ZI-LR&PZ / PR_1-3
.pdf
Практична робота №1-3 Основні ознаки присутності на комп'ютері шкідливих програм
Ціль роботи: одержання практичних навичок по виявленню шкідливих програм на локальному комп'ютері під керуванням Microsoft Windows XP.
Завдання:
Вивчити настроювання браузера Internet Explorer, досліджувати список запущених програм за допомогою Диспетчера завдань, вивчити настроювання елементів автозапуску.
Завдання 1. Вивчення настроювань браузера
Вірусні прояви бувають явними, непрямими й схованими. Якщо перші звичайно видні неозброєним оком, то непрямі й тим більше сховані вимагають від користувача прояву неабиякої частки інтуїції. Вони часто не заважають роботі, і для їхнього виявлення потрібно знати, де й що потрібно шукати.
Явні прояви звичайно виражаються в рекламних повідомленнях, що зненацька з'являються, і баннерах - звичайно цей наслідок проникнення на комп'ютер рекламної утиліти. Оскільки їх головна мета - це привернути увагу користувача до рекламованої послуги або товару, то їм складно залишатися непомітними. Також, явні прояви можуть викликати ряд троянських програм, наприклад утиліти несанкціонованого дозвона до платних сервісів.
У цім завданні пропонується досліджувати явні прояви вірусної активності на прикладі несанкціонованої зміни настроювань браузера. Цей механізм іноді використовується для того, щоб змусити користувачів зайти на певний сайт, часто порнографічного змісту. Для цього міняється адреса домашньої сторінки, тобто адреса сайту, яка автоматично завантажується при кожному відкритті браузера.
1.Відкрийте браузер Internet Explorer, скориставшись однойменним ярликом на робочому столі або в системному меню Пуск / Програми
2.Якщо у Вас відкритий і настроєний доступ в Інтернет і після установки операційної системи стартова сторінка змінена не була, повинна відкритися сторінка за замовчуванням - http://www.msn.com
Якщо доступ в Інтернет не настроєний, то виведеться відповідне повідомлення:
3. Перевірте значення параметра, відповідального за стартову сторінку. Для цього потрібно скористатися меню Сервіс. Відкрийте його й виберіть пункт Властивості
оглядача
4. Адреса стартової сторінки зазначений у першому ж полі вікна, що відкрилося, Властивості оглядача, на закладці Загальні. Значення цього поля збігається з тим адресою, яка була автоматично заданий при відкритті браузера.
Зміните це поле, увівши адресу www.viruslist.ru
5.Далі для підтвердження зроблених змін натисніть ОК
6.Закрийте й знову відкрийте браузер
7.Переконаєтеся, що тепер першою справою була завантажена сторінка www.viruslist.ru
У випадку, якщо на Вашому комп'ютері доступ в Інтернет не настроєний, про цей можна догадатися за значенням у поле Адреса:
Таким чином, якщо Ваш браузер почав самостійно завантажувати сторонній сайт, у першу чергу потрібно вивчити настроювання браузера: яка адреса виставлена в поле домашньої сторінки.
Ряд шкідливих програм обмежуються зміною цього параметра й для усунення наслідків зараження потрібно лише виправити адресу домашньої сторінки. Однак це може бути тільки частиною шкідливого навантаження. Тому якщо Ви виявили несанкціоновану зміну адреси домашньої сторінки, слід негайно встановити антивірусне програмне забезпечення й перевірити весь жорсткий диск на наявність вірусів.
Завдання 2. Підозрілі процеси
Одним з основних проявів шкідливих програм є наявність у списку запущених процесів підозрілих програм. Досліджуючи цей список і особливо порівнюючи його з переліком процесів, які були запущені на комп'ютері відразу після установки системи, тобто до початку роботи, можна зробити досить достовірні виводи про інфікування. Це часто допомагає при виявленні шкідливих програм, що мають як тільки сховані або непрямі прояви.
Однак необхідно чітко розуміти й уміти відрізняти легальні процеси (наприклад, системні або запущені програми) від підозрілих. У цім завданні необхідно ознайомитися з основним методом дослідження запущених процесів, а саме одержати навички роботи з Диспетчером завдань Windows, і вивчити стандартний їхній набір.
Диспетчер завдань Windows - це стандартна утиліта, що входить у будь-яку версію Microsoft Windows. C її допомогою можна в режимі реального часу відслідковувати запущені процеси, що виконуються додатки й, оцінювати завантаженість системних ресурсів комп'ютера й використання мережі.
1. Перейдіть до Диспетчера завдань Windows, нажавши одночасно клавіші
Ctrl+Alt+Delete.
вікно, що відкрилося, містить чотири закладки, що відповідають чотирьом видам активності, які відслідковує Диспетчер: додатка, процеси, швидкодія (використання системних ресурсів) і Мережа. За замовчуванням у Вас повинна відкритися друга закладка, Додатки.
2. Перейдіть на вкладку Процеси й уважно вивчите представлений у вікні список процесів. Якщо на комп'ютері не запущені ніякі користувацькі програми, він повинен містити тільки службові процеси операційної системи.
Увага! Ці процеси необхідні системі для стабільної роботи
Назва |
Опис |
Можливість |
|
процесу |
завершення |
||
|
|||
CSRSS.EXE. |
Скорочення від «Client/Server Run – Time |
|
|
|
Subsystem».Процес відповідає за вікна консолі, за |
|
|
|
створення й видалення потоків, а також частково за |
|
|
|
роботу 16бітного середовища MS-DOC. Він |
- |
|
|
ставиться до підсистеми Win32 користувацького |
|
|
|
режиму (WIN32.SYS же ставиться до ядра Kernel) і |
|
|
|
повинен завжди виконуватися. |
|
|
EXPLORER.EXE. |
Користувацьке середовище, що містить такі |
|
|
|
компоненти, як Панель завдань, Робочий стіл і таке |
+ |
|
|
інше. Його практично завжди можна закривати й |
||
|
|
||
|
знову відкривати без яких-небудь наслідків. |
|
|
INTERNAT.EXE |
Завантажує різні обрані користувачем мови введення, |
+ |
|
|
показує на панелі завдань значок «RL», який дозволяє |
||
|
|
Назва |
Опис |
|
|
|
|
|
|
|
Можливість |
процесу |
|
|
|
|
|
|
|
завершення |
|
|
|
|
|
|
|
|
|
||
|
перемикати мови введення. За допомогою панелі |
|
|||||||
|
керування можливо без використання даного процесу |
|
|||||||
|
без усяких |
проблем |
перемикати |
розкладку |
|
||||
|
клавіатури. |
|
|
|
|
|
|
|
|
LSASS.EXE |
Цей локальний сервер авторизації відповідає за Ip- |
|
|||||||
|
Директиви безпеки (Інтернетпротоколи) і |
|
|||||||
|
завантажує драйвер безпеки. Він запускає процес, |
|
|||||||
|
відповідальний за авторизацію користувачів. При |
- |
|||||||
|
успішній авторизації користувача додаток створює й |
|
|||||||
|
привласнює йому спеціальний протокол. Усі запущені |
|
|||||||
|
далі процеси використовують цей протокол. |
|
|
||||||
MSTASK.EXE |
Відповідає за службу планування Schedule, яка |
|
|||||||
|
призначена для запуску різних додатків у певне |
- |
|||||||
|
користувачем час. |
|
|
|
|
|
|
|
|
SMSS.EXE |
Диспетчер |
сеансів |
запускає |
высокоуровневые |
|
||||
|
підсистеми й сервіси. Процес відповідає за різні дії, |
|
|||||||
|
наприклад запуск |
Winlogon- і |
Win 32-процесів, а |
- |
|||||
|
також за операції із системними змінними. Коли Smss |
||||||||
|
|
||||||||
|
визначаємо, що Winlogon або Csrss закриті, він |
|
|||||||
|
автоматично виключає систему. |
|
|
|
|
||||
SPOOLSV.EXE |
Забезпечує створення |
черги |
на |
печатку, |
тимчасово |
- |
|||
|
зберігаючи документи й факси в пам'яті. |
|
|
||||||
|
|
|
|
||||||
SVCHOST.EXE |
Цей всеосяжний процес служить хостом для інших |
|
|||||||
|
процесів, що запускаються за допомогою DLL. Тому |
|
|||||||
|
іноді працюють одночасно трохи Svchost. За |
- |
|||||||
|
допомогою команди «tlist - s» можна вивести на екран |
|
|||||||
|
усі процеси, що використовують Svchost. |
|
|
|
|||||
SERVICES.EXE |
Процес керування системними службами. Запуск, |
|
|||||||
|
закінчення, а також усі інші дії зі службами |
- |
|||||||
|
відбуваються через нього. |
|
|
|
|
|
|||
SYSTEM |
Цей процес виконує всі потоки ядра Kernel. |
|
- |
||||||
SYSTEM IDLE |
Цей процес виконується на будь-якому комп'ютері. |
|
|||||||
PROCESS |
Потрібний |
він, |
щоправда, |
усього |
лише |
для |
- |
||
|
моніторингу |
процесорних |
ресурсів, |
не |
|||||
|
|
||||||||
|
використовуваних іншими програмами. |
|
|
|
|||||
TASKMGR.EXE |
Процес диспетчера завдань, закривати який украй не |
+ |
|||||||
|
рекомендується. |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
||
WINLOGON.EXE |
Відповідає за керування процесами авторизації |
|
|||||||
|
користувачів. Він активний, тільки коли користувач |
- |
|||||||
|
натискає «Ctrl+Alt+Del». |
|
|
|
|
|
|||
WINMGTM.EXE |
Основний компонент клієнтської служби Windows. |
|
|||||||
|
Процес запускається одночасно з першими |
|
|||||||
|
клієнтськими додатками й виконується при будь- |
- |
|||||||
|
якому запиті служб. В XP він запускається як клієнт |
|
|||||||
|
процесу Svchost. |
|
|
|
|
|
|
|
|
У даній роботі ми розглядаємо ОС Microsoft Windows XP, в Microsoft Windows Vista,
кількість процесів, необхідних для стабільної роботи ОС набагато більше.
3. Для кожного процесу виводяться його параметри: ім'я образа (може не збігатися з іменем файлу, що запускається), ім'я користувача, від чийого імені був
запущений процес, завантаження цим процесом процесора й обсяг займаної їм оперативної пам'яті.
4. Оскільки в цей момент не повинна бути запущена жодна користувацька програма, процесор повинен бути вільний. Отже, "Бездіяльність системи" повинне виявитися внизу списку з досить більшим відсотком "використань" процесора. На малюнку це 95 %.
У ряді випадків може знадобитися вручну завершити якийсь процес. Це можна зробити за допомогою кнопки Завершити процес.
Наприклад, Ви виявили підозрілий процес, на сайті вірусної енциклопедії www.viruslist.ru прочитали, що він однозначно належить вірусу або троянській програмі, але антивірусної програми на комп'ютері немає. Тоді потрібно закрити всі працюючі додатки й за допомогою Диспетчера завдань вручну завершити цей процес. Щоб виключити поява його знову настійне рекомендується якнайшвидше встановити повноцінний антивірусний додаток і відразу ж запустити перевірку всього жорсткого диска на наявність вірусів.
5.Випишіть усі запущений процеси на аркуш паперу або в текстовий файл і перейдіть до закладки Додатка
6.Оскільки в цей момент не запущений жодне додаток, список запущених додатків порожній
7. Не закриваючи вікна Диспетчера завдань Windows, відкрийте програму Paint. Для цього скористайтеся системним меню Пуск / Програми / Стандартні / Paint
8.Дочекайтеся запуску Paint
9.Не закриваючи додаток Paint, поверніться до вікна Диспетчера завдань Windows і простежите за змінами на закладці Додатка
10.Список запущених додатків повинен містити рядок, соответствующею Paint. Оскільки вона зараз працює, це ж записаний у рядку Стан.
Іноді трапляється так, що програма викликає помилку - тоді в її стані буде написано "Не відповідає". Якщо якийсь раніше безперебійно працюючий додаток початок частий без видимих причин переходити в стан "Не відповідає", це може бути непрямою ознакою зараження.
Тоді перше, що можна зробити - це скористатися кнопкою Зняти завдання й почати пошуки причин. Якщо програма по колишньому не завершила роботу, перейдіть на вкладку Процеси, знайдіть у списку процесів потрібний Вам процес і скористайтеся кнопкою Завершити процес.
11.Перейдіть до закладки Процеси
12.Зрівняєте список запущених зараз процесів з переліком, складеним на кроці 5 цього завдання. Знайдіть відмінність
13.Переконаєтеся, що програмі Paint відповідає процес mspaint.exe. Для цього знайдіть його в списку запущених процесів, не закриваючи й не звертаючи вікно Диспетчера завдань Windows, поверніться у вікні Paint і закрийте його
14.Простежите, що зі списку запущених процесів пропав mspaint.exe
15.Поверніться до закладки Додатка й переконаєтеся, що вона знову порожня
16.Перейдіть до закладки Швидкодія
17.Уважно вивчите розташовані отут графіки. Будь-які сплески на них повинні за часом відповідати якимсь діям, наприклад запуску вимогливої до ресурсів програми. Якщо нічого схожого свідомо не проводилося, це може бути причиною для більш детального дослідження комп'ютера
18.Закрийте вікно Диспетчера завдань Windows
Завдання 3. Елементи автозапуску
Для того, щоб прикладна програма почала виконуватися, її потрібно запустити. Отже, і вірус потребує того, щоб його запустили. Для цього можна використовувати два сценарії: або зробити так, щоб користувач сам його запустив (або через незнання, або з використанням облудних методів), або впровадитися в конфігураційні файли й запускати одночасно з іншої, корисною програмою. Оптимальним з погляду вірусу варіантом