Цель:получить навыки обнаружения на компьютере вредоносных программ, изучить основные методы по устранению последствий вирусных инцидентов без использования антивирусного программного обеспечения.
Содержание работы:
- Ознакомиться с определением вируса и вредоносных программ, их типами и описанием.
- Ознакомиться с жизненными циклами различных типов вредоносных программ.
- Ознакомиться с основными путями проникновения в систему и активации вирусов.
- Ознакомиться с возможностями лечения компьютеров без использования антивирусного программного обеспечения.
- операционная система Microsoft Windows XP Professional.
Методические указания к лабораторной работе
1. Определение вируса и вредоносных программ, их типов и описаний
- Загрузочные вирусы- вирусы, заражающие загрузочные сектора постоянных и сменных носителей.
- Файловые вирусы- вирусы, заражающие файлы.
- Макровирусы- вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office.
- Скрипт-вирусы- вирусы, исполняемые в среде определенной командной оболочки: раньше — bat-файлы в командной оболочке DOS, сейчас чаще VBS- и Java-скрипты в командной оболочке Windows Scripting Host (WSH).
Источник: studfile.net
Бат файлы: основные команды, примеры
Использование бат файлов для ликвидации последствий вредоносных программ
На этой странице представлены темы исследовательской работы или проекта по различным разделам курса информатики. Вы можете выбрать понравившуюся тему и начать над ней работать, я всегда готова Вам помочь.
Системы счисления и кодирование информации
Арифметические действия в позиционных системах счисления.
Вывод признаков делимости в различных системах счисления.
Двоичная система счисления.
Действия над числами в различных системах счисления.
Древние системы счисления.
Из истории систем счисления.
История систем счисления.
История десятичной системы счисления.
История кодирования информации.
Кодирование и шифрование.
Недесятичные системы счисления.
От обыкновенных дробей к двоичным.
Основные результаты теории кодирования.
Позиционные системы счисления.
Представление чисел с помощью систем счисления.
Признаки делимости в разных системах счисления.
Применение в цифровой электронике двоичной, восьмеричной и шестнадцатеричной систем счисления.
Римская система счисления.
Системы счисления Древнего мира.
Символы и алфавиты для кодирования информации.
Современные способы кодирования информации в вычислительной технике.
Способы представления чисел в различных системах счисления.
Я моделирую ЭВМ в троичной системе счисления.
Интересные команды для файлов .BAT
История компьютера (ЭВМ), Интернета
Абак и его разновидности.
Архитектура ЭВМ «по фон Нейману».
Библиотеки OpenGL и DirectX: история и перспективы.
Вычислительные средства прошлых лет.
Дисплеи, их эволюция, направления развития.
История развития вычислительной техники.
История системы счисления и развитие вычислительных машин.
История формирования всемирной сети Internet. Современная статистика Internet.
Кто изобрел арифмометр?
От счета на пальцах до персонального компьютера.
Первые электронно-вычислительные машины.
Печатающие устройства, их эволюция, направления развития.
Развитие стандартов кодирования сообщений электронной почты.
Развитие технологий соединения компьютеров в локальные сети.
Сканеры и программная поддержка их работы.
Современные накопители информации, используемые в вычислительной технике.
Соробан — любимые счеты японцев.
Средства ввода и вывода звуковой информации.
Токарный станок или механический компьютер.
Что такое перфокарты?
Электронные таблицы (Microsoft Excel)
Диаграммы вокруг нас.
Диаграммы и их использование в школьной практике.
Методы решения систем линейных уравнений в приложении Microsoft Excel.
Построение графиков кривых в Microsoft Excel.
Решение систем уравнений в Microsoft Excel.
Решение задач с помощью программы MS Excel.
Использование компьютера для исследований функций и построения графиков.
Алгоритмы. Алгоритмы среди нас.
Алгоритмы в нашей жизни.
Алгоритмы решения текстовых задач.
Алгоритмы извлечения квадратных и кубических корней.
Алгоритм решения уравнений.
Алгоритмы. Структурный подход в алгоритмизации.
Алгоритм изготовления орнамента.
Алгоритм решения уравнений.
История формирования понятия «алгоритм».
Известнейшие алгоритмы в истории математики.
Методы разработки алгоритмов.
Нормальные алгоритмы Маркова и ассоциативные исчисления в исследованиях по искусственному интеллекту.
Основатели теории алгоритмов — Клини, Черч, Пост, Тьюринг.
Основные определения и теоремы теории рекурсивных функций.
Проблема существования алгоритмов в математике.
Проблема алгоритмической разрешимости в математике.
Проблемы вычислимости в математической логике.
Средства и языки описания (представления) алгоритмов.
Программирование
Автоматизированная система контроля посещений учебного заведения.
Автоматизированная система управления персональными данными учащихся школы.
Анимация с использованием координат.
АРМ классного руководителя.
Все о Logo-мирах.
Геометрия задач линейного программирования.
Делфи-приложение «Построение графиков основных математических функций».
Искусственные спутники Земли.
Использование компьютерных технологий для реализации решений систем линейных уравнений.
Исследование информационной проводимости социальных сетей.
История алгоритмического языка Ершова.
История программирования в лицах.
История языка Ассемблер.
История языка Бейсик.
История языка программирования ADA.
История языка программирования Algol.
История языка программирования JAVA.
История языка программирования PL/1.
История языка программирования Си.
Компьютерная программа «Изучаем английский язык с компьютером».
Криптографические методы защиты информации.
Макропрограммирование в среде Microsoft OFFICE.
Методическое пособие «Программирование на Pascal динамических структур данных (Куча, Стэк, Очередь).
Моделирование в среде Microsoft Excel и Turbo-Pascal.
Непроцедурные системы программирования.
Применение динамического программирования для решения экстремальных задач.
Применение задач линейного программирования в сельском хозяйстве.
Применение линейного программирования в организации железнодорожных перевозок.
Программа для тестирования.
Программирование решения уравнений.
Проектирование и конфигурирование базы данных в 1С. Школьная поликлиника.
Простейшие алгоритмы на языке QBasic.
Разработка и использование сетевой тестовой оболочки.
Сборник Flash анимаций для дошкольников.
Сеть Интернет и ее использование в информационно-технологической подготовке школьников.
Современные парадигмы программирования. Что дальше?
Современные языки веб-программирования.
Современные языки программирования семейства си/си.
Создание занимательных тестов.
Создание минипроектов в среде программирования Delphi.
Создание программы «Гороскоп» в среде программирования.
Создание тематического сайта.
Фракталы в компьютерной графике.
Что мы знаем о Fortran?
Шифратор – дешифратор типизированных файлов.
Электронный справочный комплекс «ЕГЭ по информатике».
Электронный учебник «Окружающий мир».
Презентации (Microsoft PowerPoint)
Компьютерная презентация помогает решать задачи.
Создание занимательных тестов.
Создание учебного пособия «Open Office. Calc».
Создание учебного пособия «Open Office. Impress».
Создание учебного пособия «Open Office. Writer».
Создание электронной викторины.
Электронное портфолио ученика.
Методическое пособие по работе в «Консультант Плюс».
Графические редакторы
Изучение сечений в стереометрии с помощью компьютера.
Интерактивные инструменты программы «Corel DRAW».
Использование редакторов векторной графики для построения сечений многогранников.
Компьютерное моделирование разверток правильных многогранников.
Панель инструментов программы «Corel DRAW».
Созвучие графики и музыки (Среда Аdobe Photoshop).
Среда Flash
Альтернативные источники получения энергии (Среда Flash, web).
Безотходное производство (Среда Flash, web)
Экологически чистый транспорт (Среда Flash, web-сайт).
Экологическое градостроительство (Среда Flash, web-сайт).
Видео-редакторы и моделирование
Компьютерное моделирование физических процессов.
Компьютерное моделирование в биологии и экологии.
Компьютерное моделирование в химии.
Мир vidio (Среда Аdobe premiere).
Обзор виртуальных музеев.
Программные средства для представления занимательных чисел (Среда Visual Studio).
Способы поиска гамильтонова цикла (Среда Visual Studio).
Общие темы
Антивирусы. Анализ антивирусов.
Влияние компьютера на психику детей.
Влияние цвета на восприятие информации.
Использование bat-файлов для ликвидации последствий вредоносных программ.
Компьютер и его воздействие на поведение, психологию человека.
Лучшая поисковая система нашего времени
Проблемы защиты информации в Internet.
Электронная коммерция и реклама в сети Internet.
Источник: sites.google.com
Батники против эксплойтов
Доброго времени суток, многоуважаемый %USERNAME%. Меня зовут Голованов Сергей, и я всё еще являюсь ведущим вирусным аналитиком в «Лаборатории Касперского». Я понимаю, что название этого поста в корпоративном блоге компании может вызвать смех, грусть, а у некоторых даже эпилептический припадок, но дайте мне всё объяснить.
Я понимаю, что для всех батники выглядят как нечто очень простое и со времен AUTOEXEC.BAT уже практически забытое, в то же время эксплойты, если вы конечно не профессиональный исследователь уязвимостей, выглядят очень сложно и практически неправдоподобно, особенно для некоторых разработчиков. Но! В данном посте я постараюсь перевернуть эти представления и рассказать, что всё как будто наоборот. Батники чуть легче и сильнее по функционалу brainfuck’а, а эксплойты не страшнее сортировки пузырьком на basic’е.
(Осторожно! 3 МБ иллюстрированного потока сознания и куча скриптов)
Как я до этого дошел?
Мне тут на глаза попалась коробка с Windows 7 x64 c минимальными системными требованиями в 2 ГБ оперативной памяти! И я тут подумал, неужели во всех этих гигабайтах не найдётся пары килобайт кода, которые могли бы защитить пользователей от такой напасти, как эксплойты и Drive-by? Это бич всех ОС от MS уже лет пять! Должны быть там средства для хоть какой-то защиты?
Но как их заюзать, да еще и стандартными средствами? С помощью батников. А как? Чтобы это понять, нужно прочитать эту простыню до конца. 8)
Теория
В упрощенной теории срабатывания эксплойтов всё выглядит так: «что-то где-то посмотрели, что-то где-то послали, что-то где-то запустилось». В реальной жизни это часто выглядит так: пользователь, гуляя по интернетам, попадает на честно взломанный сайт, где ему вместе с полезной информацией отдают или JavaScript или редирект на JavaScript, который, анализируя USER-AGENT, информацию о плагинах и т.д. выдаёт пользователю эксплойт, который точно у пользователя сработает. После этого на машину пользователя сгружается троянец, запускается, прописывается в системе и начинает делать свои грязные дела.
Завалявшаяся картинка от Google Anti-Malware Team о Drive-By для визуалов,
читающих на языке вероятного противника
(-СГ. Юля, подправь, пожалуйста, по смыслу следующее предложение, чтобы было понятно, и удали этот комментарий. -Редактор. По смыслу. Да я после «выделяет себе память» уже ничего не понимаю. Сам подправь и удали этот комментарий.)
Если копнуть чуть глубже, то оказывается, что в таких эксплойт-паках часто (практически всегда) полезная нагрузка выделяет себе память в процессе жертвы, ищет нужные системные функции, сохраняет файл из интернета на локаль и делает CreateProcess или очень редко — ShellExecute, при этом проблемы повышения привилегий перекладываются на то, что скачали. Всё в принципе просто и понятно.
И чего с этим делать? Хватать за пятую точку за слабые места! Во всей этой схеме есть одно уязвимое место: неважно, какое приложение пробили, главное — запустить файл с троянцем. Таким образом, получается, что нам просто-напросто надо сделать так, чтобы на компьютере пользователя лишние файлы не запускались, и сделать это нужно стандартными средствами.
Стандартные средства
В Windows 7 есть несколько способов ограничить или расширить работу программ. Самыми популярными средствами, пожалуй, являются ACL и всяческие политики.
Наглядная схема SRP (Software Restriction Policies) от Microsoft
В принципе, ни для кого не секрет, что можно создать специальную учетную запись пользователя, назначить ему специальные права в системе и гонять под ним потенциально уязвимые приложения. Пять минут руления мышкой — и всё готово. Проблема в том, что редкий пользователь будет этим заниматься, особенно, если это потребуется сделать админам на всех машинах в сети. Поэтому давайте-ка попробуем сделать батник, в котором сделаем примерно то же самое, только лучше, да еще так, чтобы пользоваться этим было удобно.
Батник
Итого: наш батник должен создать пользователя со стандартными правами, затем модифицировать эти права для запуска только определённого ПО и, наконец, сделать это прозрачно и удобно для пользователя. Начнем-с…
1. Создать пользователя. Халява.
net user saferun_user Passw0rd /add
Имя пользователя и пароль здесь указаны только для примера, их надо будет обязательно разбавить %random%’ами, чтобы не оказалась, что у нас у всех пользователей батника одинаковые имена пользователей и пароли на машинах. А то получится этакий Backdoor.Bat.Hren.a, его еще детектировать придется…)))
2. Модифицировать права. Э… а вот тут уже есть проблемы
По-хорошему назначать права на исполнение нужно AppLocker’ом с помощью PowerShell’a, например так:
PS C:> Get-ApplockerFileInformation -Directory ‘C:Program Files (x86)Adobe’ -Recurse -FileType Exe | New-ApplockerPolicy -RuleType Publisher -User SafeRun_user -RuleNamePrefix Adobe -Optimize -Xml > Adoby.xml
PS C:> Set-AppLockerPolicy –XmlPolicy Adoby.xml
Однако, вся эта хитрая хрень «is only available in Ultimate and Enterprise versions of Windows 7». Поэтому как альтернативу в Home версии Windows 7 можно использовать Parental Control (ссылка на форум — я не шучу), который хранит информацию о том, какие программы можно запускать в:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionParental ControlsUsersUIDApp Restrictions
Значит, политики в топку, ибо неудобно, будем использовать ACL, тем более что, начиная с Vista’ы, появилась замечательная команда ICACLS. В принципе всё, что написано дальше, может быть спроецировано и на XP c помощью XCACLS, но по умолчанию такой команды в XP нет, и входит она только в пакет Resource Kit.
Итого, в Windows 7 cначала вынесем пользователя из группы по умолчанию, чтобы ограничить его возможности благодаря групповым разрешениям создавать файлы где попало:
net localgroup users saferun_user /delete
А теперь скажем, что, дорогой пользователь, ты — неудачник, тебе запрещено запускать файлы из профайла, того единственного места, где тебе разрешено создавать файлы.
icacls %USERPROFILE% /deny saferun_user:(OI)(IO)(WDAC,WO,X)
(-Редактор. Ты бы еще здесь попросил меня чего-нибудь проверить и подправить. Комментарии не забудь убить.)
Параметры «(OI)(IO)» как бы говорят нам, что все файлы, находящиеся в указанной папке, наследуют права родителя, которые, собственно, Deny Execute. Проверяем, что выставленные права работают:
C:UsersGolovanov>runas /user: saferun_user cmd.exe
Enter the password for saferun_user:
Attempting to start cmd.exe as user “saferun_user» .
C:Windowssystem32> cd %temp%
C:Userssaferun_userAppDataLocalTemp>%windir%notepad.exe
C:Userssaferun_userAppDataLocalTemp>copy c:windowsnotepad.exe .
1 file(s) copied.
C:Userssaferun_userAppDataLocalTemp>.notepad.exe
Access is denied.
Итого: Notepad.exe из папки Windows работает, а если его скопировать в папку TEMP и запустить, то ACCESS IS DENIED. Всё ОК. Идём дальше.
3. Удобство использования
Для удобства использования нам нужно обеспечить поддержку прозрачного запуска для максимального количества разнообразных браузеров под новым пользователем. Делать это предлагаю так:
1. Скопировать профайл браузера текущего пользователя к новому пользователю. Например, для Firefox’а так:
xcopy /E /I /C /Y /Q /H /R %APPDATA%Mozilla* C:Userssaferun_userAppDataRoamingMozilla
2. Создать в папке с браузером VBS файл, в котором прописать запуск Runas браузера. Делать это нужно через VBS, чтобы обойти ограничение по приёму пароля в STDIN к Runas’у. Прекрасный Microsoft сделал это, чтобы повысить защищенность своей ОС. Как обычно, защищенность осталась под вопросом, а геморроя прибавилось. VBS файл при этом будет выглядеть, например, так:
Option explicit
Dim oShell
set oShell= Wscript.CreateObject(«WScript.Shell»)
oShell.Run «RunAs /noprofile /user:saferun_user Firefox.exe»
WScript.Sleep 1000
oShell.Sendkeys «Passw0rd»
oShell.Sendkeys «»
Wscript.Quit
Маленький комментарий. В интернетах пишут, что Sendkeys в некоторых версиях отсутствует или запрещен, однако у меня на Windows 7 Professional, Ultimate и Home всё работает. Продолжаем.
3. Создать ярлык на новосозданный VBS файл c иконкой браузера.
Set oWS = WScript.CreateObject(«WScript.Shell»)
sLinkFile = «C:firefox_saferun.LNK»
Set oLink = oWS.CreateShortcut(sLinkFile)
oLink.TargetPath = «C:Program Files (x86)Mozilla Firefoxfirefox.vbs»
oLink.IconLocation = «C:Program Files (x86)Mozilla Firefoxfirefox.exe,0»
oLink.WorkingDirectory = «C:Program Files (x86)Mozilla Firefox»
oLink.Save
4. Заменить новым ярлыком все уже имеющиеся у пользователя ярлыки на браузеры. Шутка. Положим ярлыки в отдельную папку на рабочем столе, а там пользователь пусть сам решает.
Листинг батника
Итого вроде всё ОК, осталось это всё причесать и оттестить.
Тестирование
Ну-с, а теперь попробуем, как это всё работает в дикой природе:
1. Выключаем антивирус и даунгрейдим, например, JAVA (чета мне сразу не по себе стало).
2. Копипастим батник из листинга.
3. Сохраняем его как saferun.bat, делаем глубокий вдох и кликаем на него два раза.
4. Мигают консоли и открывается окно эксплорера. Смотрим на окно с ярлыками и много думаем.
5. Выбираем любой браузер. Идём на Youtube, проверяем, что всё работает, кликается и т.д.
6. Теперь идём на Google и ищем «Самый популярный браузер рунета» (это мне сестра показывала, как скачать порно-блокер бесплатно). Кликаем на несколько ссылок, и наш компьютер начинает подозрительно трещать. Ждём минуту. Вроде ничего страшного не произошло. Смотрим в Process Explorer и видим, что наш браузер запустил JAVA.exe, который успешно унаследовал нашего нового пользователя.
7. Теперь идём во временную директорию нового пользователя и видим там следующее…
8. Проверяем права на файл «____991.exe»
9. Отрываем cmd.exe под созданным пользователем. Пароль для него можно посмотреть, например, в VBS скрипте рядом с EXE’шником браузера
10. Делаем cd %temp% в новой консольке и пишем «.____991.exe». Жмём Enter!
11. УРА-УРА. Это победа.
12. Кому интересны подробности, то
C:Userssaferun_user_31714AppDataLocalTemp>d:md5.exe ____991.ex ____991.ex : 04DA16B5447D8F2B4BD23AFD469FB153
Если бы этот файл запустился, то мы бы увидели веселые картинки и просьбу поработать с платёжным терминалом.
Вместо заключения
Итого наш батник будет очень полезен для защиты от Drive-by атак и эксплойтов при работе с Windows 7 как из-под админа, так и под простым пользователем. Да, у него есть теоретическое ограничение на полезные нагрузки с повышением привилегий, но такое в дикой природе благо редко встречается. Плюсы при работе с батником — его можно очень быстро править и добавлять в него поддержку новых программ, таких как почтовые клиенты, офисные программы и т.д. Настройка, гибкость, клёвость и крутость очень важны, и мы в ЛК это прекрасно понимаем.
Спасибо большое, что дочитали этот поток сознания автора до конца и еще ни разу не нажали на минус. 8) Удачи!
ПС. Данный батник не имеет никакого отношения к SafeBrowser’у, входящему в продукты ЛК.
ППС. Батник создаёт очень удобный Uninstall — на случай если что-то вдруг пошло не так.
ПППС. Как обычно в комментариях тусуется доброжелательный пользователь k1k, который выдаёт себя за автора статьи. Так оно и есть. Спасибо!
Источник: habr.com