Реестр операционной системы Windows. Профилактика проникновения троянских программ

Санкт-Петербургский национальный исследовательский университет 
информационных технологий, механики и оптики

 

 

Факультет Компьютерных Технологий и Управления

Кафедра Безопасные Информационные Технологии

 

• Дисциплина “Защита Информационных Процессов в Компьютерных Системах”

 

 

 

 

 

 

 

 

 

 

 

Отчет по  лабораторной работе № 2

“ Реестр операционной системы Windows. Профилактика проникновения троянских программ ”

 

 

 

 

 

 

 

 

 

Выполнил:

Студент группы № 1131

Власов  Никита

 

 

 

 

 

 

 

 

 

 

Санкт-Петербург

2013

 

1. Проверить содержимое параметра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

 

2. Проверить раздел автозапуска Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

 

 

 

 

 

 

 

 

 

Контрольные вопросы.

1.Реестр Windows или системный реестр (англ. Windows Registry) — иерархически построенная база данных параметров и настроек в большинстве операционных систем Microsoft Windows.Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, профилей пользователей, предустановки. Большинство изменений в Панели управления, ассоциации файлов, системные политики, список установленного ПО фиксируются в реестре.Реестр Windows был введён для упорядочения информации, хранившейся до этого во множестве INI-файлов.

2. Структура Реестра

HKEY_CURRENT_USER

Данный раздел содержит настройки  текущего активного пользователя, вошедшего  в систему. Здесь хранятся папки  пользователя, цвета экрана и параметры  панели управления. Эти сведения сопоставлены с профилем пользователя. Вместо полного имени раздела иногда используется аббревиатура HKCU. Хотя этот раздел выглядит как один из основных в редакторе реестра, он является всего лишь ссылкой на один из профилей HKEY_USERS\.

HKEY_USERS

Раздел HKEY_USERS (псевдоним HKU) содержит информацию о профилях всех пользователей данного компьютера. Данный раздел практически никогда не используется пользователями. Следует отметить связь данного корневого раздела с разделом HKEY_CURRENT_USER, который фактически является копией подраздела корневого раздела HKEY_USERS, хранящего сведения о текущем пользователе.

HKEY_LOCAL_MACHINE

Раздел содержит параметры конфигурации, относящиеся к данному компьютеру (для всех пользователей). Вместо полного  имени раздела иногда используется аббревиатура HKLM.

HKEY_CLASSES_ROOT

Является подразделом HKEY_LOCAL_MACHINE\Software\Classes. В основном, содержит информацию о зарегистрированных типах файлов и объектах COM и ActiveX. Вместо полного имени раздела иногда используется аббревиатура HKCR. Начиная с Windows 2000, эти сведения хранятся как в HKEY_LOCAL_MACHINE, так и в HKEY_CURRENT_USER. Раздел HKEY_LOCAL_MACHINE\Software\Classes содержит параметры по умолчанию, которые относятся ко всем пользователям локального компьютера. Параметры, содержащиеся в разделе HKEY_CURRENT_USER\Software\Classes, переопределяют принятые по умолчанию и относятся только к текущему пользователю. Раздел HKEY_CLASSES_ROOT включает в себя данные из обоих источников. Кроме того, раздел HKEY_CLASSES_ROOT предоставляет объединённые данные программам, написанным под ранние версии Windows. Изменения настроек текущего пользователя выполняются в разделе HKEY_CURRENT_USER\Software\Classes. Модификация параметров по умолчанию должна производиться в разделе HKEY_LOCAL_MACHINE\Software\Classes. Данные из разделов, добавленных в HKEY_CLASSES_ROOT, будут сохранены системой в разделе HKEY_LOCAL_MACHINE\Software\Classes. Если изменяется параметр в одном из подразделов раздела HKEY_CLASSES_ROOT и такой подраздел уже существует в HKEY_CURRENT_USER\Software\Classes, то для хранения информации будет использован раздел HKEY_CURRENT_USER\Software\Classes, а не HKEY_LOCAL_MACHINE\Software\Classes.

HKEY_CURRENT_CONFIG

Данный раздел содержит сведения о  профиле оборудования, используемом локальным компьютером при запуске системы. Является ссылкой на KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current

HKEY_DYN_DATA

Данный раздел имеется только в  реестре ОС семейства Windows 9x/ME. Содержит динамически изменяемые данные о компьютере (загрузка процессора, размер файла подкачки и т. п.).

3. «Троянская программа» может мешать работе пользователя, шпионить за пользователем, использовать ресурсы компьютера для какой-либо незаконной деятельности и т.д..

4. Вредоносные программы определяются через их способность к саморазмножению, т.е. к воспроизведению и распространению своих копий. В дополнение к традиционным способам распространения (электронная почта, системы мгновенных сообщений, сети обмена файлами) черви могут копировать себя на сетевые ресурсы, в папки с общим доступом, на съемные носители информации.

Троянские приложения обычно направлены на уничтожение информации, повреждение  системного реестра, нарушение работы приложений.

5. Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователя и системы

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon