Главная страница
Навигация по странице:

  • Теоретические положения

  • Имя корневого раздела Описание HKEY_LOCAL_MACHINE

  • Куст реестра Имена файлов HKEY_LOCAL_MACHINE\SAM Sam и Sam.log HKEY_LOCAL_MACHINE\SECURITY Security и Security.log HKEY_LOCAL_MACHINE\SOFTWARE

  • Тип данных Описание REG_BINARY

  • REG_EXPAND_SZ Строка данных переменной длины. Этот тип данных включает переменные, обрабатываемые при использовании данных программой или службой. REG_MULTI_SZ

  • REG_SZ Текстовая строка фиксированной длины. REG_FULL_RESOURCE_DESCRIPTOR

  • Практическая часть. Упражнения.

  • ВНИМАНИЕ!!!! Перед началом работы с реестром СДЕЛАТЬ И СОХРАНИТЬ ЕГО КОПИИ. Файл-экспорт-имя файла.reg

  • ПРОФИЛАКТИКА ПРОНИКНОВЕНИЯ ТРОЯНСКИХ ПРОГРАММ.. Лабораторная работа6. Вредоносные программы


    Скачать 0.5 Mb.
    НазваниеВредоносные программы
    АнкорПРОФИЛАКТИКА ПРОНИКНОВЕНИЯ ТРОЯНСКИХ ПРОГРАММ
    Дата02.11.2021
    Размер0.5 Mb.
    Формат файлаpdf
    Имя файлаЛабораторная работа6.pdf
    ТипЛабораторная работа
    #261911

    Лабораторная работа № 6
    ПРОФИЛАКТИКА ПРОНИКНОВЕНИЯ ТРОЯНСКИХ ПРОГРАММ.
    Тема: Вредоносные программы
    Цель работы:

    Изучить основные способы защиты информации проникновения троянских программ.

    Отработать навыки защиты информации в средах Windows.

    Основные способы защиты информации проникновения троянских программ.
    Ход работы:
    1. Изучить теоретические положения, составить краткий конспект.
    2. Предъявить конспект преподавателю.
    3. Выполнить упражнения.
    4. Ответить на контрольные вопросы.
    Теоретические положения
    Для проверки проникновения троянских программ проверим реестр компьютера. Реестр операционной системы Windows – это база данных, где хранится информация о настройках системы. Этой информацией пользуется как сама операционная система, так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра. Для этого необходимо иметь копию реестра.
    Основным средством для просмотра и редактирования записей реестра служит специальная утилита «Редактор реестра».
    Файл редактора реестра находится в папке Windows и называется
    regedit.exe. Запуск утилиты:
    Пуск -> Выполнить -> regedit
    Реестр организован в иерархическую структуру разделов, подразделов и параметров. После запуска появится окно редактора реестра. Слева в окне расположен список из 5 корневых разделов реестра.

    Имя корневого раздела
    Описание
    HKEY_LOCAL_MACHINE
    Сведения о локальном компьютере, включая данные об оборудовании и операционной системе, такие как тип шины, системная память, драйверы устройств и параметры загрузки.
    HKEY_CLASSES_ROOT
    Сведения, используемые различными технологиями OLE, и данные о сопоставлении типов файлов. Определенный раздел или параметр существуют в HKEY_CLASSES_ROOT, если соответствующий раздел или параметр существуют в
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes или
    HKEY_CURRENT_USER\SOFTWARE\Classes. Если раздел или параметр имеются в обоих местах, в HKEY_CLASSES_ROOT появится значение из HKEY_CURRENT_USER.
    HKEY_CURRENT_USER
    Профиль пользователя, вошедшего в систему локально (в отличие от удаленного пользователя), включая переменные среды, параметры рабочего стола, сетевых подключений, принтеров и приложений. Это поддерево является псевдонимом поддерева
    HKEY_USERS и указывает на
    HKEY_USERS\учетный_код_текущего_пользователя.
    HKEY_USERS
    Сведения о загруженных профилях пользователя и профиль, используемый по умолчанию. Сюда включены сведения, также появляющиеся в поддерев е HKEY_CURRENT_USER.
    Удаленные пользователи не имеют профилей в этом разделе сервера; их профили находятся в реестрах собственных компьютеров.
    HKEY_CURRENT_CONFIG
    Сведения о профиле оборудования, используемом локальным компьютером при запуске системы. Эти сведения используются для настройки загружаемых драйверов и разрешения дисплея.
    Это поддерево является частью поддерева
    HKEY_LOCAL_MACHINE
    и соответствует HKEY_LOCAL_
    MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current.
    Работа с разделами реестра аналогична работе с папками в Проводнике
    Windows.
    В реестре Windows системная информация разбита на так называемые кусты
    (hive). Термин «куст» описывает древовидную структуру разделов, подразделов и
    параметров, выходящую из вершины иерархии реестра. Куст содержится в отдельном файле и имеет отдельный журнал, которые находятся в папках
    Windows\System32\Config или C:\Documents and Settings\ имя_пользователя.
    Каждый куст в реестре Windows связан с набором стандартных файлов.
    Имена стандартных кустов файлов показаны в следующей таблице.
    Куст реестра
    Имена файлов
    HKEY_LOCAL_MACHINE\SAM
    Sam и Sam.log
    HKEY_LOCAL_MACHINE\SECURITY
    Security и Security.log
    HKEY_LOCAL_MACHINE\SOFTWARE
    Software и Software.log
    HKEY_LOCAL_MACHINE\SYSTEM
    System и System.log
    HKEY_CURRENT_CONFIG
    System и System.log
    HKEY_CURRENT_USER
    Ntuser.dat и Ntuser.dat.log
    HKEY_USERS\.DEFAULT
    Default и Default.log
    Список имен кустов и путей к каталогам, в которых они хранятся, расположены в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Control\hivelist
    Каждый раздел или подраздел реестра может содержать данные, называемые параметрами (ключами). Некоторые параметры хранят сведения для конкретных пользователей, другие хранят сведения, применимые ко всем пользователям компьютера. Параметр реестра имеет имя, тип данных и значение. Следующая таблица содержит список типов данных, определённых и используемых системой.

    Тип данных
    Описание
    REG_BINARY
    Необработанные двоичные данные. Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате.
    REG_DWORD
    Данные, представленные целым числом (4 байта).
    Многие параметры служб и драйверов устройств имеют этот тип и отображаются в двоичном, шестнадцатеричном или десятичном форматах.
    REG_EXPAND_SZ
    Строка данных переменной длины. Этот тип данных включает переменные, обрабатываемые при использовании данных программой или службой.
    REG_MULTI_SZ
    Многострочный текст. Этот тип, как правило, имеют списки и другие записи в формате, удобном для чтения. Записи разделяются пробелами, запятыми или другими символами.
    REG_SZ
    Текстовая строка фиксированной длины.
    REG_FULL_RESOURCE_DESCRIPTOR
    Последовательность вложенных массивов, разработанная для хранения списка ресурсов аппаратного компонента или драйвера.
    Реестр содержит важные данные о компьютере, его приложениях и файлах.
    Злоумышленник может воспользоваться реестром для нанесения серьезного ущерба компьютеру. Очень важно поддерживать высокий уровень безопасности реестра. По умолчанию администраторам предоставляется полный доступ ко всему реестру, в то время как другие пользователи в основном имеют полный доступ к разделам, относящимся к их собственным учетным записям (в том числе
    HKEY_CURRENT_USER) и доступ на чтение к разделам, относящимся к компьютеру и его программному обеспечению. Пользователи не имеют доступа к разделам, относящимся к учетным записям других пользователей. Пользователи, имеющие соответствующие разрешения доступа к разделу, могут изменять разрешения на доступ к этому разделу и любым содержащимся в нем разделам.
    «Троянский конь» - это вредительская программа, полученная путем явного изменения или добавления команд в пользовательскую программу. «Троянская программа» может мешать работе пользователя, шпионить за пользователем, использовать ресурсы компьютера для какой-либо незаконной деятельности и т.д.
    Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователя и системы.

    Практическая часть.
    Упражнения.
    Выполнить, результаты упражнений зафиксировать в отчёте.
    Проверить потенциальные места записей «троянских программ» в системном реестре операционной системы Windows.
    ВНИМАНИЕ!!!! Перед началом работы с реестром СДЕЛАТЬ И
    СОХРАНИТЬ ЕГО КОПИИ. Файл-экспорт-имя файла.reg
    1. Проверить содержимое параметра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    По умолчанию этот параметр имеет значение C:\Windows\system32\userinit.exe
    Если в значении содержатся дополнительные записи, то это могут быть
    «троянские программы». В этом случае проанализируйте место расположения программы, обратите внимание на время создания файла.
    2. Проверить раздел автозапуска Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Проанализировать записи раздела. Какие программы автоматически запускаются при загрузке Windows. Выделите записи, вызывающие подозрения.
    Зафиксировать этапы работы, используя скриншоты (Alt + PrintScreen).
    Контрольные вопросы.
    1. Что такое системный реестр Windows?
    2. Расскажите о структуре реестра.
    3. Поясните особенности «троянских программ».
    4. Почему профилактика «троянских программ» связана с системным реестром?
    5. Какие разделы и ключи являются потенциальными местами записей
    «троянских программ»?
    Будьте внимательны при работе с реестром! Некорректное использование редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы.
    Сделать выводы по проделанной работе.
    Составьте отчёт о результатах проверки.


    написать администратору сайта