研究主題：安全大師王團論毒 1.必修課程：無止盡的正邪大戰 2.菁英課程：雲端鑑識更勝反恐特勤組 詳情請上T客邦：http://www.techbang.com.tw/?p=25904

1. 必修課程 - 無止盡的正邪大戰

4. 安全威脅的近況 這幾個月來，上網衝浪有什麼危險？ 透過社交網路詐騙誘騙使用者

5. 典型的攻擊媒介 駭客會危及 合法網站的 URL 新手段！ 攻擊者可透過 社交網路詐騙技術 ( 偽裝編解碼器 ) 讓使用者受到感染 網站可以利用漏洞 （偷渡式下載）來攻擊使用者的瀏覽器    5 合法 網站

8. 2007 全年的 特徵數 986,463 2008 年新增的 特徵數 1,656,227 2008 年偵測到的獨特檔案數 1.2 億

9. 威脅更加複雜！ Dll Injection

14. 瀏覽器仍是罪魁禍首？

17. $49.95 攻擊者利用依安裝次數付費 (PPI) 成員散佈誤導型應用程式 29 PPI PPI PPI PPI

18. 1000 個 1000 數量 成員 變種 驚人 X = 30 PPI PPI PPI PPI

19. 長尾效應 2002 年，有 5043 個樣本。 2006 年，有 22911 個樣本。

20. 長尾效應

21. 長尾效應 2002 年，有 5043 個樣本。 愈低調的威脅，愈危險！

22. 分層防護 40 老方法 vs 新典範

27. 效能測試

28. 正在啟動 Windows… 只測開機速度？別鬧了！ F2 = 設定 F10 = 開機功能表

29. 將 DVD 檔案轉換 為 IPOD 格式 複製家庭照片 和文件 瀏覽網際網路 下載檔案 安裝應用程式

30. 安排任務的執行時間 資源使用量 開機 / 重新啟動 自動化

31. 基本上，我們要做這麼多事。 實驗 1 ： 效能物件 (TypePerf) 實驗 2 ： 閒置時的效能 (TypePerf) 實驗 3 ： HTTP 下載 (WGET) 實驗 4 ： 壓縮 / 解壓縮 (7ZIP) 實驗 5 ： 檔案複製 / 移動 / 刪除 實驗 6 ： 實驗 6 ：應用程式安裝 / 移除 (MSI) 實驗 7 ： 網頁瀏覽 (HTTPWatch) 實驗 8 ： 電影檔案轉換 (HandBrake) 實驗 9 ： 開機時間測試 (Perflog) 實驗 10 ： XPerf for Windows 7 和 Vista

32. S B G 諾頓 產品 A 產品 B 諾頓 諾頓 諾頓 諾頓 諾頓 產品 A 產品 B 檔案作業 壓縮 HTTP 下載 Web 瀏覽 電影檔案轉換 開機速度

33. 效能數據從何判別？ rocessor(0) Processor Time rocessor(1) Processor Time rocessor(0) Idle Time 中央處理單元 emoryvailable Bytes emoryommitted Bytes rocess(explorer)irtual Bytes 記憶體 hysicalDisk(0 C:) isk Writes /sec hysicalDisk(0 C:) Idle Time rocess(explorer) O Write Bytes /sec 磁碟

34. Gnu WGET 7-Zip HandBrake HTTP-Watch STOPKY Perflog Microsoft MSI XPerf 工具組 免費

35. 其實你不必一直待在電腦前 typeperf -qx > ..erfmonll_avail_perf_objects.txt all_avail_perf_objects perfmon.ini

36. 其實你不必一直待在電腦前 typeperf – cf ..erfmonerfmon.ini -si 1 -f csv -y -o ..erfmonest_name.csv + = START /min 「 test_name 」 ini

37. 那麼，時間呢？

38. 請善用自動化工具

39. 檔案的下載速度呢？ 別再相信 Windows 內建的下載進度列了！ WGET http://www.pcadv.com.tw/xxx.zip

40. www.pcadv.com.tw … 41% 12% 100% 76% 你用碼錶測網頁載入時間嗎？

41. HTTPwatch

42. HOW? 1. 從 URL.TXT 中讀取要造訪的下一個 URL 2. 在記錄 模式下 啟動 HTTPwatch 3. 指示 網頁瀏覽器 上載 URL 4. 將效能衡量標準記錄成 CSV 格式 BROWSE.VBS url.txt

43. CSCRIPT BROWSE.VBS 重做 n 次

44. 轉檔程式多有耗時統計 HandBrakeCLI -i input.wmv -o output.mp4 --preset=“iPhone & iPod Touch”

45. F2 = 設定 F10 = 開機功能表 正在啟動 Windows… 開機時間呢？

46. 開機時間呢？ 何時 真正完成開機？

47. 一樣不必拿碼錶 透過 WMI 查詢「 到達桌面時間 」 每秒輪詢一次 CPU 佔用百分比 計算每個時間間隔，前提是 CPU 小於 5% 當 CPU 小於 5% 時，連續等待 10 秒 如果 CPU 達到峰值， 重新開始 計算 完成上述作業之後，記錄 目前時間 計算 兩個時點 之間的差值 開啟指標檔案 ( REPEAT.COUNT ) 按 1 遞減，並儲存檔案 BOOTTEST.VBS

48. 一樣不必拿碼錶 啟動時執行 CSCRIPT BOOTTEST.VBS CALL SEND-RESULTS.BAT 如果我們的指標檔案存在 ( REPEAT.COUNT ) ， 那麼執行 SHUTDOWN –r –t 1 否則，從 StartUp 資料夾中刪除捷徑，以防陷入無休止的迴圈當中 BOOTTEST. BAT

49. 步驟整理 COPY BOOTTEST.lnk USERPROFILE%Start MenurogramsStartUp COPY REPEAT.INI REPEAT.COUNT SHUTDOWN –r –t 1 StartUp repeat.ini

50. 步驟整理 CSCRIPT BOOTTEST.VBS CALL SEND-RESULTS.BAT Decrease REPEAT.COUNT SHUTDOWN –r –t 1 StartUp 取得開機時間 在 CPU 小於 5% 時等待 10 秒 取得目前時間 計算差值 repeat.count

51. 番外篇─了解開機程序及效能耗用 Xbootmgr Xperf Xperfview Windows Vista Windows 7

52. Xbootmgr 正在重新啟動 PC F2 = 設定 F10 = 開機功能表 正在收集 活動

53. Xperfview

54. Xperf

56. 菁英課程 - 雲端鑑識更勝反恐特勤組

57. 以信譽為基礎的雲端鑑識技術 Kurt Wang

59. 問題點 3

63. 在我們繼續討論之前，先來瞭解一個大問題 數百萬的檔案變種 ( 可靠的和惡意的 ) 遺憾的是，對於普及度較低的數千萬檔案，哪種方法都不管用。 9 以此推斷，我們可以得出下面的圖表： 惡意檔案 可靠檔案 普 及 度 白名單在此有效。 而在這條長尾區域，需要一項新的技術。 黑名單在此有效。

67. 信譽的概念 13

68. 請考慮一下，您是如何選擇餐廳的？ 14 選項「 A 」 選項「 B 」 選項「 C 」

69. 您會考慮 ... 15 選項「 A 」 選項「 B 」 選項「 C 」 裝潢？

70. 或者是 ... 16 食物 ? 選項「 A 」 選項「 B 」 選項「 C 」

71. 或者 ... 17 氣氛？ 選項「 A 」 選項「 B 」 選項「 C 」

72. 也可能您會詢問其他人 ... 18 或者… 朋友？ 美食評論家 ? ... 儘管如此，您仍然可以只採納一個人的意見。

73. 如果您詢問很多人，結果會怎樣呢？ 19

78. 實作信譽 24

82. 信譽的工作原理 28 賽門鐵克威脅提交伺服器 賽門鐵克信譽 伺服器 1 收集資料 2 計算信譽分數 3 提供信譽分數 檔案雜湊 可靠 / 惡意 信任度 普及度 首次看到檔案的日期

86. 信譽發展時間表 32 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽 非常有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料

87. 諾頓社群防衛 33 * 自 2009 年 6 月 9 日起 306,416,980 * 獨特檔案的匿名資料 28,950,154 * 選擇性參與者

88. 信譽航程 - 時間表 34 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽非常 有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料 2008 年 8 月 諾頓智慧型掃描 略過對高可信度檔案的掃描

89. 諾頓智慧型掃描 大大減少了不必要的掃描作業 35 掃描次數減少 諾頓只分析不受信任的應用程式 由線上智慧型系統提供後台支援 根據 Norton Community 或 Norton Trust 判斷程式的可信度

90. 諾頓智慧型掃描可加快掃描速度 諾頓智慧型掃描 傳統掃描 36 ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü

91. 信譽航程 - 時間表 37 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽 非常有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料 2008 年 8 月 諾頓智慧型掃描 略過 對高可信度檔案的掃描 今天 諾頓「信譽」 攔截 新型 惡意軟體

92. 信譽的效果 完全相符的特徵 和啟發式技術 38 不掃描 攔截 允許 可能會 漏掉很多 惡意檔案 ( 行為攔截功能 和 IPS 會捕獲這些惡意檔案 ) 諾頓 2010 不掃描 掃描並允許 攔截 警告 ( 極少數使用者，最近發佈的，並非來自主流發佈者 URL) 完全相符的特徵 即時更新 諾頓可信任 諾頓信譽 惡意 諾頓信譽 安全 諾頓信譽 警告 100% 信任 100% 不信任 2009 年與 2010 年競爭對比 諾頓可信任 完全相符的特徵 和啟發式技術 即時更新 100% 信任 100% 不信任 100% 不信任 100% 信任 傳統 產品

96. 諾頓信譽 使用實例 首次透過 IE 、 Firefox 等下載程式 用戶端在檔案的信譽 比較差時予以攔截。 下載是傳播新型惡意軟體的主要手段。 使用者以滑鼠右鍵按下程式圖示，可選取即時查詢「信譽」服務來取得最新的資訊。 可以隨時按需查詢任何可執行內容。 一般特徵或行為攔截功能偵測到一種新型威脅。 信譽資料可用於降低極其普遍的誤報偵測帶來的風險。 快速掃描執行時 ( 通常每天一次 ) 用戶端在檔案的信譽 比較差時予以攔截。 驗證所有執行中的程序、驅動程式以及記憶體。 本機啟發式掃描懷疑惡意軟體。 用戶端在檔案的信譽同時比較差時予以攔截。 啟發式技術和信譽是互不相關的，因此，我們將二者結合使用時，可以捕獲更多惡意軟體，而不會導致誤報率增加。 在以下時間檢查信譽： 五個不同的使用實例： 我們的與眾不同之處不在於雲端本身，而在於雲端所提供的資訊 下載時 以滑鼠右鍵 按下檔案 誤報 緩和 掃描 執行中的程序 主動 啟發式技術 雲端掃描技術 雲端一樣可用來提供傳統特徵。 這有助於解決傳統特徵更新間隔期間的問題。

97. 結論 43

99. 信譽：改寫遊戲規則 當今的遊戲 45 您

100. 信譽：改寫遊戲規則 將來的遊戲 ( 借助諾頓 2010 信譽 ) 46 您 信譽 和 Norton Community Watch

102. 問題 48

103. 謝謝大家！