查看積分策略說明發表回覆
Discuz! 代碼
提示插入
直接插入
說明訊息

插入粗體文本 插入斜體文本 插入下劃線 置中對齊 插入超級連結 插入信件位址 插入圖像 插入 flash 插入代碼 插入引言 插入列表
刪除線 直線分隔線 虛線分隔線
    
添加文字底框
內容 [字數檢查]:

表情符號

更多 Smilies
字型大小 |||
溫馨提示:本區開放遊客瀏覽。


文章關鍵字 : [功能說明]
(關鍵字可加強搜索準確性, 如關鍵字多於一組, 請以 , 作分隔, e.g. : 阿笨,shiuh,第一笨)

 關閉 URL 識別 | html 禁用
 關閉 表情符號 | 表情符號 可用
 關閉 Discuz! 代碼 | Discuz! 代碼 可用
使用個人簽名
接收新回覆信件通知
推薦放檔網絡空間

檔案(Torent, zip等)
  1. freedl
  2. multiupload
  3. btghost
  4. 便當狗
  5. mediafire
  6. pillowangel
圖片(JPG, GIF等)
  1. hotimg
  2. tinypic
  3. mousems2
  4. imageshack
  5. imm.io
>>>歡迎推薦好用空間


最新10篇文章回顧
ADSLX2

 發表於 2007-4-18 11:19 AM

偵測、移除惡意程式 傳授四祕笈
企業界及個人如何快速發現及移除惡意程式?刑事局昨天公布「秘笈四招」,供社會各界自行操練並排除惡意程式的入侵。
秘笈一:
關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port的不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
秘笈二:
檢查登錄編輯器(Registry):清查HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。

秘笈三:

檢核微軟系統目錄中(路徑大多為C: WINNTSYSTEM32)是否存在下列異常檔案,並刪除之:(一)惡意程式-peep.exe:通常會存放在c:winntsystem32目錄之下,執行後會自動產生explorer.exe於c:winntsystem32目錄(正常的explorer.exe是存放在c:winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
(二)惡意程式-service.exe:正常之系統檔為services.exe,存放於c:winntsystem32 目錄之下,若電腦有service.exe或非位於c:winntsystem32目錄下之services.exe檔案則可能受到感染。 Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機 53port,一般53port為DNS之用,且是以UDP方式連線。
(三)惡意程式-iexplore.exe:iexplore.exe 被置於c:windowssystem32目錄中(正常位於c:program FilesInternet Explorer),該程式改編自知名偷密碼程式nasswordspy、Backdoor.PowerSpider及 PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、 gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:winntsystem32目錄之下。

秘笈四:

重新開機並注意電腦對外通訊情形。如在電腦沒有作任何運作時,從電腦工作管理員的圖表上,發現持續有人大量運作中。





所在時區為 GMT+8, 現在時間是 2024-11-25 01:21 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.019513 second(s), 6 queries , Qzip disabled