1 / 10

Вирусы и антивирусы

Вирусы и антивирусы. запуск exe- файла (либо самого вируса, либо инфицированной программы) открытие / просмотр документа (doc, jpeg, pdf) в уязвимой программе просмотр опасной веб-страницы в уязвимом браузере просмотр зараженного e-mail в уязвимом почтовом клиенте. Проникновение вируса.

trula
Download Presentation

Вирусы и антивирусы

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Вирусы и антивирусы

  2. запуск exe-файла (либо самого вируса, либо инфицированной программы) открытие / просмотр документа (doc, jpeg, pdf) в уязвимой программе просмотр опасной веб-страницы в уязвимом браузере просмотр зараженного e-mail в уязвимом почтовом клиенте Проникновение вируса

  3. Типичные места автозапуска: 1. реестр 2. папка "автозагрузка" 3. файлы system.ini и win.ini 4. запускаемые службы и приложения 5. макросы автозапуска MS Office 6. расширения Internet Explorer Как (и где) вирусы запускаются на компьютере?

  4. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run* (Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce) Обычно в разделе Run присутствуют ключи с названиями internat.exe, LoadPowerProfile, ScanRegistry, SystemTray, TaskMonitor. В разделе RunServices - ключ LoadPowerProfile. Остальные ключи, которые могут присутствовать в реестре, добавлены другими установленными программами. Реестр 1

  5. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run* (Run, RunOnce) HKCU\Software\Microsoft\Windows\CurrentVersion\Run Изначально разделы пустые, все записи там сделаны другими программами. Реестр 2

  6. До загрузки графической оболочки есть возможность запустить программу в разделе: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SessionManager в параметре BootExecute Реестр 3

  7. Реестр 4:HKCR \ exefile \ shell \ open \ command

  8. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\<оригинальное имя файла> DllName <путь к DLL трояна> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\<оригинальное имя файла трояна> Startup Startup Реестр еще:

  9. http://www.sysinternals.com/Utilities/Autoruns.html Утилиты просмотра автозагрузки

  10. Задание на работу • запустить вирус на компьютере • проверить список процессов(Ctrl-Alt-Del => "процессы") • проверить типичные места запуска вируса (реестр, ini-файлы) • проверить подозрительные имена файлов в интернете (Google)

More Related