Ім'я файлу: зпз1.docx
Розширення: docx
Розмір: 1911кб.
Дата: 30.06.2023
скачати
Пов'язані файли:
Как за 1 месяц избавиться от целлюлита и сделать попу круглой.do
Донцул А.В. Економ_чне обгрунтування.docx
проект з фізики джерела звуку.docx
Копия особливеWord.docx
Шкода лікеро.docx
6.pdf
Бізнес планування тема 1.pptx
Кратiк_1_економ.pdf
літ чит.docx
Курсова робота. Невизначеність і ризик. Вимірювання ризику. Зниж
EM_RGR.doc
urkul539.doc
таке.docx
Розширення: docx
Розмір: 1911кб.
Дата: 30.06.2023
скачати
Пов'язані файли:
Как за 1 месяц избавиться от целлюлита и сделать попу круглой.do
Донцул А.В. Економ_чне обгрунтування.docx
проект з фізики джерела звуку.docx
Копия особливеWord.docx
Шкода лікеро.docx
6.pdf
Бізнес планування тема 1.pptx
Кратiк_1_економ.pdf
літ чит.docx
Курсова робота. Невизначеність і ризик. Вимірювання ризику. Зниж
EM_RGR.doc
urkul539.doc
таке.docx
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ВІННИЦЬКИЙ НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ
КАФЕДРА МЕНЕДЖМЕНТУ ТА БЕЗПЕКИ ІНФОРМАЦІЙНИХ СИСТЕМ
ЛАБОРАТОРНА РОБОТА N1
ДОСЛІДЖЕННЯ РОБОТИ ПРОГРАМ- МОНІТОРІВ
Виконав: студент групи 1 КІТС -22б
Крюк М.С
Лабораторну роботу захищено
з оцінкою_____________________
Перевірила:Зоря.І.С.
Вінниця-2022
Мета і задачі
- ознайомитись на практиці з основними програмними засобами, що використовуються зламниками для попереднього аналізу роботи захищеного програмного забезпечення;
- дослідити програми-монітори для аналізу звернень захищених програм до системного реєстру, до суб’єктів файлової системи;
- дослідити програми моніторингу використання програмами АРІ-функцій і мережевих з’єднань.
ТЕОРЕТИЧНІ ВІДОМОСТІ
Порядок дослідження роботи систем захисту
Для ефективного дослідження (зламу) програмного забезпечення (ПЗ) хакерам необхідно перш за все зібрати всі необхідну і вичерпну інформацію про роботу програмного забезпечення: середовища, в якому воно виконується, які глобальні системні змінні та параметри воно використовує або активно модифікує, які файли і папки використовує. Крім того, необхідно визначити, чи здійснює дане ПЗ програмні прив’язки та які динамічні бібліотеки використовує.
Для вирішення всіх цих питань спробуємо записати наближений алгоритм, який охопить найпоширеніший та найскладніший випадок несанкціонованого дослідження, що його використовує зловмисник для зняття захисту з програми.
Перш за все необхідно запустити програмне забезпечення, спостерігати за його роботою, обмеженнями під час роботи та тими особливостями ПЗ, які виникають під час його роботи. Це можуть бути підозрілі рядки, масиви символів, діалогові вікна для введення реєстраційної інформації тощо.
Далі необхідно відслідкувати звернення програми до системного реєстру та власних файлів настроювань, оскільки інколи можна лише змінити або видалити певні записи з реєстру або деякий файл для зняття всіх обмежень у роботі програми.
Далі слід відслідкувати звернення програми до файлів, каталогів – до ресурсів файлової системи.
Проаналізувати виконувані файли та динамічні бібліотеки на предмет запакування виконуваних файлів, їх шифрування тощо.
А далі можна приступити до дизасемблювання і модифікації програмних модулів, тобто безпосередньо до здійснення зламу.
Основні програми для здійснення моніторингу
File Monitors – програми-монітори файлової системи (окрема програма або cкладова програми ProcessMonitor)
Даний тип програмних продуктів дозволяє відслідковувати зміни, що відбуваються у файловій системі під час запуску певних програм. У більшості таких програм передбачена система фільтрів для формування протоколів роботи окремих додатків. За допомогою даного типу засобів реалізується аналізроботисистемзахиступрограмногозабезпечення(СЗПЗ)з файлами.
Подібні програми дозволяють з'ясувати, що саме і де змінюють розпізнані на етапах первинного і вторинного аналізу модулі СЗПЗ, або визначити модуль, що робить зміни у певному файлі. Ця інформація дозволяє точно локалізувати лічильники кількості запусків ПЗ, приховані файли систем "прив'язки" ПЗ, "ключові файли", файли з інформацією про функції ПЗ, дозволені для використання в рамках даної ліцензії на продукт і т. п., а також модулі і конкретні процедури СЗПЗ, що працюють з цими даними. Важливою є інформація про звернення захищеної програми до файлів, оскільки це дає майже необмежені можливості для контролю та управління програмою, що зламується, оскільки навіть під час свого виконання програма зчитує команди з власного бінарного файлу до оперативної пам’яті, вже не кажучи про інші приховані файли (файли настроювань, файли ключів. Для вирішення таких задач дослідникам (зламникам) допомагає програма FileMon (рис. 1.1).
Рисунок 1.1 – Загальний вигляд вікна програми FileMon
Registry Monitors – програми-монітори системних файлів ОС (окрема програма або cкладова програми ProcessMonitor)
Програмні засоби цього типу призначені для відстеження змін, внесених додатками в конфігураційні файли операційних систем (ОС). У розглянутому контексті дані програми дозволяють реалізувати аналіз роботи СЗПЗ із системними файлами(більш специфічно для ОС сімейства Windows).
Розглянуті засоби дозволяють визначати, чи працює система захисту з файлами конфігурації ОС, які зміни вона туди вносить і які дані використовує. У результаті подібного аналізу стає можливим знайти приховані лічильники кількості запусків ПЗ, збережені дати першої установлення ПЗ на ПК користувача, записи з ліцензійними обмеженнями функціональності ПЗ і т. п. Такий аналіз дає результати, подібні до результатів аналізу роботи СЗПЗ з файлами.
Прикладом такої програми може служити програма Regmon, яка перехополює звернення будь-якої іншої програми до системного реєстра, виводячи при цьому повну та докладну інформацію про ключі, до яких здійснювалось звернення (рис. 1.2).
Рисунок 1.2 – Загальний вигляд вікна програми RegMon
Програма дозволяє фільтрувати повідомлення за певним конкретним процесом.
Знаючи про звернення програми до системного реєстру можна встановити саме той режим роботи додатку, який необхідний зламнику, або взагалі позбутись усіх обмежень.
Process/Windows Managers – програми-монітори активних задач, процесів, потоків і вікон (окрема програма або cкладова програми ProcessMonitor)
Зазначений тип програмних засобів призначений для відстеження і керування об'єктами ОС (задачами, процесами, потоками, вікнами й ін.).
Рисунок 1.3 – Загальний вигляд вікна програми ProcessExplorer
Подібні програми звичайно надають можливості пошуку необхідного об'єкта ОС, переключення на нього керування, зміни його пріоритету, знищення об'єкта,
збереження його параметрів (іноді вмісту) на диску. Застосування моніторів задач дає можливість здійснювати аналіз модульної структури СЗПЗ. Подібний аналіз дозволяє з'ясувати подробиці організації СЗПЗ під час її роботи. Список бібліотек, що завантажуються динамічно процесом, дані про кількість створюваних і знищуваних додатком потоків і вікон, поводження програмних продуктів при спробі примусово завершити процес, що містить СЗПЗ, дозволяють істотно доповнити картину аналізу функціонування системи захисту. До таких засобів відносять програму Process Explorer (рис. 1.3).
NetworkTrafficMonitors- програми-монітори мережного обміну даними
(окрема програма або cкладова програми ProcessMonitor)
Даний тип програм призначений для відстеження мережної активності додатків у рамках ОС. Як правило, такі програми дозволяють фільтрувати/виділяти додатки чи мережні з'єднання за введеними критеріями. Таким чином, використання мережних моніторів дозволяє проводити аналізмережногообмінуСЗПЗ.
Цілий ряд сучасних програмних продуктів реалізує перевірку аутентичності користувача шляхом запиту даних про стан ліцензії для даної робочої станції з "сервера ліцензій" у локальних обчислювальних мережах. Також останнім часом з'явилися програмні продукти, що перевіряють аутентичність користувача або термін свого використання через Internet. Крім зазначених видів ПЗ, існують також умовно безкоштовні програмні продукти, у яких тимчасові чи функціональні обмеження замінені обов'язковим переглядом рекламної інформації, одержуваної через Internet. Відслідковуючи мережний обмін подібних програмних продуктів, можна аналізувати механізми систем їх захисту.
APIMonitors– програми-монітори викликів підпрограм ОС
Програмне забезпечення цього типу призначено для відстеження виклику системних функцій одним чи декількома додатками з можливістю фільтрації або видалення певних системних функцій або додатків. Застосування таких програм дозволяє проводити аналізвикористаннявСЗПЗ системнихфункцій.
Рисунок 1.4 – Загальний вигляд вікна програми АРІ Monitor
З огляду на те, що всі дії ПЗ і СЗПЗ, які пов'язані з роботою файлової системи, роботою з конфігурацією ОС, реалізацією діалогу з користувачем, роботою з мережею та іншим, реалізуються за допомогою викликів функцій ОС, аналіз використання СЗПЗ системних функцій дозволяє досить докладно вивчити механізми роботи систем захисту, знайти в них слабкі місця і розробити шляхи обходу впровадженого захисту.
Наприклад, практично всі сучасні системи захисту від копіювання оптичних дисків базуються на досить невеликому наборі системних функцій для роботи з даним видом накопичувачів інформації, і відстежування цих функцій дозволяє знайти і нейтралізувати механізми перевірки типу носія усередині СЗПЗ (рис. 1.4).
Контрольні запитання
1. Охарактеризувати програми-монітори звернень до файлів. Їх призначення.
2. Дати характеристику програмам стеження за системним реєстром. Їх
використання дл аналізу систем захисту.
3. Дати характеристику програмам для моніторингу процесів і вікон.
4. Охарактеризувати програми-монітори АРІ-викликів. Де і як їх можна
застосувати?
5. Охарактеризувати особливості використання програм моніторингу мережевого
обміну.
6. Для чого можуть бути використані вказані програми при покращенні роботи
операційних систем?
7. Як можуть бути використані програми моніторингу при дослідженні роботи
систем захисту програмного забезпечення?
Порядок виконання роботи
Ознайомитись з теоретичними відомостями про засоби моніторингу, наведеними в лекціях та в описі даної лабораторної роботи.
Ознайомитись з коротким описом програм-моніторів, встановити та запустити на виконання програму ProcessMonitor, що здійснює моніторінг різних об’єктів операційної системи (вони знаходяться у папці Programs або завантажити новіші версії програм) і навчитись з ними працювати:
-моніторинг звернень до системного реєстру – RegMon;
- моніторинг звернень до файлів та каталогів – FileMon;
Рисунок 1.5-Загальний вигляд вікна Process Monitor
- моніторинг активності операційної системи – ProcessExplorer;
1.6-Загальний вигляд вікна Process Explorer
- перегляд інформації про використовувані АРІ-функціі – APIMon.
1.7-Загальний вигляд вікна API Monitor
- моніторинг звернень до мережі – NetworkMon
3. Проаналізувати отримані результати та оформити звіт з лабораторної роботи за
такою формою (рекомендо у вигляді таблиці за наведеною далі формою) :
- призначення програми, яка є об’єктом дослідження;
- відомості, які надає кожна з програм моніторінгу при слідкуванні за програмою-
об’єктом;
- оцінити кожну програму (негативні і позитивні риси програм) відповідно до її
функціональності, зручності у використанні, частоти оновлень тощо.
- Висновки, при бажанні, можна оформити у вигляді такої таблиці.
| Назва програми | Призначення | Результати дослідження | Оцінка | Висновки (позитвні і негативні) |
| Process Monitor | програми-монітори системних файлів ОС | Відстежує та відображає активність файлової системи | 4 | Переваги: -простий пошук ; - повний комплексний контроль за процесами:від запуску до завершення роботи пк Недоліки: -складність роботи з форматованими даними |
| ProcessExplorer | програми-монітори активних задач, процесів, потоків і вікон | Допомагає відстежувати і керувати програмами, об’єктами | 5 | Переваги: -швидкий доступ, можливість швидкого аналізу потрібного елемента або файла ,також показує детельну інформацію щодо використання ресурсів сисеми Недоліки: -Немає |
| Network Monitors | програми-монітори мережного обміну даними | Призначений для відстеження мережної активності додатків у рамках ОС. | 3 | Переваги: -наявність фільтрів -зручний інтерфейс Недоліки: -застаріла програма -не працює з новими операційними системами напряму |
| APIMon | програми-монітори викликів підпрограм ОС | Допомагає фільтрувати та аналізувати системні функції, з можливістю їх видалення. | 3 | Переваги: -великий спектр функцій Недоліки: -не дуже зручний інтерфейс -застаріла програма -не можна відслідковувати всі процеси одночасно |
Висновок: в цій лабораторній роботі я провів дослідження щодо різних програм-моніторінгів. Є деякі програми застарілими і вони не працюють із сучасними операційними системами. Програми моніторингу дуже допомагають для контролю продуктивності елементів системи як стеку додатків. Виявляє помилки та збої у роботі послуг до того, як вони вплинуть. Знаходження першу причину проблем із продуктивністю в будь-якому програмному забезпеченні.