[Sort]電腦安全名詞

=======================================================
電腦安全是資安中一門基本的課，網路上常碰到許多惡意軟體相關的名詞。略為整理如下：



1.名詞
會對使用者電腦進行惡意行為的軟體稱為Malware：
電腦病毒，Virus：

a. Introduction
病毒是一種通過拷貝自身或以一種改進的形式進入其他一段可執行代碼中的程序。他會把自身附於母體程式，然後嘗試感染其他電腦。 它可能會損壞硬體、軟體或資訊。要成為一個病毒，這個代碼只需要去複製，它不需要造成很多損害，或者甚至不需要廣泛地傳播。病毒可以使用很多類型的宿主，最常見的一些是：

• 開機(系統)型病毒:此種病毒會感染硬碟或磁片的系統啟動位置，因此又稱為「系統型」病毒。通常這類的電腦病毒會吃掉電腦中的記憶體。最嚴重的情況可能會破壞電腦的系統部分，造成電腦無法正常開機。常見的開機型病毒有Disk Killer(磁碟殺手)、米開朗基羅(又稱石頭三號病毒)…等。

• 一般檔案型病毒:電腦病毒附著在程式的可執行檔上，如com、exe或重疊檔(overlay file)。此類病毒最多，常見的有Jeru(耶路撒冷)、紅色九月…等。

• 混合型病毒:兼具檔案型病毒與開機型病毒的特性混合而成的。這類型病毒流傳率最高，因為當電腦開機時，感染到混合型病毒後，隨後在自動執行檔(autoexec.bat)中，所執行過的每一個程式或檔案都會感染到混合型病毒。常見的混合型病毒如Tequila (龍蛇蘭)、Hammer系列等。
  
• WORD文件巨集(MACRO)病毒:此類型病毒專門感染經由WORD所編輯過的文件，同時為跨平台的病毒，在Windows 95/3.1/NT或OS/2等系統都可以發現它的存在。其感染方式是當開啟巨集病毒後，以後不論開啟舊檔或新檔案都會感染上WORD巨集型病毒。最有名 的是「臺灣NO.1」 ，其他如臺灣劇場、釣魚台、教師節、聖誕節及亞特蘭大等也是巨集型病毒。

b.Working Principle:
當一個病毒把自身嵌入了其他可執行代碼中時，這就保證了當其他代碼運行時它也運行，並且病毒會通過在每次運行的時候搜索其他「乾淨」宿主的方式傳播。有些病毒會重寫原始文件，有效地破壞它們，但是很多僅僅是簡單地插入成為宿主程序的一部分，因此他和宿主都能倖存。病毒可以通過許多系統文件、網絡共享文件、文檔裡和磁盤引導區裡傳播。近來也有很多病毒通過電子郵件傳播。
c. Prevention:

• 注意觀查重要檔案之大小及磁諜機動作，並定期掃描磁碟。
• 做好資料備份，預防重要資料被破壞。
• 文件巨集檔之防範方法，可將NORMAL.DOT範本設定為唯讀 檔；開啟文件檔案時，立即關閉WORD自動巨集功能，並按住SHIFT鍵，直到開啟檔案為止。
• 修補作業系統以及其捆綁的軟體的漏洞
• 安裝並及時更新防毒軟體與防火牆產品
• 不要點來路不明連線以及執行不明程式、不要使用盜版軟體。

蠕蟲，Worm：

a. Introduction:
在電腦術語中，蠕蟲實際上是病毒的一個子類，但是它們有能力自身複製，不需要一個宿主文件。蠕蟲常常利用面向網路的服務的弱點。這樣的蠕蟲能夠在易受攻擊的系統網絡上快速傳播，因為它們不需要任何用戶的介入就能運行。
b. Working Principle:
傳播手段是他先常駐於一台或多台機器中，通常它會掃描其他機器是否有感染同種電腦蠕蟲，如果沒有，就會通過其內建的傳播手段進行感染，以達到使電腦癱瘓的目的。 其通常會以宿主機器作為掃描源。通常採用：垃圾郵件、漏洞傳播這兩種方法來傳播。最常見類型的蠕蟲都攜帶在電子郵件中。在郵件帶有蠕蟲病毒的情況下，郵件的收件人就是被利用的弱點，通常會有一個誘人的主題或訊息。通常從系統中清除蠕蟲比清除病毒容易多了，因為它們並不感染文件。蠕蟲經常試圖把它們添加到啟動文件中，後者修改註冊表鍵值以確保它們在每次系統啟動時被加載。
c. Prevention:

• 安裝並及時更新防毒軟體與防火牆產品
• 不隨意查看陌生郵件，尤其是帶有附件的郵件，由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以電腦用戶需要升級ie和outlook程式，及常用的其他應用程式。
• 修補作業系統以及其捆綁的軟體的漏洞
• 考慮停用 Windows 的自動播放功能。 (對近年的Conficker 電腦蠕蟲。)

特洛伊木馬，Trojan：

a.Introduction:
Trojan Horse經常也被僅僅稱為Trojan，是一種聲稱做一件事情而實際上做另外一件事情的程序。就如神話所述，特洛伊木馬程式看起來像是有用軟體的電腦程式，但是卻會危害安全並造成許多損害。木馬程式有很強的隱秘性，隨作業系統啟動而啟動。但不會自我複製在電腦領域中指的是一種後門程式。駭客用其來盜取其他使用者的個人資訊，甚至是遠程控制對方的電腦而加殼製作，然後透過各種手段傳播或者騙取標的使用者執行該程式，以達到盜取密碼等各種資料資料等目的。特洛伊木馬有兩種，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，寫死的操作。
b. Working Principle:
一個完整的特洛伊木馬套裝程式含了兩部分：伺服端（伺服器部分）和用戶端（控制器部分）。植入對方電腦的是伺服端，而駭客正是利用用戶端進入執行了伺服端的電腦。執行了木馬程式的伺服端以後，會產生一個有著容易迷惑用戶的名稱的進程，暗中打開埠，向指定地點發送資料（如網路遊戲的密碼，即時通訊軟體密碼和用戶上網密碼等），駭客甚至可以利用這些打開的埠進入電腦系統。一個特洛伊木馬程式是包含或者安裝一個存心不良的程式的，它可能看起來是有用或者有趣的計畫（或者至少無害）對一不懷疑的用戶來說，但是實際上有害當它被執行。當用戶執行文檔程式時，特洛伊木馬才會執行，資訊或文檔才會被破壞和遺失。(特洛伊木馬和後門不一樣，後門指隱藏在程式中的秘密功能，通常是程式設計者為了能在日後隨意進入系統而設置的。)
c. Prevention:

• 特洛伊木馬大部分可以被防毒軟體識別清除。但很多時候，需要使用者去手動清除某些檔案，註冊表等。
• 不具有破壞防火牆功能的木馬可以被防火牆攔截。
• 駭客一定要在欲駭的電腦上運行服務端程式才能將木馬植入系統。因此，不要隨便複製和使用不可信來源的軟體，如必須使用，應該先使用殺木馬和殺毒軟體進行掃描
• 不要隨便點擊陌生的網站或鏈結，如發現電腦運行速度明顯變慢，或者進程表中有可疑進程運行，則機器很可能已經中了木馬，此時應立即斷開網路，然後運行 殺木馬工具進行查殺
• 要經常更新自己的防木馬程式，保證及時防範新產生的木馬；大部分木馬都足利用作業系統的漏洞實施攻擊的，因此要經常給系統打補丁，從 根源防止木馬利用系統的漏洞入侵
• 最後也是最重要的，定時備份電腦的註冊表和一些重要檔，防止被木馬破壞後無法恢復，將損失減到最少。

Logic bomb

a. Introduction:
邏輯炸彈是一些嵌入在正常軟體中並在特定情況下執行的惡意程式碼。「邏輯炸彈」引發時的症狀與某些病毒的作用結果相似，並會對社會引發連帶性的災難。 與病毒相比，它強調破壞作用本身，而實施破壞的程序不具有傳染性。 簡單來說邏輯炸彈是一種程序，或任何部分的程序，其一開始行為是冬眠，直到一個具體作品的程序邏輯被激活。其類似於一個真實世界的地雷。
b. Working Principle:
邏輯炸彈會因特殊情況觸發，這些特定情況可能是更改檔案、特別的程式輸入序列、或是特定的時間或日期。惡意程式碼可能會將檔案刪除、使電腦主機當機、或是造成其他的損害。邏輯炸彈這個名稱正是因其發作時的惡意行為而來。
c. Prevention:

• 備份重要數據
• 對數據共享的網絡數據服務器應格外維護，控制寫權限，不在服務器上運行不知情的可疑軟件。
• 對於操作系統、應用軟件的安全性漏洞要及時從廠商處獲取patch程序，如Windows 的OOB Bug、瀏覽器(如 Netscape 4.0)的洩密等。
• 選擇使用正版產品。
• 如預防病毒那樣，平時應儘量避免和防護對磁盤絕對扇區的寫操作。
• 留意 Config.sys、Autoexec.bat、dosstart.bat等自動文件在安裝、運行某些程序或某些操作後的變化。另外，wininit.ini、win.ini的 run=/load= 語句、system.ini [boot]drivers=語句、control.ini的[MMCPL]欄目、windows 或windows\systems目錄中新增的 *.CPL 都是邏輯炸彈實施報復的著眼點。當然，正常軟件的配置也都是從類似的地方下手，因此這裡的防護就有一些盲目了。

Rootkits：這是透過一種軟體工具集合的方式，隱藏自己的蹤跡、偽裝成正常程序、甚至取代你的系統檔案，但是在這個工具集中卻包含了惡意程序，可能會開啟你的系統後門、引導駭客入侵、或攻擊你的電腦。
後門，back door：指繞過軟體的安全性控制而從比較隱秘的通道獲取對程序或系統訪問權的駭客方法。在軟體開發時，設置後門可以方便修改和測試程序中的缺陷。但如果後門被其他人知道（可以是泄密或者被探測到後門），或是在發佈軟體之前沒有去除後門，那麼它就對電腦系統安全造成了威脅（直接引自維基百科）。
間諜軟體，Spyware：專門在用戶不知情或未經用戶准許的程況下收集用戶個人資料的程序。它所收集的資料範圍可以很廣闊，從該用戶平日瀏覽的網站，到諸如用戶名稱、密碼等個人資料。
鍵盤側錄，keylogger：算是一種廣義下的間諜軟體，會記錄你的鍵盤操作並傳送給惡意的它方。
廣告軟體，Adware：並非所有的軟體內包含的廣告都是有害的，有時候內含廣告也只是單純營利的手段。不過有時候這些廣告的植入可能是使用者不願意的，並且會在執行時竊取使用者的資料。所以這也算是廣義下的一種間諜軟體。
流氓軟體，Hijacker：通常是Browser Hijacker，它會綁架你的瀏覽器首頁、搜尋列、和各種設定，可能是會了廣告目的，也可能是有間諜行為，但是都是令使用者困擾的惡意程序。
================================================================
利用網路進行攻擊的惡意行為:
Botnet

a. Introduction:
僵屍網路是指駭客利用自己編寫的分散式阻斷服務攻擊程序將數萬個淪陷的機器，即駭客常說的喪屍電腦或肉雞，組織成一個個控制節點，用來發送偽造包或者是垃圾數據包，使預定攻擊目標癱瘓並產生DoS的效果。通常有可能會利用蠕蟲病毒組成殭屍網路。
b. Working Principle:
BotNet病毒與木馬程式的使用方式相仿，但木馬只會攻擊特定目標，較不會藉由被植入木馬的電腦主機，再去攻擊其他電腦。 反觀BotNet不但會攻擊其他電腦，而且它具有「蟲」的特性，會慢慢在網路空間中「爬行」，一遇到有漏洞的電腦主機，就自行展開攻擊。駭客會藉由網路聊天軟體「IRC」，遠端控制受感染主機，發動網路攻擊，其中包括竊取私密資料、散佈垃圾郵件、發動阻斷式服務，BotNet具有自我複製 並主動散播的特性，受感染主機不易發覺，最近駭客製造出變種BotNet病毒，防毒軟體更不易偵測。當一個擁有數千、數萬甚至數百萬台電腦組成的殭屍網絡 形成後，駭客就可以招攬垃圾郵件生意，他們透過所控制的伺服器，下令殭屍電腦向郵件伺服器發送垃圾郵件。紐約電腦安全公司MessageLabs的年度報告指出，現在有超過80％垃圾郵件來自殭屍網路。殭屍電腦同樣可以用來進行DDoS
c. Prevention:

• 避免下載來路不明的程式。
• 安裝防火牆軟體，當殭屍網路利用我們電腦上的控制程式對外連繫時，防火牆會發出警告。
• 在不同的財務網站上不要使用同一組密碼；不要讓瀏覽器儲存的密碼。
• 因為我之前在管理系上的ftp時曾經被當成跳板，我建議能夠不要開的網路服務就盡量不要開。

釣魚，phishing：網路犯罪者利用偽裝的網站或郵件等，騙取受害者的個人資料與金錢等行為。
彈出視窗，popups：現在幾乎所有的瀏覽器都具備阻擋彈出視窗的功能，並非所有的彈出視窗都是惡意的，但是其中也有不少是使用者不願看到的廣告或惡意連結。
垃圾郵件，SPAM：帶有廣告、惡意程序、以及任何使用者不願意看到、不願意收到的內容的郵件，都可以算是垃圾郵件。
Zero Day Attack：在病毒剛被創造並進入網路流傳的時候，還沒有一個防毒廠家迅速開發出相應的辨認和撲滅程序，於是這種全新的病毒就很快大肆擴散、肆虐於網路、危害單機或網路資源。
DOS阻斷服務攻擊：攻擊者藉由不當方式佔用系統分享資源(CPU、網路、硬碟…)，達到干擾正常系統運作的進行。不同於一般網路入侵，DoS 不一定需要取得系統使用的權力，即可達到目的。最常見的DoS方式即是透過所謂的訊息洪泛(Message Flood)，向攻擊對象送出大量且無意義的網路訊息，不管被攻擊對象是否回應，都會因頻寬的被佔用，而導致不正常運作（直接引用維基百科）。
DDOS分散式阻斷服務攻擊：利用網路上因為惡意程序而被控制的電腦作為跳板，集中向某一特定的目標電腦發動密集的「拒絕服務」要求，藉以把目標電腦的網路資源及系統資源耗盡（直接引用維基百科）。
================================================================
防阻軟體:
防毒軟體，Anti-Virus：透過即時監控的方式，掃描電腦裡執行的程式，並將其與病毒庫資料比對，若發現為病毒感染時可將病毒的部分清除，或將可疑程序放入隔離區以免擴大破壞。基本上目前的防毒軟體都具備即時查殺病毒、蠕蟲、木馬的功能，可以第一時間阻止電腦被感染或破壞。而許多商業版的防毒軟體還具備阻止、清除間諜類軟體的功能，或是加入了清除垃圾郵件的功能。(推avast)
防火牆，Firewall：只以軟體防火牆來看的話，簡單的說防火牆可以監控進出你電腦的網路連線，從而達到阻止他人連線入侵你的電腦，或者阻止你的電腦向外發送不當的連線。不過這通常還需要配合使用者高度的警覺性與對設定的了解。(推Comodo Internet Security)
單機入侵防禦系統，HIPS：這個比較新的安全技術，是透過監視正常的程式與數據，當其出現可疑、異常的動作時，進行有效的阻止，除非使用者允許才放行。這種方式可以彌補防毒軟體來不及更新病毒碼的缺點，也可以監控到更深層的系統改變。當然它還是無法取代傳統的防毒、防火牆。
反間諜軟體，Anti-Spyware：間諜類軟體與病毒不一樣的地方，是它可能不會感染或破壞你的系統，但是卻會竊取你的個人資料、植入惡意的廣告紀錄程式，為了防止這些新的惡意程序，也誕生了許多專門掃描、清除間諜、廣告、流氓軟體的反間諜程式。(推Ad-Aware Free or Spybot-Search&Destroy)
 
2.Reference:
1. http://www.eset.hk/threat-center/threat_explain/
2.http://www.microsoft.com/taiwan/athome/security/viruses/virus101.mspx
3.http://zhidao.baidu.com/question/15247884.html
4.http://zh.wikipedia.org/zh-tw/%E8%AE%A1%E7%AE%97%E6%9C%BA%E7%97%85%E6%AF%92
5.http://zh.wikipedia.org/zh-tw/%E9%9B%BB%E8%85%A6%E8%A0%95%E8%9F%B2
6.http://zh.wikipedia.org/zh-tw/%E6%AE%AD%E5%B1%8D%E7%B6%B2%E7%B5%A1
7.http://zh.wikipedia.org/zh-tw/%E7%89%B9%E6%B4%9B%E4%BC%8A%E6%9C%A8%E9%A9%AC_%28%E7%94%B5%E8%84%91%29
8.http://playpcesor.blogspot.com/2007/05/blog-post_17.html