Documente Academic
Documente Profesional
Documente Cultură
Scopul lucrării: Abilități practice de utilizare a soft-ului destinat protecției calculatorului instalat
în sistemul de operare Windows.
O manifestare a programului malware este prezența unui proces suspect în lista proceselor
(programelor) care rulează curent. Puteți analiza lista de procese manual și puteți identifica programul
malware manual. Această metodă este una dintre cele mai eficiente pentru detectarea de programe
malware care au caracteristici neevidente sau ascunse.
Evident, este necesar să cunoașteți diferența dintre procesele care rulează curent (de exemplu,
programele de sistem, sau programele utilizatorului) de cele suspecte. Pentru a vedea lista
programelor ce rulează curent, trebuie să utilizați Windows Task Manager.
Windows Task Manager – este o aplicație standard inclusă în orice versiune de Microsoft
Windows. Utilizând-o, puteți în timp real monitoriza aplicațiile, procesele și serviciile ce rulează, să
evaluați resursele de sistem disponibile și utilizarea rețelei calculatorului sau pentru a închide un
program care nu răspunde.
Pentru a deschide Windows Task Manager, apăsați combinația de taste Ctrl + Alt + Delete
(figura 1). Fereastra contine 6 butoane, (7 în Windows10) corespunzătoare celor 6 (7) tipuri de
activități care monitorizează Manager: Applications (aplicațiile ce rulează curent), processes (toate
procesele inclusiv și cele de system), services (Windows 7), performance (utilizarea resurselor de
sistem), networking (utilizatorii rețelelor) și users.
Figura 2
2. Sarcina 2.
Elemente de
Startup
(pornire)
Programul malițios,
precum și orice alt
program trebuie să fie
pornit. Sunt două
moduri – pornirea de
către utilizatorul însuși
a programului, sau
infiltrarea în fișierele de configurare și pornirea simultană cu programele legale. Varianta opțională
pentru programul malițios este instalarea sa în setul de programe din Startup și pornirea împreună cu
sistemul de operare.
Tehnic, ca programul să pornească în mod automat, e necesar ca el sa fie înregistrat în Registry
Windows al sistemului de operare. Registry Windows este un software complex, dar este o aplicație
care vă permite să lucrați cu el direct - regedit. Să faceți acest lucru este recomandat doar ca o ultimă
soluție. Pentru mai multe situații legate de pornirea automată, e suficient să utilizați aplicația de sistem
System Configuration.
Porniți aplicația. Pentru a face acest lucru, deschideți meniul Start, clic pe butonul Run, în
câmpul ferestrei Run, culegeți msconfig, și executați clic pe OK (figura 3).
Figura 3
În fereastra apărută (figura 4, Windows 7), puteți alege metoda de pornire a sistemului de operare. În
mod implicit este setat Normal Startup. Acest mod oferă funcționalitate maximă. Celelalte două sunt
moduri diagnostice.
Figura 4
Modul de diagnosticare este recomandat când e confirmată prezența programelor malițioase și
anume când calculatorul este deja infectat, iar instalarea software-ul antivirus este blocată de
programe malițioase. În cazul când malware nu poate fi eliminat, sau neutralizat temporar, se
recomandă să restartați sistemul de operare în modul de siguranță (safe mode), să instalați soft-ul
antivirus și verificați întregul hard disk.
Clic Butonul Boot și vă prezintă sistemul actual de operare.
Clic Butonul Services și vă prezintă programele instalate de utilizator (este inducat și softul antivirus).
Pentru a le afișa bifațti Hide all Microsoft sevices (jos,stânga) (figura 5).
Figura 5
Clic Butonul Startup și vă prezintă programele utilizatorului care pornesc împreună cu sistemul de
operare. Dacă observați un program suspect, îl puteți stopa (figura 6).
Figura 6
3. Sarcina 3 Activitatea rețelei
Comanda netstat este una cu un număr mare de parametri și care vă poate afișa un număr de
statistici și informaţii privitoare la reţea – netstat /? (figura 7).
Figura 7
De exemplu, netstat –an (figura 8). La introducerea comenzii ,,netstat –an”, va fi afișată o lista
cu toate conexiunile care sunt deschise la momentul dat, toate porturile si IP-urile cu care se
comunică printr-un anumit port. Notația LISTENING indică porturile deschise.
Figura 8
Figura 10
Figura 11
În cazul dat conexiunile active sunt utilizate de Opera.exe. Dacă depistați un software necunoscut,
căutați pe Internet descrierea lui, posibil să fie un malware.
Un Firewall poate bloca un atac sau un software malware (de exemplu viermii) să obțină acces
la calculator printr-o rețea sau prin Internet. De asemenea, un Firewall poate stopa transmiterea de
malware către alte calculatoare. La necesitate Firewall –ul, în mod dinamic, deschide porturile pentru
a primi traficul cerut, când accesați un site prin intermediul unui browser. Un Firewall nu este un
program antivirus (mențiune de Microsoft). Este necesar să fie instalat un program antivirus cât și un
Firewall pentru o protecție superioară.
Port - este un termen din rețelistică, ce indică un punct prin care traficul de rețea accesează
calculatorul. Direcționarea porturilor deschise depinde de direcția traficului – în/din calculator.
Sistemul Windows conține componente suplimentare pentru protecția contra accesului neautorizat și
spyware, cum ar fi Windows Defender.
1. Pornim Windows Firewall – Start –> Control Panel –> Windows Firewall
Figura 12
Să găsim lista cu programe permise. Pentru a permite unei aplicații sau unei caracteristici să
treacă de Firewall, faceți clic pe – Allow a program or feature through Windows Firewall (figura 13)
Se afișează o listă cu toate aplicațiile care au permisiunea să comunice prin Firewall. Programele
permise sunt bifate.
Figura 13
Pentru a modifica lista cu programe active, executați clic pe butonul – Change Settings.
Figura 14
Dacă nu localizați o aplicație în lista cu elemente permise, executați clic pe butonul – Allow another
program, și o adăugați din lista afișată sau indicând calea spre ea (figura 15).
Figura 15
Pentru selectarea tipului de rețea la care va fi aplicată excepția, executați clic pe – Network
location types, Home/Work(Private) , Public sau ambele (figura 16) ->OK și Add.
Figura -16
Figura - 17
Fereastra Windows Firewall with Advanced Security va fi similară cu cea din figura 18.
Figura 18
Regulile de intrare (inbound rules) sunt aplicate traficului care vine din reţea/internet spre
calculator. Regulile de ieșire (outbound rules) sunt aplicate traficului din calculatorul, către
reţea/internet (figura 19).
Aceste reguli pot fi configurate astfel încât să fie specifice pentru: calculatoare, programe,
servicii, porturi sau protocoale. Putem, de asemenea, să specificăm la care adaptor de reţea (ex. fără fir,
cablu, reţea virtuală privată) sau profil de utilizator sunt aplicate.
În Windows Firewall with Advanced Security, putem accesa toate aceste reguli. Tot ce trebuie să facem
este să executăm clic pe legătura respectivă din panoul din stânga.
Figura 19
Regulile definite pot fi active şi inactive. Cele care sunt active sunt marcate cu o bifă de culoare
verde în coloana Name. Cele inactive sunt marcate cu o bifă de culoare gri. Pentru a afla detalii despre
o anumită regulă şi proprietățile ei, executați clic dreapta pe ea şi selectați Properties.
În fereastra de Properties, sunt afişate informaţiile complete despre regula selectată, ce face şi
în ce cazuri este aplicată. De asemenea, ea poate fi editată şi modificată cu orice parametru (figura
20).
Figura 20
Fată de regulile de intrare şi ieșire (inbound & outbound rules), care sunt aplicate doar unui
calculator, regulile de securitate a conexiunii pretind ca două calculatoarele să aibă aceleași reguli
definite şi active. În cazul în care astfel de reguli sunt definite pentru calculator, executați clic pe -
Connection Security Rules în panoul din stânga. În mod implicit, nu sunt definite astfel de reguli pe
sisteme cu Windows 7. Ele sunt, în general, definite de către utilizator sau administratorul de reţea
(figura 21).
Figura 21
Monitorizarea Windows Firewall with Advanced Security
Windows Firewall with Advanced Security oferă, de asemenea, unele opțiuni de monitorizare.
Sub secțiunea Monitoring (Monitorizare), din panoul din stânga, putem găsi următoarele informații: ce
reguli ale Firewall-ului - atât la intrare cât și la ieșire - sunt active, ce reguli de securitate a conexiunii
(connection security rules) sunt active şi dacă există asocieri de securitate active (active security
associations) (figura 22).
Figura 22
Este important să reținem faptul că panoul Monitoring va afișa doar regulile active pentru
profilul curent. Dacă există vreo regulă care este activă pentru alt profile, nu o vom vedea în listă.
5. Conținutul raportului
Raportul va conține descrierea succintă a sarcinilor studiate, concluzii. Perfectați și prezentați
profesorului raportul și primiți întrebări sau sarcină pentru susținere.