Информационная безопасность. Макаренко С.И. - 183 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

183
Оптимальным с точки зрения вируса вариантом служит запуск одновременно
с операционной системой - в этом случае запуск практически гарантирован.
Вредоносная программа может вносить изменения в системные файлы
win.ini и system.ini.
Следует также отметить, что в файле system.ini кроме секции [boot]
вредоносные программы могут использовать секцию [Drivers].
Вредоносные программы могут вносить изменения в следующие ветки
реестра:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion в
ключи Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce - для
того чтобы система запускала созданные червем файлы
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion в
ключ Run.
Кроме выше перечисленных ветвей и ключей реестра вредоносные
программы могут вносить изменения и в другие ветки и ключи реестра,
например:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\WOW\boot
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Drivers32
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\WinLogon
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\AeDebug
Диагностика элементов автозапуска возможно путем изучения секций:
SYSTEM.INI (рис. 14.5); WIN.INI (рис. 14.6); «Автозапуск» (рис. 14.7) и
«Службы» (рис. 14.8), в утилите конфигурирования msconfig. Удаление
запускаемого вируса из автозагрузке возможно путем использования
утилиты regedit.
Рис. 14.5 Рис. 14.6 
Оптимальным с точки зрения вируса вариантом служит запуск одновременно
с операционной системой - в этом случае запуск практически гарантирован.
        Вредоносная программа может вносить изменения в системные файлы
win.ini и system.ini.
        Следует также отметить, что в файле system.ini кроме секции [boot]
вредоносные программы могут использовать секцию [Drivers].
        Вредоносные программы могут вносить изменения в следующие ветки
реестра:
        - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion в
           ключи Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce - для
           того чтобы система запускала созданные червем файлы
        - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion в
           ключ Run.
        Кроме выше перечисленных ветвей и ключей реестра вредоносные
программы могут вносить изменения и в другие ветки и ключи реестра,
например:
     -   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
         CurrentVersion\WOW\boot
     -   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
         CurrentVersion\Drivers32
     -   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
         CurrentVersion\WinLogon
     -   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
     -   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
         Installed Components
     -   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
         CurrentVersion\AeDebug
      Диагностика элементов автозапуска возможно путем изучения секций:
SYSTEM.INI (рис. 14.5); WIN.INI (рис. 14.6); «Автозапуск» (рис. 14.7) и
«Службы» (рис. 14.8), в утилите конфигурирования msconfig. Удаление
запускаемого вируса из автозагрузке возможно путем использования
утилиты regedit.




                Рис. 14.5                         Рис. 14.6




                                    183

Страницы