ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №8

Тема:         Восстановление зараженных файлов. Профилактика проникновения «троянских программ»

Цель:         изучить этапы восстановления файлов, зараженных макровирусами; рассмотреть пути проникновения «троянских программ» в системный реестр ОС Windows 2000 (XP).

Задачи:

-       формирование умений восстановления офисных приложений после поражения макровирусом;

-       формирование умений навигации по редактору системного реестра ОС Windows XP;

-       формирование умений проверять потенциальные места записей «троянских программ» в системном реестре ОС Windows XP.

Оборудование: персональный компьютер, MS Word, редактор системного реестра ОС Windows XP.

Вид работы: групповой

Время выполнения: 4 часа

Теоретический материал

Макровирусы заражают файлы – документы и электронные таблицы популярных офисных приложений.

Для анализа макровирусов необходимо получить текст их макросов. Для нешифрованных («не-стелс») вирусов это достигается при помощи меню Сервис/Макрос. Если же вирус шифрует свои макросы или использует «стелс»-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов.

Реестр операционной системы Windows – это большая база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows, так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра. Основным средством для просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра».

Файл редактора реестра находится в папке Windows. Называется он regedit.exe. После запуска появится окно редактора реестра. Вы увидите список из 5 разделов (рис. 1):

HKEY_CLASSES_ROOT.

HKEY_CURRENT_USER..

HKEY_LOCAL_MACHINE.

HKEY_USERS.

HKEY_CURRENT_CONFIG.

Рис. 53. Редактирование реестра

Работах разделами реестра аналогична работе с папками в Проводнике. Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа (рис. 2):

-       строковые (напр. «C:\Windows»);

-       двоичные (напр. 10 82 АО 8F);

DWORD – этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (например, 0x00000020 (32)).

Рис.54. Редактирование реестра

В Windows системная информация разбита на так называемые ульи (hive). Это обусловлено принципиальным отличием концепции безопасности этих операционных систем. Имена файлов ульев и пути к каталогам, в которых они хранятся, расположены в разделе HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\hivelist (рис. 3).

Рис. 55. Редактирование реестра

В таблице 2 даны краткие описания ульев реестра и файлов, в которых хранятся параметры безопасности.

Таблица 10

Характеристика основных разделов системного реестра

Вопросы для самопроверки:

1.     Дайте определение программного вируса.

2.     Перечислите виды «вирусоподобных» программ.

3.     Назовите характерные черты макровируса.

4.     Что такое реестр?

5.     Какую структуру имеет системный реестр ОС Windows 2000 (XP)?

Ход выполнения работы:

Задание 1. Восстановить файл, зараженный макровирусом.

Алгоритм выполнения задания 1:

Для восстановления документов Word и Excel достаточно сохранить пораженные файлы в текстовый формат RTF, содержащий практически всю информацию из первоначальных документов и не содержащий макросы.

Для этого выполните следующие действия.

1.  В программе WinWord выберите пункты меню Файл – Сохранить как.

2.  В открывшемся окне в поле Тип файла выберите Текст в формате RTF (рис. 4).

Рис.56. Сохранение документа

3.  Выберите команду Сохранить, при этом имя файла оставьте прежним.

4.  В результате появится новый файл с именем существующего, но с другим расширением.

5.  Далее закройте WinWord и удалите все зараженные Word-документы и файл-шаблон NORMAL.DOT в папке WinWord.

6.  Запустите WinWord и восстановите документы из RTF-файлов в соответствующий формат файла (рис. 5) с расширением (.doc).

Рис. 57. Сохранение документа

7.  В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений.

Примечание:

8.  Для последующей защиты файлов от макровирусов включите защиту от запуска макросов.

9.  Для этого в WinWord выберите последовательно пункты меню: Сервис – Макрос – Безопасность (рис. 6).

Рис.58. Безопасность

10.  В открывшемся окне на закладке Уровень безопасности отметьте пункт Высокая (Очень высокая).

Задания для самостоятельной работы:

1.           Создать файл virus.doc (содержание - чистый лист) и выполните алгоритм восстановления файла (в предположении его заражения макровирусом).

2.           Зафиксировать этапы работы, используя команду PrintScreen клавиатуры (скопированные таким об разом файлы вставьте в новый Word-документ для отчета преподавателю).

3.           Сравнить размеры файлов virus, doc и virus.rtf, используя пункт контекстного меню Свойства.

Задание 2. Проверить потенциальные места записей «троянских программ» в системном реестре операционной системы Windows 2000 (ХР).

Алгоритм выполнения задания 2:

Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователей и системы.

1.     Запустите программу regedit.exe.

2.     В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее Software\Microsoft\ WindowsNT\CurrentVersion\Winlogon.

3.     В правой половине открытого окна программы regedit.exe появится список ключей.

4.     Найдите ключ Userinit (REG_SZ) и проверьте его содержимое.

5.     По умолчанию (исходное состояние) 151 этот ключ содержит следующую запись C:\WINDOWS\system32\userinit.exe (рис. 7).

Рис. 59. Редактирование реестра

6.     Если в указанном ключе содержатся дополнительные записи, то это могут быть «троянские про граммы».

7.     В этом случае проанализируйте место расположения программы, обратите внимание на время создания файла и сопоставьте с Вашими действиями в это время.

8.     Если время создания файла совпадает со временем Вашей работы в Интернете, то возможно, что в это время Ваш компьютер был заражен «троянским конем».

9.     Для удаления этой записи необходимо дважды щелкнуть на названии ключа (или при выделенном ключе выбрать команду Изменить из меню Правка программы regedit.exe).

10.                        В открывшемся окне в поле Значение (рис. 8) удалите ссылку на подозрительный файл.

Рис. 60. Редактирование реестра

11.                        Закройте программу regedit.exe.

12.                        Перейдите в папку с подозрительным файлом и удалите его.

13.                        Перезагрузите операционную систему и выполните пункты задания 1-4.

14. Если содержимое рассматриваемого ключа не изменилось, то предполагаемый «троянский конь» удален из Вашей системы.

Еще одним потенциальным местом записей на запуск «троянских программ» является раздел автозапуска Run.

Для его проверки выполните следующее.

1.     Запустите программу regedit.exe.

2.     В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее Software\Microsoft\Windows\ CurrentVersion\Run\... (REG_SZ).

3.     В рассматриваемом примере автоматически запускается резидентный антивирус и его планировщик заданий, а также утилита, относящаяся к программе Nero (запись на CD).

4.     Если в указанном разделе есть записи вызывающие подозрения, то выполните пункты 6-14 предыдущего задания.

Задания для самостоятельной работы:

1.     Проверить содержимое ключа HKEY_LOCAL_MACHINE\Software\Microsoft\ WindowsNT\CurrentVersion\ Winlogon\System (REG_SZ)

2.     Зафиксировать этапы работы, используя команду PrintScreen клавиатуры.

3.         Составить отчет о результатах проверки.

Контрольные вопросы:

1.  Какие файлы заражают макровирусы?

2.  Как проверить системы на наличие макровируса?

3.  Как восстановить файл, зараженный макровирусом?

4.  Является ли наличие скрытых листов в Excel признаком заражения макровирусом?

5.  Поясните механизм функционирования «троянской программы».

6.  Почему профилактика «троянских программ» связана с системным реестром?

7.  Какие разделы и ключи являются потенциальными местами записей «троянских программ»?

Скачано с www.znanio.ru