none
如何得知 TCPview, Process Explorer 等監控工具偵測到網路是受異常連結? RRS feed

  • 問題

  • System:4 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
    System:4 TCP 169.254.17.212:139 0.0.0.0:0 LISTENING
    System:4 UDP 169.254.17.212:138 *:*
    System:4 UDP 0.0.0.0:445 *:*
    System:4 UDP 169.254.17.212:137 *:*
    SVCHOST.EXE:1848 UDP 61.231.50.26:1900 *:*
    SVCHOST.EXE:1848 UDP 169.254.17.212:1900 *:*
    SVCHOST.EXE:1848 UDP 127.0.0.1:1900 *:*
    SVCHOST.EXE:1300 UDP 61.231.50.26:123 *:*
    SVCHOST.EXE:1300 UDP 169.254.17.212:123 *:*
    SVCHOST.EXE:1300 UDP 127.0.0.1:123 *:*
    SVCHOST.EXE:1200 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
    pctsSvc.exe:3488 TCP 61.231.50.26:1033 174.133.89.198:80 CLOSE_WAIT
    LSASS.EXE:972 UDP 0.0.0.0:500 *:*
    LSASS.EXE:972 UDP 0.0.0.0:4500 *:*
    alg.exe:832 TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING


    如此有異常嗎? (from TCP view 偵測工具)
    2009年9月25日 上午 09:36

解答

  • SVCHOST.EXE:1848 UDP 61.231.50.26:1900 *:*
    SVCHOST.EXE:1848 UDP 169.254.17.212:1900 *:*
    SVCHOST.EXE:1848 UDP 127.0.0.1:1900 *:*
    SVCHOST.EXE:1300 UDP 61.231.50.26:123 *:*
    SVCHOST.EXE:1300 UDP 169.254.17.212:123 *:*
    SVCHOST.EXE:1300 UDP 127.0.0.1:123 *:*
    這個區段的部份是不太正常的,因為它共開了兩個連線埠不斷的對遠方的1900port及123port傳UDP的傳遞
    這個行為很像是網路攻擊中常見的木馬行為,而UDP1900是UPnP的使用埠,透過不斷的回UDP封包去傳遞你電腦現在的存活狀況,這種情形不應該是正常行為
    而UDP123是NTP(網路校時)服務,經過IP的反解析,61.231.50.26是HiNet的浮動IP,而169.254.17.212反查出來則是位在美國屬的ip

    建議您可以截聽一下這兩個port所傳遞的ip內容會比較精準,還有可以蒐集一下電腦在靜止沒有運作的時侯,是否還有持續其它對外的連線動作
    而svchost是windows中很重要的RPC服務啟動代理,若在完全沒有用到任何網路的程式運作,你的電腦依然有這樣不正常的連線,恐怕是要好好的觀查觀查。
    • 已標示為解答 cindy7980 2009年9月26日 下午 02:31
    • 已取消標示為解答 cindy7980 2009年9月26日 下午 02:33
    • 已標示為解答 Bethere 2009年10月1日 下午 03:10
    2009年9月25日 下午 02:49
  • Dear cindy

    第一部份的內容都是指定服務的部份,而至於是不是正常則必須視您的電腦所安裝及提供的服務而定,目前看起來都是有服務的狀態
    TCP/UDP 445是SMB(Server Message Block)
    TCP135是EPMAP (End Point Mapper) / Microsoft RPC Locator Service
    UDP 1900是Microsoft SSDP Enables discovery of UPnP devices
    UDP 500是ISAKMP,IKE-Internet Key Exchange
    UDP 4500則不在規範列表中

    在抓封包內容的部份我個人都是使用Ethereal 來截聽封包,再透過過濾去指定抓取UDP 1900Port及UDP 123Port
    另外,建議您可以去下載HiJackThis,它是免費的,可以直接掃你的電腦中的登錄檔及正在執行的檔案是否是惡意的(只是建議值)

    由您上面提供的訊息看來,有不少執行程式駐由此看出來你的電腦是HP的設備,建議試看HiJackThis掃完後丟到下面的網站去做檢測

    Ethereal
    http://www.ethereal.com/distribution/win32/ethereal-setup-0.99.0.exe

    HiJackThis
    http://www.hijackthis.de/downloads/HJTInstall.exe

    HiJackThis log分析
    http://www.hijackthis.de/
    • 已編輯 Huang JasonMVP 2009年9月26日 下午 06:09 修改
    • 已標示為解答 Bethere 2009年10月1日 下午 03:08
    2009年9月26日 下午 06:00
  • Dear Cindy

    其實,您的重點若是在於要做為攻擊證據的話,最快的方法是在電腦到網路的Access point的部份加入一個節點,可以是防火牆也可以是一台具有NAT的Server
    在存取的部份,你啟動這台設備的log記錄功能,把所有封包的內容均記錄下來,並且要確保這份log是不能被修改的(若可以修改則無法成為法庭證據)
    而且,若log可被修改的話,僅能做為佐證,是不能被採用的,因為二手證據在我國的法令下是無法成為直接證據的。

    另外,在這個佈署的過程中,對於遠端ip的記錄也必須是確定正確的來源,這種數位犯罪的偵查有不少工具可以達成,也有很多的眉眉角角,基本上…偵九是可以偵查
    只是必須先確定其犯罪的事實,要直接可以偵辦的,也必須是有危害的事實的,例如有財務詐欺或者是有數位資料的盜取,必須要向警方報警後才能偵辦
    多數的這種數位犯罪是必須先由受害方提出證明才會有主動的處理動作的。

    這個部份可能要再看看一些數位犯罪的實際偵查程序,建議您可以到警察機關詢問或者是有免費的法律詢問。
    • 已標示為解答 Bethere 2009年10月1日 下午 03:07
    2009年9月27日 下午 02:57

所有回覆

  • SVCHOST.EXE:1848 UDP 61.231.50.26:1900 *:*
    SVCHOST.EXE:1848 UDP 169.254.17.212:1900 *:*
    SVCHOST.EXE:1848 UDP 127.0.0.1:1900 *:*
    SVCHOST.EXE:1300 UDP 61.231.50.26:123 *:*
    SVCHOST.EXE:1300 UDP 169.254.17.212:123 *:*
    SVCHOST.EXE:1300 UDP 127.0.0.1:123 *:*
    這個區段的部份是不太正常的,因為它共開了兩個連線埠不斷的對遠方的1900port及123port傳UDP的傳遞
    這個行為很像是網路攻擊中常見的木馬行為,而UDP1900是UPnP的使用埠,透過不斷的回UDP封包去傳遞你電腦現在的存活狀況,這種情形不應該是正常行為
    而UDP123是NTP(網路校時)服務,經過IP的反解析,61.231.50.26是HiNet的浮動IP,而169.254.17.212反查出來則是位在美國屬的ip

    建議您可以截聽一下這兩個port所傳遞的ip內容會比較精準,還有可以蒐集一下電腦在靜止沒有運作的時侯,是否還有持續其它對外的連線動作
    而svchost是windows中很重要的RPC服務啟動代理,若在完全沒有用到任何網路的程式運作,你的電腦依然有這樣不正常的連線,恐怕是要好好的觀查觀查。
    • 已標示為解答 cindy7980 2009年9月26日 下午 02:31
    • 已取消標示為解答 cindy7980 2009年9月26日 下午 02:33
    • 已標示為解答 Bethere 2009年10月1日 下午 03:10
    2009年9月25日 下午 02:49
  • 謝謝jason622 如此詳盡的解說! 感激不盡!! 有三點想再提問...



    1. 這是我剛剛下線後, 利用 TCP view 監測工具所紀錄下的, 請問如此有異常情況嗎?

    System:4 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
    System:4 UDP 0.0.0.0:445 *:*
    SVCHOST.EXE:540 UDP 127.0.0.1:1900 *:*
    SVCHOST.EXE:1780 UDP 127.0.0.1:123 *:*
    SVCHOST.EXE:1780 UDP 127.0.0.1:1732 *:*
    SVCHOST.EXE:1628 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
    LSASS.EXE:1388 UDP 0.0.0.0:500 *:*
    LSASS.EXE:1388 UDP 0.0.0.0:4500 *:*



    2. 另, 剛剛我也利用另一監測工具 Process Explorer v11.33, 紀錄下如下的資料,  亦發生異常嗎?

    Process PID CPU Description Company Name Path
    System Idle Process 0 87.69
     Interrupts n/a Hardware Interrupts
     DPCs n/a Deferred Procedure Calls
     System 4
      SMSS.EXE 1164 Windows NT Session Manager Microsoft Corporation C:\WINDOWS\system32\smss.exe
       CSRSS.EXE 1300 1.54 Client Server Runtime Process Microsoft Corporation C:\WINDOWS\system32\csrss.exe
       WINLOGON.EXE 1324 Windows NT Logon Application Microsoft Corporation C:\WINDOWS\system32\winlogon.exe
        SERVICES.EXE 1376 1.54 Services and Controller app Microsoft Corporation C:\WINDOWS\system32\services.exe
         SVCHOST.EXE 1552 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
          1XConfig.exe 484 8021XConfig Module Intel C:\Program Files\Intel\Wireless\Bin\1XConfig.exe
          wmiprvse.exe 3048 WMI Microsoft Corporation C:\WINDOWS\system32\wbem\wmiprvse.exe
          hpqbam08.exe 2816 HP CUE Alert Popup Window Objects Hewlett-Packard Co. C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
          HPQGPC01.EXE 1820 GPCore COM object Hewlett-Packard C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
         SVCHOST.EXE 1628 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         SVCHOST.EXE 1780 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
          wuauclt.exe 300 Windows Update Automatic Updates Microsoft Corporation C:\WINDOWS\system32\wuauclt.exe
          wscntfy.exe 3024 Windows Security Center Notification App Microsoft Corporation C:\WINDOWS\system32\wscntfy.exe
         EvtEng.exe 1840 EvtEng Module Intel Corporation C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
         S24EvMon.exe 136 Event Monitor - Supports driver extensions to  NIC Driver for wireless adapters. Intel Corporation  C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
         SVCHOST.EXE 404 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         SVCHOST.EXE 540 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         SPOOLSV.EXE 1060 Spooler SubSystem App Microsoft Corporation C:\WINDOWS\system32\spoolsv.exe
         SVCHOST.EXE 624 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         SVCHOST.EXE 2064 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         SVCHOST.EXE 2132 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         OProtSvc.exe 2156 Ownership protocol service Intel Corporation C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
         FWService.exe 2196 PC Tools Firewall Plus service PC Tools C:\Program Files\PC Tools Firewall Plus\FWService.exe
         SVCHOST.EXE 2576 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         RegSrvc.exe 2608 RegSrvc Module Intel Corporation C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
         pctsSvc.exe 2780 PC Tools Security Service PC Tools C:\Program Files\Spyware Doctor\pctsSvc.exe
         SVCHOST.EXE 2292 Generic Host Process for Win32 Services Microsoft Corporation C:\WINDOWS\system32\svchost.exe
         alg.exe 3640 Application Layer Gateway Service Microsoft Corporation C:\WINDOWS\system32\alg.exe
        LSASS.EXE 1388 LSA Shell (Export Version) Microsoft Corporation C:\WINDOWS\system32\lsass.exe
        ZCfgSvc.exe 2020 ZeroCfgSvc MFC Application Intel Corporation C:\Program Files\Intel\Wireless\Bin\ZCfgSvc.exe
    EXPLORER.EXE 488 3.08 Windows Explorer Microsoft Corporation C:\WINDOWS\explorer.exe
     HControl.exe 868 HControl C:\WINDOWS\ATK0100\HControl.exe
      ATKOSD.EXE 744 ATKOSD C:\WINDOWS\ATK0100\ATKOSD.exe
     IGFXTRAY.EXE 892 igfxTray Module Intel Corporation C:\WINDOWS\system32\igfxtray.exe
     HKCMD.EXE 904 hkcmd Module Intel Corporation C:\WINDOWS\system32\hkcmd.exe
     BatteryLife.exe 912 BatteryLife ASUSTeK Computer Inc. C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
     iFrmewrk.exe 924 Intel Framework MFC Application Intel Corporation C:\Program Files\Intel\Wireless\Bin\iFrmewrk.exe
     EOUWiz.exe 948 Ease Of Use Wizard Application Intel Corporation C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
     SoundMan.exe 964 Realtek Sound Manager Realtek Semiconductor Corp. C:\WINDOWS\SoundMan.exe
     ALCWZRD.EXE 976 RealTek AlcWzrd Application RealTek Semicoductor Corp. C:\WINDOWS\ALCWZRD.EXE
     ALCMTR.EXE 996 Realtek Azalia Audio - Event Monitor Realtek Semiconductor Corp. C:\WINDOWS\ALCMTR.EXE
     GoogleQuickSearchBox.exe 1136 Quick Search Box Google Inc. C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
     hpwuSchd2.exe 1196 hpwuSchd Application Hewlett-Packard C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
     pctsTray.exe 1252 PC Tools Tray Application PC Tools C:\Program Files\Spyware Doctor\pctsTray.exe
     FirewallGUI.exe 1284 4.62 PC Tools Firewall GUI PC Tools C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
     CTFMON.EXE 1304 CTF Loader Microsoft Corporation C:\WINDOWS\system32\ctfmon.exe
     MSMSGS.EXE 1468 Windows Messenger Microsoft Corporation C:\Program Files\Messenger\msmsgs.exe
     ArovaxAntiSpyware.exe 1392 Arovax AntiSpyware Arovax C:\Program Files\Arovax AntiSpyware\arovaxantispyware.exe
     HPQTRA08.EXE 768 HP Digital Imaging Monitor Hewlett-Packard Co. C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      hpqste08.exe 3084 HP CUE Status Root Hewlett-Packard Co. C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
     procexp.exe 5088 1.54 Sysinternals Process Explorer Sysinternals - www.sysinternals.com C:\Documents and Settings\Yimei\桌面\ProcessExplorer\procexp.exe
    GoogleCrashHandler.exe 392 Google 安裝程式 Google Inc. C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
     


    3. 可在冒昧請問如何攔截 1900port及 123port 這兩個port 所傳遞的ip 內容? Process Explorer v11.33 工具可提供嗎?

    謝謝!!

    2009年9月26日 下午 03:13
  • Dear cindy

    第一部份的內容都是指定服務的部份,而至於是不是正常則必須視您的電腦所安裝及提供的服務而定,目前看起來都是有服務的狀態
    TCP/UDP 445是SMB(Server Message Block)
    TCP135是EPMAP (End Point Mapper) / Microsoft RPC Locator Service
    UDP 1900是Microsoft SSDP Enables discovery of UPnP devices
    UDP 500是ISAKMP,IKE-Internet Key Exchange
    UDP 4500則不在規範列表中

    在抓封包內容的部份我個人都是使用Ethereal 來截聽封包,再透過過濾去指定抓取UDP 1900Port及UDP 123Port
    另外,建議您可以去下載HiJackThis,它是免費的,可以直接掃你的電腦中的登錄檔及正在執行的檔案是否是惡意的(只是建議值)

    由您上面提供的訊息看來,有不少執行程式駐由此看出來你的電腦是HP的設備,建議試看HiJackThis掃完後丟到下面的網站去做檢測

    Ethereal
    http://www.ethereal.com/distribution/win32/ethereal-setup-0.99.0.exe

    HiJackThis
    http://www.hijackthis.de/downloads/HJTInstall.exe

    HiJackThis log分析
    http://www.hijackthis.de/
    • 已編輯 Huang JasonMVP 2009年9月26日 下午 06:09 修改
    • 已標示為解答 Bethere 2009年10月1日 下午 03:08
    2009年9月26日 下午 06:00
  • Jason先生, 想請問您, 若自費想請資訊安全專家幫我抓駭客, 該怎麼找尋?  (以上您說的這些軟體, 我都無法下載, 如當我下載 ethereal, 會出現NSIS Error中毒現象, 只要當我下載類似這樣掃木馬軟體, 這些掃毒軟體最後都會無法正常運行, 我的電腦的確中了木馬, 但中木馬不代表我被某特定人士攻擊, 有可能只是單純中毒, 的確有惡意人士長期攻擊我電腦, 所以我想要蒐集被此人攻擊的證據)


    承蒙解答~!
     
    2009年9月27日 上午 09:31
  • Dear Cindy

    其實,您的重點若是在於要做為攻擊證據的話,最快的方法是在電腦到網路的Access point的部份加入一個節點,可以是防火牆也可以是一台具有NAT的Server
    在存取的部份,你啟動這台設備的log記錄功能,把所有封包的內容均記錄下來,並且要確保這份log是不能被修改的(若可以修改則無法成為法庭證據)
    而且,若log可被修改的話,僅能做為佐證,是不能被採用的,因為二手證據在我國的法令下是無法成為直接證據的。

    另外,在這個佈署的過程中,對於遠端ip的記錄也必須是確定正確的來源,這種數位犯罪的偵查有不少工具可以達成,也有很多的眉眉角角,基本上…偵九是可以偵查
    只是必須先確定其犯罪的事實,要直接可以偵辦的,也必須是有危害的事實的,例如有財務詐欺或者是有數位資料的盜取,必須要向警方報警後才能偵辦
    多數的這種數位犯罪是必須先由受害方提出證明才會有主動的處理動作的。

    這個部份可能要再看看一些數位犯罪的實際偵查程序,建議您可以到警察機關詢問或者是有免費的法律詢問。
    • 已標示為解答 Bethere 2009年10月1日 下午 03:07
    2009年9月27日 下午 02:57
  • 一個正常點的Hacker要直接攻擊電腦
    基本上都會用很多跳板 讓你找不到源頭
    網路卡號也是可以改的
    除非它是新手 那只能說它很好笑
    所以還是先把該封的Port封好吧
    雖然這些話是殘忍的 但這是事實
    千萬不要認為台灣的網路警察 會很積極幫你處理這些事...
    且這些Proxy群大概都是很多國家組合成的...
    • 已標示為解答 Bethere 2009年10月1日 下午 03:07
    • 已取消標示為解答 Bethere 2009年10月1日 下午 03:10
    2009年9月28日 上午 11:36
  • 所有的方法我幾乎都試過, 就是要有被攻擊及異常連結的證據.

    報警要能提供被攻擊的證據,也就是電腦資料有被竄改,異常連結等證據. 當然可以找到對方ip是最好不過, 警察機關一般只受理企業組織, 因為他們可以提供完整證據(內部資訊人員), 一般民眾, 除非是工程師, 否則只有一直被打的份. 因為一般資訊安全公司也只受理公司, 不受理個人. 駭客已困擾我六.七年. 他像是還結合通訊, 亦即通訊與病毒結合. 無論如何我一定要知道對方, 否則我必須找一個上班完全不需用到電腦的工作. 對我來說, 是完全不可能.
    我想委託這邊的專業人士, 看可否幫我找到被攻擊的證據, 之後再把這些被攻擊證據的資料,交給警方做進一步的處理.

    成嗎?!   (我的信箱, cindy7980@hotmail.com)
    2009年9月29日 上午 10:23
  • "還是先把該封的Port封好吧."

    對方無所不為, 他會竄改. 

    找到電腦資料被竄改,異常連結的證據應該可行.
    2009年9月29日 上午 10:27
  • 重點是那個人如果在台灣 還有一點點可能
    但是對岸的機率蠻大的喔
    台灣法律應該管不到那邊吧
    這也不是說只受理公司 而是如果大量利用跳板 真的很難找到
    如果說 它是利用另一種Hacker技術把你的資料回傳
    哪倒是有可能找到 ...
    • 已標示為解答 Bethere 2009年10月1日 下午 03:07
    • 已取消標示為解答 Bethere 2009年10月1日 下午 03:10
    2009年9月29日 上午 10:31
  • Elfjojo先生, 我猜他應該在台灣. 但會以大陸或美國為跳板. 即使對方是大陸人, 只要可以知道對方ip, 還是可以把對方給繩之以法, 只是法律程序會比較複雜.

    比較吃虧的是這邊的談話, 對方像是都會知道.

    • 已標示為解答 Bethere 2009年10月1日 下午 03:07
    • 已取消標示為解答 Bethere 2009年10月1日 下午 03:10
    2009年9月29日 上午 10:54
  • 你有需要的話 再跟我說吧 我能幫你就幫你
    2009年9月29日 上午 10:56
  • 我很需要, 不過你可以先給我你的email address, 我好把聯絡方式留給你.  我的email address:  cindy7980@hotmail.com

    萬分感激~!!
    2009年9月29日 上午 11:24
  • 一樣我的暱稱@hotmail.com
    大學後我就很少玩這些把戲了
    還要回憶一下那些技術
    呵 以前差點被抓去上新聞
    可能的話 我在幫你想一些辦法吧

    2009年9月29日 上午 11:28
  • 還是沒有解決... 真的很難...

    可以在有什麼方法嗎??
    2009年10月2日 下午 02:42
  • Dear Cindy

    您所提問的這個問題,其實需要某種層度的數位犯罪的相關知識及處理能力
    而目前台灣所定立的法律是必須經過報警、或經過數位犯罪辨視單位確認提告才有可能成立
    若您只是單純的希望把這個問題解決,最好的方法可能就是花錢買設備,或者是建置一個安全的環境
    不然在台灣現行的境,是很難有一個比較確實的作法或程序的

    建議您,若很確定是經由某人所送出的封包,可向警察報案,但你也要負擔一些法律上的責任
    若您無法很確定的證實是這個人發送的,那麼責任就重大了,一般的建議做法是:
    1.確保截聽封包的記錄是無法修改。(以維持證據的可用性、有效性)
    2.申告並提出證據(進入法律程序-若是以濫用電腦可以引用刑法第三百六十一條,若是要以妨害密秘則是以刑法第三百一十八條之一)
    3.向中華電信申請網路的連接記錄(這部份要先詢問一下,因為這種log量很大,有可能已經沒有在log了,重點是在於由第三方公證單位提出)

    只要對方雙手一攤說,我不知道耶,可能是被入侵了變成跳板,那麼,除了扣押他的電腦由犯罪鑑視人員來進行log鑑視以外,就很難有其證據的可用性。

    以上經驗提供予您。

    2009年10月3日 上午 04:05
  • Jason再次安好,

    在您提到的第一點, 要如何確定攔截封包紀錄不會被修改? 以及 第三點, 向中華電信詢問結果是這樣的, 網路連線紀錄只會記下最後兩次, 

    其實我現在還在蒐集資料的階段, 也就是你處理程序的第二項, 申請報案需要有證據. 如此說好了, 我不是工程師, 我需要專業人士幫我蒐集證據, 把我的電腦拿去. 找到證據交給偵九. 因為對方都知道我要如何處理, 他會先行一步阻止. 
    證據有三, 對方ip , 被侵犯時間, 被盜取的數位資料證據. 更直接的說, 警察要一般民眾做的是民眾自己調查, 他們只負責抓人, 若證明我們提供證據可被採信. 因為一般公司都是

    我問過微軟與acer, 一台具有NAT的Server要15萬起跳, 還真是一筆不少的費用, 且就算我買了, 我的能力是沒法作一個工程師才能做事.
    2009年10月3日 下午 01:26
  • Dear cindy

    對於記錄不會被修改的部份有不少的解決方案,包括像是硬體的IDS/IPS,都有提供這種功能,而對於對方若本身就是熟知如何處理這種問題的能人
    那麼真的就是"仙拚仙"了,本來這種行為就是屬於告訴乃論罪,而對於所謂的設備的部份,就看您個人對於這種風險的容忍度
    若一台五萬左右的UTM是您可以接受的,也許再經由IT PRO幫你設定應該就不會有太大的問題,對於一個沒有這方面能力的人確實是很難承擔這樣的技術壓力
    本來這種問題就是比後台了,任何一種不安全的行為也是由人來決定接受,不然講難聽一點的,若你換了線路,但是你對於安全的認知並未達到一定的層度
    也是馬上就曝露了自已的蹤跡,而對於我提議的這NAT的方案,也不是只有這樣才能解決,這個只是為了記錄流量的來往
    講白了,也得要有人幫你做這整個環境後,自已對資安的議題有所認知,否則再貴的設備買了,人的操作習慣沒有改變也沒有什麼用,因為人的問題也是主要的資安問題。

    買防火牆、防毒軟體只是加強了防護的強度,不去應用時常維護,也是和一般人無異,若真的造成你的困擾,我想,還是尋正常法律徒徑是最後一條路了,不然就要有背景夠硬的人出來幫你處理了。
    2009年10月3日 下午 07:22
  • Dear Jason,


    很遺憾的, 這駭客技術是高操的, 時使設備買了, 我想最後還是會被他變更竄改而無法留下一個正確的資訊吧, 就我的程度而言. 因為之前他幾乎把我所下載的防毒軟體都竄改了, 我也曾請過資訊安全人員幫我把電腦所有防護措施設定好, 最後還是中木馬.

    再請問市面上有針對個人, 而非公司服務之抓駭客的資訊安全人員嗎? 你可以幫助我找證據嗎? 如果我願意購買你建議的這些設備. 或我可以有哪些管道呢, 直接了當的說就是抓對方ip等證據或說服偵九讓他們足以願意針對個人想偵辦的意願. 
    2009年10月4日 上午 04:20
  • Dear Cindy

    在台灣的現行的技術顧問中,很少有人願意幫個人導入這樣的架構,對於這些部份,我想可能在論壇或者是介紹會比較容易接洽
    我可以幫你介紹,但有無意願接你這個案子就得看別人怎麼評估了,要說服偵九隊其實只要是有財務上的實際損失,就一定會插手
    若只個人私密、商業秘密恐怕除非有一定層度的影響,否則很難有接受的可能性,我還是先建議您以現有的證據,在乾淨的電腦做網路報案試試看會比較好一些
    不然,資安從業人員在法律沒有保障之下,很難有意願處理這樣的案件。
    2009年10月5日 下午 12:39
  • Dear Jason,

    你還記得我嗎? 至目前仍受駭客之苦. 行徑是愈來愈囂張. 這駭客是大陸人, 受台灣人委託, 想請你引介看可否透過台灣與大陸技術人員合作同時將這些人揪出? 駭客手段高明狡猾, 卡巴斯基2010也被破解, 對方應是利用無線遠端遙控. 他很會隱遁, 常利用是是而非讓我很久才發現雖然我桌面顯示無線網路已被關, 但實際代表無線網路是開著的. 但我非資通安全人員, 很難去發覺我電腦哪邊已被竄改, 實際卻顯示沒有. 我想這應該就是木馬程式的精神所在. 
    以下是我剛剛利用 TCP view 存下來的,     " *  " 此符號應該就是對方的IP, 該如何找出它呢?

    [System Process]:0 TCP 127.0.0.1:1057 127.0.0.1:8001 TIME_WAIT 
    [System Process]:0 TCP 127.0.0.1:1069 127.0.0.1:8001 TIME_WAIT 
    alg.exe:2832 TCP 127.0.0.1:1032 0.0.0.0:0 LISTENING 
    Control.exe:248 TCP 0.0.0.0:8001 0.0.0.0:0 LISTENING 
    Control.exe:248 TCP 0.0.0.0:8000 0.0.0.0:0 LISTENING 
    lsass.exe:916 UDP 0.0.0.0:500 *:*  
    lsass.exe:916 UDP 0.0.0.0:4500 *:*  
    svchost.exe:1172 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 
    svchost.exe:1276 UDP 169.254.21.6:123 *:*  
    svchost.exe:1276 UDP 127.0.0.1:123 *:*  
    svchost.exe:1276 UDP 0.0.0.0:68 *:*  
    svchost.exe:1492 UDP 169.254.21.6:1900 *:*  
    svchost.exe:1492 UDP 127.0.0.1:1900 *:*  
    System:4 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 
    System:4 TCP 169.254.21.6:139 0.0.0.0:0 LISTENING 
    System:4 UDP 169.254.21.6:138 *:*  
    System:4 UDP 169.254.21.6:137 *:*  
    System:4 UDP 0.0.0.0:445 *:*  
    VideoProxy.exe:256 TCP 0.0.0.0:6000 0.0.0.0:0 LISTENING 
    WDSvc.exe:120 TCP 0.0.0.0:700 0.0.0.0:0 LISTENING  

    2010年1月2日 上午 09:13
  • Dear Cindy7980

    若要說是有問題的連線的話,來源還是與169.254.21.6相關,至於如何根除,我相信,沒有任何一種入侵手法是可以直接長驅直入的

    若您有使用ip分享器,而且上面就有防火牆的話,那麼應該可以直接168.254.0.0整個網全都設定禁止進出入

    如果您還是有相當的困擾,我還是建議安裝一套軟體防火牆,隨時都開啟著做監視,並設定為白清單來做管控。
    Jason的電腦健身房 沒有永遠的安全 沒有永遠的弱點 有牌的神經病
    2010年1月4日 上午 06:35