Опубликован: 15.03.2007 | Доступ: свободный | Студентов: 14889 / 4697 | Оценка: 4.25 / 3.91 | Длительность: 11:09:00
Самостоятельная работа 1:

Основные признаки присутствия на компьютере вредоносных программ

< Лекция 4 || Самостоятельная работа 1: 12345 || Лекция 5 >

Задание 3. Элементы автозапуска

Для того, чтобы прикладная программа начала выполняться, ее нужно запустить. Следовательно, и вирус нуждается в том, чтобы его запустили. Для этого можно использовать два сценария: либо сделать так, чтобы пользователь сам его стартовал (используются обманные методы), либо внедриться в конфигурационные файлы и запускать одновременно с другой, полезной программой. Оптимальным с точки зрения вируса вариантом служит запуск одновременно с операционной системой - в этом случае запуск практически гарантирован.

В этом задании предлагается изучить элементы операционной системы, отвечающие за автозапуск программ при ее загрузке, а именно: группу Автозагрузка в меню Пуск и утилиту msconfig.exe.

  1. Самый простой способ добавить какую-либо программу в автозагрузку - это поместить ее ярлык в раздел Автозагрузка системного меню Пуск / Программы. По умолчанию, сразу после установки операционной системы этот раздел пуст, поскольку ни одной прикладной программы еще не установлено.

    Проверьте папку Автозагрузка на Вашем компьютере. Она должна быть пустой

  2. Добавьте в список автозагрузки свою программу. Для этого дважды щелкните левой клавишей мыши по названию группы Автозагрузка
  3. В результате должно открыться соответствующее окно папки автозагрузки. Обратите внимание на полный адрес открывшейся папки. Все что нужно сделать, чтобы некая программа запускалась автоматически при старте операционной системы - это поместить в эту папку ее ярлык

  4. Повторите действия пункта 2, но только для папки Пуск / Программы / Стандартные
  5. В открывшемся окне найдите ярлык " Блокнот ". Щелчком правой клавиши мыши на нем выведите контекстное меню

  6. В контекстном меню выберите пункт Копировать

  7. Закройте окно стандартных программ и вернитесь в окно автозагрузки
  8. В окне автозагрузки щелкните правой клавишей мыши где-нибудь на белом поле окна и в открывшемся контекстном меню выберите Вставить

  9. В результате этих действий в окне должна появиться копия ярлыка Блокнота

  10. Закройте окно и убедитесь, что теперь раздел Автозагрузка в системном меню Пуск / Программы не пуст
  11. Перезагрузите компьютер ( Пуск / Завершение работы ) и войдите в систему под своей учетной записью

  12. Убедитесь, что по завершению загрузки автоматически запустилась программа Блокнот

  13. При обследовании компьютера нужно помнить, что отсутствие подозрительных ярлыков в разделе Автозагрузка системного меню Пуск / Программы не гарантирует, что ни одно приложение не запускается автоматически. Технически для автозапуска нужно добавить соответствующую запись в системный реестр операционной системы.

    Несмотря на то, что реестр Windows очень большой, существует оболочка, позволяющая с ним работать напрямую. Но делать это рекомендуется только в крайнем случае. Для большинства ситуаций, связанных с автозапуском, достаточно использовать системную утилиту Настройка системы.

    Запустите ее. Для этого откройте системное меню Пуск и перейдите к пункту Выполнить

  14. В открывшемся окне Запуск программы наберите msconfig и нажмите ОК

  15. Ознакомьтесь с внешним видом окна утилиты Настройка системы.

    На первой закладке, Общие, можно выбрать вариант запуска операционной системы. По умолчанию отмечен Обычный запуск. Он обеспечивает максимальную функциональность системы. Остальные два варианта запуска предназначены для диагностики


    Второй режим, Диагностический запуск, рекомендуется использовать также при подтвердившемся вирусном инциденте - если компьютер уже заражен, сразу установить антивирус в ряде случаев нельзя, например, если вирус сознательно блокирует запуск ряда антивирусных программ. Тогда, если нет возможности удалить или хотя бы временно обезвредить вирус вручную, рекомендуется запустить операционную систему в безопасном режиме, инсталлировать антивирус и сразу же проверить весь жесткий диск на наличие вирусов.

    Для получения дополнительной информации об этой закладке и других можно воспользоваться кнопкой Справка

  16. Ознакомьтесь со списком запускаемых драйверов и других параметров операционной системы, перейдя к закладке SYSTEM.INI . Тут отображаются все ссылки, указанные в одноименном системном файле

  17. Перейдите к аналогичной закладке WIN.INI и ознакомьтесь с ее содержимым

  18. Следующая закладка, BOOT.INI, также отображает данные из одноименного файла. Как и предыдущие две, она также содержит системную информацию. Изменять ее можно только обладая соответствующими знаниями. Однако ознакомиться со стандартным видом и в случае подозрений обнаружить следы вируса под силу и непрофессионалу

  19. Перейдите на закладку Службы. Здесь представлен список всех служб, установленных в системе. Каждая служба представляет собой некое приложение, работающее в фоновом режиме. Например, антивирусный комплекс, обеспечивающий постоянную защиту, также встраивает свою службу, следовательно, она должна присутствовать в этом перечне.

    Однако сейчас никаких посторонних служб, кроме системных, установлено быть не должно. Убедитесь в этом, отметив флаг: Не отображать службы Майкрософт


  20. Если посторонних приложений действительно нет, список должен опустеть

  21. Перейдите к последней закладке, Автозагрузка, и убедитесь, что в списке приложений, автоматически запускаемых при загрузке системы, есть Блокнот.

    Отметим, что список в окне Настройки системы может содержать дополнительные элементы, не отображаемые в разделе Пуск / Программы / Автозагрузка


  22. Отключите автоматическую загрузку Блокнота, очистив флаг в столбце Элемент автозагрузки и нажмите ОК

  23. В открывшемся окне согласитесь провести перезагрузку, выбрав Перезагрузка

  24. Дождитесь окончания перезагрузки и войдите в систему под своей учетной записью
  25. Поскольку Вы внесли изменения фактически вручную в параметры автозагрузки (отключив запуск Блокнота ), система выведет соответствующее уведомление.

    Внимательно прочитайте текст и нажмите ОК


  26. Это приведет к открытию окна Настройка системы. Обратите внимание, что теперь используется не обычный запуск, а выборочный. При этом полностью обрабатываются все элементы файлов SYSTEM.INI, WIN.INI и BOOT.INI, загружаются все службы (поскольку мы их не трогали), но флаг Загружать элементы автозагрузки затенен. Это означает неполную загрузку

  27. Перейдите к закладке Автозагрузка и убедитесь, что ее вид не изменился - Блокнот все так же присутствует в списке, но отключен

  28. Не закрывая окна Настройка системы проверьте, что Блокнот автоматически не запустился и раздел Пуск / Программы / Автозагрузка теперь пуст
  29. Вернитесь к закладке Общие окна Настройка системы и выберите сценарий Обычный запуск

  30. Нажмите ОК и в следующем окне выберите Перезагрузка

  31. Дождитесь окончания перезагрузки, войдите в систему под своей учетной записью и убедитесь, что сообщение о выборочном запуске (как было в пункте 25) не появляется
  32. Однако поскольку флаг, снятый на шаге 22, при переключении в режим Обычный запуск вернулся ( Обычный запуск предполагает загрузку всех зарегистрированных компонентов), приложение Блокнот снова автоматически запускается по завершении перезагрузки операционной системы

  33. Убедитесь, что в Пуск / Программы / Автозагрузка вернулся ярлык Блокнота
  34. Удалите его, вызвав контекстное меню (щелчок правой клавишей мыши) и выбрав Удалить
  35. Для подтверждения своих намерений в следующем окне нажмите Да

  36. Теперь автозагрузка чиста. Убедитесь в этом, выполнив перезагрузку и войдя в систему под своей учетной записью
< Лекция 4 || Самостоятельная работа 1: 12345 || Лекция 5 >
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????