Міністерство освіти і науки, молоді та спорту України

ОДЕСЬКИЙ НАЦІОНАЛЬНИЙ ПОЛІТЕХНІЧНИЙ УНІВЕРСИТЕТ

Інститут радіоелектроніки і телекомунікацій

Кафедра інформаційної безпеки



Лабораторна робота №4

з дисципліни “Методи та засоби захисту інформації”

ПРОФІЛАКТИКА ПРОНИКНЕННЮ ШКІДЛИВОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ





Виконав студент гр. PБ-081

______________ Барбінягра А.О.

“___” ____________ 2011 р.



Керівники занять

___________ Венедіктов Ю.І.

____________Барабанов М.О.

“___” ____________ 2011 р.



Одеса 2011 Цель: практическое освоение студентами научно-теоретических положений дисциплины по вопросам защиты информации от воздействия вредоносного программного обеспечения на основе использования методов и средств профилактики вирусных атак, а также овладение ими техникой экспериментальных исследований и анализа полученных результатов, привитие навыков работы с вычислительной техникой.



Часть № 1

Профилактика проникновения вредоносного программного обеспечения посредством исследования Реестра ОС Windows XP



Задание

Проверить потенциальные места записей вредоносного программного обеспечения в системном реестре операционной системы Windows 2000 (ХР).



Алгоритм выполнения работы

Потенциальными местами записей троянских программ в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователей и системы.

Запустите программу regedit.exe.



В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее Software\ Microsoft\WindowsNT\CurrentVersion\Winlogon.

В правой половине открытого окна программы regedit.exe появится список ключей.

Найдите ключ Userinit (REG_SZ) и проверьте его содержимое.



По умолчанию (исходное состояние) 151 этот ключ содержит следующую запись C:\WINDOWS\system32\userinit.exe



Если в указанном ключе содержатся дополнительные записи, то это могут быть троянские программы.

В этом случае проанализируйте место расположения программы, обратите внимание на время создания файла и сопоставьте с Вашими действиями в это время.

Если время создания файла совпадает со временем Вашей работы в Интернете, то возможно, что в это время Ваш компьютер был заражен троянским конем.

Для удаления этой записи необходимо дважды щелк-

нуть на названии ключа (или при выделенном ключе выбрать команду Изменить из меню Правка программы regedit.exe).

В открывшемся окне в поле Значение (рисунок 5) удалите ссылку на подозрительный файл.

Закройте программу regedit.exe.

Перейдите в папку с подозрительным файлом и удалите его.

Перезагрузите операционную систему и выполните пункты задания 1-4.

Если содержимое рассматриваемого ключа не изменилось, то предполагаемый троянский конь удален из Вашей системы.



Еще одним потенциальным местом записей на запуск троянских программ является раздел автозапуска Run.

Для его проверки выполните следующее.

1. Запустите программу regedit.exe.

2. В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее

Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ)



В рассматриваемом примере автоматически запускается антивирус Kaspersky (AVP), мультимедийная программа (iTunes), а также другие утилиты, использующиеся на данном ПК.



Часть № 2

Профилактика проникновения вредоносного программного обеспечения посредством исследования организации защиты от макровирусов средствами Microsoft Word (для Office XP)

Задание

Исследовать порядок формирования политики защиты от макровирусов при использовании приложения Microsoft Word (из пакета Office XP)



Алгоритм выполнения работы



Запустите приложение Microsoft Word из пакета Office XP.

Произвести настройку уровня безопасности при отработке макросов

В меню Сервис выбрать команду Параметры.

Открыть вкладку Безопасность.



В группе Защита от макросов нажать кнопку Защита от макросов.

Открыть вкладку Уровень безопасности.



Выбрать нужный уровень безопасности.

В зависимости от настроек безопасности макросов, например средний уровень, при открытии макросов выводится предупреждение [Предупреждение об установленных шаблонах и надстройках, которые содержат макросы] и предоставляется возможность запретить выполнение макросов для установленных шаблонов и настроек (в том числе для мастеров).

Откройте вкладку Надежные источники.



Если снять флажок Доверять всем установленным надстройкам и шаблонам, то при запуске приложения загрузка всех прописанных в приложении макросов будут сопровождаться предупреждением системы безопасности. Данный шаг может производиться опытными пользователями при анализе причин неустойчивой работы приложения.



Контрольные вопросы



1. Реестр операционной системы Windows - это большая база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows, так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необ ходимо иметь копию реестра. Основным средством для' просмотра и редактирования записей реестра служит специализированная утилита Редактор реестра.

Файл редактора реестра находится в папке Windows. Называется он regedit.exe.



2.Исследовав содержимое ключа содержимое ключа RegisteredOrganization из каталога HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion мы открыли следующую запись в реестре:



3.Макрос - макрокоманда или набор макрокоманд, используемый для автоматического выполнения некоторых операций. Макросы записываются на языке программирования Visual Basic для приложений.

Макровирус – вредоносная программа, прописанная в макросе.



Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка со следующими возможностями:

привязка программы на макроязыке к конкретному файлу;

копирование макропрограмм (далее макросов) из одного файла в другой;

возможность получения управления макросом без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word и AmiPro, а также редактор электронных таблиц Excel. Эти системы содержат в себе макроязыки (Word - Word Basic, Excel - Visual Basic). В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.

Макровирусы активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.



4.Маршрут действий пользователя при установке разрешения запуска только подписанных макросов из надежных источников рассмотрен в ходе лабораторной работы.