- •Основні складові підсистеми безпеки windows 9x.
- •2. Перелічить, які саме ресурси windows 9x захищаються.
- •3. Структура системного реєструWindows.
- •4. Наведіть приклади окремих ключів системного реєстру, які відіграють значну роль у захисті ос Windows.
- •5. Необхідність створення, місце розташування та зміст файлу парольного кеша windows 9x.
- •023E: Ресурс 0 Ресурс 1
- •6. Принципи шифрування, які використовуються у файлі парольного кешу windows 9x.
- •7. Порівняйте захист файлу парольного кешу у windows v4.0 та Windows v4.1. З якої причини перша вважається менш захищеною?
- •8. Перелічить міри по захисту парольного кешу windows 9x.
- •9. Які методи та програмні засоби використовуються хакерами для злому файлів парольного кешу?
- •10. Основні складові підсистеми безпеки windows 2k.
- •12. Порівняйте принципи побудови файлових систем fat та ntfs. Чому остання дає можливість більш потужного захисту ос windows?
- •13. В чому суть системи захисту та розмежування доступу, які надає файлова система ntfs?
- •14. Роль файлу sam у системі захисту windows 2k. Які мери по обмеженню доступу до нього Ви знаєте?
- •17. Види хешування паролів у windows 2k. Порівняйте їх по криптостійкості.
- •18. Роль системи syskey в захисті облікових записів windows 2k.
- •19. Принцип шифрування з допомогою утиліти syskey. Де можуть зберігатись ключі syskey?
- •20. Загальна характеристика методів атак на файл sam.
- •27. Перелічіть складові комплексних мір по захисту ос Windows 2k від локальних атак
- •28. Адміністрування паролів в Windows 2k
- •29. Адміністрування мережних ресурсів в Windows 2k
- •30. Якім чином та за яких умов здійснюється віддалене адміністрування у windows 2k?
- •Место для 33-35
- •40. Поняття портів комп'ютера. Чи мають вони відношення до портів вводу – виводу?
- •41. Перелічите основні види стану портів комп'ютера.
- •42. Пояснить, чому відкрити порти можуть загрожувати безпеці комп'ютера.
- •43. Tcp та udPмережніпротоколи. Їхособливості. Процедура handshake
- •44. Взаємодіякомп'ютерів у локальноїмережі.
- •Перевагиоб'єднаннякомп'ютерів у локальну мережу
- •Технологія
- •45. Служба NetBios. Чомуїївикористанняпідвищуєнебезпекукомп'ютера при роботі у мережі?
- •46. Пояснить основні принципи мережного сканування.
- •47. Перелічите основні види сканування та деякі програми для його виконання.
- •48. Шляхи запобігання мережному скануванню та визначення атакуючого.
20. Загальна характеристика методів атак на файл sam.
Оскільки одержати доступ до ресурсів комп'ютера можна тільки легітимному користувачу, то основні зусилля хакери направляють на злом файлу облікових записів SAM. Зрозуміло, що навряд хто дозволить хакеру займатися зломом безпосередньо на тому ж комп'ютері, тому він буде прагнути скопіювати цей файл, його розмір у кілька десятків кілобайт це дозволяє. Однак операційна система це не дозволить зробити навіть адміністратору (див. вище).Вихід може бути знайдений у завантаженні якої-небудь іншої операційної системи і доступі до файлу SAM через неї. Це можливо, якщо в різних розділах «вінчестера» маються інші ОС, наприклад LINUX, Windows 98 і т.п. (варіант із підключенням «вінчестера» другим до іншого комп'ютеру тут, зрозуміло, розглядати не будемо). Правда, у цьому випадку потрібно врахувати, що далеко не кожна ОС підтримує NTFS-розділи, тому вони будуть відображатися.
Однак зломщик може застосувати утиліту NTFSDOS (автори Mark Russinovich, Bryce Cogswell), за допомогою якої NTFS-розділи стають доступними навіть після завантаження із системної дискети MS-DOS. Після цього файл SAM без проблем може бути скопійований на ту ж дискету. При наявності захисту за допомогою SYSKEY прийдеться ще копіювати з тієї ж папки і файл системного реєстру SYSTEM довжиною у кілька мегабайт, де зберігається ключ System Key, але при наявності архиватора, приводу флоппі-диску та часу ця проблема теж розв'язувана.
Далі скопійовані файли можуть бути детально аналізовані за допомогою спеціальних програм класу «парольні зломщики».
21. Перелічите послідовність дій хакерів по злому файла SAM.
22. Прийоми несанкціонованого копіювання хакером файла SAM.
Оскільки одержати доступ до ресурсів комп'ютера можна тільки легітимному користувачу, то основні зусилля хакери направляють на злом файлу облікових записів SAM. Зрозуміло, що навряд хто дозволить хакеру займатися зломом безпосередньо на тому ж комп'ютері, тому він буде прагнути скопіювати цей файл, його розмір у кілька десятків кілобайт це дозволяє. Однак операційна система це не дозволить зробити навіть адміністратору (див. вище). Вихід може бути знайдений у завантаженні якої-небудь іншої операційної системи і доступі до файлу SAM через неї. Це можливо, якщо в різних розділах «вінчестера» маються інші ОС, наприклад LINUX, Windows 98 і т.п. (варіант із підключенням «вінчестера» другим до іншого комп'ютеру тут, зрозуміло, розглядати не будемо). Правда, у цьому випадку потрібно врахувати, що далеко не кожна ОС підтримує NTFS-розділи, тому вони будуть відображатися.
Однак зломщик може застосувати утиліту NTFSDOS (автори Mark Russinovich, Bryce Cogswell), за допомогою якої NTFS-розділи стають доступними навіть після завантаження із системної дискети MS-DOS. Після цього файл SAM без проблем може бути скопійований на ту ж дискету. При наявності захисту за допомогою SYSKEY прийдеться ще копіювати з тієї ж папки і файл системного реєстру SYSTEM довжиною у кілька мегабайт, де зберігається ключ System Key, але при наявності архиватора, приводу флоппі-диску та часу ця проблема теж розв'язувана.
23. Укажіть, які програмні засобі можуть використовувати хакерів для злому файлу SAM.
Скопійовані файли можуть бути детально аналізовані за допомогою спеціальних програм класу «парольні зломщики».
Першою програмою, що виконує відновлення паролів Windows 2х, була L0phtCrack (сьогоднішня назва - LC4). Авторами L0phtCrack є Peiter Mudge Zatko і Chris Wysopal з фірми L0pht Heavy Industries, Inc. (зараз @stake, Inc.).
Програма L0phtCrack дозволяє обчислювати паролі, використовуючи три методи, відомим нам по програмі PWL Tools:
пошук по словниковій таблиці;
пошук шляхом зміни словникових слів;
пошук шляхом повного перебору заданої підмножини символів.
При використанні першого методу застосовується пошукова словникова таблиця, що визначає спеціальний файл словника. Хешировані паролі для всіх слів у файлі словника вже є обчисленими і порівнюються з усіма паролями для користувачів даної SAM. Коли фіксується відповідність - пароль стає відомий. Цей метод надзвичайно швидкий. Тисячі користувачів можуть бути перевірені за допомогою 300 КБ файлу словника усього за кілька хвилин на звичайному РІІ. Недолік цього методу полягає в тому, що за допомогою словника можна визначити тільки дуже прості паролі, що існують в англійській мові (словниковий запас якого не перевищує 100 тис. слів).
Другий метод, використовує ту ж таблицю, змінюючи слова з таблиці.
Третій метод використовує послідовний перебір символів типу A-Z, 0-9 і інших наборів з обчисленням хеша для кожного можливого пароля для цих символів. Єдиний недолік даного методу - час. Набір символів A-Z вимагає приблизно 7 годин обчислень на 600 герцовых процесорах РІІІ чи Athlon. Повний перебір набору символів A-Z і 0-9 вимагає приблизно троє діб.
Однак, при використанні в паролі нелатинських букв програма L0phtCrack виявляється неспроможною, і тоді для відновлення паролів рекомендується використовувати її модифікацію LC+4. Ця програма має російськомовний інтерфейс й не вимагає інсталяції.
З інших програм такого класу найбільш відомий SAMInside (автор Олександр Полуэктов). Ця програма написана на ассемблері й оптимізована під різні процесори, що забезпечує більш високу швидкість перебору сполучень символів. Програма відновлює паролі користувачів Windows NT/2000/XP/2003, імпортованих з SAM-файлів і зашифрованих системним ключем SYSKEY. Програма має розмір усього кілька десятків кілобайт і також не вимагає інсталяції.
Дещо відрізняється утиліта Offline NT Password & Registry Editor (автор Petter Nordahl-Hagen), що являє собою завантажувальну дискету з можливістю доступу і редагування облікових записів у файлі SAM.
Тут повинні бути 24-26(не вибрані)