ZI-LR&PZ / PR_2-8
.pdf
Практична робота №2-8 Робота з командним рядком. Мережна активність
Ціль роботи: одержання практичних навичок по роботі з Командним рядком і по виявленню шкідливих програм на локальному комп'ютері під керуванням Microsoft Windows XP за допомогою Командного рядка.
Завдання:
Одержати навички роботи з Командним рядком, вивчити й проаналізувати мережну активність можна за допомогою Командного рядка.
Завдання 1. Робота з Командним рядком
В операційній системі Windows, як і в інших операційних системах, інтерактивні (, що набираються із клавіатури й відразу ж виконувані) команди виконуються за допомогою так званого командного інтерпретатора, інакше називаного командним процесором або оболонкою командного рядка (command shell). Командний інтерпретатор або оболонка командного рядка — це програма, яка, перебуваючи в оперативній пам'яті, зчитує команди, що набираються вами, і обробляє їх. В Windows 9x, як і в MS-DOS, командний інтерпретатор за замовчуванням був представлений файлом, що виконується, command.com. Починаючи з версії Windows NT, в операційній системі реалізований інтерпретатор команд Cmd.exe, що володіє набагато могутнішими можливостями.
В Windows NT/2000/XP файл Cmd.exe, як і інші файли, що виконуються, відповідні до зовнішніх команд операційної системи, перебувають у каталозі %Systemroot%\SYSTEM32 (значенням змінного середовища %Systemroot% є системний
каталог Windows, звичайно C:\Windows або C:\Winnt).
1. Для запуску командного інтерпретатора (відкриття нового сеансу Командного рядка) можна вибрати пункт Пуск / Виконати, увести ім'я файлу Cmd.exe і нажати кнопку OK. У результаті відкриється нове вікно, у якому можна запускати команди й бачити результат їх роботи.
Деякі команди распознаются й виконуються безпосередньо самим командним інтерпретатором — такі команди називаються внутрішніми (наприклад, copy або dir) Інші команди операційної системи являють собою окремі програми, розташовані за замовчуванням у тому ж каталозі, що й Cmd.exe, які Windows завантажує й виконує
аналогічно іншим програмам. Такі команди називаються зовнішніми (наприклад, more або xcopy).
2. Для того, щоб виконати команду, ви після запрошення командного рядка (наприклад, C:) уводите ім'я цієї команди (регістр не важливий), її параметри й ключі (якщо вони необхідні) і натискаєте клавішу <Enter>. Створіть на диску C файл myfile.txt і
папку Files. У Командному рядку наберіть
copy C:\myfile.txt C:\Files /V
Ім'я команди тут — copy, параметри — C:\myfile.txt і C:\Files, а ключем є /V. Відзначимо, що в деяких командах ключі можуть починатися не із символу /, а із символу
–(мінус), наприклад, -V.
3.Багато команд Windows мають велика кількість додаткових параметрів і ключів, запам'ятати які найчастіше буває важко. Більшість команд постачена вбудованою довідкою, у якій коротко описуються призначення й синтаксис даної команди. Одержати доступ до такої довідки можна шляхом уведення команди із ключем /? або /help. У командному рядку наберіть
copy /?
shutdown /help
help
Остання команда виводить список основних команд Командного рядка
4. За допомогою перепризначення пристроїв уведення/виводу одна програма може направити свій вивід на вхід інший або перехопити вивід іншої програми, використовуючи його як своїх вхідних даних. Таким чином, є можливість передавати інформацію від процесу до процесу при мінімальних програмних витратах. Практично це означає, що для програм, які використовують стандартні вхідні й вихідні пристрої, операційна система дозволяє: виводити повідомлення програм не на екран (стандартний вихідний потік), а у файл або на принтер (перенапрямок виводу), читати вхідні дані не із клавіатури (стандартний вхідний потік), а із заздалегідь підготовленого файлу (перенапрямок уведення), передавати повідомлення, виведені однієї програмою, у якості вхідних даних для іншої програми. У Командному рядку наберіть
copy /? > C:\myfile.txt
Відкрийте файл myfile.txt – у ньому повинен утримуватися вивід довідки команди
copy.
5. За допомогою символу < можна прочитати вхідні дані для заданої команди не із клавіатури, а з певного (заздалегідь підготовленого) файлу. На диску Зі створіть файл date.txt і напишіть у ньому 20.10.2009. У Командному рядку наберіть
Date < C:\date.txt
Перевірте дату на вашому комп'ютері, вона повинна змінитися на 20.10.2009
6. Однієї з команд, що найбільше часто використовуються, для роботи, з якої застосовується перенапрямок уведення/виводу й конвеєризація, є more. Ця команда зчитує стандартне введення з конвеєра або переспрямованого файлу й виводить інформацію частинами, розмір кожної з яких не більше розміру екрана. Використовується more звичайно для перегляду довгих файлів. У Командному рядку наберіть
More C:\date.txt
7. Іншою розповсюдженою командою, що використовує перенапрямок уведення/виводу й конвеєризацію, є sort. Ця команда працює як фільтр: вона зчитує символи в заданому стовпці, упорядковує їх у зростаючому або убутному порядку й виводить відсортовану інформацію у файл, на екран або інший пристрій. У командному рядку наберіть
sort < C:\date.txt
sort /r < C:\date.txt
За замовчуванням сортування виконується в порядку зростання. Ключ /R дозволяє змінити порядок сортування на зворотний ( від Z до A і потім від 9 до 0).
Завдання 2. Мережна активність
Зненацька зросла мережна активність може служити яскравим свідченням роботи на комп'ютері підозрілої програми, що робить несанкціоноване розсилання листів, що зв'язується зі своїм автором і передавальної йому конфіденційну інформацію або, що просто завантажує свої додаткові модулі або атакуючої сусідні комп'ютери. Але при цьому потрібно не забувати, що ряд цілком легальних додатків також мають властивість іноді зв'язуватися із сайтом фірми-виробника, наприклад для перевірки наявності відновлень або більш нових версій. Тому, перш ніж відключати мережа й висмикувати мережний шнур, побачивши незвичайно яскраве миготіння лампочки на мережній карті, необхідно вміти визначати які програми й додатка викликали цю підозрілу активність.
Вивчити й проаналізувати мережну активність можна за допомогою вбудованих в операційну систему інструментів або ж скориставшись спеціальними окремо встановлюваними додатками. Це можна зробити за допомогою Диспетчера завдань Windows, але він показує тільки саму загальну інформацію. Для одержання більш докладних даних потрібно скористатися утилітою netstat, яка виводить на екран миттєву статистику мережних з'єднань.
1. Скористайтеся системним меню Пуск / Програми / Стандартні / Командний рядок або Пуск / Виконати, увести ім'я файлу Cmd.exe і нажати кнопку OK
2.У Командній мтроке наберіть netstat /?
3.Прочитайте опис утиліти netstat. Переконаєтеся, що для виводу самої повної інформації потрібно використовувати ключ -a
4.У Командному рядку наберіть netstat -a
5.Результатом виконання команди є список активних підключень, у який входять установлені з'єднання й відкриті порти.
Tcp-Порти позначаються рядком “TCP” у колонку Ім'я. Відкриті Tcp-Порти позначаються рядком "LISTENING" у колонку стан. Частина портів пов'язана із системними службами Windows і відображається не по номеру, а за назвою - epmap, microsoft-ds, netbios-ssn. Порти, що не ставляться до стандартних служб, відображаються по номерах.
Udp-Порти позначаються рядком "UDP" у колонку Ім'я. Вони не можуть перебувати в різних станах, тому спеціальна позначка "LISTENING" у їхнім відношенні не використовується. Як і Tcp-Порти вони можуть відображатися по іменам або по номерах.
Порти, використовувані шкідливими програмами, найчастіше є нестандартними й тому відображаються відповідно до їхніх номерів. Втім, можуть зустрічатися троянські програми, що використовують для маскування стандартні для інших додатків порти, наприклад 80, 21, 443 - порти, використовувані на файлові й веб-серверах.
6. Команда netstat, на відміну від Диспетчера завдань Windows, не працює в режимі реального часу, а відображає миттєву статистику. Отже, для перегляду активності
з'єднань, скажемо, через хвилину, потрібно заново виконати команду. У Командному рядку наберіть
netstat -a
і подивитеся не зміни
7.Досліджуйте отриману статистику
8. Закрийте вікно командного рядка. У Командному рядку наберіть exit
Зміст звіту.
Тема роботи
Цілі роботи
Опис використовуваних розглянутих можливостей ОС (робота з командним рядком)
Алгоритм отримання мережної активності (графічний або словесний опис)
Результати роботи (екранні форми)
Висновки