Будь умным!

У вас вопросы?
У нас ответы:) SamZan.net

Тема- Основные признаки присутствия на компьютере вредоносных программ

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 9.11.2024

Практическая работа № 5

Тема: Основные признаки присутствия на компьютере вредоносных программ. Проверка элементов автозапуска. Сетевая активность.

Цель: Данная практическая работа позволяет получить практические навыки по выявлению вредоносных программ на локальном компьютере под управлением Microsoft Windows NT-подобной операционной системы

В процессе выполнения этой работы будут изучены явные признаки заражения компьютера на примере модификации настроек браузера, исследованы возможные места скрытых проявлений: запущенные процессы, элементы автозапуска, сетевая активность.

Сценарий. Умение своевременно найти и обезвредить вредоносную программу - один из ключевых навыков компьютерной грамотности. Для этого необходимо знать основные признаки присутствия вируса, уметь оценивать действия, выполняемые той или иной программой на предмет их вредоносности и знать, что в первую очередь следует предпринять, если компьютер все же оказался заражен.

Все виды проявлений вируса на компьютере можно разбить на три группы: явные, косвенные и скрытые. К первым относятся изменение настроек браузера, всплывающие сообщения и несанкционированный дозвон в Интернет. К косвенным можно отнести блокирование работы антивируса, доступа к сайтам антивирусных компаний, сбои в работе системы или других приложений, почтовые уведомления о рассылаемых Вами вирусах.

Первое задание этой лабораторной работы посвящено изучению явных признаков на примере несанкционированного изменения настроек браузера.

Некоторые вредоносные программы умеют достаточно хорошо скрывать от пользователя свою деятельность - такие проявления, называемые скрытыми, обычно под силу обнаружить только антивирусной программе. Однако в любом случае, если возникло хоть малейшее подозрение на наличие вируса, необходимо уметь провести простейшую диагностику системы, чтобы либо подтвердить заражение, или опровергнуть его. Во втором задании этой лабораторной работы изучается список запущенных на компьютере процессов (фактически, список работающих в данный момент программ), в третьем - элементы автозапуска, а четвертое посвящено исследованию сетевой активности.

Подготовка

Перед началом практической лабораторной работы убедитесь, что Ваш компьютер:

  •  Включен
  •  На нем загружена операционная система Microsoft Windows XP или Microsoft Windows 2000 Professional 
  •  Выполнен вход в систему под учетной записью, обладающей правами администратора

Задание 1. Элементы автозапуска

Для того, чтобы прикладная программа начала выполняться, ее нужно запустить. Следовательно, и вирус нуждается в том, чтобы его запустили. Для этого можно использовать два сценария: либо сделать так, чтобы пользователь сам его стартовал (используются обманные методы), либо внедриться в конфигурационные файлы и запускать одновременно с другой, полезной программой. Оптимальным с точки зрения вируса вариантом служит запуск одновременно с операционной системой - в этом случае запуск практически гарантирован.

В этом задании предлагается изучить элементы операционной системы, отвечающие за автозапуск программ при ее загрузке, а именно: группу Автозагрузка в меню Пуск и утилиту msconfig.exe.

  1.  

Самый простой способ добавить какую-либо программу в автозагрузку - это поместить ее ярлык в раздел Автозагрузка системного меню Пуск / Программы. По умолчанию, сразу после установки операционной системы этот раздел пуст, поскольку ни одной прикладной программы еще не установлено.

Проверьте папку Автозагрузка на Вашем компьютере. Она должна быть пустой

  1.  Добавьте в список автозагрузки свою программу. Для этого дважды щелкните левой клавишей мыши по названию группы Автозагрузка 
  2.  В результате должно открыться соответствующее окно папки автозагрузки. Обратите внимание на полный адрес открывшейся папки. Все что нужно сделать, чтобы некая программа запускалась автоматически при старте операционной системы - это поместить в эту папку ее ярлык

  1.  Повторите действия пункта 2, но только для папки Пуск / Программы / Стандартные 

  1.  В открывшемся окне найдите ярлык "Блокнот". Щелчком правой клавиши мыши на нем выведите контекстное меню

  1.  В контекстном меню выберите пункт Копировать 

  1.  Закройте окно стандартных программ и вернитесь в окно автозагрузки
  2.  В окне автозагрузки щелкните правой клавишей мыши где-нибудь на белом поле окна и в открывшемся контекстном меню выберите Вставить 

  1.  В результате этих действий в окне должна появиться копия ярлыка Блокнота 

  1.  Закройте окно и убедитесь, что теперь раздел Автозагрузка в системном меню Пуск / Программы не пуст

  1.  Перезагрузите компьютер (Пуск / Завершение работы) и войдите в систему под своей учетной записью

  1.  Убедитесь, что по завершению загрузки автоматически запустилась программа Блокнот 

  1.  При обследовании компьютера нужно помнить, что отсутствие подозрительных ярлыков в разделе Автозагрузка системного меню Пуск / Программы не гарантирует, что ни одно приложение не запускается автоматически. Технически для автозапуска нужно добавить соответствующую запись в системный реестр операционной системы.

Несмотря на то, что реестр Windows очень большой, существует оболочка, позволяющая с ним работать напрямую. Но делать это рекомендуется только в крайнем случае. Для большинства ситуаций, связанных с автозапуском, достаточно использовать системную утилиту Настройка системы .

Запустите ее. Для этого откройте системное меню Пуск и перейдите к пункту Выполнить

  1.  В открывшемся окне Запуск программы наберите msconfig и нажмите ОК 

  1.  Ознакомьтесь с внешним видом окна утилиты Настройка системы.

На первой закладке, Общие, можно выбрать вариант запуска операционной системы. По умолчанию отмечен Обычный запуск. Он обеспечивает максимальную функциональность системы. Остальные два варианта запуска предназначены для диагностики

Второй режим, Диагностический запуск, рекомендуется использовать также при подтвердившемся вирусном инциденте - если компьютер уже заражен, сразу установить антивирус в ряде случаев нельзя, например, если вирус сознательно блокирует запуск ряда антивирусных программ. Тогда, если нет возможности удалить или хотя бы временно обезвредить вирус вручную, рекомендует запустить операционную систему в безопасном режиме, инсталлировать антивирус и сразу же проверить весь жесткий диск на наличие вирусов.

Для получения дополнительной информации об этой закладке и других можно воспользоваться кнопкой Справка

  1.  Ознакомьтесь со списком запускаемых драйверов и других параметров операционной системы, перейдя к закладке SYSTEM.INI . Тут отображаются все ссылки, указанные в одноименном системном файле

  1.  Перейдите к аналогичной закладке WIN.INI и ознакомьтесь с ее содержимым

  1.  Следующая закладка, BOOT.INI, также отображает данные из одноименного файла. Как и предыдущие две, она также содержит системную информацию. Изменять ее можно только обладая соответствующими знаниями. Однако ознакомиться со стандартным видом и в случае подозрений обнаружить следы вируса под силу и непрофессионалу

  1.  Перейдите на закладку Службы. Здесь представлен список всех служб, установленных в системе. Каждая служба представляет собой некое приложение, работающее в фоновом режиме. Например, антивирусный комплекс, обеспечивающий постоянную защиту, также встраивает свою службу, следовательно, она должна присутствовать в этом перечне.

Однако сейчас никаких посторонних служб, кроме системных, установлено быть не должно. Убедитесь в этом, отметив флаг: Не отображать службы Майкрософт

  1.  Если посторонних приложений действительно нет, список должен опустеть

  1.  Перейдите к последней закладке, Автозагрузка, и убедитесь, что в списке приложений, автоматически запускаемых при загрузке системы, есть Блокнот.

Отметим, что список в окне Настройки системы может содержать дополнительные элементы, не отображаемые в разделе Пуск / Программы / Автозагрузка

  1.  Отключите автоматическую загрузку Блокнота, очистив флаг в столбце Элемент автозагрузки и нажмите ОК 

  1.  В открывшемся окне согласитесь провести перезагрузку, выбрав Перезагрузка 

  1.  Дождитесь окончания перезагрузки и войдите в систему под своей учетной записью
  2.  Поскольку Вы внесли изменения фактически вручную изменения в параметры автозагрузки (отключив запуск Блокнота), система выведет соответствующее уведомление.

Внимательно прочитайте текст и нажмите ОК

  1.  Это приведет к открытию окна Настройка системы. Обратите внимание, что теперь используется не обычный запуск, а выборочный. При этом полностью обрабатываются все элементы файлов SYSTEM.INI, WIN.INI и BOOT.INI, загружаются все службы (поскольку мы их не трогали), но флаг Загружать элементы автозагрузки затенен. Это означает неполную загрузку

  1.  Перейдите к закладке Автозагрузка и убедитесь, что ее вид не изменился - Блокнот все так же присутствует в списке, но отключен

  1.  Не закрывая окна Настройка системы проверьте, что Блокнот автоматически не запустился и раздел Пуск / Программы / Автозагрузка теперь пуст

  1.  Вернитесь к закладке Общие окна Настройка системы и выберите сценарий Обычный запуск 

  1.  Нажмите ОК и в следующем окне выберите Перезагрузка 

  1.  Дождитесь окончания перезагрузки, войдите в систему под своей учетной записью и убедитесь, что сообщение о выборочном запуске (как было в пункте 25) не появляется
  2.  Однако поскольку флаг, снятый шаге 22, при переключении в режим Обычный запуск вернулся (Обычный запуск предполагает загрузку всех зарегистрированных компонентов), приложение Блокнот снова автоматически запускается по завершении перезагрузки операционной системы

  1.  Убедитесь, что в Пуск / Программы / Автозагрузка вернулся ярлык Блокнота 

  1.  Удалите его, вызвав контекстное меню (щелчок правой клавишей мыши) и выбрав Удалить 

  1.  Для подтверждения своих намерений в следующем окне нажмите Да 

  1.  Теперь автозагрузка чиста. Убедитесь в этом, выполнив перезагрузку и войдя в систему под своей учетной записью

Задание 2. Сетевая активность

Неожиданно возросшая сетевая активность может служить ярким свидетельством работы на компьютере подозрительный программы, производящей несанкционированную рассылку писем, связывающейся со своим автором и передающей ему конфиденциальную информацию или просто загружающую свои дополнительные модули или атакующей соседние компьютеры. Но при этом нужно не забывать, что ряд вполне легальных приложений также имеют свойство иногда связываться с сайтом фирмы-производителя, например для проверки наличия обновлений или более новых версий. Поэтому, прежде чем отключать сеть и выдергивать сетевой шнур, увидев необычно яркое мигание лампочки на сетевой карте, необходимо уметь определять какие программы и приложения вызвали эту подозрительную активность.

Изучить и проанализировать сетевую активность можно с помощью встроенных в операционную систему инструментов или же воспользовавшись специальными отдельно устанавливаемыми приложениями. В этом задании это предлагается сделать с помощью Диспетчера задач Windows и встроенной утилиты netstat, которая выводит на экран мгновенную статистику сетевых соединений.

  1.  

Откройте окно Диспетчера задач Windows, нажав одновременно клавиши Ctrl, Shift и Esc, и перейдите к закладке Сеть.

Поскольку сейчас не инициируется ни одного сетевого соединения, график должен быть пуст, вернее представлять собой прямую на уровне 0 %.

В нижней части окна расположен перечень всех установленных в системе сетевых адаптеров. Обычно он один. В столбце Использование сети приводится моментальное значение доли используемого канала, а в Скорость линии - пропускная способность. Состояние отображает статус.

Если на Вашем компьютере нет ни одного активного адаптера, окно Диспетчера задач на закладке Сеть будет выглядеть так:

В этом задании предполагается, что как минимум один адаптер установлен и работает.

  1.  Инициируйте какое-нибудь сетевое соединение. Например, откройте браузер и загрузите сайт www.viruslist.ru .

При отсутствии выхода в Интернет, зайдите на сетевой ресурс, указанный преподавателем

  1.  Проследите за изменениями на графике Диспетчера задач: все Ваши действия отобразятся на графике в виде пиков сетевой активности, а значение поля Использование сети на время перестанет быть равным нулю.

Таким образом, если Вы, закрыв все прикладные программы, которые могут инициировать сетевые соединения, обнаруживаете, что сеть все равно использоваться продолжает, нужно искать причину

  1.  Диспетчер задач Windows показывает только самую общую информацию. Для получения более подробных данных можно воспользоваться утилитой netstat.

Закройте окно Диспетчера задач Windows и перейдите к системному меню Пуск / Программы / Стандартные / Командная строка

  1.  В открывшемся окне нужно набирать команды, оканчивающиеся нажатием клавиши Enter. Такой способ взаимодействия называется работой через командную строку. Утилита netstat подразумевает именно такой режим

Наберите

netstat /?

      

и нажмите Enter

  1.  Прочитайте описание утилиты netstat. Убедитесь, что для вывода самой полной информации нужно использовать ключ -a 

  1.  Наберите

netstat -a

        

и нажмите Enter

  1.  Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты.

Открытые TCP-порты1) обозначаются строкой "LISTENING" в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.

UDP-порты обозначаются строкой "UDP" в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка "LISTENING" в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.

Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах2).

  1.  Проверьте, как изменится статистика, отображаемая netstat при инициировании новых соединений. Для этого повторите пункт 2

  1.  Команда netstat, в отличие от Диспетчера задач Windows, не работает в режиме реального времени, а отображает мгновенную статистику. Следовательно, ее нужно снова запустить.

Вернитесь к окну командной строки, введите

netstat -a

и нажмите Enter

  1.  Исследуйте полученную статистику

  1.  Закройте браузер, повторите команду

netstat -a

и нажмите Enter

  1.  Убедитесь, что все вызванные ранее сетевые соединения закрыты, а перечень активных соединения не отличается от данных, полученных на шаге 9
  2.  Закройте окно командной строки. Для этого введите команду

exit

и нажмите Enter

Заключение

В этой практической работе были изучены явные признаки заражения компьютера на примере модификации настроек браузера, исследованы возможные места скрытых проявлений: запущенные процессы, элементы автозапуска, сетевая активность. В совокупности с полученными из курса теоретическими знаниями выполнение практических заданий призвано дать слушателям навыки обнаружения на своем компьютере подозрительных программ вручную, без использования антивирусных средств.

Иногда собранные данные позволяют определить имя вируса, тогда можно обратиться например, к вирусной энциклопедии www.viruslist.com, чтобы вручную ликвидировать последствия заражения. Если однозначного ответа получить не удается, необходимо собрать все подозрительные проявления и обратиться к Интернет. На сегодняшний день существует достаточно много сайтов, содержащих описания неопасных процессов, например, www.processlibrary.com. Сравнив полученные в результате анализа данные с представленными в библиотеке описаниями, нужно оставить только не заявленные как легальные процессы и объекты и проследить их расположение на диске.

Дальнейшие действия зависят от того, используется ли на компьютере антивирусная программа или нет. Если нет, то полученные файлы нужно исследовать с помощью антивирусной программы, например онлайн сканера http://www.kaspersky.ru/virusscanner, позволяющего бесплатно проверять отдельные объекты.

Если на компьютере антивирус уже установлен, после выделения подозрительных файлов следует обратиться в службу технической поддержки антивирусной компании, чей продукт используется на компьютере, прикрепив к сообщению обнаруженные подозрительные объекты. Вполне возможно, они содержат новый, еще не известный вирус.




1. Древнерусская литература о колоколах
2. и проходят техническое обслуживание при котором осуществляют технический осмотр поездов с отцепочным и бе
3. ЦАОDnce в 2014 году Общее положение Молодежный танцевальный конкурс ЦАОDnce далее конкурс
4. Американ Сэйл в банк Открытие
5. Подходы к изучению социальных изменений
6. Сперанский - святило российской бюрократии
7. тема экономических отношений 2.
8. тематичних наук ІваноФранківськ 1999 Дисертацією є рукопис
9. Состав КТ. КТ состоит из МВ и клеток.html
10. Реферат Динамика ценностных ориентаций студентов педагогического вуза
11. Жовтень нині Дзвін після переїзду до Києва працював у секретаріаті СПУ
12. Физические явления модели величины
13. обнаружил археолог- [] [] Алпысбаев [q]3-1- Общественная организация людей в эпоху позднего палеолита- []
14. правовой формы адреса и телефоны близлежащих аптек
15. перфорацией кровотечением пенетрацией малигнизацией ничем из названного 2 В КЛИНИКУ ДОСТАВЛЕ
16. Тема- Приложения определённого интеграла
17. Курсовая работа- Проблема защиты прав интеллектуальной собственности в международном масштабе
18. Система работы медицинского учреждения
19. Графика. Часть II.html
20. Заливка. Інструменти заливки ~ це інструменти які дозволяють заповнити кольором залити замалювати в.

Материалы собраны группой SamZan и находятся в свободном доступе