牆會放行該程式所發出的所有封包,如果偵測到這個程式並沒有被授權放行,則自動彈出提示是否允許這個程式通行,這時候就需要您這個「最高統帥」做出判斷了。一般來說,自己沒有執行或者不太瞭解的程式,我們一律禁止放行,並透過搜尋引擎或者防火牆的提示確認該軟體的性質。

寫到這裡,大家應該都對防毒軟體和防火牆的區別有一定程度的瞭解了。舉個例子: 您的系統就好比一座城堡,您是這個城堡的最高統帥,防毒軟體和防火牆是負責安全的警衛,各自分工。防毒軟體負責對進入城堡的人進行鑒別,如果發現可疑的人物就抓起來 (當然,抓錯的幾率很大,不然就沒有這麼多誤殺誤報事件了),而防火牆則是守衛,對每一個進出城堡的人都進行檢查,一旦發現沒有出入證的人就向最高統帥確認。因此,任何木馬或者間諜軟體,或授權能在防毒軟體的眼皮底下偷偷記錄您的帳號密碼,可是由於防火牆把城門守得滴水不漏,阻止了所有木馬或間諜軟體發出去的訊息,從而保護了您的系統安全。

另外,防火牆還有一個優點,就是可以防禦駭客對系統的攻擊,這是防毒軟體無法做到的,因為駭客的操作不具有任何特徵碼,防毒軟體自然無法辨識,而防火牆則可以把您系統的每個連接埠都隱藏起來,駭客掃瞄您的IP的時候,不返回任何封包,這樣駭客就無法發現您這個系統的存在,從而使對方無法攻擊您。

總結一下使用防火牆需要注意的幾點:
1.防火牆就像看門狗,如果您沒錢裝防盜門 (硬體防火牆),那麼養條狗是不錯的選擇。
2.狗多了並不是好事,兩個狗一起會經常打架,所以不要裝多個防火牆,除非您想系統衝突導致崩潰。
3.食量很大的狗不是普通人就能養的起的,因此建議裝個節省資源的防火牆,除非您的記憶體實在大得可以當硬碟。
4.一條靈敏的狗勝過N條瘸腿的狗,如果防火牆的處理速度不夠快,當通過系統的封包很多的時候,就要嚴重影響系統效率了,甚至徹底當機。
5.養一條不聽話的藏獒還不如養一條容易駕馭的家犬,防火牆也是一樣,易用性決定您是否能輕易駕馭它。

在 WordPress.com 建立免費網站或網誌.