Lucrare de laborator 1

Tema: Principalele soft-uri destinate protecției calculatorului

Scopul lucrării: Abilități practice de utilizare a soft-ului destinat protecției calculatorului instalat
în sistemul de operare Windows.

1. Sarcina 1: Procese suspecte

O manifestare a programului malware este prezența unui proces suspect în lista proceselor
(programelor) care rulează curent. Puteți analiza lista de procese manual și puteți identifica programul
malware manual. Această metodă este una dintre cele mai eficiente pentru detectarea de programe
malware care au caracteristici neevidente sau ascunse.

Evident, este necesar să cunoașteți diferența dintre procesele care rulează curent (de exemplu,
programele de sistem, sau programele utilizatorului) de cele suspecte. Pentru a vedea lista
programelor ce rulează curent, trebuie să utilizați Windows Task Manager.

Windows Task Manager – este o aplicație standard inclusă în orice versiune de Microsoft
Windows. Utilizând-o, puteți în timp real monitoriza aplicațiile, procesele și serviciile ce rulează, să
evaluați resursele de sistem disponibile și utilizarea rețelei calculatorului sau pentru a închide un
program care nu răspunde.

Figura 1- Fereastra aplicației Task Manager

Pentru a deschide Windows Task Manager, apăsați combinația de taste Ctrl + Alt + Delete
(figura 1). Fereastra contine 6 butoane, (7 în Windows10) corespunzătoare celor 6 (7) tipuri de
activități care monitorizează Manager: Applications (aplicațiile ce rulează curent), processes (toate
procesele inclusiv și cele de system), services (Windows 7), performance (utilizarea resurselor de
sistem), networking (utilizatorii rețelelor) și users.

Executați clic pe butonul processes (figura 1).

Toate aceste procese sunt necesare pentru funcționarea corectă a sistemului!

În caz când nu este pornită nicio aplicație, în partea de jos a ferestrei figura 1 se va indica CPU
Usage 0%. Dacă depistați un proces suspect, ce nu are legătură cu cele de sistem, închideți manual
executând clic pe „End Process”. Evident, stoparea aplicației, nu elimina prezența unui virus pe
calculator, ci îl stopăm la moment. Următorul pas – verificarea calculatorului cu antivirus.
Executați clic pe butonul Performance (figura 2). Cu atenție cercetați graficele de aici.
Amplitudinile din grafice apar, de exemplu, când porniți un program. În cazul în care nu se execută
nici un program, și amplitudinile din grafice persistă, acesta poate fi motivul pentru un studiu mai
detaliat al calculatorului.

Figura 2

2. Sarcina 2.
Elemente de
Startup
(pornire)

Programul malițios,
precum și orice alt
program trebuie să fie
pornit. Sunt două
moduri – pornirea de
către utilizatorul însuși
a programului, sau
infiltrarea în fișierele de configurare și pornirea simultană cu programele legale. Varianta opțională
pentru programul malițios este instalarea sa în setul de programe din Startup și pornirea împreună cu
sistemul de operare.
Tehnic, ca programul să pornească în mod automat, e necesar ca el sa fie înregistrat în Registry
Windows al sistemului de operare. Registry Windows este un software complex, dar este o aplicație
care vă permite să lucrați cu el direct - regedit. Să faceți acest lucru este recomandat doar ca o ultimă
soluție. Pentru mai multe situații legate de pornirea automată, e suficient să utilizați aplicația de sistem
System Configuration.
Porniți aplicația. Pentru a face acest lucru, deschideți meniul Start, clic pe butonul Run, în
câmpul ferestrei Run, culegeți msconfig, și executați clic pe OK (figura 3).

Figura 3

În fereastra apărută (figura 4, Windows 7), puteți alege metoda de pornire a sistemului de operare. În
mod implicit este setat Normal Startup. Acest mod oferă funcționalitate maximă. Celelalte două sunt
moduri diagnostice.
 Figura 4
Modul de diagnosticare este recomandat când e confirmată prezența programelor malițioase și
anume când calculatorul este deja infectat, iar instalarea software-ul antivirus este blocată de
programe malițioase. În cazul când malware nu poate fi eliminat, sau neutralizat temporar, se
recomandă să restartați sistemul de operare în modul de siguranță (safe mode), să instalați soft-ul
antivirus și verificați întregul hard disk.
Clic Butonul Boot și vă prezintă sistemul actual de operare.
Clic Butonul Services și vă prezintă programele instalate de utilizator (este inducat și softul antivirus).
Pentru a le afișa bifațti Hide all Microsoft sevices (jos,stânga) (figura 5).

Figura 5
Clic Butonul Startup și vă prezintă programele utilizatorului care pornesc împreună cu sistemul de
operare. Dacă observați un program suspect, îl puteți stopa (figura 6).

Figura 6
 3. Sarcina 3 Activitatea rețelei

Comanda netstat este una cu un număr mare de parametri și care vă poate afișa un număr de
statistici și informaţii privitoare la reţea – netstat /? (figura 7).

Figura 7

De exemplu, netstat –an (figura 8). La introducerea comenzii ,,netstat –an”, va fi afișată o lista
cu toate conexiunile care sunt deschise la momentul dat, toate porturile si IP-urile cu care se
comunică printr-un anumit port. Notația LISTENING indică porturile deschise.

Figura 8

Să controlăm activitatea rețelei. Utilizăm comanda netstat –s ce afișează statistica

protocoalelor. În figura 9 urmărim statistica TCP (TCP Statistics for IPv4) și anume
conexiunile curente (Current Connections) care se indică – 0. Porniți browser-ul și accesați
câteva site-uri. Repetați netstat –s (figura 10)
 Figura 9

Figura 10

Numărul conexiunilor curente se indică – 8. Folosim comanda netstat –b. Comanda

netstat -b, prezintă o listă completă și afișează lista de programe software, care folosesc activ
conexiunile /porturile de rețea (programele software active sunt afișate în formă executabilă)
(figura 11).

Figura 11

În cazul dat conexiunile active sunt utilizate de Opera.exe. Dacă depistați un software necunoscut,
căutați pe Internet descrierea lui, posibil să fie un malware.

4. Sarcina 4. Windows Firewall

O protecție contra accesului neautorizat și atacului de rețea oferă un Firewall. El poate fi integrat în
sistemul de operare (de exemplu, Windows Firewall ), sau instalat separat.
 Un Firewall este un software sau un hardware ce controlează traficul de informații primite din
Internet sau dintr-o rețea, apoi fie le blochează sau le permite accesul în calculator, în funcție de
setările Firewall-ului.

Un Firewall poate bloca un atac sau un software malware (de exemplu viermii) să obțină acces
la calculator printr-o rețea sau prin Internet. De asemenea, un Firewall poate stopa transmiterea de
malware către alte calculatoare. La necesitate Firewall –ul, în mod dinamic, deschide porturile pentru
a primi traficul cerut, când accesați un site prin intermediul unui browser. Un Firewall nu este un
program antivirus (mențiune de Microsoft). Este necesar să fie instalat un program antivirus cât și un
Firewall pentru o protecție superioară.

Port - este un termen din rețelistică, ce indică un punct prin care traficul de rețea accesează
calculatorul. Direcționarea porturilor deschise depinde de direcția traficului – în/din calculator.

Sistemul Windows conține componente suplimentare pentru protecția contra accesului neautorizat și
spyware, cum ar fi Windows Defender.

1. Pornim Windows Firewall – Start –> Control Panel –> Windows Firewall

Figura 12

Să găsim lista cu programe permise. Pentru a permite unei aplicații sau unei caracteristici să
treacă de Firewall, faceți clic pe – Allow a program or feature through Windows Firewall (figura 13)
Se afișează o listă cu toate aplicațiile care au permisiunea să comunice prin Firewall. Programele
permise sunt bifate.
 Figura 13

Pentru a modifica lista cu programe active, executați clic pe butonul – Change Settings.

De asemenea, puteți să modificați tipul de locație de rețea, prin selectarea coloanelor

respective: Home/Work(Private) , Public sau ambele. Dacă doriți să aflați detalii despre un
program sau serviciu, înainte de a modifica permisiunea, selectați-o și apoi executați clic pe
Details.

Va fi afișată o fereastră, care vă va oferi o descriere suplimentară a aplicației selectate (figura

14).

Figura 14
Dacă nu localizați o aplicație în lista cu elemente permise, executați clic pe butonul – Allow another
program, și o adăugați din lista afișată sau indicând calea spre ea (figura 15).
 Figura 15

Pentru selectarea tipului de rețea la care va fi aplicată excepția, executați clic pe – Network
location types, Home/Work(Private) , Public sau ambele (figura 16) ->OK și Add.

Figura -16

Windows Firewall with Advanced Security

În fereastra Windows firewall putem accesa setări complexe (figura 17).

Figura - 17
Fereastra Windows Firewall with Advanced Security va fi similară cu cea din figura 18.

Figura 18

Regulile de intrare şi ieşire (Inbound & Outbound Rules)

Pentru a ne oferi protecția de care avem nevoie, Windows Firewall dispune de un set standard
de reguli de intrare și ieșire, care sunt activate în funcție de locația de rețea la care suntem conectați.

Regulile de intrare (inbound rules) sunt aplicate traficului care vine din reţea/internet spre
calculator. Regulile de ieșire (outbound rules) sunt aplicate traficului din calculatorul, către
reţea/internet (figura 19).

Aceste reguli pot fi configurate astfel încât să fie specifice pentru: calculatoare, programe,
servicii, porturi sau protocoale. Putem, de asemenea, să specificăm la care adaptor de reţea (ex. fără fir,
cablu, reţea virtuală privată) sau profil de utilizator sunt aplicate.
În Windows Firewall with Advanced Security, putem accesa toate aceste reguli. Tot ce trebuie să facem
este să executăm clic pe legătura respectivă din panoul din stânga.

Figura 19

Regulile definite pot fi active şi inactive. Cele care sunt active sunt marcate cu o bifă de culoare
verde în coloana Name. Cele inactive sunt marcate cu o bifă de culoare gri. Pentru a afla detalii despre
o anumită regulă şi proprietățile ei, executați clic dreapta pe ea şi selectați Properties.
 În fereastra de Properties, sunt afişate informaţiile complete despre regula selectată, ce face şi
în ce cazuri este aplicată. De asemenea, ea poate fi editată şi modificată cu orice parametru (figura
20).

Figura 20

Regulile de securitate a conexiunii (Connection Security Rules)

Regulile de securitate ale conexiunii sunt utilizate pentru a securiza traficul dintre două
calculatoare atunci când acesta traversează rețeaua. Un exemplu ar fi o regulă care solicită criptarea
conexiunii dintre două calculatoare.

Fată de regulile de intrare şi ieșire (inbound & outbound rules), care sunt aplicate doar unui
calculator, regulile de securitate a conexiunii pretind ca două calculatoarele să aibă aceleași reguli
definite şi active. În cazul în care astfel de reguli sunt definite pentru calculator, executați clic pe -
Connection Security Rules în panoul din stânga. În mod implicit, nu sunt definite astfel de reguli pe
sisteme cu Windows 7. Ele sunt, în general, definite de către utilizator sau administratorul de reţea
(figura 21).

Figura 21
 Monitorizarea Windows Firewall with Advanced Security
Windows Firewall with Advanced Security oferă, de asemenea, unele opțiuni de monitorizare.
Sub secțiunea Monitoring (Monitorizare), din panoul din stânga, putem găsi următoarele informații: ce
reguli ale Firewall-ului - atât la intrare cât și la ieșire - sunt active, ce reguli de securitate a conexiunii
(connection security rules) sunt active şi dacă există asocieri de securitate active (active security
associations) (figura 22).

Figura 22

Este important să reținem faptul că panoul Monitoring va afișa doar regulile active pentru
profilul curent. Dacă există vreo regulă care este activă pentru alt profile, nu o vom vedea în listă.

5. Conținutul raportului
Raportul va conține descrierea succintă a sarcinilor studiate, concluzii. Perfectați și prezentați
profesorului raportul și primiți întrebări sau sarcină pentru susținere.