Противодействие работе flash-вирусов

Лабораторная работа по предмету «Программирование»
Информация о работе
  • Тема: Противодействие работе flash-вирусов
  • Количество скачиваний: 5
  • Тип: Лабораторная работа
  • Предмет: Программирование
  • Количество страниц: 9
  • Язык работы: Русский язык
  • Дата загрузки: 2015-11-27 06:40:02
  • Размер файла: 35.52 кб
Помогла работа? Поделись ссылкой
Информация о документе

Документ предоставляется как есть, мы не несем ответственности, за правильность представленной в нём информации. Используя информацию для подготовки своей работы необходимо помнить, что текст работы может быть устаревшим, работа может не пройти проверку на заимствования.

Если Вы являетесь автором текста представленного на данной странице и не хотите чтобы он был размешён на нашем сайте напишите об этом перейдя по ссылке: «Правообладателям»

Можно ли скачать документ с работой

Да, скачать документ можно бесплатно, без регистрации перейдя по ссылке:

Лабораторная работа

Противодействие работе flash-вирусов

 

Цель работы: получение умений по исследованию работы flash-вирусов и по противодействию их запуску.

Задание к лабораторной работе. Выполните все пункты лабораторной работы. Оформите письменный отчет по лабораторной работе, содержащий:

- ответы на все вопросы, поставленные в работе,

- ответы на все вопросы для самоконтроля.

Работа завершается после ответа на дополнительные вопросы преподавателя.

Необходимые технические средства. В распоряжение обучаемого предоставляется рабочая станция с комплектацией не ниже: процессор – аналог Intel Pentium III, ОЗУ – 1 ГБайт, свободное пространство на жестком диске не менее 10 ГБайт, CD-дисковод. На рабочей станции будет установлена виртуальная машина под управлением Windows XP Professional.

 

Необходимые для работы файлы

Для выполнения лабораторной работы необходима программа "VmWare Workstation" 5 версии или выше.

Для работы потребуется следующий файл (путь укажет преподаватель):

- файл "OSWinXP.rar" - архив образа виртуальной машины с Windows XP; архив распакуйте в подкаталог WinXP Вашей подгруппы рабочего каталога студентов. Например,

C:work№группы_№подгруппыVirWinXP    или

C:Studentsгруппы_подгруппыVirWinXP

где №группы - номер группы студентов,

а №подгруппы - номер подгруппы студентов (например, 1 или 2).

Также для работы с клиентской машиной необходимы следующие файлы из каталога "Data" (путь укажет преподаватель):

- "winrar.rar";

- "Procmon.exe";

- "autoruns.exe";

- "USB_VDisk.exe";

- "far1705.exe";

- "Recyc_vir.rar";

- "DisableFlashes.reg".

Последние файлы нужно будет скопировать позднее (во 2-ом упражнении) на виртуальную машину.

 

Порядок выполнения работы

1. Создание виртуальной машины с ОС Windows XP.

2. Изменение настроек Explorer.

3. Копирование, установка и настройка программ.

4. Исследование работы flash-вируса.

5. Противодействие запуску flash-вируса.

6. Блокирование автозапуска вируса с помощью настроек политики безопасности.

7. Восстановление исходной программной среды.

8. Блокирование автозапуска вируса с помощью настроек безопасности файловой системы flash-диска.

9. Завершение лабораторной работы.

 

Упражнение 1. Создание виртуальной машины с ОС Windows XP

В работе клиентская машина будет функционировать под управлением операционной системы Windows XP Professional. Предлагается использовать образ уже установленной ОС Windows XP (образ был извлечен Вами из архива "WinXP.rar").

1. Запустите программу "VmWare Workstation" (кнопка "Пуск" → "Программы" → "VmWare" → "VmWare Workstation"). Если в окне программы "VMware Workstation" уже есть закладки виртуальных машин, запускавшихся ранее, то закройте их. Для этого из контекстного меню каждой закладки выберите пункт "Close".

2. В программе "VmWare Workstation" перейдите в меню "File" → "Open…". В открывшемся окне выберите из подкаталога "WinXP" Вашего каталога файл "WinXPpro.vmx" и нажмите кнопку "Open". Появится закладка "WinXP", описывающая виртуальную машину.

3. Убедитесь, что на этой закладке строка "Configuration file:" указывает на каталог, куда Вами был распакован архив "WinXP.rar". Иначе заново выполните пункты 1-2 данного упражнения.

4. Для запуска виртуальной машины нажмите на иконку панели задач программы "VmWare Workstation", изображающую зеленый треугольник .

5. Если появится диалог, информирующий о том, что виртуальная машина уже запускалась на данной физической машине, установите галочку "Create" (Создание новой машины) и нажмите кнопку "OK".

6. Для входа в ОС используйте пароль "password".

 

Упражнение 2. Изменение настроек Explorer

Для отображения файлов, каталогов и элементов ОС, которые по умолчанию скрыты, измените часть настроек программы "Explorer".

1. Если на рабочем столе виртуальной машины отсутствуют объекты "Мой компьютер" или "Сетевое окружение", то нажмите правой клавишей мыши на свободной части рабочего стола и выберите из контекстного меню пункт "Свойства". В диалоге "Свойства монитора" перейдите на закладку "Рабочий стол". Нажмите на кнопку "Настроить рабочий стол". В диалоге "Элементы рабочего стола" установите флажки:

- "Мой компьютер",

- "Сетевое окружение" и

- "Internet Explorer" (в некоторых версиях Windows XP может отсутствовать).

Последовательно закройте диалоги "Элементы рабочего стола" и "Свойства монитора", нажимая на кнопки "OK". Убедитесь, что на рабочем столе появились выбранные элементы.

2. Откройте окно Explorer'а (например, через ярлык "Мой компьютер") и выберите меню "Сервис" → "Свойства папки...". В окне "Свойства папки"  перейдите на закладку "Вид".

3. Среди "Дополнительных параметров" измените следующие галочки:

- уберите "Использовать простой общий доступ к файлам (рекомендуется)"; это необходимо для задания прав доступа на каталоги дисков, отформатированных в формате NTFS;

- установите "Отображать содержимое системных папок";

- установите "Показывать скрытые файлы и папки;

- уберите "Скрывать расширения для зарегистрированных типов файлов";

- уберите "Скрывать защищенные системные файлы (рекомендуется)".

4. Последовательно нажмите кнопки "Применить" и "Применить ко всем папкам". При появлении сообщения о подтверждении изменения вида каталогов нажмите кнопку "Да". После этого закройте диалог "Свойства папки", нажав на кнопку "OK".

 

Упражнение 3. Копирование, установка и настройка программ

Для работы будут необходимы файлы из каталога "Data" (путь к файлам укажет преподаватель). Данный каталог нужно будет скопировать на виртуальную машину методом "drag&drop".

1. На виртуальной машине откройте программу "Explorer" (через ярлык "Мой компьютер") и найдите диск "C: ".

2. На физической машине, нажмите левой клавишей мыши на каталоге "Data" и, не отпуская клавишу мыши, перенесите его в окно программы "Explorer" виртуальной машины. Если не удается выполнить перенос данных, то необходимо выполнить установку инструментов VmWare с помощью мастера, вызываемого через пункты меню "VM" → "Install VmWare Tools…".

3. На виртуальной машине перейдите в каталог "C:Data".

4. Установите программу "winrar.exe", находящейся в каталоге "C:Data".

5. Установите программу "far1705.exe", находящейся в каталоге "C:Data".

6. Запустите программу "C:DataUSB_VDisk.exe". С помощью нее можно будет создавать виртуальные USB-диски. Если процесс установки надолго остановится, то среди всех окон (выбирая их нажатием комбинации клавиш "Alt-Tab", не отпуская "Alt") выберите окно установки нового оборудования и выполните его установку.

7. Запустите, если не запущена, установленную программу из пункта меню "Пуск" → "Все программы" → "Virtual Flash Drive" → " Virtual Flash Drive 3". В окне регистрации нажмите кнопку "Close".

8. В окне "Welcome use virtual flash drive" выберите пункт "Create an Flash Drive for me at now" (создать flash-диск сейчас). Те же действия можно выполнить, если:

- нажать на объект ;

- и в появившемся диалоге "Volume manage" нажать на кнопку .

9. В диалоге "Create new volume" нажмите на кнопку "…". В диалоге "Сохранить как" задайте путь "C:Datausb.edk". Нажмите кнопку "Сохранить". В диалоге "Create new volume" нажмите на кнопку "OK". Программа выполнит создание виртуального USB-диска и откроет его в новом окне программы "Explorer". Закройте данное окно.

10. С помощью иконки "Мой компьютер" найдите объект "Съемный диск (D:)" и посмотрите его свойства:

- нажмите правой клавишей мыши на этом диске;

- из контекстного меню выберите пункт "Свойства";

- изучите информацию о диске в диалоге "Свойства: Съемный диск (D:)";

- закройте диалог "Свойства: Съемный диск (D:)" с помощью кнопки "Отмена".

11. Распакуйте архив "Recyc_vir.rar" в каталог "C:DataVir1"; в качестве пароля наберите "password".

12. Создайте точку отката для виртуальной машины. Для этого вынесите курсор мыши из окна виртуальной машины и выберите в программе "VmWare Workstation" пункты меню "VM" → "Snapshot" → "Take Snapshot…". В диалоге "WinXP - Take Snapshot" в поле "Name:" задайте название точки отката "ClearSnapshot" и нажмите кнопку "OK". Создание точки отката займёт некоторое время.

 

Упражнение 4. Исследование работы flash-вируса

1. Запустите из каталога "C:DataVir1" файл "winupd32.exe".

2. Посмотрите, что на USB-диске появились скрытые файлы, а среди них - каталог "RECYCLER".

3. Выделите объекты "RECYCLER" и "autorun.inf" на диске "D:" (этот диск может называться "E:", если у Вас установлен CDROM) и удалите их, нажав сочетание клавиш "Shift + Delete". После этого обновите содержимое диска "D:", нажав на клавишу F5. Убедитесь, что удаленные файлы и каталоги появились вновь, то есть вирус запущен (активен).

4. Запустите программу "C:DataProcmon.exe". Если появится диалог с лицензионным соглашением, то нажмите кнопку "Agree".

5. Если запушенное приложение осуществляет сбор и отображение событий, то на время остановите эти действия: выберите пункт "File" → "Capture Events".

6. Удалите запротоколированные сообщения: пункты "Edit" → "Clear Display".

7. Удалите настройки заданных ранее фильтров. Для этого выберите меню "Filter" → "Reset Filter".

8. На панели "Procmon.exe" с кнопками (ниже меню программы) деактивируйте (сделайте не нажатыми) следующие кнопки:

- регистрации действий с реестром ;

- регистрации действий с процессами .

Активируйте (если не активирована) кнопку  регистрации действий с файлами.

9. Задайте фильтр на события работы с файлами: выберите пункты меню "Filter" → "Filter…". В окне "Process Monitor Filter":

- в левом раскрывающемся списке выберите пункт "Result", во 2-ом списке - "is", в 3-ем списке - "SUCCESS", в 4-ом - "Include"; далее нажмите кнопку "Add";

- в левом раскрывающемся списке выберите пункт "Path", во 2-ом списке - "begins with", в 3-ем списке наберите "D:" (или тот диск, который является usb-диском), в 4-ом - "Include"; далее нажмите кнопки "Add" и "OK".

10. Запустите сбор событий: выберите пункты "File" → "Capture Events". Повторите пункт 3. В программе "Procmon.exe" остановите сбор событий: выберите пункты "File" → "Capture Events".

11. Если в окне программы события не появляются (недостаток в программе Procmon.exe), то выполните следующее:

- выберите пункты меню "Filter" → "Filter…";

- в окне "Process Monitor Filter" выделите любую строку зеленого цвета, последовательно нажмите кнопки "Remove", "Add" (т.е. будет удалено и сново добавлено правило) и "ОК".

После этого отсутствующие события отобразятся.

12. Посмотрите, какой процесс осуществляет создание и запись файла "winupd32.exe" на диск "D:". Данным процессом будет "Explorer.exe".

 

Упражнение 5. Противодействие запуску flash-вируса

1. Запустите программу "Far" ("Пуск" → "Все программы" → "Far manager" → "Far manager").

2. В запустившейся программе "Far" нажмите комбинацию клавиш "Alt-F1" (для переключения курсора между правой и левой панелями используйте кнопку "Tab"), и выберите пункт появившегося меню "0: Process list". В появившемся списке работающих процессов клавишами "вверх"-"вниз" выберите "explorer.exe", нажмите кнопку "F8" (принудительное завершение процесса) и подтвердите действие, нажав на кнопку "Kill".

3. В программе "Far" наберите команду "C:Dataautoruns.exe" и нажмите "Enter". Подтвердите факт использования этой программы на странице лицензионного соглашения. Через некоторое время программа отобразит списки возможных мест в ОС, куда могут прописываться для автозапуска программы (в том числе и вирусы). Просмотрите содержимое всех вкладок и попробуйте определить их предназначение.

4. Перейдите на закладку "Explorer". Просмотрите записи в этой вкладке, ориентируясь на поле "Publisher" (производитель, издатель). Особое внимание обратите на записи, которые в этом поле имеют значения, отличные от "Корпорация Майкрософт" или "Microsoft Corporation". Среди записей будет строка, имеющая в поле "Image Path" (путь к исполняемому файлу) значение вида "c: ecyclerS-1-5-21……winupd32.exe".

5. Выберите данную строку и нажмите кнопку "Del". Подтвердите удаление.

6. С помощью комбинации клавиш "Alt-Tab" переключитесь в программу "Far". Нажмите комбинацию клавиш "Alt-F2" и выберите диск "C: fixed". Если курсор находится не на правой панели, нажмите кнопку "Tab". Если Вы не видите каталог "Recycler", то возможно Вы находитесь в папке программы "Far"; в этом случае поднимайтесь по иерархии папок в корень диска "C:", выделяя курсором файлы вида ".." (родительский каталог) и нажимая  клавишу Enter (потребуется два перехода). Выделите на диске "C:" каталог "recycler" и для его удаления нажмите комбинацию "Shift-Del". Подтвердите удаление всех объектов в данном каталоге. Удалить исполняемый файл вируса удастся, так как он активируется только в адресном пространстве процесса "explorer" (который к данному моменту уже завершен).

7. Наберите в программе "Far" команду "Explorer" и нажмите "Enter". Запустится оболочка "Windows" - программа "Explorer". Подождите немного (полной загрузки программы) и переключитесь в программу "Far". В ней нажмите "Ctrl-R" (обновление содержимого каталога). Посмотрите - появился ли на диске "C:" каталог "recycler". Он не появится, так как вирус не загрузился.

8. Нажмите комбинацию "-E". Откроется окно проводника Windows. В левом окне щелкните на объекте "Съемный диск D:". В правом окне отобразится содержимое диска "D:".

9. Переключитесь в программу "Far" и посмотрите - появился ли в корне диска "C:" каталог "recycler". Он не появится, так как вирус таким способом также не активируется.

10. В проводнике Windows, в левом окне, выберите объект "Мой компьютер". В правом окне дважды нажмите на объекте "Съёмный диск D:".

11. Переключитесь в программу "Far" и посмотрите - появился ли в корне диска "C:" каталог "recycler". Да, он появится, так как при таком открытии flash-диска автоматически загружается вирус. Деактивируйте вирус аналогично шагам 2, 6.

12. Перейдите на диск "D:" аналогично шагу 7. Удалите на нем файл "autorun.inf". После выполните шаг 10. Запустился ли вирус? В этом случае на диске "C:" каталог "recycler" не появится. То есть данный вирус активируется при автозапуске съемного диска программой "Explorer" (при исполнении файла "autorun.inf").

13. В программе "Far" восстановите файл "autorun.inf" обратно на диск "D:". Для этого в "Far" наберите и запустите команду копирования "xcopy C:DataVir1autorun.inf  D:  /H".

14. В окне проводника Windows, в левом окне, из контекстного меню объекта "Съёмный диск D:" выберите пункт "Свойства". В диалоге свойств перейдите на вкладку "Автозапуск". В списке выберите пункт "Смешанное содержимое" и ниже -"Не выполнять никаких действий". Нажмите кнопку "ОК".

15. Попробуйте открыть диск "D:" аналогично шагу 10. С помощью программы "Far" проверьте, есть ли каталог "recycler" на диске "C:". В результате изменения политики автозапуска вирус не будет запускаться с диска "D:".

16. Восстановите политику автозапуска flash-дисков. В окне проводника Windows, в левом окне, из контекстного меню объекта "Съёмный диск D:" выберите пункт "Свойства". В диалоге свойств перейдите на вкладку "Автозапуск". В списке выберите пункт "Смешанное содержимое" и ниже выберите "Открыть папку для просмотра файлов - используется Проводник". Нажмите кнопку "ОК".

 

Упражнение 6. Блокирование автозапуска вируса с помощью настроек политики безопасности

1. Перейдите в каталог "C:Data" и откройте для просмотра файл "DisableFlashes.reg" (из контекстного меню этого файла выберите пункт меню "Изменить"). В открывшемся окне программы "Блокнот" будут отображены настройки реестра, через которые можно ограничить автозапуск вирусов с flash-дисков:

- вначале удаляется ветвь реестра, указывающая, каким программам запрещается автоматический запуск с flash-дисков;

- добавляется запись, запрещающая автозапуск для любых типов файлов;

- указывается, что должны отображаться все скрытые файлы;

- задается маска, запрещающая выполнение процедур автозапуска для каждого из 26 дисков компьютера (от "A:" до "Z:").

2. Закройте программу "Блокнот".

3. Запустите файл "DisableFlashes.reg" (двойным нажатием левой клавишей мыши). Подтвердите действия по добавлению новых данных в реестр.

4. Выгрузите программу "Explorer" через "Far" (аналогично шагу 2 из предыдущего упражнения). Наберите в программе "Far" команду "Explorer" и нажмите "Enter".

5. Нажмите комбинацию "-E". В проводнике Windows, в левом окне, выберите объект "Мой компьютер". В правом окне дважды нажмите на объекте "Съёмный диск D:".

6. Переключитесь в программу "Far" и посмотрите - появился ли в корне диска "C:" каталог "recycler". Данный каталог будет отсутствовать, так как вирус не загрузился.

7. Завершите программу Far.

 

Упражнение 7. Восстановление исходной программной среды

Для уверенности в том, что действия вируса и наши настройки не изменили исходную среду операционной системы, выполним откат виртуальной машины к исходной точке восстановления.

1. Выберите из меню программы "VmWare Workstation" пункты "VM" → "Snapshot" → "Snapshot Manager".

2. В диалоге "WinXP - Snapshot Manager" выберите точку восстановления "Clear Shapshot" и нажмите кнопку "Go To".

3. Подтвердите выполняемые действия (нажав кнопки "Yes" и "OK" в появляющихся диалогах):

- что будут потеряны текущие данные виртуальной машины;

- и восстановление займет некоторое время.

 

Упражнение 8. Блокирование автозапуска вируса с помощью настроек безопасности файловой системы flash-диска

Обычно flash-диски имеют файловую систему FAT32, которая не позволяет задать права доступа на каталоги и файлы диска. Переделаем USB-диск в файловую систему NTFS. Это позволит задать права доступа, запрещающие запись данных в корень файловой системы flash-диска, что обычно делают flash-вирусы.

1. Виртуальный USB-диск уже имеет файловую систему NTFS. Для рассмотрения реальной ситуации предварительно отформатируем USB-диск в файловую систему FAT32. Для этого:

- найдите с помощью программы "Explorer" диск "D:";

- из контекстного меню этого диска выберите "Форматировать…";

- в диалоге "Формат Съемный диск (D:)" выберите в пункте "Файловая система:" значение "FAT32" и нажмите кнопку "Начать";

- в сообщении о потере данных на диске нажмите кнопку "OK";

- дождитесь конца форматирования и нажмите "OK" в сообщении об окончании форматирования;

- в диалоге "Формат Съемный диск (D:)" нажмите кнопку "Закрыть".

2. Запустите командную консоль. Для этого выберите пункты меню "Пуск" → "Выполнить…", наберите в диалоге "Запуск программы" команду "cmd" и нажмите "Enter".

3. В запустившейся консоли наберите команду "convert D:  /FS:NTFS". Выполнится конвертация файловой системы из FAT32 в NTFS без потери данных на диске. Закройте консоль, набрав в командной строке "exit".

4. Создайте на диске "D:" следующие каталоги:

- Stud;

- Work;

- Music;

- Other.

Скопируйте из каталога "C:Data" файл "autoruns.exe" в каталоги "D:" и "D:Other".

5. Откройте "Мой компьютер" и из контекстного меню объекта "D:" выберите пункт меню "Свойства". В диалоге "Свойства: Съёмный диск (D:)" перейдите на вкладку "Безопасность". Убедитесь, что в верхней части окна задана группа пользователей "Все" (Everyone). Нажмите на кнопку "Дополнительно…".

6. В диалоге "Дополнительные параметры безопасности для Съёмный диск (D:)" нажмите кнопку "Добавить".

7. В окне "Выбор: Пользователь или Группа", в поле для ввода текста введите "Все" и нажмите кнопку "OK".

8. В появившемся диалоге "Элемент разрешения для Съёмный диск (D:)" выберите из списка "Применять" значение "Только для этой папки и её файлов".

9. В разделе "Разрешения" установите в полях "Запретить" следующие галочки:

- "Обзор папок / Выполнение файлов" (то есть запрет на запуск программ из корня диска);

- "Чтение дополнительных атрибутов";

- "Создание файлов / Запись данных" (запрет на запись вирусами своих копий в корень диска);

- "Создание папок / Дозапись данных";

- "Запись атрибутов";

- "Запись дополнительных атрибутов";

- "Удаление подпапок и файлов" (защита от возможных деструктивных действий вируса в отношении содержимого диска);

- "Удаление";

- "Смена разрешений" (запрещается менять данные настройки безопасности).

10. В нижней части окна установите галочку "Применять эти разрешения к объектам и к контейнерам только внутри этого контейнера" (чтобы можно было создавать, изменять и удалять данные внутри подкаталогов) и нажмите кнопку "OK".

11. Повторите шаги 6-7. В появившемся диалоге "Элемент разрешения для Съёмный диск (D:)" выберите из списка "Применять" значение "Только для подпапок".

12. В разделе "Разрешения" установите в полях "Запретить" галочку "Удаление". Повторите шаг 10.

13. В диалоге "Дополнительные параметры безопасности для Съёмный диск (D:)" будет отображено три записи: одна разрешающая полный доступ, а другие - запрещающие. Приоритетным действием будет "запрещение". Нажмите кнопку "OK". Подтвердите вносимые изменения прав доступа. В диалоге "Свойства: Съёмный диск (D:)" нажмите кнопку "OK".

14. Проверьте, что запрещено выполнять следующие действия в корне flash-диска:

- запускать файл "D:autoruns.exe";

- создавать новые каталоги;

- создавать новые файлы;

- удалять файлы (например, "autoruns.exe");

- удалять каталоги (например, "Music").

15. Войдите в каталог "Other". Проверьте, что:

- создаются каталоги;

- создаются файлы;

- запускаются исполняемые файлы (например, "autoruns.exe");

- удаляются каталоги;

- удаляются файлы.

16. Запустите из каталога "C:DataVir1" файл "winupd32.exe". Перейдите на диск "D:" и посмотрите - появился ли на диске каталог "recycler". Он не появился, так как у вируса нет прав на запись своих файлов в корень flash-диска.

 

Упражнение 9. Завершение лабораторной работы

После защиты выполненной работы завершите работу операционной системы виртуальной машины, закройте окна программы "VmWare Workstation" и удалите все файлы, созданные на физической машине для лабораторной работы (в рабочем каталоге подгруппы студентов).

 

Вопросы для самоконтроля

1. Какие программные средства (в том числе и входящие в ОС) использовались на машине?

2. Какие параметры настраивались в программе Explorer и для чего?

3. Опишите, какое программное обеспечение использовалось и для чего.

4. Какие действия вирус выполняет?

5. Каким образом отслеживалась работа вируса?

6. Какие методы противодействия вирусу были рассмотрены?

7. Опишите механизм настройки ограниченного доступа к flash-накопителю с помощью файловой системы NTFS.

8. Опишите настройки и действия, выполненные в программе VmWare.

9. Опишите действия с помощью которых компьютер излечивается от вируса.

10. Как блокировался автозапуск вируса с помощью настроек политики безопасности?