Сетевая активность

Неожиданно возросшая сетевая активность может служить ярким свидетельством работы на компьютере подозрительный программы, производящей несанкционированную рассылку писем, связывающейся со своим автором и передающей ему конфиденциальную информацию или просто загружающую свои дополнительные модули или атакующей соседние компьютеры. Но при этом нужно не забывать, что ряд вполне легальных приложений также имеют свойство иногда связываться с сайтом фирмы-производителя, например для проверки наличия обновлений или более новых версий. Поэтому, прежде чем отключать сеть и выдергивать сетевой шнур, увидев необычно яркое мигание лампочки на сетевой карте, необходимо уметь определять какие программы и приложения вызвали эту подозрительную активность.

Изучить и проанализировать сетевую активность можно с помощью встроенных в операционную систему инструментов или же воспользовавшись специальными отдельно устанавливаемыми приложениями. В этом задании это предлагается сделать с помощью Диспетчера задач Windows и встроенной утилиты netstat, которая выводит на экран мгновенную статистику сетевых соединений.

1. Откройте окно Диспетчера задач Windows, нажав одновременно клавиши Ctrl, Shift и Esc, и перейдите к закладке Сеть.

Поскольку сейчас не инициируется ни одного сетевого соединения, график должен быть пуст, вернее представлять собой прямую на уровне 0 %.

В нижней части окна расположен перечень всех установленных в системе сетевых адаптеров. Обычно он один. В столбце Использование сети приводится моментальное значение доли используемого канала, а в Скорость линии - пропускная способность. Состояние отображает статус.

Если на Вашем компьютере нет ни одного активного адаптера, окно Диспетчера задач на закладке Сеть будет выглядеть так:

В этом задании предполагается, что как минимум один адаптер установлен и работает.

2. Инициируйте какое-нибудь сетевое соединение. Например, откройте браузер и загрузите сайт www.viruslist.ru

При отсутствии выхода в Интернет, зайдите на сетевой ресурс, указанный преподавателем

3. Проследите за изменениями на графике Диспетчера задач: все Ваши действия отобразятся на графике в виде пиков сетевой активности, а значение поля Использование сети на время перестанет быть равным нулю.

Таким образом, если Вы, закрыв все прикладные программы, которые могут инициировать сетевые соединения, обнаруживаете, что сеть все равно использоваться продолжает, нужно искать причину

4. Диспетчер задач Windows показывает только самую общую информацию. Для получения более подробных данных можно воспользоваться утилитой netstat.

Закройте окно Диспетчера задач Windows и перейдите к системному меню Пуск / Программы / Стандартные / Командная строка

5. В открывшемся окне нужно набирать команды, оканчивающиеся нажатием клавиши Enter. Такой способ взаимодействия называется работой через командную строку. Утилита netstat подразумевает именно такой режим

Наберите

и нажмите Enter

6. Прочитайте описание утилиты netstat. Убедитесь, что для вывода самой полной информации нужно использовать ключ -a

7. Наберите

и нажмите Enter

9. Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты.

Открытые TCP-порты ²⁾ обозначаются строкой "LISTENING" в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.

UDP-порты обозначаются строкой "UDP" в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка "LISTENING" в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.

Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах ³⁾ .

10. Проверьте, как изменится статистика, отображаемая netstat при инициировании новых соединений. Для этого повторите пункт 2

11. Команда netstat, в отличие от Диспетчера задач Windows, не работает в режиме реального времени, а отображает мгновенную статистику. Следовательно, ее нужно снова запустить.

Вернитесь к окну командной строки, введите

и нажмите Enter

12. Исследуйте полученную статистику

13. Закройте браузер, повторите команду

и нажмите Enter

15. Убедитесь, что все вызванные ранее сетевые соединения закрыты, а перечень активных соединения не отличается от данных, полученных на шаге 9

16. Закройте окно командной строки. Для этого введите команду

и нажмите Enter

Заключение

В этой практической работе были изучены явные признаки заражения компьютера на примере модификации настроек браузера, исследованы возможные места скрытых проявлений: запущенные процессы, элементы автозапуска, сетевая активность. В совокупности с полученными из курса теоретическими знаниями выполнение практических заданий призвано дать слушателям навыки обнаружения на своем компьютере подозрительных программ вручную, без использования антивирусных средств.

Иногда собранные данные позволяют определить имя вируса, тогда можно обратиться например, к вирусной энциклопедии www.viruslist.com, чтобы вручную ликвидировать последствия заражения. Если однозначного ответа получить не удается, необходимо собрать все подозрительные проявления и обратиться к Интернет. На сегодняшний день существует достаточно много сайтов, содержащих описания неопасных процессов, например, www.processlibrary.com. Сравнив полученные в результате анализа данные с представленными в библиотеке описаниями, нужно оставить только не заявленные как легальные процессы и объекты и проследить их расположение на диске.

Дальнейшие действия зависят от того, используется ли на компьютере антивирусная программа или нет. Если нет, то полученные файлы нужно исследовать с помощью антивирусной программы, например онлайн сканера http://www.kaspersky.ru/virusscanner, позволяющего бесплатно проверять отдельные объекты.

Если на компьютере антивирус уже установлен, после выделения подозрительных файлов следует обратиться в службу технической поддержки антивирусной компании, чей продукт используется на компьютере, прикрепив к сообщению обнаруженные подозрительные объекты. Вполне возможно, они содержат новый, еще не известный вирус.

Задание для практического занятия по теме № 4-2 «Основные признаки присутствия на компьютере вредоносных программ» подготовил доцент кафедры информатики и математики Борисов Б.В.

Задание для практического занятия по теме № 4-1 рассмотрены и утверждены на заседании кафедры информатики и математики 21 апреля 2008 года, протокол № 8.

Дата добавления: 2015-05-09; Просмотров: 1405; Нарушение авторских прав?; Мы поможем в написании вашей работы!