Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Засоби віддаленого доступу. Back Orifice та Real VNC
Інформація про навчальний заклад
ВУЗ:
Львівський державний університет безпеки життєдіяльності
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Управління інформаційною безпекою
Інформація про роботу
Рік:
2012
Тип роботи:
Лабораторна робота
Предмет:
Методи та засоби захисту інформації
Частина тексту файла (без зображень, графіків і формул):
Міністерство надзвичайних ситуацій
Львівський державний університет безпеки життєдіяльності
Кафедра управління інформаційною безпекою
Лабораторна робота № 5
з методів та засобів захисту інформації на тему:
«Засоби віддаленого доступу. Back Orifice та Real VNC »
1. Back Orifice
Тип: шкідливе програмне забезпечення
Розробник: CULT OF THE DEAD COW
Написана на: C + +
Операційна система: Windows 9x
Мови інтерфейсу: Англійська
Ліцензія: Freeware
Сайт: http://www.cultdeadcow.com/tools/bo.html
Back Orifice (BO) - це програмний засіб, яке дає можливість з будь-якого комп'ютера в Інтернет практично непомітно виконувати різні несанкціоновані дії з будь-яким іншим підключеним до мережі комп'ютером, на якому встановлений BO.
BO не є вірусом в традиційному сенсі, скоріше, його можна назвати інструментом віддаленого "адміністратора", тому що саме він по команді ззовні виконує задані операції на комп'ютері.
Встановлений на комп'ютері BO допускає дуже високий рівень контролю над комп'ютером. Він дає можливість віддаленому оператору виконувати практично будь-які дії: читання і завантаження файлів, запуск програм, введення даних і т.п. Наприклад, можна отримати паролі, читати пошту, переглядати файли з конфіденційною інформацією, запускати DOS сесії і т.д.
Програма побудована на основі клієнт-серверної архітектури. На комп'ютері жертви встановлюється невеликий серверний компонент BOSERV, що представляє собою exe-файл. За допомогою спеціальної утиліти BOCONFIG останній можна прикріпити до будь-якого . exe файлу. Клієнтська частина реалізується програмою BOGUI. Обмін даних по мережі між BOGUI і BOSERV здійснюється з використанням TCP / IP через порт 31337.
Реалізація
Для того щоб BO був встановлений на комп'ютері, він повинен бути запущений на виконання. Це може відбутися при запуску інфікованих програм (що не відноситься до текстів, картинок, звуків і т.п.) або самого BO.
Встановлюється BO практично непомітно для користувача і після установки автоматично запускається кожного разу при завантаженні системи, відкриваючи доступ до комп'ютера з мережі.
Виявлення Вack Orifice
BO може бути виявлений на комп'ютері користувача, який встановлював програми, отримані з неперевірених джерел, в тому числі піратські копії, або запускав незнайомі програми, передані маловідомими людьми, наприклад, надіслані електронною поштою.
Якщо ж Ви останнім часом встановлювали тільки ліцензійні програми або програми, отримані з надійних джерел (наприклад, з серверів компаній Netscape, Microsoft), то майже напевно BO у Вас виявлений не буде.
BO встановлюється і працює на комп'ютері користувача практично непомітно.
Для користувачів, підключених до мережі через модем, ознакою роботи BO може служити зміна індикації на модемі в той час, коли сам користувач ніяких операцій з мережею не виконує (зрозуміло, що це відбувається при "сеансі зв'язку" з порушником). Для того щоб отримати точні відомості про наявність BO, необхідно проаналізувати свій комп'ютер або за допомогою спеціальної програми, такої як BODetect, або самостійно, як показано далі.
При установці BO на комп'ютері користувача:
в системному реєстрі в розділі HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices з'являється параметр під назвою "(За замовчуванням)" {"(Default)"} (іноді інше), значення якого задає ім'я файлу BO, звичайно ". exe" (пробіл точка exe), але може бути іншим.
в системному каталозі (c: \ windows \ system) з'являється копія програми BO з ім'ям, зазначеним у реєстрі, звичайно ". exe".
Для того щоб перевірити, чи встановлено на Вашому комп'ютері BO:
Запустіть програму системного реєстру c: \ windows \ regedit.exe. Для цього, натиснувши кнопку "Пуск", виберіть пункт "Виконати .." і, ввівши regedit.exe, натисніть кнопку OK.
Відкрийте розділ реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
Для цього в лівій частині вікна програми послідовно вибирайте елементи HKEY_LOCAL_MACHINE, SOFTWARE і т.д. до RunServices або ж виконайте пошук командою Правка / Знайти .. по слову RunServices.
У правій частині вікна програми буде представлений список встановлених параметрів розділу RunServices. Якщо в списку встановлено
Параметр
Значення
Це означає
(по замовчуванню)
(значення не присвоєно)
майже напевно BO на комп'ютері немає
(по замовчуванню)
“ .exe”
BO майже напевно встановлений
Зазначені значення ставляться до стандартної конфігурації BO, в інших же варіантах і ім'я параметра, і його значення можуть бути іншими. У будь-якому випадку значення параметра має бути непустих, тому воно задає ім'я файлу BO, зазвичай без вказівки каталогу. Зверніть увагу, що на одному комп'ютері може бути встановлено кілька копій BO, для кожної з яких вказується окремий параметр.
Запустіть програму Провідник (Пуск | Програми | Провідник) і відкрийте системний каталог c: \ windows \ system. Подивіться, чи є в списку файл c ім'ям, знайденим в реєстрі в попередньому пункті (зазвичай ". Exe"). Його розмір повинен бути не менше 124,928 (в Провіднику показується як 122К). Якщо це так, то на Вашому комп'ютері встановлений BO.
Однак, іноді можуть зустрітися і більш складні випадки встановлення BO (файл знаходиться в іншому каталозі, параметр системного реєстру розташовується в іншому розділі і т.п.), коли для його виявлення потрібні додаткові дослідження.
Що зробити, якщо на Вашому комп'ютері виявлено BO?
Якщо трапилося так, що на Вашому комп'ютері виявлено BO, слід допускати все. Можливо цією обставиною ще ніхто не зміг скористатися, а, може бути, хтось отримав Ваші паролі або деяку конфіденційну інформацію. Не можна виключати і можливість зараження Вашого комп'ютера вірусами, адже до Вашого комп'ютера відкритий повний доступ.
Тому рекомендуємо виконати наступні дії:
Знищте BO або за допомогою спеціальної програми, наприклад, BODetect або самостійно, як пояснюється нижче. Щоб уникнути непорозумінь в подальшому включите BODetect в групу Автозавантаження, так щоб він запускався при кожному завантаженні Windows.
Поміняйте паролі, які ви використовуєте для підключення до мережі і читання електронної пошти. Зверніть увагу, що пароль вступить в дію тільки на наступний день. Надалі бажано виконувати зміну пароля регулярно.
Крім того, рекомендуємо не зберігати пароль при встановленні з'єднання з мережею, а кожен раз вводити його заново. Для цього у вікні "Установка зв'язку" прапорець "Зберегти пароль" слід відключити.
Якщо на Вашому комп'ютері є конфіденційна інформація, можна припустити, що вона стала доступна незнайомцю. Це можуть бути, наприклад:
паролі
номери кредитних карток
банківські реквізити
конфіденційне листування
ключі-шифри та ін..
Застосуйте заходи, щоб використання конфіденційної інформації порушником не завдало Вам будь-яких втрат. Попередьте інших людей, які можуть також піддатися ризику. Наприклад, якщо Ви є юристом, і на Вашому комп'ютері зберігаються важливі документи, то їх викрадення може торкнутися інтересів багатьох.
Перевірте Вашу систему на наявність вірусів. У разі коли надійність системи і її захист особливо важливі, тому що не можна покластися повністю на програми-антивіруси, слід повністю переустановити систему і всі встановлені на ній програми. При цьому переносячи дані з інфікованою машини, обов'язково тестуйте їх найсвіжішими антивірусами.
Видалення Back Orifice
Видалити встановлений на комп'ютері BO можна або за допомогою спеціальної програми, наприклад, BODetect, або самостійно.
Для того щоб знищити BO самостійно, виконайте такі дії:
У системному реєстрі видаліть параметр BO, для чого:
відкрийте розділ реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices як зазначено вище
виберіть рядок видаляється параметра, клацнувши на ньому мишкою, і натисніть клавішу Del.
Перезавантажте систему Windows.
Запустіть програму Провідник і відкрийте системний каталог c: \ windows \ system. Видаліть файл програми BO (зазвичай ". Exe") і його допоміжну бібліотеку windll.dll.
Захист від ВО
Для того щоб уникнути інфікування BO, як, втім, і іншими вірусами, слід дотримуватися досить простих відомих правил:
Не запускайте програми, отримані з джерел, яким Ви не можете довіряти повністю.
Регулярно тестуйте Ваш комп'ютер програмами-антивірусами самих останніх версій. Це дозволить Вам уникнути майже будь-яких непередбачених обставин.
2. Real VNC
RealVNC - програма для віддаленого доступу до комп'ютера. Існує безкоштовна версія під Windows і Linux. За допомогою неї ви можете підключитися до свого робочого столу наприклад, з офісу або з ноутбука в дорозі. Для того, щоб підключитися до свого комп'ютера в офісі або на роботі, для нього повинен бути виділений реальна IP-адреса в Інтернеті У деяких випадках адміністратору буває необхідно отримати віддалений контроль над клієнтською системою для усунення виниклих неполадок. Спеціально на цей випадок існують всілякі утиліти типу LogMeIn і TeamViewer. Ті, хто не люблять сторонні додатки або воліють всебічно контролювати процес підключення, можуть скористатися протоколом віддаленого робочого столу (Remote Desktop Protocol, RDP) або системою Virtual Network Computing (VNC).
Один з інструментів для роботи з VNC - утиліта RealVNC. Вона створена розробниками VNC, тому можна не сумніватися, що з поставленим завданням програма справляється на ура, дозволяючи з легкістю отримати контроль над віддаленим комп'ютером.
Системні вимоги
• RealVNC підтримує Windows, Linux, Mac, UNIX.
• Для роботи Linux-версії вимагається пакет libstdc + +-libc6.
Цільова аудиторія
RealVNC - рішення не для всіх. Для успішного користування цією утилітою потрібно добре розбиратися в загальних принципах роботи комп'ютерів і комп'ютерних мереж. RealVNC чудово підійде адміністраторам, які потребують віддалений доступ до обслуговуваних машин з будь-якої операційної системи. Утиліта не обмежує вибір інструментів для адміністрування. Підключитися до сервера RealVNC, встановленому під Windows, можна за допомогою клієнта VNC, працюючого в будь підтримуваної ОС.
Функціональність
RealVNC надає адміністратору віддалений доступ до свого комп'ютера або комп'ютера кінцевого користувача з будь-якого місця з використанням будь-якої операційної системи. На відміну від деяких інших інструментів для роботи з VNC, це рішення поставляється в комплекті з серверним і клієнтським компонентами, дозволяючи встановити все необхідне програмне забезпечення в одному пакеті. RealVNC дає можливість здійснювати віддалене адміністрування без використання сторонніх додатків. А корпоративна версія також дозволяє обмінюватися з кінцевим користувачем миттєвими повідомленнями, не відволікаючись на розмови по телефону при наданні технічної підтримки.
Можливості
Зверніть увагу: набір доступних функцій розрізняється залежно від версії.
Підтримка широкого кола операційних систем.
Аутентифікація на сервері по технології RSA з використання 2048-бітного ключа.
Шифрування даних за стандартом AES з використанням 128-бітного ключа.
Підтримка друку.
HTTP-і VNC-підключення до одного порту.
Підтримка проксі для HTTP.
Окремий канал для технічної підтримки.
Можливість обміну файлами.
Підтримка адресної книги.
Вбудований чат.
Можливість масштабування екрану.
Підтримка аутентифікації з використанням нативних засобів обраної платформи.
Інструменти для розгортання в комплекті (тільки для Windows).
Вікно налаштувань
У вікні налаштувань можна задати тип аутентифікації. Бажано використовувати аутентифікацію, інакше доступ до віддаленого підключення через VNC зможе отримати будь-який користувач комп'ютера.
Підводні камені
Головний недолік RealVNC - складність в освоєнні. Утиліта не передбачає використання стандартних засобів віддаленого доступу. До складу RealVNC входять серверний та клієнтський компоненти, причому для успішного підключення до віддаленого комп'ютера серверна частина на ньому повинна бути запущена і налаштована. Це завдання не для середньостатистичного користувача, тому адміністратору бажано підготувати комп'ютер самостійно, інакше потім доведеться в віддаленому режимі пояснювати користувачеві, як запустити і налаштувати сервер.
Альтернативи
TightVNC
UltraVNC
Висновки
RealVNC - прекрасне рішення для тих, кому потрібно потужний інструмент для віддаленого адміністрування серверів або настільних комп'ютерів. Якщо ж вас цікавить простий і зручний в обігу додаток, який будь-який користувач зможе з легкістю запустити, щоб надати адміністратору віддалений доступ до своєї системи, варто пошукати інші варіанти. RealVNC ніяк не назвеш простим і зручним інструментом для кінцевих користувачів, хоча адміністратори розберуться з ним без проблем.
Саме більш простішим варіантом є програма Back Orifice тому, що вона побудована на основі клієнт-серверної архітектури. Також, як стверджують розробники: «Back Orifice дає Вам набагато більше можливостей на віддаленому комп'ютері, ніж у його локального користувача». Поява у свій час Back Orifice і його вільне поширення створило значний переполох серед фахівців з комп'ютерної безпеки.
Список використаної джерел
www.cultdeadcow.com/news/back_orifice.txt
www.cultdeadcow.com/tools/bo.html
forum.sald.ru/lofiversion/index.php?t18076
20.12.2012 00:12-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора