本文件介绍了一场有关恶意程序分析的讲座，涵盖了恶意程序的定义、特性和防范措施。讲师提供了多种实际案例和防范建议，如安装防病毒软件、扫描可疑文件等。内容还探讨了恶意程序的进化和如何彻底清除病毒的方法。

1. Security Camp 2011
惡意程式分析實作
講師：鄭毓芹
博士生
服務單位:國立成功大學電機系
E-mail：julia.yc.cheng@gmail.com

2. 2Security Camp 2011
課程大綱：

n 資安事件知多少

n 惡意程式介紹

n 惡意程式分析

n 惡意程式防範

2

3. 3Security Camp 2011
資安事件1:

n 假購物，假發票：開啟透過電子郵件寄發的假收據或點選
惡意郵件中的收據連結，因而遭到身分竊盜威脅。᠋᠌᠍᠎

假冒美國知名航
空公司 Delta
Airlines 所發出的
電子郵件收據。
• 木馬程式會修改系統登錄，讓自己在每
次開機時自動執行。

• 具有 rootkit 功能，可以隱藏該程式的處
理程序、檔案或系統登錄機碼。

• 遠端連線到某個網站來下載其他檔案。
讓已遭感染的電腦遭受更多攻擊。

TROJ_DELF.PSZ

4. 4Security Camp 2011
資安事件 2:

• SKYPE暱稱暗藏社交工程陷阱：來自 Skype“管理者“的
緊急系統通告，有詐！

緊急系統掃瞄通告！請仔細
閱讀！！”、”WINDOWS
需要立極檢修，注意！安全
中心在你的電腦中偵測到惡
意軟體！

h/p://www.securonline.net

5. 5Security Camp 2011
資安事件3:

• 色情網站遭入侵，凡看過者必下載 Rootkit

– 色情相關網站遭惡意JavaScript的搭載入侵，進而重導使
用者進入惡意網域中，下載一個MBR
rootkit（TROJ_SNOWAL.A）入受感染的系統中。


6. 6Security Camp 2011 6
資安事件4:
www.hit.ed

7. 7Security Camp 2011
駭客任務--進行曲

n 駭客任務首部曲: 攻陷你的電腦

n 鎖定你的電腦當成目標，讓你中毒

n 竊取個人隱私資料

n 使用您的電腦計算能力（肉雞）

n 變成詐騙的肥羊

n 駭客任務續集: 你的電腦是駭客的好幫手

n 電腦變成跳板，幫助駭客隱藏身份躲避查緝。

n 加入網路大軍BotNet，接受控制發動攻擊

註: BotNet俗稱殭屍網路(Zombie Network)，也稱機器人網路
(Robot Network)

7

8. 8Security Camp 2011
駭客任務—方法論

8
u 病毒/木馬
病毒/網蟲
botnet/木馬程式
u 入侵電腦
弱點攻擊
弱密碼
社交工程
u 網路搜尋
應保護而未保護的資料
部落格、社交網路
u 攻陷資料庫
會員申請
網路遊戲
入侵個人電腦，
取得控制權
竊取個人資訊，
取得不法利益
Malware

9. 9Security Camp 2011
惡意程式定義

n 惡意程式(Malicious programs，簡稱Malware)是指在
未明確提示用戶或未經用戶許可的情況下，在用
戶電腦上進行安裝、侵害或竊取用戶系統資訊的
程式，包含病毒、蠕蟲及木馬。᠋᠌᠍᠎
(From wiki)


10. 10Security Camp 2011
惡意程式特性

n 廣義來說，凡具有下列特性的程式即為惡意程式

n 自我複製與感染物件
n 刪除檔案
n 強制安裝
n 難以移除
n 首頁綁架（hijacking
)
n 廣告彈出
n 蒐集使用者與系統資訊
n 惡意移除用戶端程式
n 干擾電腦運作
n 影響系統與網路效能

11. Security Camp 2011
᠋᠌᠍᠎
惡意程式分析᠋᠌᠍᠎
᠋᠌᠍᠎
᠋᠌᠍᠎
᠋᠌᠍᠎

11

12. 12Security Camp 2011
惡意程式分析

n Before we start, what should we learn ?
n What is the objects that we can get?
n Memory, Binary, Compromised system, device
…
n Think about – What is we want to know?
12

13. 13Security Camp 2011
What is Malware
13

14. 14Security Camp 2011
What is Malware ? (Cont.)
14

15. 15Security Camp 2011
Trojan Type Activities
15

16. 16Security Camp 2011
Trojan Type Activities (Cont.)

17. 17Security Camp 2011
Defense Mechanisms Used By
Malware
17

18. 18Security Camp 2011 18

19. 19Security Camp 2011
Basic Rules to determine and
AV detect
19

20. 20Security Camp 2011
Malware Analysis Methodology
20

21. 21Security Camp 2011 21

22. 22Security Camp 2011
Behavior Analysis
22

23. 23Security Camp 2011
Behavior Analysis (Cont.)
23

24. 24Security Camp 2011
Behavior Analysis Tools
24

25. 25Security Camp 2011
Process Explorer
25

26. 26Security Camp 2011
Regshot
26

27. 27Security Camp 2011
TCPView
27

28. 28Security Camp 2011
Code Analysis Tools:
28

29. 29Security Camp 2011
Online Malware Analysis Tools:
29

30. 30Security Camp 2011
Hands-On Training:
30

31. 31Security Camp 2011
Hands-On Training (Cont.)
31

32. Security Camp 2011
᠋᠌᠍᠎
惡意程式防範᠋᠌᠍᠎
᠋᠌᠍᠎
᠋᠌᠍᠎
᠋᠌᠍᠎

32

33. 33Security Camp 2011
防範一: 安裝防毒軟體

n 安裝防毒軟體，並定時更新病毒碼

n 一台電腦只需要安裝一個或是二個防毒軟體就可
以

n 免費線上掃毒軟體總整理
http://hyc005.myweb.hinet.net/on-virus/

http://briian.com/?p=243


34. 34Security Camp 2011
防範二:掃描來路不明的檔案

n 說明：VirusTotal Uploader 按右鍵直接上傳可疑
檔案，用39個防毒軟體偵測病毒！

n 下載：h1p://www.virustotal.com/vtsetup.exe

35. 35Security Camp 2011
惡意程式分析: 線上病毒掃描

n Kaspersky
Virus
File
Scanner
h1p://www.kaspersky.com/scanforvirus
n Dr.Web
®
online
check
h1p://online.us.drweb.com/
n avast!
Online
Scanner
h1p://onlinescan.avast.com/
n ClamAV
Online
Specimen
Scanner
h1p://www.gietl.com/test-­‐clamav/

36. 36Security Camp 2011
惡意程式分析: 線上病毒掃描(Cont.)

n Online
Virus
Scanner
Submission
h1p://www.for@guardcenter.com/an@virus/
virus_scanner.html
n ThreatExpert
–
Online
File
Scanner
h1p://www.threatexpert.com/filescan.aspx
n VirusTotal
–
免費線上病毒和惡意軟體掃瞄
h1p://www.virustotal.com/zh-­‐tw/
n JoO
Online
malware
scan
h1p://virusscan.joD.org/

37. 37Security Camp 2011
惡意程式分析: 線上病毒掃描(Cont.)

n Virus.Org
::
Malware
Scanning
h1p://scanner.virus.org/
n VirSCAN.org-­‐線上防毒引擎掃瞄網站 (使用 39
種
防毒軟體掃瞄引擊)
h1p://www.virscan.org/
n Filterbit
(使用
8
種防毒軟體掃瞄引擊)
h1p://www.filterbit.com/

38. 38Security Camp 2011
惡意程式分析: 線上行為分析

n ThreatExpert:
線上行為分析與檢測工具
h1p://www.threatexpert.com/submit.aspx
n Sunbelt
CWSandbox
h1p://www.sunbeltsecurity.com/Submit.aspx
n Anubis:
Analyzing
Unknown
Binaries
h1p://anubis.iseclab.org/
n Norman
Sandbox
h1p://www.norman.com/security_center/
security_tools/submit_file/en

39. 39Security Camp 2011
u 安裝正版作業系統及應用程式，並定期更新（修補）

u 安裝防毒軟體，並定期更新病毒特徵碼

u 避免使用不明儲存媒體，在使用前先掃毒

u 避免安裝/執行不明的應用程式或檔案

u 避免瀏覽不明網頁，或下載不明物件

u 安裝（啟用）防火牆，停用不使用的系統服務

u 減少使用P2P共享程式

u 定期清理系統暫存檔與執行全機掃毒

u 養成良好電腦操作習慣，例如定期變更系統登入密
碼，設定複雜密碼

其他防範步驟


40. 40Security Camp 2011
惡意程式技術的進化
v 使用加殼程式

Ø 隱藏程式碼不被防毒軟體所掃瞄。可保護程式碼免於遭到
反組譯，讓惡意程式更難以分析。

v 關閉防毒軟體

Ø 惡意軟體停用電腦的安全解決方案，或是讓防護軟體無法
偵測。

v 隱藏程序技術

Ø 隱藏惡意程式的操作，讓防毒軟體及所有系統處理程序皆
無法察覺。

v 網路元件功能

Ø 惡意程式具網路連線功能測試，連線到windows update測
試，若連線功能正常，再連線到惡意網站下載惡意程式。

41. 41Security Camp 2011
如何完整清除病毒

1. 更新防毒軟體至最新的病毒特徵碼（線上或手動）

2. 拔除網路線

3. 清除瀏覽器和系統暫存檔

4. 關閉Windows系統還原

5. 重新開機進入安全模式

6. 透過防毒軟體掃描與清除惡意程式

7. 防毒軟體沒有作用時，透過救援光碟開機進行掃毒

8. 利用工具收集系統資訊

9. 刪除登錄檔中的相關鍵值，檢查檔案有無遺失或毀損

10. 傳送可疑檔案，請防毒軟體廠商分析


42. Security Camp 2011
Q A
Thank you for your
attention !!