ดาวน์โหลดงานนำเสนอ
งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ
1
บทที่ 7 : การป้องกันไวรัส Part2 สธ412 ความมั่นคงของระบบสารสนเทศ
อาจารย์อภิพงศ์ ปิงยศ
2
Outline คุณสมบัติของมัลแวร์ เทคนิคการตรวจจับไวรัส วงจรชีวิตของมัลแวร์
3
คุณสมบัติของมัลแวร์ คุณสมบัติพื้นฐานของมัลแวร์มี ดังต่อไปนี้
คุณสมบัติของเป้าหมาย พาหะนำมัลแวร์ กลไกในการแพร่กระจาย เพย์โหลด การจุดชนวน กลไกการป้องกันตัวเอง
4
คุณสมบัติของมัลแวร์ : คุณสมบัติของมัลแวร์
ประเภทของอุปกรณ์ เช่น คอมพิวเตอร์ PC, คอมพิวเตอร์ Mac, Mobile Phone เป็นต้น ระบบปฏิบัติการ มัลแวร์ส่วนมากจะ สามารถรันได้เฉพาะกับ ระบบปฏิบัติการหนึ่งเท่านั้น เช่น Windows, Unix แอพพลิเคชั่น มัลแวร์บางตัวต้องอาศัย แอพพลิเคชั่นบางตัวเพื่อทำให้สามาร ติดมัลแวร์ได้ เช่น Adobe Flash Player เป็นต้น
5
คุณสมบัติของมัลแวร์ : พาหะนำมัลแวร์
Executable File เป็นเป้าหมายที่ คลาสสิค นามสกุลของไฟล์จะเป็น .exe, .com, .sys, .dll, .ovl, .ocx และ .prg Script ใช้ภาษาสคริปต์เพื่อรัน จะมี นามสกุล .vbs, .js, .wsh, .pl Macro เป็นภาษาสคริปต์ของ แอพพลิเคชั่นบางตัว เช่น MS Office Boot Sector เป็นพื้นที่บางส่วนของ ฮาร์ดดิสก์, USB Flash Drive หรือ CD-ROM ซึ่งเป็นส่วนที่สามารถรันโค้ด สำหรับบู๊ตระบบได้
6
คุณสมบัติของมัลแวร์ : กลไกการแพร่กระจาย
Removable Media Network Shares Network Scanning Peer-to-Peer Networks Remote Exploit
7
คุณสมบัติของมัลแวร์ : เพย์โหลด
เพย์โหลด คือ ส่วนที่ไวรัสใช้รันบน โฮสต์ เพื่อทำการโจมตี Backdoor เรียกอีกชื่อหนึ่งว่า Remote Access Trojan Data Corruption and Deletion เป็นการทำลายไฟล์ข้อมูล Information Theft ใช้ขโมยข้อมูล สำคัญจากระบบ Denial of Service (DoS) และ Distributed Denial of Service (DDoS)
8
คุณสมบัติของมัลแวร์ : เพย์โหลด [2]
System Shutdown ทำให้เครื่องหรือ ระบบที่ถูกโจมตี ชัตดาวน์ลง Bandwidth Flooding มัลแวร์จะส่ง แพ็คเก็ตจนแบนด์วิดธ์เต็ม ทำให้ผู้ใช้ ทั่วไปไม่สามารถใช้งานระบบได้ Service Disruption ทำให้เครื่องที่ ถูกโจมตีไม่สามารถใช้งาน DNS ได้ ส่งผลให้บริการ เช่น เว็บ เมล ไม่ สามารถใช้งานได้
![คุณสมบัติของมัลแวร์ : เพย์โหลด [2]](http://slideplayer.in.th/slide/14864199/90/images/8/%E0%B8%84%E0%B8%B8%E0%B8%93%E0%B8%AA%E0%B8%A1%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%B4%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+%3A+%E0%B9%80%E0%B8%9E%E0%B8%A2%E0%B9%8C%E0%B9%82%E0%B8%AB%E0%B8%A5%E0%B8%94+%5B2%5D.jpg "System Shutdown ทำให้เครื่องหรือ ระบบที่ถูกโจมตี ชัตดาวน์ลง. Bandwidth Flooding มัลแวร์จะส่ง แพ็คเก็ตจนแบนด์วิดธ์เต็ม ทำให้ผู้ใช้ ทั่วไปไม่สามารถใช้งานระบบได้ Service Disruption ทำให้เครื่องที่ ถูกโจมตีไม่สามารถใช้งาน DNS ได้ ส่งผลให้บริการ เช่น เว็บ เมล ไม่ สามารถใช้งานได้")
9
คุณสมบัติของมัลแวร์ : การจุดชนวน
Manual Execution คือการที่ผู้ใช้รัน โปรแกรมโดยตรงซึ่งอาจกระทำโดยไม่ รู้ตัวหรือถูกหลอกให้รันโปรแกรม Semi-Automation Execution เริ่ม จากผู้ใช้รันโปรแกรมเอง หลังจากนั้น โปรแกรมจะทำงานอัตโนมัติ Automatic Execution มัลแวร์ ประเภทนี้จะรันตัวเองได้โดยไม่ต้อง อาศัยผู้ใช้เลย
10
คุณสมบัติของมัลแวร์ : การจุดชนวน [2]
Time Bomb มัลแวร์จะรันหลังจาก ติดไวรัสในช่วงเวลาใดช่วงเวลาหนึ่ง หรือวันใดวันหนึ่ง Conditional หรือ Logic Bomb เป็นการจุดชนวนโดยเริ่มเมื่อ สภาพแวดล้อมตรงตามเงื่อนไข เช่น เมื่อเปิดบางโปรแกรม กดคีย์บอร์ด บางคีย์
![คุณสมบัติของมัลแวร์ : การจุดชนวน [2]](http://slideplayer.in.th/slide/14864199/90/images/10/%E0%B8%84%E0%B8%B8%E0%B8%93%E0%B8%AA%E0%B8%A1%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%B4%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+%3A+%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%88%E0%B8%B8%E0%B8%94%E0%B8%8A%E0%B8%99%E0%B8%A7%E0%B8%99+%5B2%5D.jpg "Time Bomb มัลแวร์จะรันหลังจาก ติดไวรัสในช่วงเวลาใดช่วงเวลาหนึ่ง หรือวันใดวันหนึ่ง. Conditional หรือ Logic Bomb เป็นการจุดชนวนโดยเริ่มเมื่อ สภาพแวดล้อมตรงตามเงื่อนไข เช่น เมื่อเปิดบางโปรแกรม กดคีย์บอร์ด บางคีย์")
11
คุณสมบัติของมัลแวร์ : กลไกการป้องกันตัวเอง
Armor มัลแวร์จะพยายามและป้องกัน การวิเคราะห์โค้ดจากโปรแกรมดีบัก เกอร์ เช่น การเพิ่มโค้ดให้วิเคราะห์ ยาก Stealth การพรางตัว เช่น มัลแวร์จะ บันทึกไฟล์ที่ยังไม่ติดไวรัสในบู๊ต เซกเตอร์ เพื่อป้องกันการตรวจพบ Encryption มัลแวร์จะเข้ารหัสตัวเอง และเพย์โหลด และเปลี่ยนคีย์ในการ เข้ารหัสและถอดรหัสทุกๆการก็อปปี้ มี สองแบบคือ การเข้ารหัสแบบจำกัด จำนวนครั้ง และการเข้ารหัสแบบไม่ จำกัดจำนวนครั้ง
12
เทคนิคการตรวจจับไวรัส
เทคนิคการตรวจจับไวรัสที่ได้ผล ประกอบไปด้วย การสแกนหาซิกเนเจอร์ การสแกนหาคุณลักษณะเฉพาะ การมอนิเตอร์พฤติกรรม
13
เทคนิคการตรวจจับไวรัส : การสแกนหาซิกเนเจอร์
เป็นวิธีที่โปรแกรมป้องกันไวรัสส่วน ใหญ่ใช้ วิธีการคือการสแกนไฟล์ทั้งใน ฮาร์ดดิสก์และเมมโมรี เพื่อค้นหา โค้ดที่อาจเป็นส่วนหนึ่งของมัลแวร์ โดยนำไฟล์ที่สแกนไปเทียบกับซิกเน เจอร์ ปัญหาของวิธีนี้คือไวรัสจะ แพร่กระจายไปก่อนที่โปรแกรม ป้องกันไวรัสจะอัพเดตซิกเนเจอร์
14
เทคนิคการตรวจจับไวรัส : การสแกนหาคุณลักษณะเฉพาะ
วิธีนี้สามารถตรวจพบได้ทั้งมัลแวร์เก่า และใหม่ โดยการค้นหาคุณลักษณะ ทั่วไปของมัลแวร์ ปัญหาของวิธีนี้ คือ การแจ้งเตือนผิด (False Positive) โปรแกรมป้องกันไวรัสอาจรายงานว่า โปรแกรมทั่วไปที่คุณลักษณะคล้ายไวรัส เป็นไวรัสได้ การสแกนที่ช้า เพราะวิธีการสแกนมีความ ซับซ้อน ไวรัสอาจมีคุณลักษณะใหม่ ไวรัสบางตัว อาจมีคุณลักษณะพิเศษที่ไม่เคยรู้จักมา ก่อน
15
เทคนิคการตรวจจับไวรัส : การมอนิเตอร์พฤติกรรม
จะเน้นความสนใจเฉพาะพฤติกรรม การโจมตีของไวรัสมากกว่าลักษณะ โค้ดของไวรัส เช่น บางแอพพลิเคชั่นจะพยายาม เปิดพอร์ตบางพอร์ตที่ไม่ได้รับ อนุญาต โปรแกรมป้องกันไวรัสจะ คาดเดาว่าการเปิดพอร์ตนั้นเป็น พฤติกรรมของไวรัส และพยายาม แจ้งเตือนหรือสกัดการโจมตี
16
วงจรชีวิตของมัลแวร์ การค้นพบช่องโหว่ การพัฒนา การแพร่ระบาด การทำลาย
1 การค้นพบช่องโหว่ 2 การพัฒนา 3 การแพร่ระบาด 4 การทำลาย 5 การตรวจพบและแจ้งเตือน 6 การตรวจจับ 7 การป้องกันและกำจัด
งานนำเสนอที่คล้ายกัน
