1. Кизько Б.А. ноябрь 2013

2. ВПО – программа, которая загружается без
уведомления пользователя, выполняется без его
разрешения и преследует цели создателя.
 Виды:
1. Компьютерные вирусы (КВ).
2. Троянские кони (ТК).
3. Потайные ходы (ПХ).
4. Сетевые черви (СЧ).
5. Rootkits (РК).
6. Средства удаленных атак (СУА).
7. Потенциально опасные программы (ПОП) – adware,
riskware, spam...


3. 
Несанкционированное:
уничтожение,
блокирование,
модификация,
копирование информации.

Нарушение работы ЭВМ, систем ЭВМ или их
сети.

4. 

Конспект
Книги на русском языке
Платонов В.В. Программно-аппаратные средства защиты
информации /В.В. Платонов. – Москва: Издательский
центр «Академия», 2013г. – 336 с. – (Сер. Бакалавриат)



Книги на английском языке
Основные сайты по безопасности
Интернет 

5. Backdoor
Trapdoor

6. Потайной ход – программа, которая позволяет
атакующему обходить нормальный контроль
безопасности входа и предоставляет ему доступ к
компьютеру-жертве.

7. ПХ может давать различные виды доступа
атакующему:
локальное (местное) эскалация привилегий
(повышение прав);
удаленное выполнение команд на машине-жертве;
- удаленный доступ к командной строке жертвы;
- удаленное управление с помощью GUI;
- выдача спец. команд установленному у жертвы
ВПО.

8. Варианты:
- установка ПХ в результате доступа к машинежертве;
- Автоматическая установка (вирусов, червей,
троянов);
-пользователь сам запускает программу, содержащую
backdoor (соц. инженерия)
Одна из задач Backdoor – обеспечить выживаемость
после перезагрузки.

9. Возможности Win для автоматического запуска
программ:
-Вставка в папку Startup
- Запись в реестр
-Маcтер планирования заданий
Автозагрузка: C:Documents and Settings
[user_name]StartMenuProgrammsStartup
C:Users
[user_name]AppDataRoamingMicrosoftWindowsStart
MenuProgramsStartup

10. Win.ini – C:Windowswin.ini
System.ini – C:Windowssystem.ini
Wininit.ini – C:Windowswininit.ini
Обнаружение автозапуска
Autoruns, www.sysinternals.com
Antivirus Rus – AnVir Task Manager

11. Защита
Windows TCP/IP Filtering – фильтрация входящих
пакетов
Панель управления-> Сетевые подключения ->
(Подключение по локальной сети) -> Свойства ->
Протокол TCP/IP -> Свойства -> Дополнительно
Утилита Fport (www.foundstone.com) – просмотр
открытых портов, «fport.exe /p»

12. ПХ у жертвы
Атакующий
1. Спящий режим,
Контроль условий.
2. При выполнении – открытие порта
3. После получения команд и файлов – закрываем
Пример: Cd00r

13. Promiscuous режим ПХ
Обнаружение: компьютер сам ответит на ARP-запрос
с неверным MAC-адресом
Обнаружение promiscuous режима
Promiscdetect.exe

14. 1. Утилита netstat
2. Утилита Fport
3. Просмотр исполняемых процессов в ОС
4. Использование межсетевого
экрана/файрвола/брандмауэр
5. Поиск сетевых карт в promiscuous режиме
ntsecurity.nu/toolbox/promiscdetect
6. Периодическое внешнее сканирование