Praktikum 10 - Kahjurvara & Windows forensics
Kahjurvara
(ka pahavara
või kurivara
) nimetatakse sellist tarkvara, mida kasutatakse ilma omaniku teadmata tema arvutisse tungimiseks ja/või selle kahjustamiseks. Kahjurvara on mitut liiki: lunavara
, viirused
, troojalased
, ussid
, nuhkijad
, helistajad
, reklaamijad
ja palju muud. Kahjurvara luuakse inimeste poolt, keda ajendab kas uudishimu, soov huligaanitseda või teie kulul rikastuda.
See võib arvutisse sattuda USB-pulgal, CD-plaadil või muul andmekandjal, aga võib olla kaasa pandud e-kirjale, peidetud mõnda programmi või dokumenti, saada alla laetud veebibrauseri poolt või tulla ründe kaudu, mis kasutab ära teenuses olevat turvaprobleemi ning auklikku või puuduvat tulemüüri. Nakatunud arvutis võib teoorias kahjustada saada ka riistvara, kuigi enamasti on sihtmärgiks andmed.
Uusim pahavara üritab siiski toimetada teie arvutis võimalikult vaikselt ja tagasihoidlikult, et te midagi kahtlustama ei hakkaks ning oma igapäevaseid toimetusi julgelt edasi toimetaksite – kasutaksite internetipanka, vahetaksite konfidentsiaalseid sõnumeid, sisestaksite oma kasutajatunnuseid ja paroole. On olnud juhuseid, mil pahavara kontrolliv küberkurjategija on koguni hoolitsenud arvuti operatsioonisüsteemi turvaparanduste paigaldamise eest ja jälginud, et viirustõrje toimiks korralikult ja eemaldaks konkureeriva pahavara. Omakasupüüdmatusega pole sellel siiski pistmist – teie arvutiressurss, pangaandmed ja muu isiklik info on liiga väärtuslik saak, et seda kellegagi jagada. Allikas:http://www.arvutikaitse.ee
Enne praktikumi juurde asumist soovitame vaadata Mikko Hypponen 2011 aasta lustakat, kuid siiski väga harivat, TED video arvutiviirustest https://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net .
2021 praktikumi tutvustav video, mis kehtib osaliselt praktikumiharjutuste kohta on leitav siin video
Töökeskkonna seadistamine - Windows XP
Tänane praktikum toimub Windows XP
virtuaalmasinas
Kasutame ajaloolist Windows XP virtuaalmasinat teadlikult, sest vanemaid viiruseid on lihtsam uurida ning ühtlasi ei teki nakatumise ohtu meie kaasaegsetele operatsioonisüsteemidele. Windows XP täiendavaks eeliseks on tema vähene ressursinõudlikus võrreldes kaasaegsemate operatsioonisüsteemidega. Selleks laadige enda arvutisse Andmeturve_XP_SP3.ova
https://owncloud.ut.ee/owncloud/index.php/s/CrtBMvRouATSgz8 lehelt , kus allalaadimise parooliks sisestage aine kood LTAT.06.002
.
Järgnevalt käivitage VirtualBox ja importige virtuaalmasin failist Andmeturve_XP_SP3.ova
(File
-> Import Applicance
-> File: Andmeturve_XP_SP3.ova
-> Next
-> MAC Address Policy: Generate new MAC addresses for all network adapters
) ja ärge muutke virtuaalmasina riistvara seadeid, sest muidu võib küsida Windows XP teie käest aktiviseerimist.
NB! Enne käivitamist veenduge, et virtuaalmasin ei pääseks võrgule ligi. Deaktiveerige võrguliides VirtualBox virtuaalmasina seadetest. Settings
-> Network
-> Adapter 1
-> Advanced
-> Eemaldage "Cable Connected
" linnuke.
Käivitage lisatud virtuaalmasin ja logige sisse kasutaja
nimelise kasutajana juhul kui see peaks vajalik olema.
Nüüd uuendame Windows XP virtuaalmasina draivereid valides Virtualboxi XP akna menüüst Devices
-> Insert Guest Additions CD image
-> Next
-> Next
-> Install
-> Continue Anyway
(mitu korda) -> Reboot now
-> Finish
Pahalaste leidmine ning eemaldamine
Pakkige lahti pahalased.zip
ja utils.zip
. Need asuvad virtuaalmasina töölaual.
Kõik praktikumi juhendis viidatud utiliidid on utils.zip
failis, teil ei ole vaja neid internetist alla laadida. Lingid on lihtsalt selleks, et saaksite need programmid ise pärast kerge vaevaga üles leida. pahalased.zip
fail sisaldab kolme pahalase faili, mida me järgmistes ülesannetes kasutame hakkame. Pahavara võib käituda mitmel moel ja teha mitmeid erinevaid asju. Pahalastega samas kaustas on leitavad ka XML
failid (Analysis Dump), mis kirjeldavad kuidas täpselt ja milliseid faile ning registri kirjeid tarkvara loob või modifitseerib.
Pahalane 1
Kopeerige pahalaste kataloogist oma desktopile fail nimega 5f85dc4d417c7aa7e49652d89cd6568a
, nimetage ta ümber pahalane1.exe
'ks ja käivitage see. Peale käivitamist peaks fail ise ennast ära kustutama paari sekundi pärast.
Käivitage Task Manager
(käivitub Ctrl + Shift + Esc
või alternatiivselt Input
-> Keyboard
-> Insert Ctrl-Alt-Del
peale) programm ning uurige, kas märkate kahtlast programmi masinas jooksmas (Processes
vaheleht). Vihje: Kasutajal on üks liigne protsess, mille nimi proovib matkida mõnda teist süsteemi protsessi.
Uurige protsesse ka Process Explorer
abil (asub utils
kataloogis) ning uurige täpsemalt, mille poolest kahtlane protsess eristub teistest. Veenduge, et sellel protsessil ei ole digitaalset signatuuri, kuid ülejäänutel protsessidel on verifitseeritavad signatuurid
. Selleks lisage process explorer
i vaatesse tulp
, mis kuvab signeerimise
kohta käivat infot (parem klahv tulba nimede real -> Select Columns
-> Process Image
-> Verified Signer
) . Kui see on tehtud, siis otsige process explorer
i options
menüüst üles Verify Image Signatures
valik. Tänapäeval peaks usaldusväärsed binaarid olema digiallkirjastatud tarkvaratootja poolt ja juhul kui signatuur on puudu, siis võib tegemist olla kahjurvaraga. Nüüd peaksite suutma Process Explorer
nimekirjast üles leida pahalase, mis matkib mõnda levinud Windowsi protsessi nime. Pahalane kasutab erinevaid nimesid, kui mitu korda käima panna või kui võrdlete kaastudengitega lahendusi. Ühtlasi olge hoolikas edaspidi kui otsite pahalast failisüsteemist, sest pahalane kasutab ära asjaolu, et suurtäht i
ja väike l
näevad sarnased operatsioonisüsteemis välja I
vs l
, O
vs 0
jne. Pahalane võib ära kasutada ka muid nimekuju sarnasusi näiteks jätab ära tähe levinud protsessinime juures.
Uurige Tcpview
abil, kas pahalane üritab võrguga suhelda (ei tohiks).
Pahavara peab ennast arvutis kuidagi käima panema koos arvuti käivitumisega. Otsige üles algkäivituse registrivõtmed, mille abil on pahalane seadistatud automaatselt käivituma iga kord kui arvuti käivitub. Enne eemaldamist tuleks teha ekraanitõmmis, vt. kolmandat punkti. Registri puhastamiseks on mitu võimalust (NB! Ärge veel midagi kustutage - lihtsalt otsige pahalane üles):
Start -> Run
,regedit
- otsige haruHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Start -> Run
,msconfig
->Startup
.- Käivitage Autoruns (olemas
utils
kaustas. Uurige erinevaid viise, kust asjad automaatselt käima minna saavad. Enne tehke arvestuse jaoks vajalik ekraanitõmmis ning siis eemaldage pahavaraautoruns
nimekirjast (kustutage, mitte ärge eemaldage linnukest).
Arvestus 1: Tehke ekraanipilt autoruns
programmist, kus on näha esimese pahalase programm ning salvestage see väljaspool virtuaalmasinat. Lisaks kirjutage oma täisnimi tekstifaili nii, et see ekraanivaatelt näha oleks. Ekraanipiltidel peab olema näha terve virtuaalmasin. Ärge lõigake neid väiksemaks kui virtuaalmasina aken.
Eemaldage pahalane masinast - selleks on soovitav kõigepealt kahtlane protsess maha tappa ning siis eemaldada tema failid ja registrivõtmed süsteemist:
- Vaadake
Process Exploreriga
ja jätke meelde, mis on pahalase programmi täistee süsteemis. See peaks asumaC:\Windows\system32
kataloogis. - Tapke pahalase protsess (
Task manager
võiProcess Explorer
). Kustutage
pahalase programmifail sealt, kus te just tuvastasite ta olevat. Vajadusel lülitage sisse failihalduri seadetespeidetud ja süsteemifailide näitamine
. Vihje:Tools
->Folder Options
->View
-> linnukeShow hidden files and folders
, eemaldaHide extensions for known file types
,Hide protected operating system files
.- Nüüd kustutage ka registrikirje vabalt valitud meetodil
regedit
,msconfig
võiautoruns.exe
Pahalane 2
Enne kui te järgmise pahalase käivitate, pange käima ning jätke tööle Tcpview
programm, et jälgida aktiivseid võrguühendusi.
Nüüd tehke koopia järgmisest pahalasest 1c2bfded99bab96e49f7d9c53026646c
, nimetage see ümber pahalane2.exe
failiks ning käivitage see. See fail peaks samuti ennast ise automaatselt kustutama.
Viivitage Windowsi tulemüüri küsimusele vastamisega, ning uurige varasemalt käivitatud TCPView
programmi väljundit. Mida antud pahalase programmi võrguliiklus tähendab? Miks see toimub vaatamata tulemüürist mittelubamisele? Vastus: Windowsi tulemüür piirab vaikimisi ainult väljast sissetulevaid ühendusi, seest väljuvad ühendused ei ole enamasti filtreeritud.
Mida tähendab siis see tulemüüri dialoog - mida see reaalselt lubab-keelab? Vastus: Annab pahalasele õiguse väljast ühenduda arvutiga. Turvalisuse huvides valime Keep Blocking
Uurige teist pahalast Process Explorer
programmi abil. Mis on pahalase nimi?
Uurige Process Explorer
programmi abil lisaks ka seda, milliseid faile kahtlane protsess hetkel kasutab (View
-> Show Lower Pane
). Alumisel vaatel saab samuti tulpasid lisada ning selle abil on võimalik kuvada failide lugemise ja kirjutamise kohta käivat infot (RW-
. Selleks: parem klahv tulba nimede real -> Select Columns
-> Handle
-> File Share Flags
-> Märgige aktiivseks neropro.exe
-> Sorteerige Lower Pane
Share Flags
parameetri põhjal. Nüüd võiksite failide nimekirjas näha faili C:\Documents and Settings\kasutaja\Cookies\index.dat
mis viitab asjaolule, et pahalane üritab varastada meie operatsioonisüsteemi veebilehitsejate sessiooniküpsiseid ning seeläbi saada ligipääs meie kasutatavatele veebilehtedele.
Arvestus 2: Tehke ekraanipilt Process Explorer
vaatest, kus on näha 'teise pahalase protsess ning fail(id) mida ta on modifitseerinud. Salvestage ekraanitõmmis nii, et ekraanivaatelt oleks näha ka teie nimi (näiteks tekstifailis).
Eemaldage pahalane sarnaselt eelmisele ülesandele algkäivituse seadistuste hulgast ning kustutage see.
Pahalane 3
Käivitage kolmas pahalane, mis asub failis 301f5a89892cd507badd5e27882cdf06
. Kolmas pahalane on eriti kaval ja peidab ennast DLL
tüüpi failide sisse, mida Windows kasutab näiteks draiverite
info hoiustamiseks.
Uurige Process Exploreri
abil, mis protsess paistab arvutis olevat liigne, mis on tema käsurea parameetrid Command line
, ja kas käsurealt viidatud fail gzipmod.dll
on C:\Windows\System32
kaustas veel nähtav (esialgu peaks veel olema nähtaval, seni kuni pole arvuti pääsenud internetti).
Lubage virtuaalmasin tagasi internetti - VirtualBox
menüüst valige virtuaalmasina peal Settings
-> Network
-> Adapter 1
-> (Jätke võrgutüübiks NAT
) -> Advanced
-> Cable connected
(tehke linnuke). Windowsile pole vaja midagi öelda, tema jaoks on see samaväärne kaabli külge ühendamisega.
Oodake mõnda aega, kuni kasutatav gzipmod.dll
ja vbagz.sys
fail nähtamatuks muutuvad. Kui ei muutu, tehke virtuaalmasinale taaskäivitamine
.
Kui fail on nähtamatuks muutunud, käivitage RootkitRevealer
(vanem programm, on osa sysinternals
tarkvarapaketist https://docs.microsoft.com/en-us/sysinternals/downloads/rootkit-revealer) ja laske skaneerida süsteemi File
->Scan
. See peaks peidetud faili üles leidma Hidden from Windows API
, kuid ei oska ise tagasi nähtavaks muuta.
GMER
Käivitage GMER - see on targem rootkittide vastane vahend, mis oskab osasid asju ka ise ära parandada. Vajutage nupule Scan
ja oodake mõned minutid kuni GMER
lõpetab pahalaste otsimise.
Kui GMER
kävitamisel teatab, et draiverit ei saa laadida (quota otsas), siis tähendab see seda, et rootkit on osa gmer
i funktsionaalsust ära blokeerinud. See funktsionaalsus võimaldab tuvastada runtimes teiste protsesside mälu patchimist pahalase poolt, ja selle parandamist.
GMER
-il jääb peidetud failide avastamise funktsionaalsus alles, leidke selle abil peidetud fail.
Arvestus 3: Tehke ekraanipilt GMER vaatest kus on selgelt näha ja märgistatud kolmanda pahalase failid. Ekraanipilt peab sisaldama teie nime PS! Kindlasti tehke siin ekraanipilt ära, sest pärast seda kui olete järgmised sammud ära teinud siis seda kohta enam mugavalt taastada ei ole võimalik (Tuleb kogu XP virtuaalmasin uuesti laadida).
Tehke GMER
abil C:\WINDOWS\system32\gzipmod.dll
ja C:\WINDOWS\system32\vbagz.sys
peidetud failidele 'Kill file
'. Samuti keelake Disable service
funksiooni abil C:\WINDOWS\system32\vbagz.sys
Service. Tapke rundll32
, mis pahalase koodi jooksutab ja tehke arvutile restart.
Nüüd peaksite C:\WINDOWS\system32\
kasutas nägema ja saama kustutada failid gzipmod.dll
ja vbags.sys
.
Kui faili kustutamine õnnestus, siis tehke virtuaalmasinale restart ja skaneerige süsteem uuesti üle (peaks olema puhas).
Programmi tegevuste jälgimine
Enamasti on raske programmi failinimele peale vaadates öelda, millega programm tegeleb. Isegi kui programm teeb näiliselt (esiplaanil) kasulikke tegevusi võib ta samas taustal teha ka midagi varjatut (võtta ühendust mõne veebilehega, kust laadib alla täiendava pahavara jne). Selleks, et analüüsida mida programm teeb on mitmeid tarkvarasid ja võimalusi, kuid Microsoft soovitab Windowsi jaoks programmi Process Monitor
. Tegu on osana Sysinternals tarkvarapaketist https://docs.microsoft.com/en-us/sysinternals/downloads/procmon ning vastavat programmi pole me teile eelnevalt alla laadinud, seega peaksite nüüd endale laadima programmi Process Monitor
. Pärast alla laadimist käivitage Process Monitor
ja seadistage filter
järgmiste parameetritega: Process Name is notepad.exe Include
.
- Laadige alla Windows XP jaoks sobiv Process Monitori vanem versioon siit: https://owncloud.ut.ee/owncloud/index.php/s/QnmrzNaDi5K8Y5f
- 21. aprill 2021
Process Monitor
i versioon 3.7 ei käivitu enam Windows XP arvutis, seega on vajalik kasutada kahjuks vanemat versiooni tarkvarast.
- 21. aprill 2021
- Käivitage
Process Monitor
ja seadistagefilter
järgmiste parameetritega:Process Name is notepad.exe Include
. - Avage programm
notepad.exe
ja kirjutage sinna tekstpraktikum10
. - Salvestage fail
Documents
kausta nimegaperenimi.txt
- Nüüd uurige
Process Monitor
filtreeritud väljundit ja leidke ülesse rida, kus on näha, etnotepad.exe
salvestab teienimelise faili kettale (vihje:Operation: CreateFile
).
Arvestus 4: Esitage ekraanivaade, kus on näha Process Monitor
programmis teienimelise faili salvestamine programmiga notepad.exe
.
Windows forensics NirSoft näitel
Windows ja paljud teised operatsioonisüsteemid salvestavad regulaarselt kasutaja tegevusi. Aegajalt on meil vaja teada saada, kes mida süsteemis tegi ehk leida üles info, mida arvutis hiljuti tehtud. Inglise keeles kutsutakse sellist tegevus nimega forensics, mis eesti keeles tähendaks ekspertiisi või jälgede ajamist. Valdav enamik arvuti kasutajatest kasutavad igapäevaselt Windows operatsioonisüsteemi ja seega vaatame minimalistliku Windows XP
operatsioonisüsteemi näitel, kuidas arvutist üles leida varasemate tegevuste jälgi.
Maailmas on mitmeid erinevaid tööriistu Windowsi registri ja muude arhiivifailide graafiliseks kuvamiseks. Käesolevas praktikumis kasutame ühte terviklikumat ja vanimat lisapaketti Windowsi tööriistadest (peale Sysinternalsi muidugi) nimega NirSoft
http://www.nirsoft.net/ . Täispikk tarkvara nimekirja leiab siit: http://www.nirsoft.net/utils/index.html NB! uusim Windows viirusetõrjetarkvara märgib osa NirSoft
programme pahavaraks, seega NirSoft kasutamine isiklikus arvutis omal vastutusel (kasutage virtuaalmasinat).
Alustuseks vaatame tööriista: TurnedOnTimesView Alla laadimiseks otsige tekstist sõna Download. Pärast alla laadimist pakkige lahti ja käivitage programm ning valige Options
ja eemaldage linnuke Use new Event Log API
. Tutvuge väljundiga. Windows 10-s on soovitatav kasutada ka WinLogOnView , kuid Windows XP-s see ei tööta.
Vaatame nüüd tööriista nimega LastActivityView
- Ülesanne 5: Leidke
LastActivityView
programmiga üles,perenimi.txt
faili loomise tegevus, mille lõite eelmises harjutuses. Tehke ekraanivaade, kus on nähaperenimi.txt
faili loomine.
Väga kasulik on teada saada, millal keegi mingit programmi on käivitanud (näiteks millal pahavara arvutisse sattus jne). Selleks on võimalik kasutada Microsoft sissehitatud funktsionaalsust prefetch
, mis salvestab kõikide programmide käivitamise ajad hilisemaks analüüsiks eesmärgiga ennustada kasutaja tegevusi ja siis eel-laadida tarkvarad mällu. Tulemus on näiliselt kiirem arvutikasutamise kogemus ja võimalus hiljem analüüsida, millal midagi arvutis käivitati.
Laadige alla programm WinPrefetchView (32-bit) ja käivitage see. Uuemates Windowsites salvestab ja kuvab prefetch
rohkem kui ühte käivitamise aega võrreldes WindowsXP näitega.
- Ülesanne 6: Uurige
WinPrefetchView
programmi väljundit ja vastake pildi (või sõnega), millise olulise programmi paigaldas õppejõud Windows XP virtuaalmasinasse aastal2017
? Pildil peab programmi nimi (rida) olema esile tõstetud ehk märgitud aktiivseks või muudmoodi märgitud kus pildil on õige vastus.
Veel mõned õppejõu arvates kasulikud näited NirSoft tarkvaradest:
- https://www.nirsoft.net/utils/security_questions_view.html
- https://www.nirsoft.net/utils/web_browser_password.html
- https://www.nirsoft.net/utils/wifi_history_view.html
- https://www.nirsoft.net/utils/browsing_history_view.html
- https://www.nirsoft.net/utils/image_cache_viewer.html
- https://www.nirsoft.net/utils/vault_password_view.html
- https://www.nirsoft.net/utils/credentials_file_view.html
- https://www.nirsoft.net/utils/file_activity_watch.html
- https://www.nirsoft.net/utils/free_disk_space_log_view.html
- https://www.nirsoft.net/utils/usb_drive_log.html
- https://www.nirsoft.net/utils/open_save_files_view.html
Kustutatud failide taastamine
Windowsis ja paljudes teistes operatsioonisüsteemides on võimalik faile kustutada prügikasti või püsivalt. Vaikimisi Windowsis Delete
paneb failid kõigepealt prügikasti (nö märgib kustutatuks), kuid jätab mugava võimaluse neid taastada. Selle tulemusena ei vabastata tegelikult kõvakettal faili kasutuses olev ala ja faile on võimalik kergesti prügikastist taastada. Oskuslikumad arvutikasutajad teavad seega, et Windowsis on kasulik faile kustutada SHIFT+DEL
klahvikombinatsiooniga, mis kustutab failid nii, et neid ei panda prügikasti lõpliku kustutamise ootele. Siiski tähendab kustutamine enamik failisüsteemide puhul failile viite kustutamist failisüsteemi tabelis ja faili kasutada olnud ala vabaks märkimisega. Seni kuni fail pole üle kirjutatud on võimalik aga spetsiaalsete tööriistadega võimalik faile andmekandjalt endiselt taastada.
- Ülesanne 7: Leidke internetist endale meeldiv failide taastamise tööriist ja paigaldage see. Kustutage eelnevalt loodud fail
perenimi.txt
SHIFT
+DEL
klahvikombinatsiooniga ja leidke enda valitud tööriistaga kustutatud fail. Esitage ekraanivaade tööriistast, kus on näha eelnevalt kustutatud faili ülesleidmine.
Lisaks
- Kui teil on huvi, siis katsetage kas internetist leitavad tasuta antiviirused (Avast, Avira, ClamWin) suudavad praktikumis testitud pahalasi üles leida.
- Proovige ka online analüüsi tööriistu, näiteks lehel http://cleanbytes.net/malware-online-scanners on nimekiri levinumatest. PS! Praktikumi juhendajad soovitavad näiteks https://www.virustotal.com/ lehele
pahalased.zip
üles laadida ja uurida väljundit.
Videomaterjal vaatamiseks kahjurvara teemal:
Kokkuvõtvalt viiruste ja turvaküsimuste analüüsi kohta on TED keskkonnas mitu õpetlikku video mida soovitame vaadata eelnevate teemade paremaks mõistmiseks:
- Soome turva-expert Mikko Hypponen viiruste analüüsist https://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net
- Stuxnet https://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon
- Everything can be hacked https://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked
- Hire the hackers https://www.ted.com/talks/misha_glenny_hire_the_hackers
Esitada Praktikum10:
Praktikumi ülesande lahendamine annab neli punkti ja esitamiseks on umbes kaks nädalat alates praktikumi toimumisajast.
- Ülesanne 1: Tehke ekraanipilt
autoruns
programmist, kus on näha esimese pahalase programm ning salvestage see väljaspool virtuaalmasinat. Lisaks kirjutage oma täisnimi tekstifaili nii, et see ekraanivaatelt näha oleks. - 1p - Ülesanne 2: Tehke ekraanipilt
Process Explorerì
vaatest, kus on näha teise pahalase programm koos modifitseeritud failidega ning salvestage see väljaspool Virtuaalmasinat. - 0.5p - Ülesanne 3: Tehke ekraanipilt GMER vaatest kus on selgelt näha ja märgistatud kolmanda pahalase peidetud fail ning salvestage pilt väljaspool virtuaalmasinat. - 0.5p
- Ülesanne 4: Esitage ekraanivaade, kus on näga
Process Monitor
programmis teienimelise faili salvestamine programmiganotepad.exe
. - 0.5p - Ülesanne 5: Leidke
LastActivityView
programmiga üles,perenimi.txt
faili loomise tegevus, mille lõite eelmises harjutuses. Tehke ekraanivaade, kus on nähaperenimi.txt
faili loomine. - 0.5p - Ülesanne 6: Uurige
WinPrefetchView
programmi väljundit ja vastake pildi (või sõnega), millise olulise programmi paigaldas õppejõud Windows XP virtuaalmasinasse aastal2017
? - 0.5p - Ülesanne 7: Leidke internetist endale meeldiv failide taastamise tööriist ja paigaldage see Windows XP masinasse. Kustutage eelnevalt loodud fail
perenimi.txt
SHIFT
+DEL
ja leidke enda valitud tööriistaga kustutatud fail. Esitage ekraanivaade tööriistast, kus on näha eelnevalt kustutatud faili ülesleidmine. - 0.5p
Vabatahtlik lisaülesanne: Viiruste koodi analüüs
Vabatahtlikus lisaülesandes uurime kuidas üks maailma kõige kuulsamaid ja edukamaid e-maili viirusi "ILOVEYOU" edaspidi "LoveLetter" sisuliselt muutis kõigi inimeste arusaama arvutiviirustest ja kuidas tal õnnestus hinnanguliselt 10% sellel hetkel maailmas eksisteerinud arvuteist nakatada. "LoveLetter" võib pidada e-maili viiruste eelkäijaks ning hetkel aktuaalse ja pahandust tegeva CrypoLocker pahavaraga on sarnasusi üllatavalt palju.
Loveletter
- Loe kommenteeritud koodi ja püüa aru saada, mida see teeb: https://github.com/onx/ILOVEYOU. See makroviirus on kirjutatud keeles VBScript. Abiks vastamisel on ka internett ja teadusartiklid, mis analüüsivad viiruse koodi (näiteks http://nob.cs.ucdavis.edu/classes/ecs155-2005-04/handouts/iloveyou.pdf )
Loveletter (ILOVEYOU) arvutiviiruse koodi analüüsi põhjal vastata konkreetselt ja lühidalt järgmistele küsimustele:
- Mismoodi viirus end arvuti käivitamise järel tööle paneb?
- Kas viirus peale enda levitamise veel midagi teeb?
- Mis tegevusi tehakse eri laiendiga failidele? (too 2 näidet)
- Kuidas viirus end e-mailiga levitab?
- Milleks loob viirus "HKEY_CURRENT_USER\Software\Microsoft\WAB\" alla oma võtmed?
- Kas aadressiraamatusse hiljem lisandunutele ka viirus saadetakse?
Lisaküsimused (ei pea vastust esitama):
- Miks on levitatava HTML-i mall sogastatud?
- Kuidas sogastamisest lahti saadakse töötava skripti saamiseks?
- Visual Basic
- Viirus Love Letter
- Return of macro viruses