- •Основні складові підсистеми безпеки windows 9x.
- •2. Перелічить, які саме ресурси windows 9x захищаються.
- •3. Структура системного реєструWindows.
- •4. Наведіть приклади окремих ключів системного реєстру, які відіграють значну роль у захисті ос Windows.
- •5. Необхідність створення, місце розташування та зміст файлу парольного кеша windows 9x.
- •023E: Ресурс 0 Ресурс 1
- •6. Принципи шифрування, які використовуються у файлі парольного кешу windows 9x.
- •7. Порівняйте захист файлу парольного кешу у windows v4.0 та Windows v4.1. З якої причини перша вважається менш захищеною?
- •8. Перелічить міри по захисту парольного кешу windows 9x.
- •9. Які методи та програмні засоби використовуються хакерами для злому файлів парольного кешу?
- •10. Основні складові підсистеми безпеки windows 2k.
- •12. Порівняйте принципи побудови файлових систем fat та ntfs. Чому остання дає можливість більш потужного захисту ос windows?
- •13. В чому суть системи захисту та розмежування доступу, які надає файлова система ntfs?
- •14. Роль файлу sam у системі захисту windows 2k. Які мери по обмеженню доступу до нього Ви знаєте?
- •17. Види хешування паролів у windows 2k. Порівняйте їх по криптостійкості.
- •18. Роль системи syskey в захисті облікових записів windows 2k.
- •19. Принцип шифрування з допомогою утиліти syskey. Де можуть зберігатись ключі syskey?
- •20. Загальна характеристика методів атак на файл sam.
- •27. Перелічіть складові комплексних мір по захисту ос Windows 2k від локальних атак
- •28. Адміністрування паролів в Windows 2k
- •29. Адміністрування мережних ресурсів в Windows 2k
- •30. Якім чином та за яких умов здійснюється віддалене адміністрування у windows 2k?
- •Место для 33-35
- •40. Поняття портів комп'ютера. Чи мають вони відношення до портів вводу – виводу?
- •41. Перелічите основні види стану портів комп'ютера.
- •42. Пояснить, чому відкрити порти можуть загрожувати безпеці комп'ютера.
- •43. Tcp та udPмережніпротоколи. Їхособливості. Процедура handshake
- •44. Взаємодіякомп'ютерів у локальноїмережі.
- •Перевагиоб'єднаннякомп'ютерів у локальну мережу
- •Технологія
- •45. Служба NetBios. Чомуїївикористанняпідвищуєнебезпекукомп'ютера при роботі у мережі?
- •46. Пояснить основні принципи мережного сканування.
- •47. Перелічите основні види сканування та деякі програми для його виконання.
- •48. Шляхи запобігання мережному скануванню та визначення атакуючого.
023E: Ресурс 0 Ресурс 1
Ресурс 2
...
Ресурс F
У "новому" форматі:
За адресою 0x208 знаходиться DWORD (у нас він дорівнює 0x00000252), що визначає зсув CryptoSign.
З адреси 0x20C по 0x24C розташовується масив CryptoSeed[16], необхідний для декодування всіх 16 ресурсів.
З адресою 0x24C розташовується CheckSeed (DWORD), з якого і починається декодування PWL- файлу.
Далі по адресах 0x250 і 0x251 йдуть два нульових байти. Яку вони несуть функцію - невідомо.
За адресою 0x252 розташовується масив CryptoSign (16 байт).
За адресою 0x262 розташовується масив CheckSign (16 байт) - цей масив разом з CryptoSign є "контрольним значенням" для визначення правильності пароля.
За адресою 0x272 розташовується масив з 15 WORD'ов - це адреси 15 ресурсів, починаючи з другого. Адреса ж першого ресурсу завжди та сама і складає 0x290. Ці адреси вже є зашифрованими.
Як ми бачимо - дійсно там знаходяться адреси! Ці адреси ніколи не можуть бути однаковими і виходить, якщо ресурс порожній, то він усе рівно займає 2 байти - це ми бачимо на початкових адресах: 0x292, 0x294 - ці значення посилаються на "сміття", ресурси ж у цьому файлі знаходяться по адресах 0x296 ... 0x2B2 і 0x2C4...0x2D8 - це видно по тому, що різниця між цими сусідніми адресами більше двох байт і тому що ми вже відзначали вище (у нас 3-й і 13-й блок мають ресурси).
А з адреси 0x290 починаються безпосередньо ресурси. Ці дані також зашифровані.
Якщо ж у файлі ресурси відсутні, то починаючи з адреси 0x290 у PWL-файлі розміщаються нульові слова для кожного з 16 ресурсів так само, як і в Windows 95. Такий файл буде мати довжину, що разраховується за формулою 290h + 16*2 = 2B0h = 688 байт.
6. Принципи шифрування, які використовуються у файлі парольного кешу windows 9x.
Для більшої важливості вся інформація у файлі парольного кеша зашифрована із застосуванням досить криптостійких алгоритмів RC4 і MD5.
Алгоритм RC4 є алгоритмом потокового шифрування і вважається цілком стійким, MD5 - алгоритм створення дайджестів (згорток) повідомлень, досить швидкий у реалізації, розроблювач R.Rivest.
Процедура шифрування/дешифрування парольного кеша зберігається в бібліотеці, що динамічно підключається, MSPWL32.DLL. Крім того, керуванням локальними ресурсами машини, наданими в мережу, займається VSERVER.vxd, а обміном інформацією з віддаленими серверами VREDIR.vx. Безумовно, у зв'язці працюють так само MSNET32.dll, MSNP32.dll та інші.
RC4
Алгоритм RC4, как и любой потоковый шифр, строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением. Длина ключа может составлять от 40 до 256 бит.
Основные преимущества шифра — высокая скорость работы и переменный размер ключа. RC4 довольно уязвим, если используются не случайные или связанные ключи, один ключевой поток используется дважды. Эти факторы, а также способ использования когут сделать криптосистему небезопасной (например WEP).
MD5
MD5 (англ. Message Digest 5) — устаревший, криптографически взломанный, 128-битный алгоритм хеширования, разработанный профессором Рональдом Л. Ривестом из Массачусетского технологического института (Massachusetts Institute of Technology, MIT) в 1991 году. Предназначен для создания «отпечатков» или дайджестов сообщения произвольной длины и последующей проверки их подлинности. Программистам, владельцам веб-сайтов, пользователям следует избегать использования MD5 в любых целях. Одной из альтернатив являются алгоритмы семейства SHA-2.