Опубликован: 26.03.2007 | Уровень: для всех | Доступ: платный
Самостоятельная работа 6:

Основные признаки присутствия вредоносных программ и методы по устранению последствий вирусных заражений

< Самостоятельная работа 5 || Самостоятельная работа 6: 123

Устранение последствий заражения

В связи с тем, что черви практически не используют технологии шифрования и метаморфизма для маскировки своих копий, борьба с ним вручную несколько упрощается и сводится к следующему алгоритму действий:

  1. Анализ и выявление с помощью Диспетчера задач Windows подозрительных процессов
  2. Анализ открытых портов с помощью команды Netstat
  3. Выгрузка подозрительных процессов
  4. Анализ реестра с помощью утилиты Regedit.exe в выше перечисленных ветках и ключах
  5. Восстановление и правка ключей реестра
  6. Поиск инфицированных файлов по имени на основе данных анализа процессов операционной системы и данных анализа реестра
  7. Удаления или замена инфицированных файлов
  8. Перегрузка системы

Контрольный анализ процессов, ключей реестра, открытых портов. Если подозрительных процессов не обнаружено, ключи реестра не изменились, значит, процедуру дезинфекции компьютера можно считать успешной, в противном случае алгоритм придется повторить.

Тем не менее, учитывая тот факт, что современные черви могут использовать технологии присущие вирусам, устанавливать backdoor-компоненты, затрудняя, тем самым, процедуру анализа и обнаружения своих файлов, для полной уверенности компьютер после дезинфекции вручную настоятельно рекомендуется осуществить проверку антивирусным средством. Следует также отметить, что бороться вручную с вредоносными программами можно только постфактум - после того, как они поразили компьютер, в то же время использование антивирусного программного обеспечения в подавляющем большинстве случаев не допустит активации вредоносной программы на компьютере.

Задание

  1. Запустите Диспетчер задач Windows и проанализируйте список запущенных процессов, нагрузку, которую они оказывают на ЦП. Запишите в протокол лабораторной работы название подозрительных процессов. Объясните, на основании чего были сделаны такие выводы.
  2. Используя Диспетчер задач Windows выгрузите подозрительные процессы.
  3. Запустите интерфейс командной строки Windows. Ознакомьтесь с ключами команды netstat. Получите статистку текущих сетевых подключений Вашего компьютера с параметрами отображение всех подключений и ожидающих портов, отображение последовательности компонентов участвующих в создании подключения, отображение исполняемого файла, участвующего в создании каждого подключения, или слушающего порт. Сохраните статистику в файл с названием netstat.log. Запишите протокол лабораторной работы формат команды для этого действия. Проанализирует данные netstat.log. Запишите в протокол лабораторной работы подозрительные открытые порты и приложения их использующие. Объясните, на основании чего были сделаны такие выводы.
  4. Запустите утилиту работы с реестром Windows. Проанализируйте содержимое перечисленных в теоретической части веток и ключей реестра.
  5. При необходимости внесите изменения в параметры ключей с целью удалить подозрительные записи, созданные вредоносной программой. Запишите в протокол лабораторной работы все внесенные изменения.
  6. Проанализируйте содержание файла win.ini на предмет подозрительных записей. При необходимости внесите корректировки в файл win.ini. Запишите в протокол лабораторной работы вносимые корректировки.
  7. Проанализируйте файл system.ini на предмет подозрительных записей. При необходимости внесите корректировки в файл system.ini. Запишите в протокол лабораторной работы вносимые корректировки
  8. Используя стандартные средства поиска, найдите файлы, которые порождали подозрительные процессы и удалите их. Запишите в протокол лабораторной работы имена этих файлов.
  9. Перегрузите компьютер, выполните пункты 1-6, чтобы убедиться, что удаление вредоносной программы прошло успешно, в оперативной памяти нет подозрительных процессов, ключи реестра не изменились, на компьютере отсутствуют подозрительно открытые порты.

Контрольные вопросы

  1. Объясните в чем разница между шифрованным и полиморфным вирусом?
  2. Достаточно ли для защиты от заражения вредоносной программой установить файлам разрешения только для чтения? Обоснуйте ответ.
  3. Объясните в чем отличие понятий вирус и вредоносная программа.

Рекомендуемая литература

Вирусная энциклопедия http://www.viruslist.ru.

< Самостоятельная работа 5 || Самостоятельная работа 6: 123
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Айдар Аскаров
Айдар Аскаров
Россия, Альметьевск, АГНИ, 2009
Айдыс Хертек
Айдыс Хертек
Россия, Кызыл