Сетевая активность (дополнительно) 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Сетевая активность (дополнительно)



Неожиданно возросшая сетевая активность может служить ярким свидетельством работы на компьютере подозрительный программы, производящей несанкционированную рассылку писем, связывающейся со своим автором и передающей ему конфиденциальную информацию или просто загружающую свои дополнительные модули или атакующей соседние компьютеры. Но при этом нужно не забывать, что ряд вполне легальных приложений также имеют свойство иногда связываться с сайтом фирмы-производителя, например для проверки наличия обновлений или более новых версий. Поэтому, прежде чем отключать сеть и выдергивать сетевой шнур, увидев необычно яркое мигание лампочки на сетевой карте, необходимо уметь определять какие программы и приложения вызвали эту подозрительную активность.

Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.

Что такое порт? Как известно, каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены?

 

Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число - номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.

Изучить и проанализировать сетевую активность можно с помощью встроенных в операционную систему инструментов или же воспользовавшись специальными отдельно устанавливаемыми приложениями. В этом задании это предлагается сделать с помощью Диспетчера задач Windows и встроенной утилиты netstat, которая выводит на экран мгновенную статистику сетевых соединений.

1. Откройте окно Диспетчера задач Windows, нажав одновременно клавиши Ctrl, Shift и Esc, и перейдите к закладке Сеть.

Поскольку сейчас не инициируется ни одного сетевого соединения, график должен быть пуст, вернее представлять собой прямую на уровне 0 %.

В нижней части окна расположен перечень всех установленных в системе сетевых адаптеров. Обычно он один. В столбце Использование сети приводится моментальное значение доли используемого канала, а в Скорость линии - пропускная способность. Состояние отображает статус.

 

Если на Вашем компьютере нет ни одного активного адаптера, окно Диспетчера задач на закладке Сеть будет выглядеть так:

 

В этом задании предполагается, что как минимум один адаптер установлен и работает.

2. Инициируйте какое-нибудь сетевое соединение. Например, откройте браузер и загрузите сайт http://www.securelist.com/.

 

При отсутствии выхода в Интернет, зайдите на сетевой ресурс, указанный преподавателем

3. Проследите за изменениями на графике Диспетчера задач: все Ваши действия отобразятся на графике в виде пиков сетевой активности, а значение поля Использование сети на время перестанет быть равным нулю.

Таким образом, если Вы, закрыв все прикладные программы, которые могут инициировать сетевые соединения, обнаруживаете, что сеть все равно использоваться продолжает, нужно искать причину

Работа с реестром в Windows

Реестр операционной системы Windows - это иерархически построенная база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows, так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра.

Реестр формируется из различных данных. Чтобы получилось то, что видит пользователь, редактируя реестр, происходит следующее.

Вначале, в процессе установки и настройки Windows, на диске формируются файлы, в которых хранится часть данных относительно конфигурации системы.

Затем, в процессе каждой загрузки системы, а также в процессе каждого входа и выхода каждого из пользователей, формируется некая виртуальная сущность, называемая "реестром" — объект REGISTRY\. Данные для формирования "реестра" частично берутся из тех самых файлов (Software, System …), частично из информации, собранной ntdetect при загрузке (HKLM\Hardware\Description).

 

 

То есть часть данных реестра хранится в файлах, а часть данных формируется в процессе загрузки Windows.

Характеристики основных разделов реестра представлены в таблице.

 
HKEY_LOCAL_MACHINE\SAM Содержит информацию SAM (Security Access Manager), хранящуюся в файлах SAM, SAM.LOG, SAM.SAV в папке \%System-root%\System32\Confiq
HKEY_LOCAL_MACHINE\SECURITY Содержит информацию безопасности в файлах SECURITY.SECURITY.LOG, SECURITY.SAV в папке \%Systemroot%\System32\Confiq
HKEY_LOCAL_MACHINE\SYSTEM Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлахSYSTEM.SYSTEM.LOG, SYSTEM.SAV в папке \%Systemroot%\System32\Config
HKEY_CURRENT_CONFIG Содержит информацию о подразделе System этого улья, которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке \%Systemroot%\System32\Config
HKEY_USERS\DEFAULT Содержит информацию, которая будет использоваться для создания профиля нового пользователя, впервые регистрирующегося в системе. Информация хранится в файлах DEFAULT, DEFAULT.LOG, DEFAULT.SAV в папке \%Systemroot%\System32\Confiq
HKEY_CURRENT_USER Содержит информацию о пользователе, зарегистрированном в системе на текущий момент. Эта информация хранится в файлах NTUSER.DAT и - NTUSER.DAT.LOG, расположенных в каталоге \%Systemroot%\Profiles\User name, где User name — имя пользователя, зарегистрированного в системе на данный момент

Основным средством для просмотра и редактирования записей реестра служит специализированная утилита "Редактор реестра".

Для того чтобы открыть редактор реестра откройте Пуск->Выполнить. В окне введите regedit.

 

Откроется окно редактора реестра.

 

В левой части окна находится дерево ключей реестра, ключи изображены в виде папок. В правой части окна отображаются записи, относящиеся к выбранному ключу. В ключе могут находиться и записи — параметры настройки, и другие ключи — группы параметров настройки.

Вредоносные программы, как и любые программы, для работы нуждаются в запуске. Поэтом они часто используют реестр, в частности, его разделы, отвечающие за автоматический запуск программ при загрузке операционной системы.

1. Откройте Редактор реестра.

2. В ветви HKEY_LOCAL_MACHINE выберите Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.

3. В правой половине окна появится список ключей для данной ветви. Найдите ключ Userinit и проверьте его содержимое.

Нормальным значением данного ключа является запись C:\WINDOWS\system32\userinit.exe. Наличие в ключе других записей может свидетельствовать о наличии на компьютере вредоносных программ. Для удаления из ключа подозрительной записи щелкните на нем два раза левой кнопкой мыши. После редактирования нажмите ОК.

Далее перейдите в папку, где находится подозрительный файл и удалите его вручную. После этого перезагрузите систему. Если после перезагрузки в ключе удаленное значение не появилось снова – система вылечена.

Как уже говорилось выше, любимым местом вредоносных программ являются разделы реестра, отвечающие за автозапуск.

В реестре автозагрузка представлена в нескольких местах:

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.

 

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx - программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.

o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе текущего пользователя в систему

o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices - программы, которые загружаются при старте системы до входа пользователя в Windows.

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce - программы отсюда загружаются только один раз, когда загружается система.

1. Откройте Редактор реестра

2. Откройте следующий раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

3. В правой части окна вызовите правой кнопкой мыши контекстное меню и выберите Создать -> Строковый параметр

4. Задайте имя для создаваемого параметра.

5. Откройте вновь созданный параметр и задайте ему значение в виде пути к исполняемому файлу Paint - C:\WINDOWS\System32\mspaint.exe

6. Нажмите ОК и перезагрузите компьютер. Paint загрузится автоматически после загрузки операционной системы.



Поделиться:


Последнее изменение этой страницы: 2017-01-20; просмотров: 149; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 34.203.221.104 (0.012 с.)