Лабораторная работа поиск вредоносного ПО. Поиск вредоностного ПО.. Исследование признаков присутствия вредоносного по. Исследование сетевой активности студент срск21 Проверил Саратов 2020

Федеральное государственное бюджетное образовательное учреждение высшего образования
«Саратовский государственный технический университет имени Гагарина
Ю.А.»
ИнЭТиП
Кафедра «Радиоэлектроника и телекоммуникации»»
Лабораторная работа №4
Исследование признаков присутствия вредоносного ПО. Исследование сетевой активности
Выполнила: студент с-РСК21
Проверил:
Саратов 2020

Цель работы: Изучить технологии исследования признаков присутствия вредоносного ПО, исследования сетевой активности.
Задание 1.
Исследуем явные проявления вирусной активности на примере несанкционированного изменения настроек браузера. Этот механизм используется для того, чтобы вынудить пользователей зайти на определенный сайт. Для этого изменим адрес домашней страницы, то есть адрес сайта, который автоматически загружается при каждом открытии браузера.
1. Откроем браузер InternetExplorer, воспользовавшись одноименным ярлыком на рабочем столе или в системном меню Пуск / Программы
2. Открылась стартовая страница http://www.google/com/
3. Для того чтобы проверить настройку стартовой страницы воспользуемся в меню Сервис пунктом Свойства обозревателя.
4. В открывшемся окне Свойства обозревателя на закладке Общие в поле
Адрес указан адрес стартовой страницы. Изменим поле, введя любой другой адрес, например,19.http://www.intuit.ru, и нажмем ОК. Закроем и снова откроем InternetExplorer.

5. Убедимся, что теперь первым делом была загружена страница
19.http://www.intuit.ru
Несанкционированной смены адреса домашней страницы замечено не было.

Задание 2. Подозрительные процессы
Основным проявлением вредоносной программы является наличие подозрительного процесса в списке запущенных процессов(программ). Имея достаточную квалификацию можно проанализировать список вручную и выявить вредоносную программу вручную.
Этот способ является одним из наиболее эффективных для выявления вредоносных программ, имеющих только косвенные или скрытые признаки.
Естественно необходимо четко понимать и уметь отличать легальные процессы (например, системные или запущенные программы) от подозрительных. Для того чтобы посмотреть список запущенных на данный момент программ необходимо воспользоваться
Диспетчером задач Windows.
Диспетчер задач Windows - это стандартная утилита, входящая в любую версию
MicrosoftWindows. C ее помощью можно в режиме реального времени отслеживать выполняющиеся приложения и запущенные процессы, оценивать загруженность системных ресурсов компьютера и использование сети.
1. Для того, чтобы открыть Диспетчер задач Windows нажмите одновременно клавиши. Ctrl+Alt+Delete.
Открывшееся окно содержит 6 закладок, отвечающих 6 видам активности, которые отслеживает Диспетчер: приложения, процессы, службы, быстродействие (использование системных ресурсов), Сеть и Пользователи.
По умолчанию открывается вторая закладка Процессы.
Если на компьютере не запущены никакие пользовательские программы, список текущих процессов должен содержать только служебные процессы операционной системы.

2. Для каждого процесса выводятся его параметры: имя образа, имя пользователя, от чьего имени был запущен процесс, загрузка этим процессом процессора и объем занимаемой им оперативной памяти.
3. Поскольку в данный момент не запущена ни одна пользовательская программа, процессор свободен.
4. Подозрительных процессов, не относящийся к системным, обнаружено не было.
5. Все запущенные процессы:
Перейдем к закладке Приложения.
6. Не закрывая окна Диспетчера задач Windows, откроем программу Paint. Для этого воспользуемся системным меню Пуск / Программы / Стандартные /
Paint. Дождимся запуска Paint.

Не закрывая приложение Paint, вернемся к окну Диспетчера задач Windows и проследим за изменениями на закладке Приложения. В списке запущенных приложений появился Paint.
7. Перейдем к закладке Процессы и сравним список в тем, который видели ранее. Найдем процесс, соответствующий Paint, - mspaint.exe.

8. Перейдем к закладке Быстродействие. Внимательно изучим расположенные тут графики. Всплески на графиках соответствуют по времени определенным действиям, например, запуску программы, требовательной к ресурсам.

Задание 3. Элементы автозапуска
Вредоносная программа, так же как любая другая программа, для работы нуждается в запуске. При этом возможно два варианта – сделать так, чтобы пользователь сам запустил вредоносную программу, либо внедриться в конфигурационные файлы и запускаться одновременно с легитимными программами. Оптимальным вариантом для вредоносной программы является "прописывание" себя в автозагрузку при запуске операционной системы.
1. Самый простой способ добавить какую-либо программу в автозагрузку - это поместить ее ярлык в раздел Автозагрузка системного меню Пуск /
Программы. По умолчанию, сразу после установки операционной системы этот раздел пуст.
2. Добавим в список автозагрузки свою программу (создайте ярлык программы
Блокнот и поместим его в группу Автозагрузка).
3. Закроем окно и убедимся, что теперь раздел Автозагрузка в меню Пуск /
Программы содержит Блокнот.
4. Перезагрузим компьютер. Убедимся, что в процессе загрузки операционной системы автоматически запустился Блокнот.
5. Отсутствие подозрительных ярлыков в разделе Автозагрузка системного меню Пуск / Программы, к сожалению, не гарантирует, что ни одна вредоносная программа не запускается автоматически. Технически для

автозапуска нужно добавить соответствующую запись в системный реестр операционной системы.
Несмотря на то, что реестр Windows очень большой, существует оболочка, позволяющая с ним работать напрямую - regedit. Но делать это рекомендуется только в крайнем случае. Для большинства ситуаций, связанных с автозапуском, достаточно использовать системную утилиту
Настройкасистемы .
Запустим ее. Для этого откроем системное меню Пуск и перейдем к пункту
Выполнить и в открывшемся окне Запуск программы наберем msconfig и нажмем OK.
6. Ознакомимся с внешним видом окна утилиты Настройка системы. На первой закладке Общие, можно выбрать вариант запуска операционной системы. По умолчанию отмечен Обычный запуск. Он обеспечивает максимальную функциональность системы. Остальные два варианта запуска предназначены для диагностики.
Диагностический запуск рекомендуется использовать также при подтвердившемся наличии вредоносной программы - если компьютер уже заражен, сразу установить антивирус в ряде случаев нельзя, например, если вирус сознательно блокирует запуск ряда антивирусных программ. Тогда, если нет возможности удалить или хотя бы временно обезвредить вирус вручную, рекомендует запустить операционную систему в безопасном режиме, инсталлировать антивирус и сразу же проверить весь жесткий диск на наличие вирусов.

7. На вкладке Загрузка находятся детальные настройки параметров запуска
Windows 7.
8. Перейдем на закладку Службы. Здесь представлен список всех служб, установленных в системе. Каждая служба представляет собой некое приложение, работающее в фоновом режиме. Например, антивирусный комплекс, обеспечивающий постоянную защиту, также встраивает свою службу, следовательно, она должна присутствовать в этом перечне. Так же и вирус может установить свою службу в системе.

9. Вкладка Сервис позволяет быстро запустить средства настройки, администрирования и диагностики Windows. О программе – вывод на экран информации о версии Windows 7, установленной на компьютере.
10. Перейдем к закладке Автозагрузка и убедимся, что в списке приложений, автоматически запускаемых при загрузке системы, есть Блокнот.
11. Отключим автоматическую загрузку Блокнот, убрав галочку напротив него в столбце Элемент автозагрузки и нажмите ОК. В открывшемся окне согласимся на перезагрузку.

12. После того, как компьютер перезагрузится, система выведет предупреждение в виде окна, настройки системы.
14. Откроем окно Настройка системы. Обратим внимание, что теперь используется не обычный запуск, а выборочный. При этом загружаются все службы, но флаг Загружать элементы автозагрузки затенен. Это означает неполную загрузку.
15. Перейдем к закладке Автозагрузка и убедимся, что ее вид не изменился –
Блокнот все так же присутствует в списке, но отключен.
16. Не закрывая окна Настройка системы проверим, что Блокнот автоматически не запустился и раздел Пуск / Программы / Автозагрузка
теперь снова пуст.
17. Необходимо учесть, что если выбрать после изменений Обычную загрузку – все файлы, находящиеся на вкладке Автозагрузка будут запускаться снова, в том числе и Блокнот.

Задание 4. Работа с Командной строкой
1. Для открытия сеанса работы с командной строкой выберем Пуск-
>Выполнить. В открывшемся окне наберем cmd и нажмем на ОК.
В результате откроется новое окно, в котором можно запускать команды и видеть результат их работы.
2. Для того чтобы выполнить команду введем имя этой команды (регистр не важен), ее параметры и ключи (если они необходимы) и нажмем клавишу
Enter. Синтаксическая структура выводится в том порядке, в котором следует вводить команду и следующие за ней параметры, если они есть.
Создадим на диске C файл test.txt и папку Textfiles. В Командной строке наберем copy C:\test.txt C:\Textfiles /V
Имя команды здесь — copy, параметры — C:\test.txt и C:\TextFiles, а ключом является /V.
3. Многие команды Windows имеют большое количество дополнительных параметров и ключей, и запомнить их все невозможно или по крайней мере очень трудно. Большинство команд снабжено встроенной справкой, в

которой кратко описываются назначение и синтаксис данной команды.
Получить доступ к такой справке можно путем ввода команды с ключом /? или /help. В командной строке наберем
copy /?
ping /help

Команда help выводит список основных команд Командной строки
4. С помощью переназначения устройств ввода/вывода одна программа может направить свой вывод на вход другой или перехватить вывод другой программы, используя его в качестве своих входных данных. Таким образом, имеется возможность передавать информацию от процесса к процессу при

минимальных программных издержках. Практически это означает, что для программ, которые используют стандартные входные и выходные устройства, операционная система позволяет: выводить сообщения программ не на экран, а в файл, читать входные данные не с клавиатуры, а из заранее подготовленного файла, передавать сообщения, выводимые одной программой, в качестве входных данных для другой программы. Выходные данные практически всех команд высвечиваются в окне командной строки.
Даже команды, выводящие данные на диск или принтер, выдают сообщения и запросы в окне командной строки. Для перенаправления вывода команд из окна командной строки в файл или на устройство применяется оператор ">". Этот оператор используется с большинством команд.
Для перенаправления вывода команды dir в файл test.txt введем в
Командной строке: dir>c:test.txt
Откроем файл test.txt. В нем будет содержаться результат команды
dir.
Следует отметить, что информация, которая была в файле до этого, будет стерта.
Для того чтобы выходные файлы команды добавлялись в конец файла, необходимо использовать символ >>, а не > в синтаксисе команды.
Местоположение потоков ввода и вывода называется дескриптор.

5. С помощью символа < можно прочитать входные данные для заданной команды не с клавиатуры, а из определенного (заранее подготовленного) файла.
На диске С создадим файл data.txt и напишем в нем 25.12.2011. В
Командной строке наберем Date< c:\data.txt
Проверим дату на вашем компьютере – она изменилась на 25.12.2011 6. Команда more выводит содержимое файла или выхода команды в одном окне командной строки за раз. Чтобы отобразить содержимое файла test.txt в одном окне командной строки за раз, введем следующую команду:
more c:\ test.txt
7. Другой распространенной командой фильтрации является sort - она выполняет сортировку по алфавиту текстового файла или выхода команды.
Отредактируйте файл data.txt, добавив туда две другие даты, 20.12.2011 и
7.12.2011.
В командной строке наберем:
sort< C:\data.txt

sort /r < C:\date.txt
Ключ /R позволяет изменить порядок сортировки на обратный.
Задание 5. Сетевая активность
Одним из проявлений наличия вредоносной программы может быть возросшая сетевая активность. Вредоносная программа может отправлять письма, скачивать информацию из Интернета, передавать кому-то по сети конфиденциальную информацию и многое другое. При этом необходимо помнить, что легальные приложения также могут использовать Интернет без действий пользователя – например, антивирусная программа может скачивать обновления антивирусной базы данных.
Для получения полной информации о сетевой активности можно использовать команду netstat, которая выводит на экран мгновенную статистику сетевых соединений.
1. В Командной cтроке наберем: netstat /?
2. Прочитаем описание утилиты netstat. Убедитесь, что для вывода самой полной информации нужно использовать ключ -a

3. В Командной строке наберем:
netstat/a
Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты.
TCP-порты обозначаются строкой "TCP" в колонке Имя. Открытые TCP-порты обозначаются строкой "LISTENING" в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.
UDP-порты обозначаются строкой "UDP" в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка "LISTENING" в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам. Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах.
Команда netstat, в отличие от Диспетчера задач Windows, не работает в режиме реального времени, а отображает мгновенную статистику.
Следовательно, для просмотра активности соединений, скажем, через минуту, нужно заново выполнить команду.