Лабораторная работа Ревизия 3 2 История изменений

42
-h – перевод компьютер в спящий режим.
-k - выключение питания компьютера (перезагрузка, если отключение питания не поддерживается).
-l - блокировка компьютера.
-m -этот параметр позволяет указать сообщение, которое будет выведено пользователям, вошедшим в систему, когда начинается отсчет времени выключения.
-n - задает перерыв в секундах подключения к удаленным компьютерам.
-o - выход пользователя консоли.
-r - перезагрузка после завершения работы.
-s - выключение без отключения питания.
-t - указывает обратный отсчет в секундах до выключения (по умолчанию: 20 секунд) или время выключения (в 24-часовом формате).
-v - показать сообщения за указанное число секунд до выключения.
49. PsSuspend v1.06
Программа PsSuspend позволяет приостановить процесс на локальной или удаленной машине, что бывает желательно, когда процесс чрезмерно потребляет какой-то ресурс (например, сеть, процессор или диск), необходимый другим процессам. Вместо того, чтобы принудительно завершать
«пожирателя ресурсов», можно приостановить его на время и возобновить позже.
Установка
Скопируйте программу PsSuspend в любую из папок, в которых система ищет исполняемые файлы, и затем введите команду «pssuspend», указав те или иные параметры.
Программа PsSuspend работает в операционных системах Windows Vista, NT 4.0,
Win2K, Windows XP и Server 2003.
Использование
Если при запуске PsSuspend указать идентификатор процесса, то она приостановит или возобновит процесс с таким идентификатором на локальном компьютере. Если указать имя процесса, то PsSuspend приостановит или возобновит все процессы с таким именем. Для возобновления процессов задайте параметр -r.
Применение: pssuspend [- ] [-r] [\\компьютер [-u имя_пользователя] [-p пароль]] <имя_процесса | идентификатор процесса>
-
Вывести перечень допустимых флагов.
-r
Возобновить указанные процессы, если они были приостановлены.
\\компьютер
Имя компьютера, на котором нужно приостановить или возобновить процессы. Удаленный компьютер должен быть виден в сетевом окружении.
-u имя_пользователя Если вы хотите приостановить процесс, работающий в удаленной системе, но текущая учетная запись не имеет в ней административных привилегий, то этот параметр позволит войти от имени администратора.
Если вы не укажете пароль с помощью параметра -p, то программа PsSuspend попросит его ввести, но не

43 будет отображать на экране.
-p пароль
Этот параметр позволяет задать пароль в командной строке, чтобы программу PsSuspend можно было вызывать из пакетного файла. Если указать имя учетной записи без параметра -p, то программа
PsSuspend попросит ввести пароль.
идентификатор_проц
есса
Идентификатор процесса, который нужно приостановить или возобновить.
имя_процесса
Имя одного или нескольких процессов, которые нужно приостановить или возобновить.
50. RAMMap v1.1
RAMMap – это полезная утилита для платформы Windows, которая отвечает за точный и аккуратный анализ потребления ресурсов физической памяти.
Понятный интерфейс с вкладками предполагает несколько различных режимов представления информации в доступной форме.
С помощью этого приложения пользователи смогут быстро оценить объемы кэшированных данных из файлов, хранимых в памяти RAM, узнать, сколько памяти потребляется специфическими приложениями, драйверами ядра и оборудования и получить исчерпывающие ответы на другие специфические вопросы. RAMMap предусматривает возможность сохранения и загрузки мгновенных снимков текущего состояния памяти, а функция Refresh обеспечивает быстрое обновление дисплея.
51. RegDelNull v1.1
RegDelNull – утилита командной строки сканирует и удаляет ключи Реестра, которые содержат внедренные null - символы (несуществующие символы), которые не удаляются стандартными средствами редактирования Реестра.
Примечание: удаление ключей в Реестре может вызвать неработоспособность приложений, к которыми связаны эти ключи.
Использование: regdelnull
[-s]
52. RegJump v1.01
RegJump - это утилита командной строки открывает Regedit с заданной локацией [path] , то есть "прыгает" на выбранную ветку Реестра.
Использование:
regjump [path].
53. RootkitRevealer
Программа
RootkitRevelader является программой с расширенными возможностями для обнаружения rootkit-программ. Она работает под управлением ОС Windows NT 4 и более поздних версий. Программа выводит список несоответствий результатов работы API-интерфейсов файловой системы и реестра реальным данным. Эти несоответствия могут означать наличие rootkit-программы, работающей в пользовательском режиме или в режиме ядра.
Программа RootkitRevealer успешно обнаруживает все постоянные rootkit- программы из списка, включая такие программы, как AFX, Vanquish и
HackerDefenter.
RootkitRevealder не предназначена для определения вредоносных программ вроде программы Fu, которые не пытаются скрывать свои файлы и разделы реестра.

44
Программа RootkitRevealer больше не является консольной, потому что авторы вредоносных программ начали определять наличие сканера RootkitRevealer по имени исполняемого файла. Теперь сканирование вызывается из копии программы RootkitRevealer со случайным именем файла, запущенной как служба Windows. Такой тип запуска делает процесс недоступным из командной строки. Тем не менее, можно использовать параметры командной строки для запуска автоматического сканирования с записью результатов сканирования в файл. Это эквивалентно поведению версии программы для командной строки.
Принцип работы программы RootkitRevealer
Так как постоянные rootkit-программы изменяют результаты работы вызовов прикладных программных интерфейсов, результат работы этих вызовов не соответствует реальному содержимому хранилищ. Программа RootkitRevealer сравнивает результаты сканирования системы высокоуровневыми и низкоуровневыми средствами. Самым высоким уровнем является интерфейс
Windows API, самым низким — реальное содержимое тома файловой системы или куста реестра (файла куста реестра, хранящегося на диске). Таким образом, программа RootkitRevealer без проблем обнаружит rootkit-программы, работающие как в пользовательском режиме, так и в режиме ядра, и перехватывающие вызовы интерфейсов Windows API для удаления себя из результатов работы этих вызовов. Присутствие этих программ проявится виде несоответствий между информацией, полученной с помощью интерфейсов
Windows API, и результатами прямого анализа структур данных файловых систем FAT и NTFS.
Использование программы RootkitRevealer
Для работы программы RootkitRevelaer требуется, чтобы учетной записи, с правами которой выполняется программа, были назначены привилегии резервного копирования файлов и папок, загрузки драйверов и выполнения задач обслуживания томов (в ОС Windows XP и более поздних версиях). По умолчанию члены группы “Администраторы” обладают этими привилегиями.
Для уменьшения количества ошибочных результатов запускайте программу
RootkitRevealer на простаивающей системе.
Для достижения наилучших результатов завершите работу всех приложений и сохраняйте систему в простаивающем состоянии во время выполнения сканирования.
Ручное сканирование
Для выполнения сканирования запустите программу RootkitRevealer и нажмите кнопку “Начать сканирование”. Программа выполнит сканирование системы. Во время сканирования действия программы будут отображаться на панели состояния внизу окна программы, а обнаруженные несоответствия в списке результатов. Ниже приведен список доступных для настройки параметров:
Hide NTFS Metadata Files (скрывать файлы метаданных NTFS): программа не отобразит стандартные файлы метаданных NTFS, которые скрыты от интерфейса Windows API. Этот параметр по умолчанию активен;
Scan Registry (сканировать реестр): этот параметр по умолчанию активен. Если его деактивировать, программа не будет производить сканирование реестра.

45
Запуск автоматического сканирования
Программа RootkitRevealer позволяет настроить некоторые параметры автоматического сканирования.
Синтаксис:
rootkitrevealer [-a [-c] [-m] [-r] файл_результатов]
-a - выполнить автоматическое сканирование и выйти после завершения сканирования.
-c - вывести данные в формате CSV.
-m - показать файлы метаданных NTFS.
-r - не выполнять сканирование реестра.
Примечание:
файл с результатами сканирования должен располагаться на локальном томе.
Если указать параметр -c, программа не будет отображать состояние выполнения сканирования, а найденные несоответствия будут выведены в CSV- файл для упрощения последующего импортирования результатов сканирования в базу данных. Для выполнения сканирования на удаленных системах можно воспользоваться служебной программой Sysinternals PsExec. Ниже приведен пример команды для осуществления такого сканирования: psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log
54. SDelete
Программу SDelete (Secure Delete) можно использовать как для удаления существующих файлов, так и для очистки данных, расположенных на свободных участках жесткого диска (включая уже удаленные или зашифрованные файлы). SDelete является реализацией поддержки стандарта очистки данных DOD 5220.22-M, разработанного министерством обороны США.
Можно быть уверенным, что файл, удаленный с помощью программы SDelete, восстановлению подлежать не будет. Необходимо иметь в виду, что программа
SDelete очищает содержимое, но не удаляет имена очищенных файлов, расположенных в свободном дисковом пространстве.
Программа SDelete работает в операционных системах Windows 95, 98, NT 4.0 и
Windows 2000.
Использование программы SDelete
Программа SDelete выполняется в командной строке и поддерживает ряд параметров. При любом из вариантов использования она позволяет удалить один или несколько файлов или папок или обработать свободное место на логическом разделе. Программа также поддерживает использование символов шаблона в качестве части имен файлов или папок.
Синтаксис:
sdelete [-p количество_проходов] [-s] [-q] <файл или папка> sdelete [-p количество_проходов] -z [буква диска]
-p количество_проходов - количество проходов перезаписи.
-s - рекурсивный обход вложенных папок.
-q - не выводить на экран ошибки (тихий режим).
-z - произвести очистку свободного места.
Принцип работы программы SDelete
Безопасное удаление файла, у которого отсутствуют специальные атрибуты, является довольно тривиальной задачей. Программа просто перезаписывает содержимое файла специальной последовательностью символов для безопасного удаления. Более сложным моментом является безопасное удаление

46 сжатых, зашифрованных и фрагментированных файлов, а также очистка свободного дискового пространства.
Сжатые, зашифрованные и фрагментированные файлы обрабатываются файловой системой NTFS блоками по 16 кластеров. Если программа производит запись в существующий файл, NTFS выделяет место на диске для сохранения новых данных, и после их записи освобождает соответствующие кластеры, ранее закрепленные за файлом. Такой осторожный подход используется в этой файловой системе для обеспечения целостности данных, и в случаях, когда новый сжатый или фрагментированный файл больше старого. Таким образом, перезапись такого файла не обеспечит удаления содержимого этого файла с диска.
Для работы с такими файлами программа SDelete использует API-интерфейс дефрагментации. С помощью этого интерфейса она определяет, в каких именно кластерах расположены данные, соответствующие этим сжатым, фрагментированным или зашифрованным файлам. После того, как это установлено, можно переписать содержимое кластеров с помощью прямого доступа к диску.
Очистка свободного места тоже является непростой задачей. Так как файловые системы FAT и NTFS не предоставляют возможности приложениям напрямую обращаться к свободному дисковому пространству, у программы SDelete есть два возможных варианта действий. Первый — перезапись кластеров, содержащихся в свободном дисковом пространстве, с помощью прямого доступа к диску, аналогично ситуации со сжатыми, фрагментированными и зашифрованным файлами. Но у этого подхода есть один существенный недостаток. Даже если обеспечить в программе SDelete полноценную поддержку подсчета свободного дискового пространства на разделах NTFS и
FAT (что само по себе нетривиально), существует риск конфликта с текущими файловыми операциями, которые происходят в системе во время работы
SDelete. Несложно представить ситуацию, когда программа SDelete определит, что кластер свободен, в то время как драйвер файловой системы (FAT или
NTFS) выделит этот кластер для файла, который в данный момент изменяется каким-нибудь работающим приложением. Драйвер файловой системы записывает новые данные в этот кластер, а затем содержимое этого кластера переписывается программой SDelete, благодаря чему новые данные, записанные в файл, будут утеряны. Еще более опасна ситуация, когда очищаемый кластер был выделен для системных метаданных, потому что в этом случае будут повреждены хранящиеся на диске системные структуры данных.
Второй подход, который и используется в программе SDelete, заключается в косвенной перезаписи свободного пространства. Сперва программа выделяет файл наибольшего возможного размера. Для этого используется некэширующая операция ввода-вывода, чтобы содержимое кэша файловой системы ОС
Windows NT не было очищено и заполнено бесполезными данными, связанными с выделенным файлом. Некэширующие операции ввода-вывода должны выравниваться по границе секторов (512 байт), поэтому часть дискового пространства останется свободным, даже если размер выделяемого файла максимально возможный. Чтобы занять оставшееся свободное пространство, программа SDelete выделяет файл максимально возможного размера уже с помощью кэширующих операций ввода-вывода. Для обоих выделенных файлов осуществляется перезапись данных, благодаря чему ранее свободное дисковое пространство становится безопасно очищенным.
В случае разделов NTFS работа программы SDelete не исчерпывается перезаписью этих двух файлов. Программа также заполняет все существующие

47 свободные участки таблицы NTFS MFT (главной файловой таблицы) файлами, которые помещаются по размеру в записи этой таблицы. Обычно размер записи таблицы MFT составляет 1 КБ. Каждому файлу или папке на диске требуется как минимум одна запись таблицы MFT. Маленькие файлы полностью хранятся внутри своих записей таблицы MFT, в то время как файлы, которые не помещаются в запись таблицы MFT, располагаются в выделенных кластерах за пределами таблицы. Программе SDelete остается лишь выделить файл максимально возможного размера, так, чтобы этот файл занял все свободное пространство в записях таблицы MFT. Драйвер NTFS не позволит файлу расшириться еще больше, потому что на диске больше не останется свободных кластеров (все свободные кластеры заняты двумя выделенными на предыдущем этапе файлами). Затем процесс повторяется. Когда программа
SDelete уже не может создать на диске новый файл, она определяет, что все ранее свободные записи таблицы MFT теперь полностью заполнены безопасно перезаписанными файлами.
Для перезаписи имен удаляемых файлов программа SDelete переименовывает файл 26 раз подряд, каждый раз заменяя каждый символ имени файла следующим по алфавиту символом. Например, первое имя файла “foo.txt” было бы “AAA.AAA”.
Причина, по которой программа не удаляет имена файлов в процессе очистки свободного пространства, заключается в необходимости прямого управления структурами данных папок. В этих структурах может быть свободнее пространство, в котором содержатся имена удаленных файлов, но это свободное место не выделяется для файлов. Таким образом, у программы
SDelete нет возможности выделения свободного пространства в структурах данных директорий для безопасной очистки этого пространства.
55. ShareEnum v1.6
При решении вопросов безопасности компьютерных сетей под управлением операционных систем Windows NT/2000/XP общим файловым ресурсам часто не уделяется должное внимание. Системы безопасности часто имеют характерный изъян, связанный с тем, что пользователи предоставляют общий доступ к файловым ресурсам, не обеспечивая достаточного уровня защиты, что позволяет не имеющим соответствующих прав пользователям просматривать конфиденциальные файлы. В системе нет встроенных средств для формирования списков видимых в сети, общих ресурсов с указанием их параметров безопасности, но программа ShareEnum заполняет этот пробел и позволяет блокировать общие файловые ресурсы сети.
При запуске программы ShareEnum выполняется сканирование всех компьютеров, входящих в доступные ей домены, и отображается список общих файловых ресурсов и ресурсов печати, а также их параметры безопасности.
Для этого программа использует функции формирования списков протокола
NetBIOS. Так как только администратор домена имеет возможность просматривать все сетевые ресурсы, программа ShareEnum наиболее эффективна в случае ее запуска из учетной записи администратора домена.
Программа ShareEnum работает в операционных системах Windows NT/2000/XP.