76609

Профилактика компьютера от «троянских программ»

Лабораторная работа

Информатика, кибернетика и программирование

Ознакомиться с основными возможностями «системного реестра» операционной системы Windows 2000 (ХР) по настройке параметров безопасности. Изучить последовательность операций по проверке потенциальных мест размещения вирусов в ОС Windows 2000 (ХР).

Русский

2015-01-30

195 KB

8 чел.

Лабораторная работа №2

Профилактика компьютера от «троянских программ»

Цели

  •  Ознакомиться с основными возможностями «системного реестра» операционной системы Windows 2000 (ХР) по настройке параметров безопасности.
  •  Изучить последовательность операций по проверке потенциальных мест размещения вирусов в ОС Windows 2000 (ХР).
  •  Приобрести практические навыки по защите компьютера от несанкционированных действий «троянских программ».

Краткие теоретические сведения

Реестр операционных систем Windows

Реестр - это большая база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как Windows, так и другими программами.

В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра.

Основным средством для просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра».

Файл редактора реестра находится в папке Windows. Называется он regedit.exe. После запуска появится окно редактора реестра. Вы увидите список из 5 разделов (Рисунок 1):

HKEY_CLASSES_ROOT

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_USERS

HKEY_CURRENT_CONFIG

Рисунок 1

Работа с разделами реестра аналогична работе с папками в Проводнике. Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа (Рисунок 2):

  •  строковые (напр. "C:\Windows");
  •  двоичные (напр. 10 82 A0 8F);
  •  DWORD - этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (например, 0x00000020 (32)).

Рисунок 2

В Windows системная информация разбита на так называемые ульи (hive). Это обусловлено принципиальным отличием концепции безопасности этих операционных систем. Имена файлов ульев и пути к каталогам, в которых они хранятся, расположены в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist (Рисунок 3).

Рисунок 3

В таблице даны краткие описания ульев реестра и файлов, в которых хранятся параметры безопасности.

Таблица 1

HKEY_LOCAL_MACHINE
\SAM

Содержит информацию SAM (Security Access Manager), хранящуюся в файлах SAM, SAM.LOG, SAM.SAV в папке \%Systemroot%\System32\Config.

HKEY_LOCAL_MACHINE
\SECURITY

Содержит информацию безопасности в файлах SECURITY, SECURITY.LOG, SECURITY.SAV в папке \%Systemroot%\System32\Config.

HKEY_LOCAL_MACHINE
\SYSTEM

Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлах SYSTEM, SYSTEM.LOG, SYSTEM.SAV в папке \%Systemroot%\System32\Config.

HKEY_CURRENT_CONFIG

Содержит информацию о подразделе System этого улья, которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке \%Systemroot%\System32\Config.

HKEY_USERS\.DEFAULT

Содержит информацию, которая будет использоваться для создания профиля нового пользователя, впервые регистрирующегося в системе. Информация хранится в файлах DEFAULT, DEFAULT.LOG, DEFAULT.SAV в папке \%Systemroot%\System32\Config.

HKEY_CURRENT_USER

Содержит информацию о пользователе, зарегистрированном в системе на текущий момент. Эта информация хранится в файлах NTUSER.DAT и NTUSER.DAT.LOG, расположенных в каталоге \%Systemroot%\Profiles\Username, где Username - имя пользователя, зарегистрированного в системе на данный момент.

Задание:

Проверить потенциальные места записей «троянских программ» в системном реестре.

Алгоритм выполнения работы

Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователей и системы.

Для этого выполните следующие действия.

  1.  Запустите программу regedit.exe.
  2.  В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее

Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.

  1.  В правой половине открытого окна программы regedit.exe появится список ключей.
  2.  Найдите ключ Userinit (REG_SZ) и проверьте его содержимое.
  3.  По умолчанию (исходное состояние) – этот ключ содержит следующую запись C:\WINDOWS\system32\userinit.exe (Рисунок 4).

Рисунок 4

  1.  Если в указанном ключе содержатся дополнительные записи, то это могут быть троянские программы.
  2.  В этом случае проанализируйте место расположения программы, при этом обратите внимание на время создания файла и сопоставьте с Вашими действиями в это время.
  3.  Если время создания файла совпадает с временем Вашей работы в Интернете, то возможно, что в это время Ваш компьютер был заражен троянским конем.
  4.  Для удаления этой записи необходимо дважды щелкнуть на названии ключа (или при выделенном ключе выбрать команду Изменить из меню Правка программы regedit.exe).
  5.  В открывшемся окне в поле Значение (Рисунок 5) удалите ссылку на подозрительный файл.

Рисунок 5

  1.  Закройте программу regedit.exe.
  2.  Перейдите в папку с подозрительным файлом и удалите его.
  3.  Перезагрузите операционную систему и выполните пункты задания 1-4.
  4.  Если содержимое, рассматриваемого ключа не изменилось, то предполагаемый «троянский конь» удален из Вашей системы.

Еще одним потенциальным местом записей на запуск «троянских программ» является раздел автозапуска Run.

Для его проверки выполните следующее.

  1.  Запустите программу regedit.exe.
  2.  В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ) (Рисунок 6).

Рисунок 6. Проверка содержимого раздела Run

  1.  В рассматриваемом примере автоматически запускается резидентный антивирус и его планировщик заданий, а также утилита, относящаяся к программе Nero (запись на CD).
  2.  Если в указанном разделе есть записи вызывающие подозрения, то выполните пункты 6-14 предыдущего задания.

Задания для самостоятельной работы

  1.  Проверьте содержимое ключа HKEY_LOCAL_MACHINE \Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\System (REG_SZ).
  2.  Зафиксируйте этапы работы, используя команду PrintScreen клавиатуры.
  3.  Составьте отчет о результатах проверки.

Контрольные вопросы

  1.  Что такое реестр?
  2.  Поясните особенности «троянских программ».
  3.  Почему профилактика «троянских программ» связана с системным реестром?
  4.  Какие разделы и ключи являются потенциальными местами записей «троянских программ»?

Описание формы отчета

Выполненное задание для самостоятельной работы и ответы на контрольные вопросы необходимо выслать для проверки преподавателю.


 

А также другие работы, которые могут Вас заинтересовать

83909. Хирургическая анатомия забрюшинного пространства 50.29 KB
  У наружного края почки забрюшинная фасция делится на задний и передний листки. Жировая капсула почки околопочечная клетчатка покрывает почку со всех сторон равномерным слоем книзу продолжается в околомочеточниковую клетчатку. Над жировой капсулой почки сверху расположен фасциальноклетчаточный футляр надпочечника. изолированный от жировой капсулы почки и образованный расщеплением предпочечной фасции.
83910. Оперативные доступы к почкам и мочеточникам. Доступ к почечной артерии. Операции на почке и мочеточнике. Показания, техника выполнения 54.18 KB
  Доступ к почечной артерии. Доступ позволяет подойти к мочеточнику на всём его протяжении и к общей подвздошной артерии. Доступ к почечной артерии На почечной артерии выполняют следующие оперативные вмешательства: эндартерэктомию резекцию суженного сегмента почечной артерии обходное постоянное шунтирование почечной артерии дистальнее места окклюзии с помощью сосудистых протезов. Наиболее рационально при осуществлении доступа к почечной артерии использовать срединную лапаротомию и торакофренолюмботомию.
83911. Паранефральная блокада. Показания, техника выполнения. Нефроптоз 50.22 KB
  Осложнения: повреждение паренхимы почки и введение новокаина под собственную капсулу; повреждение сосудов почки; проникновение иглы в просвет восходящей или нисходящей ободочной кишок. Нефроптоз Нефроптоз – патологическая подвижность почки проявляющаяся смещением органа за пределы своего анатомического ложа. При нефроптозе IIIII степени осложненном нарушением гемодинамики уродинамики хроническим болевым синдромом пиелонефритом нефролитиазом гипертензией гидронефрозом требуется хирургическая тактика – проведение нефропексии...
83912. Современные технологии в хирургии 49.88 KB
  С конца 80х годов 20 века эти операции выполняют под контролем видеомонитора. В первую очередь эндохирургия охватывает операции на органах брюшной и грудной полостей лапароскопические и торакоскопические вмешательства. Минимально инвазивная хирургия область хирургии позволяющая проводить радикальные операции с минимальным повреждением структуры здоровых тканей и минимальным нарушением их функций. К минимально инвазивной хирургии относят эндоскопические операции выполняемые через естественные физиологические отверстия удаление полипов...
83913. Основы трансплантологии 52.47 KB
  Пути преодоления peкции отторжения Подбор наиболее совместимого по антигенным свойствам донора. Подавление реакиии отторжения. Подавление реакции отторжения возможно также с помощью антилимфоцитарного глобулина который оказывает супрессивное действие на лимфоциты играющие ключевую роль в реакции отторжения. Пациенты с пересаженными органами вынуждены принимать препараты пожизненно Хирургический путь борьбы с реакцией отторжения.
83914. Известные отечественные хирурги: Шевкуненко, Оппель, Греков и другие. Их вклад в развитие хирургии 53.31 KB
  Их вклад в развитие хирургии. Автор 50 научных трудов в том числе первого отечественного капитального руководства по оперативной хирургии в трех томах и руководства по топографической анатомии. Под его редакцией вышел Краткий курс оперативной хирургии с топографической анатомией 1951 переведённый на многие иностранные языки. Греков добился благодаря своим научным работам в области абдоминальной хирургии.
83915. Известные зарубежные хирурги: Бильрот, Кохер и другие. Развитие хирургии путём совершенствования оперативной хирургии 50.61 KB
  Развитие хирургии путём совершенствования оперативной хирургии. Бильрота связан ряд важных достижений хирургии в частности: первая эзофагэктомия первая ларингэктомия и что особо значимо первая успешная гастрэктомия по поводу рака желудка. Кроме того разработал ряд хирургических инструментов применяемых в хирургии в наши дни. Им опубликованы работы посвященные вопросам клинической хирургии в том числе костному туберкулезу и другим заболеваниям костей разработаны новые методы хирургических операций артротомия по Фолькману клиновидная...
83916. Н.И. Пирогов - вклад в развитие хирургии и топографической анатомии 46.6 KB
  Пирогов вклад в развитие хирургии и топографической анатомии. Пирогов – основоположник топографической анатомии. Пирогов занял место профессора госпитальной хирургической клиники Медико – хирургической академии СПб где с первых же дней стал читать знаменитый курс лекций по топографической анатомии он организовал анатомический институт в котором объединил практическую описательную и патологическую анатомию. Пирогов оформил все основные положения созданной им науки – топографической анатомии – в монументальном труде Полный курс анатомии...
83917. В.Н. Шевкуненко – создатель современного учения топографической анатомии на основе изменчивости 50.3 KB
  Геселевичем ввёл понятие типовой анатомии человека которая исследует распределение тканевых и системных масс в организме и расположение органов и частей тела с точки зрениях их развития. Типовая анатомия отмечает крайние типы строения и положения органов наблюдаемые у людей определённого телосложения. Шевкуненко исходными побуждающими моментами к таким исследованиям были: частое несоответствие формы и положения органов видимых во время операции с нормой описываемой в руководствах; несовершенство многих хирургических доступов при...