Лабораторная работа № «Реестр операционной системы Windows. Профилактика проникновения троянских программ»




Дата06.01.2017
Размер0.64 Mb.
Просмотров94
Скачиваний0
ТипЛабораторная работа

Лабораторная работа № 1.
«Реестр операционной системы Windows. Профилактика проникновения троянских
программ»
Реестр операционной системы Windows – это база данных, где хранится информация о настройках системы. Этой информацией пользуется как сама операционная система, так и другие программы.
В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра. Для этого необходимо иметь копию реестра. Основным средством для просмотра и редактирования записей реестра служит специальная утилита
«Редактор реестра».
Файл редактора реестра находится в папке Windows и называется regedit.exe. Запуск утилиты:
Пуск -> Выполнить -> regedit
Реестр организован в иерархическую структуру разделов, подразделов и параметров. После запуска появится окно редактора реестра. Слева в окне расположен список из 5 корневых разделов реестра.
Имя корневого раздела
Описание
HKEY_LOCAL_MACHINE
Сведения о локальном компьютере, включая данные об оборудовании и операционной системе, такие как тип шины, системная память, драйверы устройств и параметры загрузки.
HKEY_CLASSES_ROOT
Сведения, используемые различными технологиями OLE, и данные о сопоставлении типов файлов. Определенный раздел или параметр существуют в HKEY_CLASSES_ROOT, если соответствующий раздел или параметр существуют в
HKEY_LOCAL_MACHINE\SOFTWARE\Classes или
HKEY_CURRENT_USER\SOFTWARE\Classes. Если раздел или параметр имеются в обоих местах, в HKEY_CLASSES_ROOT появится значение из HKEY_CURRENT_USER.
HKEY_CURRENT_USER
Профиль пользователя, вошедшего в систему локально (в отличие от удаленного пользователя), включая переменные среды, параметры рабочего стола, сетевых подключений, принтеров и приложений. Это поддерево является псевдонимом поддерева HKEY_USERS и указывает на
HKEY_USERS\учетный_код_текущего_пользователя.

HKEY_USERS
Сведения о загруженных профилях пользователя и профиль, используемый по умолчанию. Сюда включены сведения, также появляющиеся в поддереве HKEY_CURRENT_USER.
Удаленные пользователи не имеют профилей в этом разделе сервера; их профили находятся в реестрах собственных компьютеров.
HKEY_CURRENT_CONFIG
Сведения о профиле оборудования, используемом локальным компьютером при запуске системы. Эти сведения используются для настройки загружаемых драйверов и разрешения дисплея. Это поддерево является частью поддерева HKEY_LOCAL_MACHINE и соответствует
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware
Profiles\Current.
Работа с разделами реестра аналогична работе с папками в Проводнике Windows.
В реестре Windows системная информация разбита на так называемые кусты (hive). Термин «куст» описывает древовидную структуру разделов, подразделов и параметров, выходящую из вершины иерархии реестра. Куст содержится в отдельном файле и имеет отдельный журнал, которые находятся в папках Windows\System32\Config или C:\Documents and Settings\имя_пользователя.
Каждый куст в реестре Windows связан с набором стандартных файлов. Имена стандартных кустов и файлов показаны в следующей таблице.
Куст реестра
Имена файлов
HKEY_LOCAL_MACHINE\SAM
Sam и Sam.log
HKEY_LOCAL_MACHINE\SECURITY
Security и Security.log
HKEY_LOCAL_MACHINE\SOFTWARE
Software и Software.log
HKEY_LOCAL_MACHINE\SYSTEM
System и System.log
HKEY_CURRENT_CONFIG
System и System.log
HKEY_CURRENT_USER
Ntuser.dat и Ntuser.dat.log
HKEY_USERS\.DEFAULT
Default и Default.log
Список имен кустов и путей к каталогам, в которых они хранятся, расположены в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
Каждый раздел или подраздел реестра может содержать данные, называемые параметрами
(ключами). Некоторые параметры хранят сведения для конкретных пользователей, другие хранят сведения, применимые ко всем пользователям компьютера. Параметр реестра имеет имя, тип данных и значение.

Следующая таблица содержит список типов данных, определенных и используемых системой.
Тип данных
Описание
REG_BINARY
Необработанные двоичные данные. Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате.
REG_DWORD
Данные, представленные целым числом (4 байта).
Многие параметры служб и драйверов устройств имеют этот тип и отображаются в двоичном, шестнадцатеричном или десятичном форматах.
REG_EXPAND_SZ
Строка данных переменной длины. Этот тип данных включает переменные, обрабатываемые при использовании данных программой или службой.
REG_MULTI_SZ
Многострочный текст. Этот тип, как правило, имеют списки и другие записи в формате, удобном для чтения. Записи разделяются пробелами, запятыми или другими символами.
REG_SZ
Текстовая строка фиксированной длины.
REG_FULL_RESOURCE_DESCRIPTOR
Последовательность вложенных массивов, разработанная для хранения списка ресурсов аппаратного компонента или драйвера.
Реестр содержит важные данные о компьютере, его приложениях и файлах. Злоумышленник может воспользоваться реестром для нанесения серьезного ущерба компьютеру. Очень важно поддерживать высокий уровень безопасности реестра. По умолчанию администраторам предоставляется полный доступ ко всему реестру, в то время как другие пользователи в основном имеют полный доступ к разделам, относящимся к их собственным учетным записям (в том числе
HKEY_CURRENT_USER) и доступ на чтение к разделам, относящимся к компьютеру и его программному обеспечению. Пользователи не имеют доступа к разделам, относящимся к учетным записям других пользователей. Пользователи, имеющие соответствующие разрешения доступа к разделу, могут изменять разрешения на доступ к этому разделу и любым содержащимся в нем разделам.
«Троянский конь» - это вредительская программа, полученная путем явного изменения или добавления команд в пользовательскую программу. «Троянская программа» может мешать работе пользователя, шпионить за пользователем, использовать ресурсы компьютера для какой- либо незаконной деятельности и т.д.
Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователя и системы.
Задание. Проверить потенциальные места записей «троянских программ» в системном реестре операционной системы Windows.
1. Проверить содержимое параметра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
По умолчанию этот параметр имеет значение C:\Windows\system32\userinit.exe
Если в значении содержатся дополнительные записи, то это могут быть «троянские программы». В этом случае проанализируйте место расположения программы, обратите внимание на время создания файла.
2. Проверить раздел автозапуска Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Проанализируйте записи раздела. Какие программы автоматически запускаются при загрузке
Windows. Выделите записи, вызывающие подозрения.
Зафиксируйте этапы работы, используя скриншоты (Alt + PrintScreen).
Составьте отчет о результатах проверки.
Контрольные вопросы.
1.
Что такое системный реестр Windows?
2.
Расскажите о структуре реестра.
3.
Поясните особенности «троянских программ».
4.
Почему профилактика «троянских программ» связана с системным реестром?
5.
Какие разделы и ключи являются потенциальными местами записей «троянских программ»?
Будьте внимательны при работе с реестром! Некорректное использование редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы.


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал