
- •Завдання
- •1 Огляд об’єкту дослідження
- •1.1 Опис предметної області
- •1.2 Постановка завдання
- •2 Монітор файлової системи Process Monitor
- •2.1 Опис утиліти
- •2.2 Практичне застосування Process Monitor
- •3 Аудит безпеки в ос Windows та Linux
- •3.1 Загальні поняття
- •3.2 Управління аудитом в ос Windows
- •3.3 Управління аудитом в ос Linux
- •Висновки
- •Список литератури
1.2 Постановка завдання
У цій курсовій роботі буде розглянута утиліта Process Monitor, яка контролює і слідкує за всією роботою операційної системи і відображає всі процеси, що відбуваються, працюючі бібліотеки, різні драйвери пристроїв, а також всі зміни, що відбуваються з файлами і виводить повідомлення про їх видалення або відкриття, а також ознайомимось з аудитом безпеки у операційних системах Windows та Linux.
2 Монітор файлової системи Process Monitor
2.1 Опис утиліти
Загальні відомості
Process Monitor - програма від компанії Sysinternals для спостереження в реальному масштабі часу за діями різних процесів в середовищі операційної системи Windows. Утиліта Process Monitor, включає в себе можливості програми моніторингу звернень до реєстру Regmon і програми моніторингу звернень до файлової системи Filemon, і додатково, дозволяє отримувати більш детальну інформацію про взаємодію процесів, використання ресурсів, мережевої активності та операціях введення-виведення.
Програма працює у всіх версіях ОС Windows, не вимагає інсталяції, однак має виконуватися під обліковим записом з правами адміністратора.
Для своєї роботи, Process Monitor встановлює в системі власний драйвер PROCMON20.SYS, за допомогою якого виконується перехоплення контрольованих монітором системних функцій і збір даних підлягають моніторингу. Спостереження виконується для наступних класів операцій - звернення до файлової системи (file system), звернення до реєстру (Registry), робота з мережею (Network), і активність процесів (Process). Після старту програми Process Monitor, виводиться вікно з фільтрами для виключення з процесу спостереження подій стандартної активності системи і самого монітора (рисунок 2.1).
Після запуску виконуваного файлу procmon.exe починається збір, обробка й виведення даних про відслідковуються подіях в основному вікні програми (рисунок 2.2).
Інтерфейс програми складається з 3-х частин - рядок меню (menu bar), панель інструментів (toolbar) і область виводу даних у вигляді списку. Програма перехоплює відстежувані події, пов'язані з активністю процесів і видає дані у відповідності з заданими критеріями фільтрації та користувацькими налаштуваннями відображуваних колонок.
Рисунок 2.1 Вікно з фільтрами для виключення з процесу спостереження
Рисунок 2.2 Основне вікно програми
Кожній події, перехоплених програмою Process Monitor, відповідає один рядок у вікні виводу даних. Подвійне клацання на окремому рядку викличе вікно перегляду властивостей події (Event Properties). Порядок проходження рядків відповідає послідовності виконання операцій. Інформація у вікні виводу даних розділена на декілька стовпців, склад яких можна вибрати за допомогою контекстного меню Select Columns, що викликається правою кнопкою мишки на поле опису колонок або через головне меню - Options - Select Columns.
Рисунок 2.3 Вікно вибору колонок
Можливий виведення колонок, розбитих на 3 категорії:
Application Details - відомості про процес
Event Details - відомості про подію
Process Management - дані про батьківський процес, породжуваних потоках і контексті облікового запису безпеки досліджуваного процесу.
Встановлення фільтрів
Process Monitor запам'ятовує останній використовуваний набір фільтрів і застосовує його при наступному запуску програми. Задати умови фільтрації можна відразу після старту утиліти або викликавши вікно налаштування фільтрів (Process Monitor Filters) в будь-який момент часу з використанням меню програми або комбінації клавіш CTRL + L. Крім безпосереднього створення правил фільтрації вручну, можливе використання кнопок панелі інструментів і контекстного меню, що викликається правою кнопкою мишки.
Рисунок 2.4 Виклик контекстного меню
Меню дозволяє виконувати дії фільтрів Include, Exclude і Highlight з використанням даних вибраного події. Так, наприклад, вибір пункту меню Exclude "PTStartmon.exe" призведе до створення правила фільтру для виключення з спостереження процесу з ім'ям PTStartmon.exe. Вибір Highlight - випадаюче меню - Result викличе підсвічування всіх записів, у поле результату виконання відслідковується операції яких, буде таке ж значення, як і в поточному подію.Exclude та Category - виключити з вихідних даних події, категорія яких збігається з категорією обраної записи. Створення фільтрів вручну дозволяє отримувати більш гнучкі правила, засновані на використанні логічних виразів.
Рисунок 2.5 Фільтр що створений вручну
Column (колонка) - вибираємо значення Company
Relation (вираз - можна вибрати is (дорівнює) чи, більш універсально - contain (містить)
Value (значення) - вибираємо Microsoft Corporation
Action (дія) - вибираємо Exclude - виключити.
У підсумку, одержуємо правило - "не відображати події, в полі імені компанії яких присутня значення Microsoft Corporation".