開放架構病毒識別實作

(1)

開放架構病毒識別實作

Open Structure for Virus Identification Archive

OSVIA

劉楨民(得民) Diamond Liu

MSN: [email protected]

開放架構病毒識別

• 現有防毒系統的隱藏憂慮

• 甚麼是『開放架構病毒識別』？

• 開放架構病毒識別 OSVIA 的對大家的益處

• 開放架構病毒識別 OSVIA 的運作架構

• 如何使用 OSVIA 偵測並掃除異常程式？

• 如何編輯病毒識別的特徵檔案？

• 如何下載病毒識別的特徵檔案？

(2)

現有防毒系統的隱藏憂慮

不是已經安裝掃毒軟體了嗎？

為何經常有漏網之毒？

你看得出來，誰有問題嗎？

(3)

2008/01/23 已經能夠偵測 2007/08/30的病毒

2008/01/23

已經能夠偵測

2007/09/01的病毒

(4)

仍然無法能夠偵測 2007/11/27的病毒

2008/01/23

仍然無法能夠偵測

2009/01/02的病毒

(5)

(6)

(7)

甚麼是『開放架構病毒識別』？

• 開放架構病毒識別的基本定義

–

軟體工具

(

編輯

,

偵測

,

清除

)

屬於各發展者所規劃設計。

–

病毒特徵資料，採用公開格式，方便交換與維護。

–

所有工具、資料皆提供語言定義，可以滿足不同顯示需求。

–

允許其他人員

(Power User)

編輯與製作病毒特徵資料。

–

病毒特徵資料可以加鎖，可以指定某位人員使用，做為智慧財產。

–

不同廠商發展的防護工具，其病毒特徵資料可以相同。

• 開放架構病毒識別的主要特色

–

讓網管人員可以在第一時間製作解毒劑，不再依賴慢速反應公司。

–

讓用戶可以自行尋找適當的資安服務公司，無需增購軟體防毒工具。

–

讓各網路區域自行針對特殊惡意程式進行防護，不再受制於區域病毒問題。

至少，台灣對付大陸駭客的病毒木馬，就容易多了。

–

特殊部門單位，可以自行發展專用的病毒偵防工具，無需顧慮洩密問題。

開放架構病毒識別的基本定義

A牌掃毒軟體開發者

B牌掃毒軟體

開發者

C牌掃毒軟體開發者

惡意程式識別檔案惡意程式識別檔案

惡意程式識別檔案

自由軟體使用者

OSVIA

開放格式識別檔案

(8)

開放架構病毒識別的基本定義

A牌掃毒軟體開發者

B牌掃毒軟體開發者

C牌掃毒軟體開發者惡意程式識別檔案

惡意程式識別檔案

惡意程式識別檔案 _{自由軟體使用者}

OSVIA

病毒檔採樣

下載特徵碼

OSVIA

OSVIA 的系統架構

• 開放架構病毒識別的主要元件

–

病毒識別編輯工具:支援病毒碼交換格式(文字檔)與編譯病毒碼功能。

–

惡意檔案偵測工具:根據編譯後的病毒特徵資料，尋找有問題的檔案。

–

惡意檔案清除工具:發現有問題的檔案(程式)，立即清除它。

病毒特徵檔

1.採樣 2.編碼 3.偵測 4.清除

病毒程式檔案

(方法) (工具) (工具) (工具)

(9)

OSVIA 的運作架構 (1)

• 開放架構病毒識別的主要元件

–

病毒識別編輯工具:支援病毒碼交換格式(文字檔)與編譯病毒碼功能。

–

惡意檔案偵測工具

:

根據編譯後的病毒特徵資料，尋找有問題的檔案。

–

惡意檔案清除工具:發現有問題的檔案(程式)，立即清除它。

• 開放架構病毒識別的運作方式

– (0)惡意程式碼採樣。

– (1)編輯病毒特徵碼。

– (2)發布病毒特徵檔。

– (3)下載最新特徵檔。

– (4)偵測電腦是否異常？

– (5)清除惡意檔案。

– (6)公開交換病毒碼特徵。

OSVIA 的運作架構 (2)

惡意程式採樣編輯病毒特徵碼

發布病毒特徵檔(Binary 格式) (WEB, 論壇, 內部網站, FTP)

所有檔案清單 S-Check-OSVIA.txt

個別編輯特徵碼檔案 Clean_XXX_08.ddt

個別編輯特徵碼檔案 XXX_ABC_2008.ddt

偵測電腦是否異常？

下載最新特徵檔

公開病毒交換檔(Text 格式)

(10)

OSVIA 的運作架構 (3)

惡意程式採樣編輯病毒特徵碼

發布病毒特徵檔(Binary 格式) (指定用戶服務編號，特定客戶使用)

所有檔案清單 S-Check-OSVIA.txt

個別編輯特徵碼檔案 Clean_XXX_08.ddt

偵測電腦是否異常？

清除惡意檔案電子郵件或其他方式派送最新病毒特徵檔

發現異常程式發現異常程式發現異常程式發現異常程式區域惡意程式區域惡意程式區域惡意程式區域惡意程式特殊違禁程式特殊違禁程式特殊違禁程式特殊違禁程式

偵測惡意程式的五種條件

1. 系統目錄出現隱藏執行檔 (exe, dll, sys, …)

2. 發現異常增生執行檔 (exe, dll, sys, …)

3. 本機異常對外通訊 ⁽

沒有執行網路動作，網路燈號一直閃爍

)

4. 異常執行程式目錄位置 (IExplore.exe, Explorer.exe, svchost.exe, …)

5. 異常網路通訊封包內容 (A-PacketMan, WireShark, …)

• 註冊機碼都會發生變化 (Run, RunService, exe, txt, Gina, …)

(11)

OSVIA的自動偵測程序

1. 針對下列情況進行偵測(無需病毒碼)

• 系統目錄出現隱藏執行檔

• 發現異常增生執行檔

• 異常執行程式目錄位置

2. 針對下列情況進行偵測(需要病毒碼)

• 根據惡意程式特徵檔案，進行掃瞄

• 根據網路通訊封包監測，進行比對

惡意程式採樣與自製病毒識別檔

絕對位置識別內容

0x0700 0x0c00558bec568b75

0x0700 0x0c00558bec568b750cff761483660c00

程式節區識別內容

0x0000 0x0c00558bec568b75

資料節區識別內容

0x0000 “

程式內部字串

”

呼叫函式識別內容

Import “OpenFileA”

常用識別方式常用識別方式常用識別方式常用識別方式

輔助識別方式

(12)

公佈病毒碼與封鎖病毒碼

• 公佈病毒碼的公開檔案格式

– 文字檔案格式

– 公開欄位, 與資料內容 – 任何人皆可以使用或修改 – 延伸檔案名稱為 .diamond

• 封鎖病毒碼的封閉檔案格式

– 二進位檔案格式 – 封閉欄位, 與資料內容

– 指定人員(序號) 可以使用，且無法修改。

– 延伸檔案名稱為 .ddt

限制版本病毒識別的特徵檔案

• DDT檔案，可以加密加鎖，非經授權，無法編輯修改。

– 尊重病毒發現者的辛勞，保護智慧財產權。

– 讓編輯者可以自由選擇，要開放，或是不要開放。

– 密碼採用MD5雜湊運算，除非原始加鎖者，無法逆回運算原始密碼。

– 加密加鎖是增加破解困難程度，並非完全保證。

– 一般使用者無須編輯DDT檔案，只要單純下載DDT檔案，

即可掃描。

– 網管人員要使用DDT編輯工具，可以透過中信局軟體採購案購買。

• DDT檔案，可以指定序號，非經授權，無法掃描使用。

(13)

OSVIA 病毒特徵碼交換檔格式

• 不同語言，可以交換檔案

• 檔案基本描述

– 主要版本編號 :這個描述檔案結構的版本編號 (不同數值表示檔案格式完全不相容)。

– 次要版本編號 :這個描述檔案所提供(支援)的功能編號(不同數值表示部分功能無法提供)。 – 病毒檔版本編號:現在本檔案提供偵測(清除)的

病毒版本編號(不同數值表示病毒碼新舊版,愈大表示愈新)。

– 描述訊息語言 : 0:英文(ASCII), 1:繁體中文 (BIG5), 2:簡體中文(GB), 3:日文(JIS) – 病毒碼數量 : 本檔案提供的病毒特徵碼數量。

• 個別病毒描述

– 發現者(編輯者)資料(資料版權與責任編輯) – 目標檔案基本資料(類型,檔名,…) – 檢測識別方式(所在目錄,檔案特徵,…) – 危險作用描述(報表說明) – 相關說明網站(建議選項) – 修補或處理方式(建議選項)

– :

[病毒識別基本資料]

主要版本編號= 1 次要版本編號= 5 病毒檔版本編號= 2048 描述訊息語言= 1 病毒碼數量= 8 [病毒識別區塊_1]

發現者姓名= Diamond-Liu 發現日期= 2008/01/02 發現者郵址= [email protected] 病毒描述= (Security Manage) Backdoor 病毒名稱= Checkdll.exe 主要程式類型= Trojan-Backdoor 詳細程式類型= Peep 程式檔案名稱= Checkdll.exe 程式檔案目錄= %Windows%System\

檢測方式1 = NO_DNA_COMPARE_VALUE 病毒報表描述= Net Bull 惡意程式- CheckDll.exe 病毒報表總結= 此惡意程式又稱為Peep，駭客可以透過……..

原始網址= http://www.tigerteam.com.tw/SecuScan/Source.asp 修補網站= www.Diamondinfotech.com.tw

新聞網址= http://www.tigerteam.com.tw/SecuScan/News.asp 資料工作模式= WORK_NOT_SAME

修補建議模式= REMOVE_THIS 資安危險等級= 4

自動修補模式= MANUAL_FIXED_UP [病毒識別區塊_2]

: : : [Virus_Pattern_Basic_Info]

Main_Version = 1 Sub_Version = 5 Detail_Version = 2048 Language_Type = 0 Pattern_Count = 8 [Virus_Pattern_1]

Detector_Name = Diamond-Liu Detected_Date = 2008/01/02 Detector_Mail = [email protected] Description = (Security Manage) Backdoor Virus_Name = Checkdll.exe Program_Main_Type = Trojan-Backdoor Program_Sub_Type = Peep Program_File_Name = Checkdll.exe Program_File_Directory = %Windows%System\

Detect_Method1 = NO_DNA_COMPARE_VALUE Report_Description = Net Bull 惡意程式- CheckDll.exe Report_Result = 此惡意程式又稱為Peep，駭客可以透過………

Source_Web = http://www.tigerteam.com.tw/SecuScan/Source.asp Update_Web = www.Diamondinfotech.com.tw

News_Web = http://www.tigerteam.com.tw/SecuScan/News.asp Work_Type = WORK_NOT_SAME

Fixedup_Type = REMOVE_THIS Security_Level = 4

Auto_Fixedup = MANUAL_FIXED_UP [Virus_Pattern_2]

: : :

如何編輯病毒識別的特徵檔案？

• 下載並執行『OSVIA編輯器』

• 選取已經公開的病毒碼檔案

• 選取自行編輯的病毒碼檔案

• 新增惡意程式項目，輸入各項資料

• 選取偵測惡意程式方式

• 儲存檔案內容成為

– 直接執行格式，DDT檔案，屬於二進位數值檔案

– 公開交換格式，Diamond檔案，屬於文字檔案

(14)

如何編輯病毒識別的特徵檔案？

(15)

限制版本病毒識別的特徵檔案

• DDT檔案，可以加密加鎖，非經授權，無法編輯修改。

–

尊重病毒發現者的辛勞，保護智慧財產權。

–

讓編輯者可以自由選擇，要開放，或是不要開放。

–

密碼採用MD5雜湊運算，除非原始加鎖者，無法逆回運算原始密碼。

–

加密加鎖是增加破解困難程度，並非完全保證。

–

一般使用者無須編輯DDT檔案，只要單純下載DDT檔案，即可掃描。

–

網管人員要使用DDT編輯工具，可以透過中信局軟體採購案購買。

• DDT檔案，可以指定序號，非經授權，無法掃描使用。

限制版本病毒識別的特徵檔案

(16)

如何下載病毒識別的特徵檔案？

•

製作個別特徵檔案

(DDT

格式

)

•

製作下載檔案清單

(CSV

格式

) –

格式

:

檔案名稱

(tab)

檔案日期

(tab)

檔案長度

(tab)

檢查碼

–

範例:

Clean_Kavo_2007.ddt 2007/06/10 – 10:09:55 1250 ac8f9edd….

Clean_usb_2007.ddt 2007/10/30 – 15:38:00 8780 168fa9fdc….

熊貓拜拜_2007.ddt

2007/02/27 – 21:08:39 1268 d8df3df5….

變種熊貓_2007.ddt

2007/07/22 – 05:19:28 3788 2898afed….

: :

•

將上述檔案，全部放置到

Web

網站，等待下載。

•

將交換檔案，放置到公開論壇網站，或是其他。

• DDT

檔案，可以加密加鎖，非經授權，無法編輯修改。

• DDT

檔案，可以指定序號，非經授權，無法掃描使用。

如何使用 OSVIA 偵測並掃除異常程式？

• OSVIA是一種架構，並不是產品。

• 支援OSVIA架構的產品，目前有:

– S-Check – AntiHacker – SecuScan – :

– :

• 免費取得S-Check用戶端程式。

• 免費取得OSVIA的開發工具SDK。

(17)

如何使用 OSVIA 偵測並掃除異常程式？

(18)

如何使用 OSVIA 偵測並掃除異常程式？

自行透過 OSVIA 機制調配解毒特徵檔案

• 為何安裝防毒軟體後,我的電腦還是會中毒?

• 調配掃毒特徵檔案, 技術會很難嗎?

• 如何解開駭客的病毒木馬檔案?

• 用 OSVIA-防毒機制進行下載偵測清除

• 製作病毒特徵檔案的操作實例 1

• 製作病毒特徵檔案的操作實例 2

• 製作病毒特徵檔案的操作實例 3

(19)

開啟並編輯惡意程式病毒碼

選取並製作惡意程式病毒碼

步驟 1

步驟 3

步驟 2

(20)

掃描磁碟機的惡意程式位置

步驟 1

步驟 2 步驟 3

步驟 4

掃描完畢的結果

(21)

惡意程式的掃描偵測畫面

如何檢查是否已經感染惡意程式 ?

• (1) 病毒蠕蟲封包檢測法 (需要先進行網路封包測錄,調整交換器)

• (2) 系統檔案清單比對法 (

需要先製作標準檔案清單

)

• (3) 異常隱藏 exe 檢查法 (需要先檢查檔案總管能否顯示隱藏檔案)

• (4) 異常新增exe檢查法 (特別是Windows的system32目錄)

• (5) 異常對外通訊檢查法 (需要先關閉已知通訊程式)

• (A) 要找到異常程式的檔案位置

• (B) 進行惡意程式的採樣動作

(22)

尋找惡意程式的方式(1/4)

• 使用掃毒軟體

• 使用 DOS-指令

– dir /AS /AH /S

– dir *.exe /AS /AH /S

• 使用 DOS-指令

– 切換到Windows的system32目錄 ( cd c:\windows\system32\ ) – dir *.exe /TC /OD

• 使用檔案總管 (如後所示)

(會有許多檔案資料) (不應該有任何資料出現)

(仔細檢查最近異動的檔案名稱)

尋找惡意程式的方式 (2/4)

(23)

尋找惡意程式的方式 (3/4)

尋找惡意程式的方式 (4/4)

(24)

尋找木馬後門的方式

• 電腦重新開機, 不要執行任何通訊程式

– IE, OutLook, OutLook Express, MSN, P2P, Online Game,…

–

不要瀏覽網頁, 收發電郵, 即時通, 下載歌曲檔案, 線上遊戲…

使用 DOS-指令

– netstat -no –

工作管理員

(尋找現在通訊程式) (PID對應程式名稱)

如何清除我電腦的惡意程式?

• (0). 電腦重開機, 並將檔案總管停止執行

• (1). 開啟DOS視窗與工作管理員

• (2). 從DOS視窗輸入指令, 尋找怪異程式

• (3). 從工作管理員停止怪異程式的執行

• (4). 如果沒把握, 將怪異程式更換檔案名稱

• (5). 如果有把握, 將怪異程式直接刪除

• (6). 重新開機, 再次檢查有無怪異程式

• (7). 重要資料與『休閒育樂』資料分開儲存

(25)

如何避免重複感染惡意程式 ?

• (0) USB 隨身碟與拇指碟是常見的傳播媒介

• (1) 拒絕開啟異常郵件 (9+3危險群檔案)

• (2) 拒絕下載安裝外部軟體(遊戲, kawaii,…)

• (3) 拒絕與家人共用電腦 (交互感染)

• (4) 不要外借隨身碟或筆記本電腦

• (5) 無線上網與旅店上網, 有許多潛在危險

• (6) 沒有駕照就要開車上高速公路? abunai !!

中場休息

下節課目名稱

木馬後門與病毒蠕蟲的清除

(實機操作)

(26)

實作範例

• 請在學員電腦檢查有無下列檔案？

• 如果沒有這些檔案，請向教師反應

實作範例 1

• 學習目的

本實例操作將教導學員，感染並清除範例

病毒 (本範例程式，僅能模擬測試，並非真

實隱藏型木馬，無毒駭能力，)

• 操作說明

請學員感染本課程提供的病毒檔案，採用手動清除，標準完成時間應在 5-10 分鐘內清除完畢。

• 請學員於清除完畢後，請舉手向教師報告。

(27)

請執行範例程式，結果應該類似這個請執行範例程式，結果應該類似這個請執行範例程式，結果應該類似這個請執行範例程式，結果應該類似這個畫面。

畫面。畫面。

畫面。

實作範例實作範例實作範例實作範例

1

請按照下列三個步驟，連接到教師的電腦。

(1)

輸入測試功能編號輸入測試功能編號輸入測試功能編號輸入測試功能編號

5 (

用鍵盤，按下數字用鍵盤，按下數字用鍵盤，按下數字用鍵盤，按下數字

5 ) (2)

輸入教師宣布的輸入教師宣布的輸入教師宣布的輸入教師宣布的

IP

位址位址位址位址

(

例如例如例如例如

: 192.168.1.100 ) (3)

輸入教師宣布的通訊埠輸入教師宣布的通訊埠輸入教師宣布的通訊埠輸入教師宣布的通訊埠

(

例如例如例如例如

: 443 )

1

2

3

(28)

執行正確的訊息執行正確的訊息執行正確的訊息

執行正確的訊息已經正常連接，本程式已經正常連接，本程式已經正常連接，本程式已經正常連接，本程式

(2)

執行錯誤的訊息執行錯誤的訊息執行錯誤的訊息執行錯誤的訊息

:

執行錯誤，無法連接指定執行錯誤，無法連接指定執行錯誤，無法連接指定執行錯誤，無法連接指定的的

的的

….

1

2

請檢查操作後的執行結果。

(1)

執行正確的訊息執行正確的訊息執行正確的訊息執行正確的訊息

:

已經正常連接，本程式已經正常連接，本程式已經正常連接，本程式已經正常連接，本程式

….

(2)

執行錯誤的訊息執行錯誤的訊息執行錯誤的訊息執行錯誤的訊息

:

執行錯誤，無法連接指定執行錯誤，無法連接指定執行錯誤，無法連接指定執行錯誤，無法連接指定的的

的的

….

1

2

(29)

畫面。

畫面。畫面。

畫面。將文字視窗縮小到最小化，結果如次將文字視窗縮小到最小化，結果如次將文字視窗縮小到最小化，結果如次將文字視窗縮小到最小化，結果如次頁。

頁。頁。

頁。

請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式『獵請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式『獵請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式『獵請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式『獵殺』。

殺』。

(30)

實作範例 2

• 學習目的

本實例操作將教導學員，感染並清除範例

病毒 (本範例程式，僅能模擬測試，屬於隱

藏型木馬，但無自動啟動的毒駭能力，)

• 操作說明

請學員感染本課程提供的病毒檔案，採用手動清除，標準完成時間應在 5-10 分鐘內清除完畢。

• 請學員於清除完畢後，請舉手向教師報告。

實作範例實作範例實作範例

實作範例

1

請執行範例程式。請執行範例程式。請執行範例程式。請執行範例程式。

(31)

執行範例程式後，結果應該類似這個畫面。

請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式請學員開始使用先前教過的方式，按照步驟，將測試用的木馬程式

『獵殺』。

實作範例 3

• 學習目的

本實例操作將教導學員，找尋異常通訊程式。

• 操作說明

請學員請學員尋找範例病毒檔案，標準完成

時間應為 5-10 分鐘內拆解完畢。

• 請學員於清除完畢後，請舉手向教師報告。

(32)

實作範例 4

• 學習目的

本實例操作將教導學員，拆解範例病毒的實際檔案內容。教室電腦須先安裝，

WinRAR或相容的壓縮工具程式。

• 操作說明

請學員請學員拆解指定的範例病毒檔案，

標準完成時間應為 5-10 分鐘內拆解完畢。

• 請學員於清除完畢後，請舉手向教師報告。

(33)

程式。

將安全裝置移除(移除txt檔案名稱)。須注意，移除後具有危險性，請小心操作。

實作範例 4 : 請學員開始使用先前教過的方式，按照步驟，將真

實病毒木馬程式『安全拆解』，並且說明該程式的相關資訊。

(以下為拆解後的範例畫面，與學員畫面略為不同)

拆解成功的獎品 : 請你看電影短片。 1.wmv

拆解失敗的懲罰 : 偷妳的帳密畫面。 Server.exe

(34)

電腦病毒木馬範例解說 1

• 本案例純粹為學術研究。

• 本案例系採用前述DOS指令與基本工具。

• 請學員根據後續所列圖片，解說檔案異常的

名稱與時間。

(35)

(36)

(37)

(38)

電腦病毒木馬範例解說 2

• 本案例純粹為學術研究。

• 本案例系採用前述DOS指令與基本工具。

• 請學員根據後續所列圖片，解說檔案異常的

名稱與時間。

(39)

(40)

實作範例 5-7

• 學習目的

本實例操作將教導學員，拆解範例病毒的實際檔案內容。教室電腦須先安裝，

WinRAR或相容的壓縮工具程式。

• 操作說明

請學員請學員拆解指定的範例病毒檔案，

標準完成時間應為 5-10 分鐘內拆解完畢。

• 請學員於清除完畢後，請舉手向教師報告。

(41)

(42)

(43)

(44)

開放架構病毒識別實作

開放架構 病毒識別 實作

Open Structure for Virus Identification Archive

OSVIA

劉楨民(得民) Diamond Liu

MSN: [email protected]

開放架構 病毒識別

• 現有防毒系統的隱藏憂慮

• 甚麼是『開放架構 病毒識別』？

• 開放架構 病毒識別 OSVIA 的對大家的益處

• 開放架構 病毒識別 OSVIA 的運作架構

• 如何使用 OSVIA 偵測並掃除 異常程式？

• 如何編輯 病毒識別的特徵檔案？

• 如何下載 病毒識別的特徵檔案？

現有防毒系統的隱藏憂慮

不是已經安裝掃毒軟體了嗎？

為何經常有 漏網之毒？

你看得出來，誰有問題嗎？

2008/01/23 已經能夠偵測 2007/08/30的病毒

2008/01/23

已經能夠偵測

2007/09/01的病毒

仍然無法能夠偵測 2007/11/27的病毒

2008/01/23

仍然無法能夠偵測

2009/01/02的病毒

甚麼是『開放架構 病毒識別』？

• 開放架構 病毒識別 的基本定義

–

(

,

,

)

–

–

–

(Power User)

–

–

• 開放架構 病毒識別 的主要特色

–

–

–

–

開放架構 病毒識別 的基本定義

A牌掃毒軟體開發者

B牌掃毒軟體

C牌掃毒軟體開發者

OSVIA

開放架構 病毒識別 的基本定義

OSVIA

病毒檔採樣

下載特徵碼

OSVIA

OSVIA 的系統架構

• 開放架構 病毒識別 的主要元件

–

–

–

1.採樣 2.編碼 3.偵測 4.清除

(方法) (工具) (工具) (工具)

OSVIA 的運作架構 (1)

• 開放架構 病毒識別 的主要元件

–

–

:

–

• 開放架構 病毒識別 的運作方式

– (0)惡意程式碼採樣。

– (1)編輯病毒特徵碼。

– (2)發布病毒特徵檔。

– (3)下載最新特徵檔。

– (4)偵測電腦是否異常？

– (5)清除惡意檔案。

– (6)公開交換病毒碼特徵。

OSVIA 的運作架構 (2)

OSVIA 的運作架構 (3)

偵測惡意程式的五種條件

1. 系統目錄出現隱藏執行檔 (exe, dll, sys, …)

2. 發現異常增生執行檔 (exe, dll, sys, …)

開放架構病毒識別實作

開放架構病毒識別

• 甚麼是『開放架構病毒識別』？

• 開放架構病毒識別 OSVIA 的對大家的益處

• 開放架構病毒識別 OSVIA 的運作架構

• 如何使用 OSVIA 偵測並掃除異常程式？

• 如何編輯病毒識別的特徵檔案？

• 如何下載病毒識別的特徵檔案？

為何經常有漏網之毒？

甚麼是『開放架構病毒識別』？

• 開放架構病毒識別的基本定義

• 開放架構病毒識別的主要特色

開放架構病毒識別的基本定義

開放架構病毒識別的基本定義

• 開放架構病毒識別的主要元件

• 開放架構病毒識別的主要元件

• 開放架構病毒識別的運作方式

3. 本機異常對外通訊 ⁽

• 公佈病毒碼的公開檔案格式

– 公開欄位, 與資料內容 – 任何人皆可以使用或修改 – 延伸檔案名稱為 .diamond

• 封鎖病毒碼的封閉檔案格式

– 二進位檔案格式 – 封閉欄位, 與資料內容

限制版本病毒識別的特徵檔案

– 密碼採用MD5雜湊運算，除非原始加鎖者，無法逆回運算原始密碼。

– 網管人員要使用DDT編輯工具，可以透過中信局軟體採購案購買。

OSVIA 病毒特徵碼交換檔格式

如何編輯病毒識別的特徵檔案？

• 下載並執行『OSVIA編輯器』

• 選取已經公開的病毒碼檔案

• 選取自行編輯的病毒碼檔案

• 新增惡意程式項目，輸入各項資料

如何編輯病毒識別的特徵檔案？

如何編輯病毒識別的特徵檔案？

限制版本病毒識別的特徵檔案

限制版本病毒識別的特徵檔案

如何下載病毒識別的特徵檔案？