Міністерство надзвичайних ситуацій
Львівський державний університет безпеки життєдіяльності
Кафедра управління інформаційною безпекою
Лабораторна робота № 5
з методів та засобів захисту інформації на тему:
«Засоби віддаленого доступу. Back Orifice та Real VNC »
1. Back Orifice
Тип: шкідливе програмне забезпечення
Розробник: CULT OF THE DEAD COW
Написана на: C + +
Операційна система: Windows 9x
Мови інтерфейсу: Англійська
Ліцензія: Freeware
Сайт: http://www.cultdeadcow.com/tools/bo.html
Back Orifice (BO) - це програмний засіб, яке дає можливість з будь-якого комп'ютера в Інтернет практично непомітно виконувати різні несанкціоновані дії з будь-яким іншим підключеним до мережі комп'ютером, на якому встановлений BO.
BO не є вірусом в традиційному сенсі, скоріше, його можна назвати інструментом віддаленого "адміністратора", тому що саме він по команді ззовні виконує задані операції на комп'ютері.
Встановлений на комп'ютері BO допускає дуже високий рівень контролю над комп'ютером. Він дає можливість віддаленому оператору виконувати практично будь-які дії: читання і завантаження файлів, запуск програм, введення даних і т.п. Наприклад, можна отримати паролі, читати пошту, переглядати файли з конфіденційною інформацією, запускати DOS сесії і т.д.
Програма побудована на основі клієнт-серверної архітектури. На комп'ютері жертви встановлюється невеликий серверний компонент BOSERV, що представляє собою exe-файл. За допомогою спеціальної утиліти BOCONFIG останній можна прикріпити до будь-якого . exe файлу. Клієнтська частина реалізується програмою BOGUI. Обмін даних по мережі між BOGUI і BOSERV здійснюється з використанням TCP / IP через порт 31337.
Реалізація
Для того щоб BO був встановлений на комп'ютері, він повинен бути запущений на виконання. Це може відбутися при запуску інфікованих програм (що не відноситься до текстів, картинок, звуків і т.п.) або самого BO.
Встановлюється BO практично непомітно для користувача і після установки автоматично запускається кожного разу при завантаженні системи, відкриваючи доступ до комп'ютера з мережі.
Виявлення Вack Orifice
BO може бути виявлений на комп'ютері користувача, який встановлював програми, отримані з неперевірених джерел, в тому числі піратські копії, або запускав незнайомі програми, передані маловідомими людьми, наприклад, надіслані електронною поштою.
Якщо ж Ви останнім часом встановлювали тільки ліцензійні програми або програми, отримані з надійних джерел (наприклад, з серверів компаній Netscape, Microsoft), то майже напевно BO у Вас виявлений не буде.
BO встановлюється і працює на комп'ютері користувача практично непомітно.
Для користувачів, підключених до мережі через модем, ознакою роботи BO може служити зміна індикації на модемі в той час, коли сам користувач ніяких операцій з мережею не виконує (зрозуміло, що це відбувається при "сеансі зв'язку" з порушником). Для того щоб отримати точні відомості про наявність BO, необхідно проаналізувати свій комп'ютер або за допомогою спеціальної програми, такої як BODetect, або самостійно, як показано далі.
При установці BO на комп'ютері користувача:
в системному реєстрі в розділі HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices з'являється параметр під назвою "(За замовчуванням)" {"(Default)"} (іноді інше), значення якого задає ім'я файлу BO, звичайно ". exe" (пробіл точка exe), але може бути іншим.
в системному каталозі (c: \ windows \ system) з'являється копія програми BO з ім'ям, зазначеним у реєстрі, звичайно ". exe".
Для того щоб перевірити, чи встановлено на Вашому комп'ютері BO:
Запустіть програму системного реєстру c: \ windows \ regedit.exe. Для цього, натиснувши кнопку "Пуск", виберіть пункт "Виконати .." і, ввівши regedit.exe, натисніть кнопку OK.
Відкрийте розділ реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
Для цього в лівій частині вікна програми послідовно вибирайте елементи HKEY_LOCAL_MACHINE, SOFTWARE і т.д. до RunServices або ж...