Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4599 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
Защита информации в глобальных сетях
Файл:

Лаб1 отчет

.docx
Скачиваний:
16
Добавлен:
28.06.2021
Размер:
1.91 Mб
Скачать

Федеральное агентство связи

Ордена Трудового Красного Знамени

Федеральное государственное бюджетное образовательное

учреждение высшего образования

Московский технический университет связи и информатики»

 

Кафедра «Сетевых информационных технологий и сервисов»

 

Отчёт по лабораторной работе №1 по дисциплине «Защита информации в глобальных сетях»

 

Выполнил студент группы

Москва, 2020

Порядок выполнения:

  1. Провести антивирусного сканирование вредоносного файла с помощью сервиса Virustotal.com

  2. Вычислить хэш с использованием утилиты md5deep

  3. Найти строки в программе с использованием утилиты Strings

  4. Определить наличие упаковщика с помощью программы PEiD

  5. Получить сведения о динамически скомпонованных функциях с помощью утилиты Dependency Walker.

Ход работы:

  1. Загрузим файл Lab01-01, предоставленный для данного пункта лабораторной работы, на сайт Virustotal.com. Данный сайт позволяет просканировать файл сразу несколькими антивирусными программами и получить дополнительную информацию о нем. Необходимость сканирования несколькими антивирусными ПО обуславливается тем, что они используют разные базы сигнатур и разные метрики. Результат сканирования файла представлен на рисунках 1-2.

Рисунок 1 – Результат сканирования программы

Р исунок 2 – Результат сканирования программы

Результаты сканирования показали, что примерно 70% антивирусов определили файл как вредоносный.

  1. В ычислим хэш файла Lab01-02 с помощью программы md5deep. Хэш вредоносного файла используется для его маркирования, при помощи значения хэша можно получить информацию о вредоносном файле, уже собранную другими аналитиками или распространить свою уникальную информацию. Результат вычисления представлен на рисунке 3.

Рисунок 2 – Результат работы программы md5deep

  1. Просканируем файл Lab01-03 на наличие строк программой Strings. За строки принимаются последовательности символов ASCII и Unicode, заканчивающиеся специальным нуль-символом. Строки кода могут содержать URL адреса, ip адреса, названия функций Windows, которые будет использовать программа. Все эти данные позволяют получить более детальную информацию о функционале вредоносного ПО. Результат с канирования представлен на рисунках 3-4.

Р исунок 3 – Результат работы программы strings

Рисунок 4 – Текстовый файл со строками файла Lab01-03

  1. О пределим упаковщик файла Lab01-04. Упаковщики – это программы для сжатия и шифрования исполняемых файлов, они используются разработчиками ПО для затруднения анализа. Определить, является ли файл упакованным, можно с помощью программы PEiD. Эта утилита позволяет установить тип упаковщика или компилятора, которые использовались при сборке приложения, что значительно упрощает анализ упакованных данных. Результат работы утилиты представлен на рисунке 5.

Рисунок 5 – Результат работы утилиты PEiD

После анализа файла можно сделать вывод о том, что перед нами Win32-приложение, которое было упаковано Microsoft Visual C++ версии 6.0.

  1. Исследуем динамически скомпонованные функции файла Lab01-04. Импортированные функции — это функции, используемые одной программой, но содержащиеся в другой, например, в библиотеках, которые часто хранят общие для многих программ функции. Сведения о способе компоновки кода являются ключевыми для понимания работы вредоносного ПО, поскольку от них зависит то, какую информацию можно найти в заголовке PE-файла. Динамический метод компоновки является самым распространенным и интересным для анализа вредоносного ПО. Если библиотеки скомпонованы динамически, операционная система ищет их при загрузке программы. Внешняя функция, которую вызывает программа, выполняется в рамках библиотеки. Утилита Dependency Walker выводит список только тех функций, которые были скомпонованы динамически. Результат работы программы представлен на рисунке 6.

Р исунок 6 – Результат работы программы Dependency Walker

Из результатов видно, что программа использует 3 импортированные библиотеки: KERNEL32, ADVAPI32, MSVCRT. Kernel32.dll содержит базовые функции, такие как доступ и управление памятью, файлами и устройствами. Advapi.dll обеспечивает доступ к ключевым компонентам Windows, таким как Диспетчер служб и Реестр. Mvscrt.dll содержит важные функции и команды Visual C++.

Вывод: В данной лабораторной работе были изучены основные методы базового статического анализа вредоносных файлов.

Соседние файлы в предмете Защита информации в глобальных сетях
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности