Главная страница
Навигация по странице:

  • "МИРЭА - Российский технологический университет"

  • Практическая работа № 13 на тему « Восстановление зараженных файлов »

  • ТЕМА ПРАКТИЧЕСКОЙ РАБОТЫ Восстановление зараженных файлов.ТЕОРЕТИЧЕСКИЕ ОСНОВЫ

  • ЗАДАНИЕ ДЛЯ САМОСТОЯТЕЛЬНОЙ РАБОТЫ Создайте файл virus . doc

  • PrintScreen

  • Пользовательский интерфейс

  • Файловая система .

  • Представление файловой системы с помощью графического интерфейса .

  • Иерархическая система папок Windows

  • Восстановление зараженных файлов. Практика № 13_ИБППиС_Чан-Ань-Ту - ИКБО-13-18. Восстановление зараженных файлов по дисциплине


    Скачать 0.51 Mb.
    НазваниеВосстановление зараженных файлов по дисциплине
    АнкорВосстановление зараженных файлов
    Дата08.11.2021
    Размер0.51 Mb.
    Формат файлаdocx
    Имя файлаПрактика № 13_ИБППиС_Чан-Ань-Ту - ИКБО-13-18.docx
    ТипПрактическая работа
    #266013












    МИНОБРНАУКИ РОССИИ




    Федеральное государственное бюджетное образовательное учреждение

    высшего профессионального образования

    "МИРЭА - Российский технологический университет"









    Институт информационных технологий




    Кафедра инструментального и прикладного программного обеспечения


    Практическая работа № 13

    на тему
    «Восстановление зараженных файлов»
    по дисциплине

    «Информационная безопасность программных продуктов и систем»

    Студент группы: Чан Ань Ту– ИКБО-13-18

    (Фамилия студента)

    Руководитель работы 07 ноября 2021 ПР зачтена Плотников С. Б.

    (Фамилия преподавателя)

    Москва 2021

    ТЕМА ПРАКТИЧЕСКОЙ РАБОТЫ

    Восстановление зараженных файлов.

    ТЕОРЕТИЧЕСКИЕ ОСНОВЫ

    Макровирусы - это программы, написанные на так называемых макроязыках, встроенных в некоторые системы обработки данных (текстовые и графические редакторы, электронные таблицы и т. д.), например в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков, они переносятся от одного зараженного файла к другому. Наибольшее распространение получили макровирусы для Microsoft Word, Excel. Макровирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.

    Большинство макровирусов являются резидентными вирусами: они активны не только в момент открытия или закрытия файла, но до тех пор, пока активен сам текстовый или табличный редактор (а некоторые могут оставаться в оперативной памяти до выключения ПК). Макровирусы заражают файлы – документы и электронные таблицы популярных офисных приложений.

    Для анализа макровирусов необходимо получить текст их макросов. Для нешифрованных («не-стелс») вирусов это достигается при помощи меню Сервис/Макрос. Если же вирус шифрует свои макросы или использует «стелс»-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов.

    При работе с документом, MS Word выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом Word ищет и выполняет соответствующие встроенные макросы: при сохранении файла по команде Файл – Сохранить вызывается макрос FileSave, при сохранении по команде Файл – Сохранить как… – FileSaveAs, при печати по команде Печать… – FilePrint и т. д. Существуют также несколько макросов, автоматически вызываемых при возникновении соответствующих ситуаций. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы – AutoExit, при создании нового документа – AutoNew (похожие механизмы, но с другими именами макросов, используются и в Excel).

    Макровирусы, поражающие файлы Word, как правило, пользуются одним из четырех приемов:

    1) в вирусе присутствует автомакрос;

    2) в вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню);

    3) макрос вируса автоматически вызывается при нажатии на какую-либо клавишу или комбинацию клавиш;

    4) вирус начинает размножаться только в том случае, если пользователь запускает его на выполнение. Основной механизм заражения такой: когда мы открываем зараженный документ Word, макровирус копирует свой код в область глобальных макросов документа. А при выходе из Word’а глобальные макросы (включая макросы вируса) автоматически записываются в dot-файл глобальных макросов (шаблон Normal.dot). Затем вирус переопределяет стандартные макросы (например, FileOpen, FileSave, FileSaveAs, FilePrint) и с их помощью перехватывает команды работы с файлами. При вызове этих команд заражается файл, к которому идет обращение.

    ЗАДАНИЕ ДЛЯ САМОСТОЯТЕЛЬНОЙ РАБОТЫ

    • Создайте файл virus.doc (содержание – чистый лист) и выполните алгоритм восстановления файла (в предположении его заражения макровирусом).

    • Зафиксируйте этапы работы, используя команду PrintScreen клавиатуры (скопированные таким образом файлы вставьте в новый Word-документ для отчета преподавателю).

    • Сравните размеры файлов virus.doc и virus.rtf, используя пункт контекстного меню Свойства (для этого выделить в Проводнике файл, нажмите правую кнопку мыши и выберите пункт Свойства).

    ВЫПОЛНЕНИЕ ПРАКТИЧЕСКОЙ РАБОТЫ


    Рисунок 1 – Сохранение файла формате RTF.



    Рисунок 2 – Восстановление документа из RTF – файла в формат файла с расширением (.doc)



    Рисунок 3 – Включение защита от запуска макросов



    Рисуноки чч - Сравление размеры файлов virus.doc и virus.rtf

    КОНТРОЛЬНЫЕ ВОПРОСЫ

    1. Дать определение макровирисам.

    Мокросы – это инструменты, которые позволяют пользователям автоматически упаковывать совои действия или добавлять функциональные возможность в формы, отчет или файлы.

    Например, если вы добавляете командную кнопку в форму, вы привязываете свойство события кнопки OnClick к макросу, содержащему команды, которые вы хотите, чтобы кнопка выполнялась при каждом нажатии.

    С компьютерной точки зрения макровирус - это вирус, написанный на макроязыке: языке программирования, встроенном в программное приложение (например, текстовый процессор и приложение для работы с электронными таблицами). Некоторые приложения, такие как Microsoft Office, Excel, PowerPoint, позволяют встраивать макропрограммы в документы, чтобы макросы запускались автоматически при открытии документа, и это обеспечивает отдельный механизм, с помощью которого может распространяться компьютерная токсичность. Это одна из причин, по которой открытие неожиданного вложения в электронном письме может быть опасным. Многие антивирусные программы могут обнаруживать макровирусы; однако поведение макровирусов по-прежнему трудно обнаружить.

    1. Какие файлы заражают макровирусы?

    Макровирус может распространяться через вложения электронной почты, съемные носители, сети и Интернет, и его трудно обнаружить. [1] Распространенный способ заражения компьютера макровирусом - замена обычных макросов вирусами. Макровирус заменяет обычные одноименные команды и запускается при выборе команды.

    1. Механизм заражения макровирусами.

    • При открытии файла, содержащего макровирус, вирус может заразить систему. После активации он начнет встраиваться в другие документы.

    • Макровирус может повредить другие части системы, в зависимости от того, к каким ресурсам может получить доступ этот макрос приложения.

    • Когда зараженные документы передаются другим пользователям и системам, вирус распространяется.

    • Макровирусы использовались как метод установки программного обеспечения в системах без согласия пользователя, так как они могут использоваться для загрузки и установки программного обеспечения из Интернета с помощью автоматического использования команд.

    1. Резидентные и нерезидентные разновидности макровирусов?

    Компьютерный вирус — разновидность компьютерной программы, способной создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.

    Резидентные

    Такие вирусы, получив управление, так или иначе остается в памяти и производят поиск жертв непрерывно, до завершения работы среды, в которой он выполняется. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений Microsoft Office, являются резидентными вирусами. Соответственно, атрибут резидентный применим только к файловым DOS вирусам. Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.

    Нерезидентные

    Получив управление, такой вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту). К такому типу вирусов можно отнести скрипт-вирусы.

    1. Как просмотреть код макровируса?

    На Microsoft Word : View -> Macro -> View Macro -> Edit



    Рисунок 4 – Окно Макра



    Рисунок 5- Кодирование Макроса

    1. Как восстановить файл, зараженный макровирисом?

    В представлениях многих пользователей файлы формата RTF (Rich Text Format) считаются чуть ли не панацеей от навязчивых макро-вирусов, как, впрочем, и любых других разновидностей вредоносных кодов. Многие антивирусные компании рекомендуют вообще отказаться от стандартных файлов MS Word (DOC). Действительно, RTF-файлы не могут содержать макро-программ (макросов) в явном виде: в случае конвертации (стандартными средствами) из других форматов, макросы автоматически удаляются.

    Чтобы восстановить файл, зараженный макровирусом: Конвертировать файл virus.docx в virus.rft.

    1. Для чего спранивают файлы virus.docx и virus.rft?

    Сравнение изменения размера файл .docx и файл .rft, чтобы определить наличие макровируса.

    1. Что такое операционная система? Какие операционные системы Вы знаете?

    Операцио́нная систе́ма, сокр. ОС (англ. operating system, OS) — комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем.

    Наример операционнвой системе: Window, Linux, Android, Max OS, …

    1. . Перечислите основные объекты и приемы управления Windows.

    Основные объекты и приемы управления WINDOWS

    Современный Windows - это операционная система, управляющая работой персонального компьютера. Windows имеет удобный графический пользовательский интерфейс. В отличие от старой операционной системы DOS с текстовым интерфейсом, Windows не требует знания команд операционной системы и их точного ввода с клавиатуры. Подавляющее большинство операций по управлению работой персонального компьютера выполняются манипулятором мышь над графическими объектами Windows, либо короткими комбинациями клавиш (горячими клавишами) на клавиатуре.

    Пользовательский интерфейс – это методы и средства взаимодействия человека с аппаратными и программными средствами компьютера. Стартовый экран Windows представляет собой системный объект, называемый рабочим столом.

    Рабочий стол - это графическая среда, на которой отображаются объекты и элементы управления Windows. На рабочем столе можно видеть значки (пиктограммы), ярлыки и панель задач (основной элемент управления). При запуске Windows на рабочем столе присутствуют, как минимум , три значка: Мой компьютер, Сетевое окружение, Корзина. На рабочем столе могут быть расположены и другие значки. Его можно использовать и как временное хранилище своих файлов, но по окончании работы в учебном классе они должны быть либо удалены, либо перемещены в собственные папки.

    Значки являются графическим изображением объектов и позволяют управлять ими. Значок - это графическое представление объекта в свернутом виде, соответствующее папке, программе, документу, сетевому устройству или компьютеру. Значки, как правило имеют метки - надписи, которые располагаются под ними. Щелчок левой кнопкой мыши по значку позволяет выделить его, а двойной щелчок – открыть (запустить) соответствующее этому значку приложение.

    Ярлык является указателем на объект. Ярлык – это специальный файл, в котором содержится ссылка на представленный им объект (информация о месте расположения объекта на жестком диске). Двойной щелчок мыши по ярлыку позволяет запустить (открыть) представляемый им объект. При его удалении сам объект не стирается, в отличие от удаления значка. Достоинство ярлыков в том, что они обеспечивают быстрый доступ к объекту из любой папки, не расходуя на это памяти. Отличить ярлык от значка можно по маленькой стрелке в левом нижнем углу пиктограммы.

    Панель задач является инструментом для переключения между открытыми папками или приложениями. В левой части панели задач расположена кнопка "Пуск"; в правой - панель индикации. На самой панели изображаются все открытые в данный момент объекты.

    Кнопка "Пуск" открывает Главное меню. С его помощью можно запустить все программы, зарегистрированные в операционной системе, получить доступ ко всем средствам настройки операционной системы, к поисковой и справочной системам и другим функциям.

    Центральным понятием Windows является окно. Окно – структурный и управляющий элемент пользовательского интерфейса, представляющий собой ограниченную рамкой прямоугольную область экрана, в которой может отображаться приложение, документ или сообщение.

    Выше на рисунке показан рабочий стол Windows с открытым Главным меню, окном текстового процессора Word, значками и ярлыками и некоторыми свернутыми на панели задач документами.

    Из других понятий Windows следует отметить понятия каталога и папки.

    Каталогпоименованная группа файлов, объединенных по какому-либо признаку.

    Папка – понятие, которое используется в Windows вместо понятия каталог в более ранних операционных системах. Понятие папка имеет расширенное толкование, так как наряду с обычными каталогами папки представляют и такие объекты, как Мой компьютер, Проводник, Принтер, Модем и др.

    1. Что такое файл и файловая система? Перечислите типы файлов.

    Файл - это определенное количество информации (программа или данные), имеющее имя и хранящееся в долговременной (внешней) памяти.

    Имя файла. Имя файла состоит из двух частей, разделенных точкой: собственно имя файла и расширение, определяющее его тип (программа, данные и так далее). Собственно имя файлу дает пользователь, а тип файла обычно задается программой автоматически при его создании.

    В различных операционных системах существуют различные форматы имен файлов. В операционной системе MS-DOS собственно имя файла должно содержать не более 8 букв латинского алфавита, цифр и некоторых специальных знаков, а расширение состоит из трех латинских букв, например: proba.txt

    В операционной системе Windows имя файла может иметь длину до 255 символов, причем можно использовать русский алфавит, например: Единицы измерения информации.doc

    Таблица 1.1. Типы файлов и расширений

    Тип файла

    Расширения

    Программы

    exe, com

    Текстовые файлы

    txt, doc

    Графические файлы

    bmp, gif, jpg и др.

    Звуковые файлы

    wav, mid

    Видеофайлы

    avi

    Программы на языках программирования

    bas, pas и др.






    Пример файловой системы:


    Файловая система. На каждом носителе информации (гибком, жестком или лазерном диске) может храниться большое количество файлов. Порядок хранения файлов на диске определяется используемой файловой системой.

    Каждый диск разбивается на две области: область хранения файлов и каталог. Каталог содержит имя файла и указание на начало его размещения на диске. Если провести аналогию диска с книгой, то область хранения файлов соответствует ее содержанию, а каталог - оглавлению. Причем книга состоит из страниц, а диск - из секторов.

    Для дисков с небольшим количеством файлов (до нескольких десятков) может использоваться одноуровневая файловая система, когда каталог (оглавление диска) представляет собой линейную последовательность имен файлов (табл. 1.2). Такой каталог можно сравнить с оглавлением детской книжки, которое содержит только названия отдельных рассказов.

    Таблица 1.2. Одноуровневый каталог

    Имя файла

    Номер начального сектора

    Файл_1

    56

    Файл_2

    89

    Файл_112

    1200










    Если на диске хранятся сотни и тысячи файлов, то для удобства поиска используется многоуровневая иерархическая файловая система, которая имеет древовидную структуру. Такую иерархическую систему можно сравнить, например, с оглавлением данного учебника, которое представляет собой иерархическую систему разделов, глав, параграфов и пунктов.

    Начальный, корневой каталог содержит вложенные каталоги 1-го уровня, в свою очередь, каждый из последних может содержать вложенные каталоги 2-го уровня и так далее. Необходимо отметить, что в каталогах всех уровней могут храниться и файлы.

    Например, в корневом каталоге могут находиться два вложенных каталога 1-го уровня (Каталог_1, Каталог_2) и один файл (Файл_1). В свою очередь, в каталоге 1-го уровня (Каталог_1) находятся два вложенных каталога второго уровня (Каталог_1.1 и Каталог_1.2) и один файл (Файл_1.1) - рис. 1.3.

    Файловая система- это система хранения файлов и организации каталогов.



    Рис. 1.3. Иерархическая файловая система

    Рассмотрим иерархическую файловую систему на конкретном примере. Каждый диск имеет логическое имя (А:, В: - гибкие диски, С:, D:, Е: и так далее - жесткие и лазерные диски).

    Пусть в корневом каталоге диска С: имеются два каталога 1-го уровня (GAMES, TEXT), а в каталоге GAMES один каталог 2-го уровня (CHESS). При этом в каталоге TEXT имеется файл proba.txt, а в каталоге CHESS - файл chess.exe (рис. 1.4).



    Рис. 1.4. Пример иерархической файловой системы

    Путь к файлу. Как найти имеющиеся файлы (chess.exe, proba.txt) в данной иерархической файловой системе? Для этого необходимо указать путь к файлу. В путь к файлу входят записываемые через разделитель "\" логическое имя диска и последовательность имен вложенных друг в друга каталогов, в последнем из которых содержится нужный файл. Пути к вышеперечисленным файлам можно записать следующим образом:

    C:\GAMES\CHESS\

    С:\ТЕХТ\

    Путь к файлу вместе с именем файла называют иногда полным именем файла.

    Пример полного имени файла:

    С \GAMES\CHESS\chess.exe

    Представление файловой системы с помощью графического интерфейса. Иерархическая файловая система MS-DOS, содержащая каталоги и файлы, представлена в операционной системе Windows с помощью графического интерфейса в форме иерархической системы папок и документов. Папка в Windows является аналогом каталога MS-DOS

    Однако иерархическая структура этих систем несколько различается. В иерархической файловой системе MS-DOS вершиной иерархии объектов является корневой каталог диска, который можно сравнить со стволом дерева, на котором растут ветки (подкаталоги), а на ветках располагаются листья (файлы).

    В Windows на вершине иерархии папок находится папка Рабочий стол. Следующий уровень представлен папками Мой компьютер, Корзина и Сетевое окружение (если компьютер подключен к локальной сети) - рис. 1.5.



    Рис. 1.5. Иерархическая структура папок

    Если мы хотим ознакомиться с ресурсами компьютера, необходимо открыть папку Мой компьютер.

    Иерархическая система папок Windows

    1. В окне Мой компьютер находятся значки имеющихся в компьютере дисков. Активизация (щелчок) значка любого диска выводит в левой части окна информацию о его емкости, занятой и свободной частях.





    1. Перечислите способы копирования, удаления, перемещения файлов и папок.



    1. 12. Основные отличия операционных систем WINDOWS и LINUX.

    1. Доступ к исходному коду. В Windows полностью закрыт, а в Linux — открыт. Какие это дает преимущества? Каждый пользователь может лично изменять и настраивать систему под собственные нужды. При открытом коде повышается вероятность хакерских атак на систему, но в то же время увеличиваются шансы им противостоять.

    2. Лицензионное соглашение. ОС Windows является исключительно платной. Одна ОС по одной лицензии может быть установлена на один компьютер. Только в таком случае написанное с ее помощью ПО можно легально использовать в коммерческих целях. ОС Linux имеет открытое лицензионное соглашение. Это позволяет устанавливать одну версию на неограниченное число машин и применять ее для собственных разработок. Единственное условие — ядро должно оставаться открытым.

    3. Техническая поддержка. Одним из достоинств дистрибутива Windows является платная официальная техподдержка. Это привлекает большинство пользователей, так как гарантирует своевременное устранение неполадок специалистами компании. Техподдержка Linux основана на деятельности энтузиастов. Хотя в настоящее время информации по различным проблемам и способам их устранения в данной операционной системе накопилось уже достаточно, немногие корпоративные клиенты готовы рискнуть отказаться от официальной поддержки Windows.

    4. Совместимость с аппаратной частью. В этом вопросе до последних дней лидировала ОС Windows. Многих пользователей отпугивала перспектива вручную подбирать и настраивать отдельные компоненты системы, которые будут совместимы с ОС Linux. Сейчас данная проблема практически устранена.

    5. Индивидуальные настройки. Здесь пальму первенства можно безоговорочно отдать системе Linux. Она имеет многоуровневый доступ к настройкам, которые отличаются чрезвычайной гибкостью. Вы можете полностью подстроить работу ОС в соответствии с вашими предпочтениями. В Windows вы ограничены набором предусмотренных разработчиками вариантов.

    1. Особенности функционирования стелс-вирусов, их воздействия на РС и борьбы со стелс-вирусами.

    Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий своё присутствие в системе, путём перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

    1. Что такое OLE – технологии?

    OLE (англ. Object Linking and Embedding, произносится как oh-lay [олэй]) — технология связывания и внедрения объектов в другие документы и объекты, разработанная корпорацией Майкрософт.

    В 1996 году Microsoft переименовала технологию в ActiveX.

    OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад. Например, установленная на персональном компьютере издательская система может послать некий текст на обработку в текстовый редактор, либо некоторое изображение в редактор изображений с помощью OLE-технологии.

    Основное преимущество использования OLE (кроме уменьшения размера файла) — в том, что она позволяет создать главный файл, картотеку функций, к которой обращается программа. Этот файл может оперировать данными из исходной программы, которые после обработки возвращаются в исходный документ.

    OLE используется при обработке составных документов (англ. compound documents), может быть использована при передаче данных между различными несвязанными между собой системами посредством интерфейса переноса (англ. drag-and-drop), а также при выполнении операций с буфером обмена. Идея внедрения широко используется при работе с мультимедийным содержанием на веб-страницах (пример — Веб-ТВ), где используется передача изображения, звука, видео, анимации в страницах HTML (язык гипертекстовой разметки) либо в других файлах, также использующих текстовую разметку (например, XML и SGML). Однако технология OLE использует архитектуру «толстого клиента», то есть сетевой ПК с избыточными вычислительными ресурсами. Это означает, что тип файла либо программа, которую пытаются внедрить, должна присутствовать на машине клиента. Например, если OLE оперирует таблицами Microsoft Excel, то программа Excel должна быть инсталлирована на машине пользователя.

    1. Чем отличается внедренный от связанного объекта?

    Связанные и внедренные объекты

    Связанные или внедренные объекты используются для добавления всего или части файла, созданного одной из программ Office или любой программой, которая поддерживает связанные и внедренные объекты, в другой файл. Возможно создание нового внедренного объекта или внедренного или связанного объекта из существующего файла.

    Основное отличие между связанными и внедренными объектами заключается в месте их хранения, а также способе обновления данных при их помещении в конечный файл.

    Связанный объект. В случае со связанным объектом, обновление данных происходит только при изменении исходного файла. Связанные данные хранятся в исходном файле. Конечный файл хранит только сведения о местоположении исходного файла и отображает представление связанных данных. Рекомендуется использовать связанные объекты, если важен размер файла.

    Внедренный объект. В случае с внедренным объектом, при изменении исходного файла конечный файл не изменится. Внедренные объекты становятся частью конечного файла и, будучи однажды вставленными, больше не являются частью исходного файла. Дважды щелкните внедренный объект для его открытия в программе, которая была использована для его создания.

    СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ


    1. https://planetcalc.ru/7751/


    написать администратору сайта