76609

Профилактика компьютера от «троянских программ»

Лабораторная работа

Информатика, кибернетика и программирование

Ознакомиться с основными возможностями «системного реестра» операционной системы Windows 2000 (ХР) по настройке параметров безопасности. Изучить последовательность операций по проверке потенциальных мест размещения вирусов в ОС Windows 2000 (ХР).

Русский

2015-01-30

195 KB

7 чел.

Лабораторная работа №2

Профилактика компьютера от «троянских программ»

Цели

  •  Ознакомиться с основными возможностями «системного реестра» операционной системы Windows 2000 (ХР) по настройке параметров безопасности.
  •  Изучить последовательность операций по проверке потенциальных мест размещения вирусов в ОС Windows 2000 (ХР).
  •  Приобрести практические навыки по защите компьютера от несанкционированных действий «троянских программ».

Краткие теоретические сведения

Реестр операционных систем Windows

Реестр - это большая база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как Windows, так и другими программами.

В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра.

Основным средством для просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра».

Файл редактора реестра находится в папке Windows. Называется он regedit.exe. После запуска появится окно редактора реестра. Вы увидите список из 5 разделов (Рисунок 1):

HKEY_CLASSES_ROOT

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_USERS

HKEY_CURRENT_CONFIG

Рисунок 1

Работа с разделами реестра аналогична работе с папками в Проводнике. Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа (Рисунок 2):

  •  строковые (напр. "C:\Windows");
  •  двоичные (напр. 10 82 A0 8F);
  •  DWORD - этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (например, 0x00000020 (32)).

Рисунок 2

В Windows системная информация разбита на так называемые ульи (hive). Это обусловлено принципиальным отличием концепции безопасности этих операционных систем. Имена файлов ульев и пути к каталогам, в которых они хранятся, расположены в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist (Рисунок 3).

Рисунок 3

В таблице даны краткие описания ульев реестра и файлов, в которых хранятся параметры безопасности.

Таблица 1

HKEY_LOCAL_MACHINE
\SAM

Содержит информацию SAM (Security Access Manager), хранящуюся в файлах SAM, SAM.LOG, SAM.SAV в папке \%Systemroot%\System32\Config.

HKEY_LOCAL_MACHINE
\SECURITY

Содержит информацию безопасности в файлах SECURITY, SECURITY.LOG, SECURITY.SAV в папке \%Systemroot%\System32\Config.

HKEY_LOCAL_MACHINE
\SYSTEM

Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлах SYSTEM, SYSTEM.LOG, SYSTEM.SAV в папке \%Systemroot%\System32\Config.

HKEY_CURRENT_CONFIG

Содержит информацию о подразделе System этого улья, которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке \%Systemroot%\System32\Config.

HKEY_USERS\.DEFAULT

Содержит информацию, которая будет использоваться для создания профиля нового пользователя, впервые регистрирующегося в системе. Информация хранится в файлах DEFAULT, DEFAULT.LOG, DEFAULT.SAV в папке \%Systemroot%\System32\Config.

HKEY_CURRENT_USER

Содержит информацию о пользователе, зарегистрированном в системе на текущий момент. Эта информация хранится в файлах NTUSER.DAT и NTUSER.DAT.LOG, расположенных в каталоге \%Systemroot%\Profiles\Username, где Username - имя пользователя, зарегистрированного в системе на данный момент.

Задание:

Проверить потенциальные места записей «троянских программ» в системном реестре.

Алгоритм выполнения работы

Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователей и системы.

Для этого выполните следующие действия.

  1.  Запустите программу regedit.exe.
  2.  В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее

Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.

  1.  В правой половине открытого окна программы regedit.exe появится список ключей.
  2.  Найдите ключ Userinit (REG_SZ) и проверьте его содержимое.
  3.  По умолчанию (исходное состояние) – этот ключ содержит следующую запись C:\WINDOWS\system32\userinit.exe (Рисунок 4).

Рисунок 4

  1.  Если в указанном ключе содержатся дополнительные записи, то это могут быть троянские программы.
  2.  В этом случае проанализируйте место расположения программы, при этом обратите внимание на время создания файла и сопоставьте с Вашими действиями в это время.
  3.  Если время создания файла совпадает с временем Вашей работы в Интернете, то возможно, что в это время Ваш компьютер был заражен троянским конем.
  4.  Для удаления этой записи необходимо дважды щелкнуть на названии ключа (или при выделенном ключе выбрать команду Изменить из меню Правка программы regedit.exe).
  5.  В открывшемся окне в поле Значение (Рисунок 5) удалите ссылку на подозрительный файл.

Рисунок 5

  1.  Закройте программу regedit.exe.
  2.  Перейдите в папку с подозрительным файлом и удалите его.
  3.  Перезагрузите операционную систему и выполните пункты задания 1-4.
  4.  Если содержимое, рассматриваемого ключа не изменилось, то предполагаемый «троянский конь» удален из Вашей системы.

Еще одним потенциальным местом записей на запуск «троянских программ» является раздел автозапуска Run.

Для его проверки выполните следующее.

  1.  Запустите программу regedit.exe.
  2.  В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ) (Рисунок 6).

Рисунок 6. Проверка содержимого раздела Run

  1.  В рассматриваемом примере автоматически запускается резидентный антивирус и его планировщик заданий, а также утилита, относящаяся к программе Nero (запись на CD).
  2.  Если в указанном разделе есть записи вызывающие подозрения, то выполните пункты 6-14 предыдущего задания.

Задания для самостоятельной работы

  1.  Проверьте содержимое ключа HKEY_LOCAL_MACHINE \Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\System (REG_SZ).
  2.  Зафиксируйте этапы работы, используя команду PrintScreen клавиатуры.
  3.  Составьте отчет о результатах проверки.

Контрольные вопросы

  1.  Что такое реестр?
  2.  Поясните особенности «троянских программ».
  3.  Почему профилактика «троянских программ» связана с системным реестром?
  4.  Какие разделы и ключи являются потенциальными местами записей «троянских программ»?

Описание формы отчета

Выполненное задание для самостоятельной работы и ответы на контрольные вопросы необходимо выслать для проверки преподавателю.


 

А также другие работы, которые могут Вас заинтересовать

36230. Прерывания микропроцессора 69.5 KB
  Прерывания микропроцессора Прерывание работы микропроцессора. Прерывания осуществляются аппаратными средствами которые заставляют МП приостановить выполнение текущей программы и отреагировать на внешнее событие. Прерывания дают возможность осуществлять операции вводавывода независимо от МП. ЦП может игнорировать требование маскируемого прерывания и продолжать выполнять текущую программу.
36231. Использование стековой памяти 52 KB
  Поскольку существует только один регистр сегмента стека SS хранящий начальный базовый адрес стека в каждый момент времени можно обращаться только к одному стеку. Указатель стека SP используется для хранения адреса последнего члена последовательности вершины стека записанного в стек. Такие команды как PUSH записать данные в стек РОР считать данные из стека CLL вызов процедуры RET возврат из процедуры или IRET выход из прерывания автоматически изменяют содержимое указателя стека SP так чтобы отслеживать адрес вершины...
36233. Угрозы защищенности информации 84 KB
  Нарушение конфиденциальности возникает тогда когда к какойлибо информации получает доступ лицо не имеющее на это права. Отказ в обслуживании угрожает не самой информации а АС в которой эта информация обрабатывается. При возникновении отказа в обслуживании уполномоченные пользователи не могут получить своевременный доступ к необходимой информации хотя имеют на это полное право.
36234. Предмет и объекты защиты информации в ЭИС 120 KB
  Под ЗИ в ЭИС понимается регулярное использование в них средств и методов принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации хранимой и обрабатываемой с использованием средств ЭИС [13]. ТСК должен принадлежать к одному и тому же организационному компоненту ЭИС участвовать в осуществлении одних и тех же функций обработки информации в ЭИС быть локализованным с точки зрения территориального расположения ЭИС. Элементы защиты выделяются по нахождению в одном и том же объекте защиты...
36235. Криптографическое закрытие информации, хранимой на носителях (архивация данных) 339 KB
  Устройства содержат датчики случайных чисел для генерации ключей и узлы шифрования реализованные аппаратно в специализированных однокристальных микроЭВМ. На базе устройств КРИПТОН разработана и серийно выпускается система КРИПТОНИК обеспечивающая также чтение запись и защиту данных хранящихся на интеллектуальных идентификационных карточках получающих в последнее время широкое применение как в виде дебетно кредитных карточек при безналичных расчетах так и в виде средства хранения прав доступа ключей шифрования и другой конфиденциальной...
36236. Общие положения по применению системы «Кобра» 229 KB
  Классификация компьютерных вирусов Компьютерные вирусы классифицируются в соответствии со следующими признаками: 1 среда обитания: файловые вирусы; загрузочные вирусы заражающие компоненты системной области используемые при загрузке ОС; файловозагрузочные вирусы. 2 способ заражения среды обитания; 3 способ активизации: резидентные и нерезидентные вирусы; 4 способ проявления деструктивные действия или вызываемые эффекты: влияние на работу ПК; искажение программных файлов файлов с данными; форматирование диска или его части; замена...
36237. Цели, функции и задачи защиты информации в сетях ЭВМ 127 KB
  Методы цифровой подписи данных передаваемых в сети Механизм цифровой подписи реализуемый также криптографическими методами состоит из формирования подписи блока данных при передаче и проверки подписи в принятом блоке данных. Первый процесс заключается в формировании подписи по определенному алгоритму с использованием секретного ключа второй – в обратном преобразовании. Считается что для реализации цифровой подписи методы шифрования с открытыми ключами предпочтительнее традиционных методов шифрования. При наличии подходящего алгоритма...
36238. Оценка обычных программ 116.5 KB
  Это множество можно разделить на два подмножества: множество объектов и множество субъектов. Доступ – категория субъектнообъектной модели описывающая процесс выполнения операций субъектов над объектами. В защищенной КС всегда присутствует субъект выполняющий контроль операций субъектов над объектами. Для выполнения в защищенной КС операций над объектами необходима дополнительная информация и наличие содержащего ее объекта о разрешенных и запрещенных операциях субъектов с объектами.