Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Пути проникновения зловредного ПО




- мобильные носители;

- компьютерные сети;

-вычислительная сеть (локальная и глобальная); -электронная почта; - операционная система.
11.2. Последствия заражений компьютерными вирусами. - несанкционированная рассылка электронных писем; - кража конфиденциальной информации; - несанкционированное использование сетевых ресурсов; - удаленное управление компьютером; - ботнеты; - несанкционированная атака на чужой сервер; - рассылка спама; - фишинг; - уничтожение информации.
11.3. Классификация вирусов. - вирусы; - черви (сетевой червь); - боты (bots); - условно опасные программы: - riskware; - adware (Рекламные утилиты); - хакерские утилиты.  
11.4 Признаки присутствия на компьютере вредоносных программ
- блокировка антивируса; - блокировка антивирусных сайтов - сбои в системе или в работе других программ - почтовые уведомления   11.5. Проверка системы на присутствие на компьютере вредоносных программ:
1. Просмотр списка процессов, обнаружение подозрительных процессов. 2. Проверка автозагрузки на наличие подозрительных программ,загружаемых вместе с запуском ОС. 3. Проверка открытых портов и выявление среди них портов, открытых вредоносными программами. 1. Просмотр списка процессов, обнаружение подозрительных процессов Рис. 11.1. Диспетчер задач в Windows 2000 Professional   Cписок системных процессов (служб): alg.exe — служба шлюза уровня приложения (Applications Layer Gateway). Обеспечивает работу общего доступа к интернету и встроенного брандмауэра Windows. Также эту службу используют некоторые сторонние фаерволы. cisvc.exe — индексирует содержимое и свойств файлов на компьютере для обеспечения быстрого их поиска. csrss.exe— отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS. explorer.exe — пользовательская оболочка, отображающая панель задач, ра­бочий стол и т.д. Этот процесс не так важен для работы Windows и его можно остановить (и перезапустить) с помощью "Диспетчера задач". inetinfo.exe — службы веб-сервера IIS. internat.exe — запускается вместе с системой и загружает языковые модули, указанные пользователем. lsass.exe — локальный сервер проверки подлинности, порождающий про­цесс, ответственный за проверку пользователей в службе Winlogon. Lsass создает маркер доступа пользователя, который затем используется для запус­ка начальной пользовательской оболочки. Процессы, запускаемые пользова­телем, наследуют этот маркер. msiexes.exe — устанавливает, удаляет или восстанавливает программное обеспечение в соответствии с инструкциями файлов MSI. mstask.exe — служба планировщика задач, ответственная за запуск задач по расписанию, определенному пользователем. netdde.exe — служба сетевого DDE (Network DDE). Обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) для программ, выполняющихся на одном или на различных компьютерах. sass.exe — для локальных компьютеров и сетевых машин, для получения ин­формации о безопасности локальных пользователей. smss.exe — подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей. Данный процесс запускается системным потоком и отвечает за различные действия, в частности, за запуск процессов Winlogon и Win32 (csrss.exe) и за установку системных переменных. spoolsv.exe — служба spooler ответственна за управление заданиями на печать и передачу факсимильных сообщений. svchost.exe — универсальный процесс, который служит для запуска других процессов из библиотек DLL. services.exe — диспетчер управления службами, ответственный за запуск и остановку системных служб и взаимодействие с ними. System — большинство системных потоков режима ядра исполняются от имени процесса System. Бездействие системы — этот процесс имеет по одному потоку на каждом процессоре и его единственная задача — учитывать время, в течение которо­го система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорно­го времени. taskmgr.exe — этот процесс соответствует самому диспетчеру задач. ups.exe — источник бесперебойного питания. winlogon.exe — этот процесс управляет входом пользователей в систему и выходом из нее. winmgmt.exe — ключевой компонент управления клиентскими приложени­ями.Этот процесс запускается в тот момент, когда первое клиентское при­ложение запрашивает соединения, или постоянно запущен, если его службы требуются управляющим приложениям.    
   
2. Проверка автозагрузки на наличие подозрительных программ Системный реестр Windows системная утилита regedit.exe   Рис. 11.2. Системный реестр Windows     HKEY_CURRENT_USER - ветка ключей, относящихся к текущему пользователю - HKCU HKEY_LOCAL_MACHINE - ветка ключей, относящихся к компьютеру в целом, - HKLM HKCUSoftwareMicrosoftWindowsCurrentVersion Run - основной ключ автозапуска. RunOnce - служебный ключ для программ, которым требуется запуститься только один раз. HKLMSoftwareMicrosoftWindowsCurrentVersion Run RunOnce RunServices RunServicesOnce Параметры стандартной оболочки задаются в реестре, в ключе HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon в параметре Shell. Значение этого параметра также в подавляющем большинстве случаев должно быть Explorer.exe. msconfig.exe. - предоставляет сводную информацию обо всех источниках объектов автозапуска.   Рис. 11.3. Утилита msconfig.exe
Проверка открытых портов и выявление среди них портов, открытых вредоносными программами.   netstat –a. cmd.exe Рис. 11.4. Команда netstat –a   Открытые TCP-порты обозначаются строкой: LISTENING (прослушивание) – ожидание запроса. ESTABLISHED(установлено) – соединение активно в данный момент. TIME_WAIT (ожидание закрытия) – соединение в состоянии закрытия.   Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам. UDP-порты обозначаются строкой UDP в колонке Имя. netstat –ab утилита tcpview.exe Рис. 11.5. Утилита tcpview.exe   http://www.processlibrary.com

 

 




Поделиться с друзьями:


Дата добавления: 2014-01-20; Просмотров: 459; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.011 сек.