1、1,防毒防駭,參考書目:F8440 防毒防駭全攻略 旗標,2,駭客或病毒入侵方式,由IP入侵或攻撃由E-Mail入侵由下載檔案入侵瀏覽網頁時入侵,3,駭客的目標,植入木馬程式、病毒程式、破壞程式破壞登錄資料機碼,4,由IP入侵或攻撃,Windows 入侵Port 139:磁碟 或 資料夾分享造成漏洞入侵IE, Outlook Express, FTP, Telnet利用漏洞進行當機攻擊、癱瘓攻擊木馬入侵(需先植入)破解密碼入侵,5,由E-Mail入侵,騙取帳號與密碼夾帶視窗炸彈夾帶木馬程式、病毒程式、破壞程式夾帶破壞登錄資料機碼,6,由下載檔案入侵,夾帶木馬程式、病毒程式、破壞程式,7,瀏覽網
2、頁時入侵,夾帶木馬程式、病毒程式、破壞程式破壞登錄資料機碼,8,你的電腦目前連線到那些地方?,9,常用Port,Port 21: FTP 檔案下載上傳Port 23: Telnet Port 25: SMTP 發信(Outlook)Port 80: HTTP (IE)Port 110: POP3 收信(Outlook)Port 139: NetBios 網路芳鄰、檔案總管連線,10,你的電腦目前打開那些Port?,開始 / 執行 / cmdnetstat -nTCPView / NetScan Pro / CurrPorts,11,netstat -n,12,TCPView,13,如何事前阻止
3、你的電腦連線到不該去的地方?,14,Sygate Personal Firewall,15,16,你的電腦目前在執行那些程式?,17,電腦執行中的程序有那些?,Windows工作管理員TaskInfo,18,Windows工作管理員,19,20,你的電腦IP目前在網路上隱藏的如何?,21,Your IP Information,http:/ I,不上網太久使用公共場所電腦自動撥號更換IP動態IPISP為了便於管理,每次都分配到同一個或附近幾個IP代理伺服器更換網路卡(含無線網卡)即使防火牆記錄到網路卡的MAC位址也沒用,23,IP隱藏法 II,刪除各種紀錄跳板電腦筆記型電腦配合無線上網公共場所
4、提供之免費無線上網購買不記名預付卡或儲值卡之類的無線上網帳戶,24,防止駭客使用無線基地台之法,設定WEP加密保護(較易破解)設定WPA加密保護不公開無線基地台名稱限制IP範圍輸入使用者名稱及密碼才可使用不使用無線網路就關閉無線基地台密碼設定,25,開啟隱藏檔的辦法,若開啟隱藏檔功能無法運作,請修改登錄檔HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL下,字串(DWORD)值Checkedvalue設為1,26,我怎麼殺,重開機後kavo.exe檔又復活,我怎麼
5、殺,重開機後kavo.exe檔又復活屬性已經解除了還是殺不掉del c:windowssystem32kavo1.dll 顯示拒絕存取 .先來解釋為什麼會重開機後kavo.exe檔又復活?那是在登錄檔裡有下列路徑,開機會啟動kavo的登錄值HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun裡會有一個執行c:windowssystem32kavo.exe,27,為什麼會存取被拒,屬性已經解除了,還無法刪除?,那是因為Kavo.exe還在Windows工作管理員處理程序中執行中,所以您無法對其進行刪除,必須先進行結束KAVO處理程序
6、再去刪除Kavo.exe及Kavo0.dll。1開啟執行開啟輸入regedit啟動登錄編輯程式2找到下列路徑HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun在右邊名稱欄位有Kavo及其資料欄位內容是c:windowssystem32kavo.exe點它按滑鼠右鍵選刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL在右邊名稱欄位有CheckedValue點它按鼠右鍵選修改,在數值資料輸入 1,
7、28,報稅季節 駭客地雷四佈 賽門鐵克祭壓箱6密招確認電腦安全,壓箱密招一:建議家中電腦安裝全方位安全軟體壓箱密招二:報稅完成,最好移除申報檔壓箱密招三:手動鍵入網址壓箱密招四:撥打165反詐欺專線壓箱密招五:避免使用未加密的電子郵件壓箱密招六:避免使用外掛或任何P2P下載程式,29,被植入的木馬病毒通常藏身何處?,啟動資料夾(或Startup資料夾)開始程式集StartupWin.iniC:windowswin.iniC:winntwin.ini查WindowsLoad與Run參數System.ini查bootshell參數登錄資料機碼(Registry)系統服務,30,登錄資料機碼(Reg
8、istry)藏毒處,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunonce,31,免費好用的小工具StartupCPL,可以不使登錄編輯程式(regedit)可上google搜尋下載開始控制台Startup,32,33,34,