Flatik.ru

Перейти на главную страницу
Поиск по ключевым словам:

страница 1
Лабораторная работа № 6

1. Теоретическая часть: Получение информации о процессах,
происходящих в системе
1.1. Аудит событий. Настройка аудита событий
Практически все события системы, отражающие процессы, происходящие на уровне ядра ОС и выше и представляющие интерес для пользователя лю­бого уровня, могут быть определены и сохранены в файле благодаря специ­альному механизму Windows XP, называемому аудитом системы. Просмотр сохраненных событий осуществляется специальной программой Просмотр событий.

Этот механизм является очень гибким в настройке и позволяет вести аудит различных событий, происходящих в системе, как по их классу принадлеж­ности, так и по тому, удачно или неудачно было завершено событие. Напри­мер, можно заставить систему контролировать все успешные попытки пользователей и приложений получения доступа к реестру. Или можно контролировать все попытки входа пользователей в систему, которые закончились неудачно.

Настройки аудита локальной системы находятся в программе Локальная политика безопасности (Local Security Settings):

Пуск\Все программы\Панель управления\Администрирование\ Локальная политика безопасности

Для настройки аудита событий следует:

запустить программу Локальная политика безопасности;


  • выбрать пункт Локальные политики (рис.1.1.);

  • выбирать пункт Политика аудита;

  • появятся настройки поли­тики аудита (рис.1.2.).



Рисунок 1.1. Окно программы Локальные параметры безопасности


Рисунок 1.2. Окно настройки аудита
Настройки аудита событий представ­ляют собой список контролируемых событий, а также признак того, когда будет осуществляться запись этого события: при его успешном исходе, отка­зе или в обоих случаях. Факт успешности завершения события определяется по его коду завершения, существующему внутри системы. Для определения того, когда будет происходить запись того или иного события, определенного соответствующей строкой списка поли­тики аудита, следует по ней сделать двойной щелчок мышью, после чего на экране появится окно настройки политики аудита (рис.1.3).

Рисунок 1.3. Диалоговое окно ввода значений опций,

определяющих, когда будет производиться аудит определенного события


Данное окно позволяет пользователю выбрать вид аудита события для просмотра: при успешном завершении события, в случае его сбоя или в любом случае, настройки достигаются установкой флажка в соответствующих режимах: Успех, Отказ или в обоих режимах. Каждая из политик аудита обладает своими характерными особенностями:

1.Политика аудита Аудит событий входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользователей на других сетевых компьютерах, при условии, что данный компьютер используется для проверки подлинности учетной записи. При установке опции Успех, будет производиться запись событий, в ре­зультате которых пользователи успешно вошли в систему, в случае уста­новки опции Отказ, будет производиться запись событий, в результате которых пользователи не смогли войти в систему. В случае установки обеих опций будет производиться запись всех попыток входа пользователей в систему, как удачных, так и нет.

В больших системах используется полное протоколирование входа пользователей в систему, которое достигается установкой обоих опций. Для небольших организаций и до­машних систем достаточно вести протоколирование входа пользова­телей только по критерию Отказ, чтобы всегда можно было обнаружить случаи подбора паролей или попытки вторжения взломщиков, которые не увенчались успехом, и принять соответствующие меры. Так же будет получена информация о возможном источнике про­блеем и пользователях, которые постоянно забывают свой пароль, и, вероятно, пытаются его где-то записывать.

2.Политика аудита Аудит управления учетными записями ответственна за запись событий, возникающих при работе с учетными записями пользователей: создание, изменение или удаление группы пользователей; переименование учетной записи пользователя, ее выключение, включение; установка иди смена пароля. Во всех случаях системой, в соответствии с установ­ленными опциями Успех и Отказ будет производить­ся запись событий. Рекомендуется поставить политику на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

3.Политика аудита Аудит доступа к службе каталогов ответственна за протоко­лирование доступа к объектам службы Active Directory, которая представляет собой, специальную сетевую файловую систему, элементами которой могут быть не только файлы и папки. Рекомендуется ее поставить на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

4.Политика аудита Аудит входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользо­вателей на данном компьютере. При установке опции Успех бу­дет производиться запись событий, в результате которых пользователи ус­пешно вошли в систему. В случае установки опции Отказ будет про­изводиться запись событий, в результате которых пользователи по каким-либо причинам не смогли войти в систему. В случае установки обеих опций можно производить запись всех попыток входа пользователей.

5.Политики аудита Аудит доступа к объектам и Аудит изменения политики от­ветственны, соответственно, за аудит доступа к различным объектам систе­мы, которые контролируются с помощью прав доступа, и за аудит работ с правами пользователей и политики аудита. В большинстве случаев достаточно будет производить аудит по отказу для этих двух собы­тий. Данные записи могут пригодиться в случае, если в системе будет происходить что-то странное и необходимо выяснить причины возникших ситуаций.

6.Политика аудита Аудит использований привилегий производит запись событий, в случае использования пользователями специфических системных привиле­гий. Рекомендуется установить ее на запись событий в случае отказа для их получения пользователям. Данная информация может помочь специалистам по компьютерной безопасности в выяснении того, что произошло с систе­мой.

7.Политика аудита Аудит отслеживания процессов позволяет вести аудит по таким событиями процесса, как запуск программы, выход из нее, а также другим важным системным событиям. Установка аудита данных событий по отказу может помочь понять, что происходит в системе и, возможно, где ей требуется помощь.

8.Политика аудита Аудит системных событий позво­ляет проводить аудит таких системных событий как перезагрузка или выключение компьютера, а также других важных сообщений, касающихся безопасности системы. Рекомендуется всегда устанавливать данную политику аудита, как минимум, на запись собы­тия, в случае его отказа.

Особенности аудита системы:

1.Чем больше событий в различных ситуациях протоколируется, тем больше сообщений аудита системы будете получено, следовательно, тем больше инфор­мации будет о процессах, происходящих внутри систе­мы, инициируемые пользователями или различным программным обеспечением.

2.Чем больше сообщений системы будет получено, тем мед­леннее будет работать система и возможно слишком быстрое пе­реполнение внутреннего лога безопасности операционной системы. В резуль­тате чего придется достаточно часто производить его очистку в программе Просмотр событий.
1.2. Просмотр событий
Программа Просмотр событий (Event Viewer) представляет специальную системную программу, входящую в состав Windows XP, которая позволяет видеть все сообщения, записанные в лог-файлы различными приложениями и самой ОС. Программа Event Viewer (рис.1.4.) находится:

Пуск\Панель управления\Администрирование\Просмотр событий

В данном окне содержится три пункта: Приложение, Безопасность, Система (Application, Security, System), иначе их называют логами, лог-файлами или, соответственно, журналом прило­жений, журналом безопасности и журналом системы. Информация, содержащаяся в них, явля­ется сообщениями, записанными приложениями систем­ной безопасности ОС и системными компонентами Windows XP. Предполагается, что информация, содержащаяся в этих разделах важна для пользователя, и он должен периодически с ней знакомиться.




Рисунок 1.4. Стартовое окно программы Просмотр событий
Типы протоколируемых системой событий в логах:

  • ошибка – данное сообщение сообщает об ошибке, такой как возможная утеря данных или нарушение функционирования программного обеспе­чения, например, невозможность старта одно­го из системных сервисов или ошибка при завершении приложения;

  • предупреждение – сообщение не обязательно является чем-то важным, но может говорить об ошибке, которая может возникнуть впо­следствии, например, нежелание какой-либо программы или сервиса во время выключения машины корректно завершаться;

  • уведомление – сообщение, что описываемое событие успешно завершилось в приложении, драйвере или сервисе, например, успешный старт какого-либо системного сервиса или его остановка;

  • аудит успехов – сообщение о том, что контролируемое собы­тие в политике аудита и системой безопасности успешно завершилось, например, был произведен корректный вход одного из пользователей в систему;

  • аудит отказов – класс событий, который будет со­общать о том, что контролируемое в политике аудита и систе­мой безопасности событие завершилось с ошибкой, например, со­общение, сгенерированное при ошибке доступа к какому-либо объекту системы, или сообщение при регистрации пользователя, если он ошибся паролем.



Рисунок 1.5. Содержимое раздела Приложение программы Просмотр событий


Рисунок 1.6. Типичное сообщение, содержащееся в одном логе системы
За запись сообщений в лог системы ответственен сервис Event Log, который стартует при загрузке Windows XP. Вход в раздел Security имеют только пользователи, входящие в со­став группы локальных администраторов. По умолчанию в этот раздел система не пишет никаких сообщений. Для активации записи сообщений необ­ходимо установить требуемую политику аудита системы (п.1.1.).

Для просмотра свойств конкретного уведомления следует сделать щелчок правой кнопкой мыши на событии. В появившемся контекстном меню выбрать команду Свойства. Появится окно Свойства: Уведомление. В верхней части окна (рис.1.6.) содержится типичная информация. В средней и нижней его части содержится информация, раз­личная для каждого из сообщений. Информационные поля в описании события Even (формат протоколируемых событий):



  • дата – поле определяет дату, когда данное событие произошло;

  • время – поле определяет локальное время, когда это событие на­ступило;

  • пользователь – поле определяет пользователя, от имени которого произошло событие (описание пользователя помещено в Event Log); поле может содержать имя клиента, вызвавшего событие, при обра­ботке его запроса в программе-сервере, «N/A» определяет принадлежность данного события к операционной системе.

  • компьютер – поле содержит имя компьютера, на котором произошло данное событие;

  • код (ID) – поле содержит идентификатор события, который вместе с полем Источник используются для анализа ситуации раз­работчиками программного обеспечения, вызвавшего данную запись в логе; при обращении в службу поддержки по их требова­нию нужно сообщить эти значения полей интересующих их событий системы;

  • источник – поле содержит имя программного обеспечения, драйвера или компонента системы, вызвавшего запись события; этот идентифика­тор, а также поле Event ID используются для анализа ситуации разработ­чиками программного обеспечения, вызвавшего данную запись в логе;

  • тип – поле содержит один из пяти типов сообщений, которым оно является;

  • категория – поле классифицирует событие в программном обеспече­нии, которое его вызвало; данная информация наиболее часто использу­ется в логе событий системы безопасности как идентификатор того, какой именно тип контролируемого события в политике аудита был при записи сообщения.

  • описание – поле используется для вывода дополнительной информации, ко­торая может лучше понять природу произошедшего в системе события.

В процессе запуска, работы и выключения системы скапли­вается большое количество событий, на изучение и просмотр которых требуется много времени. Поэтому свое внимание следует сконцентрировать на событиях, имеющих тип: Ошибка, Предупреждение, Аудит отказов. Первые два типа обычно появ­ляются в разделах System и Application и сообщают о том, на что следует обратить внимание в работе системы и приложения, на­пример, проблемы в работе жестких дисков, системных программ или самой операционной системы. Следует внимательно относиться к таким сообщениям, если их пропускать, то может случиться, что в будущем система перестанет корректно функционировать, а данные могут оказаться потерян­ными, если не производилось их регулярное резервирование.

Сообщения системы безопасности Аудит отказов могут быть связаны с тем, что на систему осуществлялась какая-либо атака извне или кто-то из пользователей забыл свой пароль. Частое появление таких сообщений может означать, что кто-то подбирает пароль к определенным учетным записям системы. В данных случаях следует быть особенно внимательными, так как таких записей в Event Log бывает не много.



При переполнении разделов лог-файла системы следует:

  • войти в систему под правами системного администратора;

  • загрузить программу Просмотр событий (Event Viewer);

  • выбрать раздел;

  • раскрыть пункт операционного меню Действия или сделать щелчок правой кнопкой мыши на разделе и в появившемся контекстном меню выбрать пункт Стереть все события (рис.1.7.);

  • на экране появится диалоговое окно, в котором будет предложено сохранить события, которые будут удалены, в отдельном файле, (рис.1.8.).

Рекомендуется иметь историю совершенных событий, что может помочь при решении возникших проблем, т.к. при сохранении событий всегда можно проследить их начало и принять соответствующее решение. Поэтому следует нажать кнопку Да (рис.1.8.) и выбрать место и имя для со­храняемого файла, содержащего удаляемые сообщения из части Events Log.


Рисунок 1.7. Меню для очистки выбранного раздела лог-файла системы

Рисунок 1.8. Предложение системы о сохранении стираемых событий
Если впоследствии придется просмотреть сохраненные события, то следует в программе Просмотр событий раскрыть пункт операционного меню Действия и выбрать команду Открыть файл журнала (рис.1.7.), события, находящиеся в фай­ле, отобразятся на экране. Для выполнения операций очистки разделов Events Log, а также со­хранения и загрузки файлов, содержащих сообщения из этих разделов, требуются права системного администратора.

1.3. Диспетчер задач и внутренние параметры системы
Диспетчер задач является встроенным в операционную систему приложени­ем, которое позволяет просматривать и анализи­ровать работающие в данный момент в системе приложения и процессы, а также производить управление ими, независимо от того, в каком состоя­нии они находятся (рис. 1.9). Диспетчер задач позволяет:

  • анализировать текущие параметры произво­дительности операционной системы и параметры, которые были в ее недавнем прошлом, что позволяет наиболее удобно и достоверно на­страивать производительность системы в соответствии с предъявляемыми требованиями;

  • отображает состояние сетевых соединений и степень их загруженности, что позволит проводить наглядный мони­торинг сетевых соединений, если они присутствуют в системе, также можно обнаружить про­граммы, тайно пересылающие информацию с компьютера в сеть.

  • показывает информацию о пользователях (если в системе включена опция быстрого переключения пользователей), работаю­щих с системой в данный момент времени: имя пользователя, его учетная запись, идентификатор входа, статус, имя компьютера, с которого пришел пользователь (если он использовал удаленный вход);

  • позволяет проводить некоторые операции над пользователями;

  • может по­мочь запустить приложение;

  • может перейти в какое-то определенное окно приложения;

  • может осуществить выход из системы.



Рисунок 1.9. Окно Диспетчера задач
Основные команды пунктов операционного меню Диспетчера задач.

Меню Файл команда Новая задача (Выполнить) запускает новое приложение.

Меню Вид содержит команды, ответственные за вывод на экран различной информации, отображаемой в окне Диспетчера задач и команды ответственные за частоту обновления информации, отображаемой приложением (рис.1.10). Если Диспетчер задач будет посто­янно обновлять информацию во всех своих окнах, прикрепленным к соот­ветствующим закладкам, то на это потратится много времени работы центрально­го процессора и производительность системы понизится. Чтобы этого не случилось, разработчики пошли на компромисс, и теперь информация в окнах данной программы обновляется через опреде­ленные промежутки времени. Таким образом, любая информация, отображаемая в окне Диспетчера задач, является, фактически, всегда той, которая была на момент обновления инфор­мации в окне, а сейчас уже стала историей. Но поскольку интервалы обновле­ния информации в окне весьма малы, то можно с большой вероятностью счи­тать, что данная информация отображает текущее состояние системы.

Рисунок 1.10. Меню Вид Диспетчера задач
Команда Обновить (рис.1.10) предназначена для обновления всех окон диспетчера задач, с целью показа текущего состояния системы.

Команда Скорость обновления (рис.1.10) позволяет устано­вить, как относительно часто будет обновляться информация во всех окнах Диспетчера задач, для этого установлены следующие режимы:



  • режим Высокая – предназначен для максимально быстрого обновления информации;

  • режим Обычная – предназначен для обнов­ления информации со скоростью, которая считается достаточной разработчиками ОС (используется по умолчанию);

  • режим Низкая – предназначен для редкого обновления информации;

  • режим Приостановить – предназначен для запрещения обновления информации; означает паузу, которую стоит выбирать, когда нужно обдумать значения параметров, полученных от системы (фактически будет сохраняться информационный слепок системы, который существовал на момент остановки сбора информации).

3.Команда Завершение работы позволяет перевести ком­пьютер в ждущий или спящий режимы, выключить или перезапустить его, завершить сеанс текущего пользо­вателя или переключиться на другого пользователя системы. В ждущем режиме все запущенные программы остаются в оперативной памяти, подача энергии к которой сохраняется. В случае спящего режима все про­граммы записываются на жесткий диск и система полностью обесточивает­ся. Ре­жим энергосбережения и гибернации (лат. hibernatio – спячка) будет корректно работать только тогда, когда оборудование и программное обеспечение поддерживают его и настроены соответствующим образом. При выборе пункта меню, которое перезапускает или выключает компьютер все пользователи, работающие в системе, будут от­ключены и все работающие программы остановлены.

Диспетчер задач содержит следующие закладки: Приложения, Процессы, Быстродействие, Пользователи.
1.3.1. Закладка Приложения
Закладка Приложения отображает в системе все работающие в данный момент приложения (рис.1.9.). Внизу окна под списком активных приложений находятся кнопки, позво­ляющие завершить приложения, переключиться на прило­жение и запустить новое приложение. Кнопка Снять задачу завершит любое приложение. Если приложение не отвечает на запросы системы, когда она пытается его за­крыть, то Windows спросит, действительно ли пользователь хочет его завершить, так как есть риск потери несохраненной информации. Нажатие кнопки Завершить сейчас, расположенной в этом окне, аварийно завершит приложение. При аварийном закрытии приложений все несохраненные в них данные могут быть безвозвратно потеряны.

Если часто приходится иметь дело с зависшими задачами, последовательное нажатие на кнопку Завершить сейчас в открываемых системой окнах с вопросами о завершении выбран­ного приложения является достаточно утомительным делом. Для избежания данной процедуры можно отредактировать значение ключа HungAppTimeout в реестре по адресу:



HKEY_CURRENT_USER\Control Panel\ Desktop

Ключ определяет время в миллисекундах, через которое Windows будет считать приложение зависшим. По умолчанию это значение равно 5000 (пять секунд). Если через этот интервал времени прило­жение не будет реагировать на запросы системы, оно будет считаться завис­шим. В этой же ветви реестра содержится ключ WaitToKillApplicatioiiTimeout, который задает время перед закрытием зависшего приложения. По умолча­нию это значение равно 20000 (двадцать секунд). В итоге, после того как система в течение пяти секунд убедится, что приложение зависло, она будет ждать его завершения в течение еще двадцати секунд. Итого, сум­марное время ожидания системы, перед закрытием зависшего приложе­ния равно 25 секундам.

Для того чтобы зависшие приложения закрывались автоматически, в той же ветке реестра имеется ключ AutoEnd-Tasks. При установке его значения равное единице, система автоматически будет уничтожать зависшие приложения. Однако слишком малые значения переменных, определяющих ожидание системы, могут привести к тому, что нормально работающие, но долго думающие процессы будут считаться системой повисшими и могут быть закрыты, что приведет к нестабильной работе системы. Автоматическое уничтожение зависших процессов может оказаться полезной функцией. Если в системе существует большая загрузка приложениями и сервисами, то всегда есть достаточная вероятность появле­ния зависших по каким-то причинам программ, которые тратят системные ресурсы, включая наиболее важные из них: системную память и время работа процессора, то их закрытие может быть жизненно важным для успешного продолжения функционирования системы.

Клавиша Переключиться (рис.19.) предназначена для переключение на выбранное приложение в списке приложений. После нажатия этой кнопки оно появится на экране поверх всех других приложений.


1.3.2. Закладка Процессы
Любое приложение есть процесс, но не любой процесс есть приложение. Количе­ство процессов и приложений в системе может сильно отличаться. В закладке Процессы (рис.1.11.) под списком процессов находится опция Отображать процессы всех пользователей в случае включения которой, при наличии со­ответствующих прав системного администратора, системой будут отобра­жаться все процессы, которые запущены всеми пользователями системы в данный момент времени. С помощью кнопки Завершить процесс, можно уничтожить выбранный процесс (если достаточно прав). В информационной строке выводится общее количество процессов, текущая загрузка ими процессора системы, а также память, вы­деленная процессам и операционной системе, и ее суммарная емкость, включая файл подкачки.

Рисунок 1.11. Закладка Процессы

По умолчанию для каждого процесса Диспетчер задач показывает имя исполняемого файла, на основе которого был создан процесс, или функцию процесса, если он принадлежит системе и не находится в отдельном исполняемом файле из которого мог бы быть запущен. После имени образа исполняемого файла следует имя пользователя, под которым был запущен каждый конкретный процесс. Если же процесс принадлежит системе, то в этом поле может содержаться информа­ция о том, к какому типу сервиса системы он относится. Если же процесс является частью системы, то об этом будет сказано словом SYSTEM.

В поле Загрузка ЦП отображается информация о загруженности процессом централь­ного микропроцессора системы. В случае если в системе нет процес­сов требующих выполнения, то будет выполняться специальный процесс, называемый «Бездействие системы», принадлежащий ОС, о чем говорит строчка SYSTEM. Следующее информационное поле отображает количество памяти, потребляемой процессом.

Данные характеристики процессов, приведенные в Диспетчере задач по умолчанию, являются важнейшими. Имена исполняемых образов позволят в любой момент времени контролиро­вать исполняющиеся процессы. Несмотря на то, что существует методы скрытия имени исполняемого процесса от показа в Диспетчере задач, боль­шинство процессов в нем отображаются. Поэтому всегда можно убедиться в том, что в системе исполняются только те про­цессы, которые должны исполняться в соответствии с поставленными требования­ми.

Поле Имя пользователя позволит определить от учетной записи какого пользователя запущен соответствующий процесс, что удобно для выяснения его механизма запуска. Если процесс запущен под правами какого-либо пользователя, то за его запуск ответственен прямо или косвенно этот пользователь. Если процесс работает от имени системы или администратора, то, если это вирус или шпионская программа, она уже доста­точно глубоко проникла в систему и ее автозапуск нужно искать под учетной записью администратора системы в автозапуске или среди программ или в соответствующих местах в реестре, ответственных за автозапуск программ.

Уровень использования микропроцессора процессом определяет то, как много он «думает». Если процесс практически не потребляет процессорно­го времени, то он, вероятно, находится в состоянии ожидание. Если процесс грузит процессор работой, то он находится в состоянии исполнение или, возможно, завис.

Количество потребляемой оперативной памяти определяет степень ее использования процессом. Если процесс потребляет слишком много памяти под свои нужды, например, до половины всей доступной памяти, то это может негативно сказаться на работоспособности системы и привести к ее пере­загрузке или остановке. Также существуют атаки взломщиков, основанные на потреблении всей доступной оперативной памяти системы с целью ее оста­новки или нарушения нормального функционирования. Поэтому если в системе странно себя ведет процесс, который не был запущен пользователями системы, то следует его исследовать, предварительно найдя исполняемый образ этого процесса.

Наряду с отображаемыми по умолчанию параметрами процесса (рис. 1.11.) Диспетчер задач может по требованию пользователя показывать и другие параметры, задаваемые в пункте меню Вид режимом Выбрать столбцы. При выборе этого режима появится окно Выбор столбцов (рис. 1.12.).



Рисунок 1.12. Окно пункта меню Вид режима Выбрать столбцы
Помимо параметров Загрузка ЦП, Имя пользователя и Память (используемых по умолчанию) интересны параметры Идентиф. процесса (PID), Время ЦП, Объем виртуальной памяти, Базовый приоритет, Счетчик дескрипторов и Счетчик потоков. Данные параметры вызывают отображение в Диспетчере задач, соответственно, идентификатора процесса (PID, Process ID), времени работы на централь­ном процессоре, размера используемой виртуальной памяти, количества используемых процессом дескрипторов, а также числа нитей у процесса. После выхода из Диспетчера задач все его параметры настройки будут сохранены и при его повторном вызове будут учтены системой. Описание параметров.

1.Поле Идентификатора процесса (PID, Process ID) является важней­шим параметром, по которому можно найти нужный про­цесс в системе и продолжить его исследование дру­гими методами, например, специальными отладчиками или сохранив на диске интерактивными дизассемблерами.

2.Поле Время ЦП определяет степень использования процессом центрального про­цессора, чем выше его загруженность, тем активнее работает соответствующее приложение. Если же загруженность процессора приложением незначительна или равна нулю, то это приложение большую часть времени проводит в состоянии покоя. Данное поле дает информацию о том, что происходит внутри системы и какие приложе­ния проявляют ту или иную активность.

Многие вирусы и троянские про­граммы могут проводить большую часть времени своей жизни, находясь в состоянии ожидания, минимально используя время работы микропроцес­сора. Если какой-то неизвестный процесс производит значи­тельную активность в системе, то это также является предупреди­тельным сигналом. Поэтому при необходимости всегда можно определить когда, кем и как был запущен процесс, что даст возможность предотвратить его повторный запуск.

3.Поле Объем виртуальной памяти определяет степень использования виртуальной памяти про­цессом. Большие запросы к виртуальной памяти могу означать также и ошибки в процессе или его нацеливание на разрушение системы путем захвата всей дос­тупной виртуальной памяти.

4.Поле Базовый приоритет определяет значение приоритета, под которым запущен дан­ный процесс. Уровень приоритета Средний имеет подавляющее большинство процессов пользователя; некоторые процессы, требующие больших вычислительных ресурсов компьюте­ра, могут иметь приоритеты Выше среднего или Высокий. Сущест­вуют и другие значения приоритетов про­цессов, но они используются редко.

Исключением является процесс Idle.exe, который не учитывается системой как процесс, требующий выполнения и поэтому не имеет приоритета. Он выполняется лишь в слу­чае, когда в текущий момент времени в системе нет других процес­сов, которые необходимо было бы выполнять на процессоре. В среднем процессы, имеющие больший приоритет, выполняются в операционной системе быстрее, так как им для их выполнения операци­онной системой предоставляется больше времени работы микропроцессора.

Большое количество пользовательских процессов с приоритетами вы­ше Средний могут сильно тормозить работу системы, сделать ее нестабильной, или привести к перезагрузке. Поэтому если неизвестный процесс имеет приоритет выше приоритета Средний, то следует определить, что это за процесс и откуда он взялся в системе.

5.Поле Счетчик дескрипторов определяет количество используемых процессом дескрипторов – идентификаторов, которые определяют используемые процессом системные ресурсы, например, файлы. Чем больше дескрип­торов использует процесс, тем большей активностью он обладает.

Данная ситуация может служить косвенной информацией о внутренней деятельности процесса. Например, если неизвестный процесс, занимающий сравнитель­но мало оперативной памяти и ресурсов центрального процессора, имеет чис­ло дескрипторов за тысячу, то это повод задуматься над тем, зачем все они ему нужны. Вероятно, что он пытается тайно анализи­ровать содержимое файлов системы, заразить или разрушить их содержи­мое. Существует и другой вариант: многие сетевые атаки на систему основы­ваются на построении к ней избыточного количества запросов, которые она не может обслужить и, как следствие, прекращает нормальное функционирование. Наличие большого количества дескрипторов или постоянное увеличение их числа у процесса, говорит в пользу такого предположения и требует немедленного вмешательства. Если неизвестный процесс имеет очень мало открытых дескрипторов, то он так же является кандидатом на исследование или уничтожение.

6.Поле Счетчик потоков определяет число нитей у процесса. Нитями называются, процессы, которые выполняются в рамках одного процесса, являющимся для них материнским. Многие процессы имеют несколько нитей, это значительно упрощает их разработку для про­граммиста. Однако большое число потоков у одного процесса (более сотни) является подозрительным и может указывать на применение про­тив системы атаки отказа в обслуживании (как в случае с числом дескрипторов у процесса). В атаке отказа в обслуживании про­цесс, который перегружает систему запросами на ресурсы, может являться обычной программой, но другая программа или взломщик удаленно по сети делают так, что она начинает все больше и больше запрашивать у системы вычисли­тельных ресурсов.

Единственной возможностью предотвратить такие атаки является периодическое обновление версий используемого программного обеспече­ния. В целях профилактики или поиска причин возникновения таких атак следует периодически проводить проверку работающих процессов операци­онной системы посредством Диспетчера задач, Far Manager или других средств.

Рекомендуется соблюдать следующее правило: если в Диспетчере задач находится неизвестный процесс и его поведение является странным, хотя бы по одному из выше приведенных параметров, то, если нет других идей, следует его завершить с помощью кнопки Завершить процесс или сообщить о процессе системному администратору (если недостаточно прав).
1.3.3. Закладка Быстродействие
Закладка Быстродействие отображает параметры производительности сис­темы (рис.1.13.).

Рисунок 1.13. Вкладка Быстродействие

На индикаторах Загрузка ЦП и Хронология загрузки ЦП выводится инфор­мация, соответственно, о текущей загруженности микропроцессора и о его использовании в прошлом. В идеале, в случае бездействия системы, загруженность должна быть в диапазоне от нуля до одного или двух процентов. Это не ис­ключает периодические резкие повышения нагрузки на процессор, вплоть до ста процентов, например, в случае операций с внешними устройствами (жестким диском или принтером).

Если же средняя загрузка системы составляет более пяти процентов, то это значит, что в ней постоянно выполняется какой-то процесс, имеющий сравнительно большую нагрузку на систему. Для выяснения этого процесса следует обратиться к закладке Процессы или к закладке Сеть, чтобы убедиться в том, что этот процесс ничего не делает в локальной сети или Интернете. Многие сетевые вирусы и черви имеют тенденцию находиться постоянно в сис­теме, выполняя некоторую внутреннюю работу, периодически работая с сетью. И если это так, постоянная небольшая загрузка системы и использование дос­таточно большого количества памяти, а также сетевой трафик будут их дема­скировать.

Если в системе имеется более одного микропроцессора, то для каж­дого из этих процессоров на Диспетчере задач появятся свои индикаторы Загрузка ЦП и Хронология загрузки ЦП.

С помощью пункта меню Вид \ Вывод времени ядра (рис.1.13.) можно конкретизировать какая именно производительность отражается на индикаторах Диспетчера задач: суммарная загрузка системы или отдельная информация по загрузке микропроцессора операционной системой и пользовательскими программами. Этот режим позволяет получить дополнительную информацию о том, где именно происходит повышенная загрузка микропроцессора.

Индикаторы Файл подкачки и Хронология использования файла подкачки показывают, соответст­венно, текущее использование файла подкачки и его использование системой в прошлом. Это очень важный показатель. Если файл подкачки используется больше чем на половину при условии, что не были запущены большие программы (тек­стовые или графические редакторы, компиляторы, плееры и пр.), то это верный признак того, что в системе что-то наладится. Это может быть ошибка в программном обеспечении или атака типа отказа в обслуживании. Для выяснений причин происходящего следует обратиться к закладке Процессы, обращая особое внимание на то, как процессы используют память. Также стоит обратить внимание на закладку Сеть, чтобы убедиться в том, что процессы ничего не делают в локальной сети или Интернете.

Параметры системы Всего отображают общее число де­скрипторов (в строке Дескрипторов), нитей (в строке Потоков) и процес­сов (в строке Процессов). Если количество деск­рипторов, потоков и процессов будет слишком большим, то возможно, что кто-то против системы использует сетевую или локальную атаку отказа в обслуживании. Система может стать нестабильной или перестанет функциониро­вать нормально, а вся информация, содержащаяся в пользовательских про­граммах, будет утеряна. Следует срочно найти процесс, который использует большое количество ресурсов и его закрыть. После чего произвести поиск локальной или удаленной причины, вызвавшей данную атаку.

В группе параметров производительности сис­темы Физическая память (КБ) отражается суммарный объем оперативной памяти (строка Всего), доступной памяти (строка Доступно) и объем памяти, занятой под кэш (строка Системный кэш). Все объемы приведены в кило­байтах. Если обнаружено, что в системе без запуска каких-либо программ слишком мало доступной памяти (меньше сотни мегабайт), то следует установить дополнительную оперативную память или разобраться с процессами, которые ее потребляют.

Группа параметров Выделение памяти (КБ) определяет использование памяти приложениями в системе:


  • строка Всего описывается текущее использование памяти;

  • строка Предел показывает максимальную емкость памяти, кото­рая может быть использована приложениями (сумма емкостей файла подкачки и оперативной памяти);

  • стро­ка Пик показывает максимальный объем памяти, который использовался приложениями в системе.

Если значение Пик или Всего приближается к значению Предел, то при условии, что в системе не загружены большие приложения, возможно происходит локальная или удаленная атака.

Группа параметров Память ядра (КБ) по­казывает объем памяти, используемой ядром операционной системы Windows XP:



  • строка Всего показывает суммарный объем памяти, доступный ядру;

  • строка Выгружаемая показывает размер памяти, который может быть вытеснен в файл подкачки специальными средствами ОС;

  • строка Невыгружаемая показывает размер памяти, используемой ядром системы, которая не может быть вытеснена в файл подкачки и находится постоянно в оперативной памяти.

В зависимости от текущей ситуации в работе операци­онной системы, эти значения могут меняться в ту или иную сторону. Если эти значения меняются резко, например, в два раза, то это признак того, что в системе что-то не так. Поэтому следует выяснить причину вызывающую такие колебания в памяти, ис­пользуемой ядром операционной системы. Рекомендуется перезагрузить систему т.к. в некоторых случаях это объясняется ошибками в операционной системе, которые исчезнут после пере­загрузки.

Для диагностики системы можно использовать внешние антивирусные программы, внешние программы проверки системы или встроенные средства ОС. Например, для проверки идентичности файлов можно ис­пользовать программу установки Windows XP с соответствующим ключом. Справку о ключах можно получить, запустив файл WinNT32.exe с ключом "/?", который находится в дистрибутиве операци­онной системы, в папке 1386.



1.3.4. Закладка Сеть
В закладке Сеть отображается мониторинг сетевых или мо­демных соединений (рис.1.14.)

Рисунок 1.1.4. Закладка Сеть


Если нет сетевых подключений, то на экране появится окно идентичное левому окну изображенному на рисунке 1.14. Если же компьютер подключен к компьютерной сети и был произведен выход в Интернет либо была загружена сетевая программа, то на экране появится окно идентичное правому окну изображенному на рисунке 1.14.

В верхней части окна отображается графическое представление загрузки сетево­го соединения. Загрузка измеряется от нуля до ста процентов. В нижней части окна указывается для каждого сетевого адаптера системы его имя, текущая сетевая загрузка, скорость соединения и состояние соединения.

Можно дополнить отображаемые характеристики сетевых соединений (рис.1.15.):

Меню Вид \ Выбрать столбцы

В целях повышения информированности о процессах, происходящих в сетевых соединениях, можно установить ряд дополнительных опций:


  • опция Описание адаптера позволяет посмотреть опи­сание адаптеров, которые используются в системе;

  • опции Пропускная способность отправки и Пропускная способность получения позволяют, соот­ветственно, определить количество в процентах передаваемых и получаемых байт, которые проходят через сетевое соединение в текущий момент време­ни;

  • опция Пропускная способность всего показывает в процентах суммарное количество информации, прошедшей через сетевое соединение, в текущий момент времени;

  • опции Отправлено байт и Получено байт позволяют, соот­ветственно, определить в байтах суммарное количество переданных и полученных данных через сетевое соединение за все время его существо­вания.

Все сетевые программы, работающие в системе, вносят свой вклад в загрузку определенных сетевых интерфейсов, если дей­ствительно работают с ними. Их активность отображается на окне мо­ниторинга сетевых соединений Диспетчера задач.


Рисунок 1.15. Опции, позволяющие отображать

в окне мониторинга сетевых соединений дополнительные параметры


Содержимое закладки Сеть предоставляет дополнительную возможность поиска посторонних программ. Например, если в окне мониторинга существует постоянная загрузка канала, равная определенному значению (при условии, что не были запущены сетевые программы и обновление операционной системы выключено), то тогда с уверенностью можно сказать, что в системе удобно устро­ился вирус, троянская программа или программа-шпион. Следовательно, необходимо проверить систему антивирусным ска­нером и убедиться в корректности настроек сетевого экрана. В отличие от других средств Диспетчера задач, данная закладка может прак­тически гарантированно обнаружить дест­руктивное программное обеспечение.
1.3.5. Закладка Пользователи
Закладка Пользователи отображает пользователей, работающих в текущий момент в системе (рис.1.16.).

Рисунок 1.16. Закладка Пользователи
В данном окне можете выбрать пользователя и по­смотреть его параметры в соответствующих столбцах:

  • столбец Код отображает идентификатор сессии пользователя в системе;

  • столбец Состояние – отображает статус пользователя;

  • столбец Имя клиента – отображает имя машины, с которой пришел пользователь, если он работает в сети;

  • столбец Сеанс – отображает имя сессии пользователя на ком­пьютере.

С помощью кнопок, расположенных внизу окна, можно выполнять ряд системных действий по управлению пользователями:

  • кнопка Отключить – отключает выбранного пользователя от компью­тера;

  • кнопка Выйти из системы – заставляет пользователя выйти из системы;

  • кнопка Отправить сообщение – посылает другому пользователю со­общение.

Окно просмотра активных пользователей в системе удобно тем, что всегда можно контролировать пользователей или программы, которые работают в системе под соответствующими учетными записями. При обнаружении подозрительного пользователя можете его отключить или послать ему соответствующее сообщение. Кроме того, в случае обнаружения каких-либо проблем, всегда можно знать, кто работает в системе, и, как следствие, предпринять административные или иные меры, в случае обнаружения причин этих проблем.

1.4. Просмотр дополнительных внутренних параметров системы
Возможности диспетчера задач широки, но некоторые функции, связанные с функционированием системы, ее настройкой и конфигурацией, он не может контролировать. Для этого в Windows XP существуют другие средства. Если в процессе работы системы возникнут какие-либо вопросы по ее конфигурации или времени работы (аптайму), то можно узнать причины, запустив программу Systemlnfo в командной строке (рис.1.17.).

Рисунок 1.17. Запуск программы Systemlnfo в командной строке

Рисунок 1.18. Окно программы SystemInfo
На экран будет выведена подробная информация. Можно запустить программу с каналом more, набрав в командной строке:

systemlnfo | more

Программа при заполнении текстового экрана будет ожидать нажатия пробела, чтобы показать следующий экран с информацией.



Для отображения информации с помощью графического интерфейса можете запустить программу: System Information (рис.1.19.)

Пуск\Все программы\Стандартные\Служебные\Сведения о системе

Рисунок 1.19. Окно программы System Information
В левой части этого окна расположено дерево, в котором можно выби­рать логическую область информации, относительно которой нужно уз­нать параметры системы. В правой части окна отображается ее непосредственное значение. Например, выбрав Ресурсы аппаратуры (Hardware Resources) можно посмотреть информацию по какому-либо аппаратному ресурсу системы. Данная программа позволяет быстро, легко и удобно просмотреть содержимое системы.
2. Практическая часть
2.1. Вопросы по разделу


  1. Что собой представляет механизм Windows XP, называемый аудитом системы?

  2. Перечислите функции, выполняемые вышеуказанным механизмом ОС.

  3. Каким образом произвести настройку аудита локальной системы?

  4. Что собой представляют настройки аудита событий?

  5. Комплекс каких действий нужно выполнить для определения того, когда будет происходить запись того или иного события, определенного соответствующей строкой списка поли­тики аудита?

  6. Перечислите виды аудита событий (сделайте копию окна настройки аудита с видами аудита событий).

  7. Какими характерными особенностями обладают политики аудита?

  8. Каким образом произвести запись всех попыток входа пользователей в систему?

  9. Каким образом можно произвести запись всех попыток входа пользователей в систему?

  10. Какие данные политики аудита могут пригодиться в случае, если в системе будет происходить что-то странное и необходимо выяснить причины возникших ситуаций?

  11. Какая политика аудита позво­ляет проводить аудит системных событий перезагрузки, выключение компьютера и других важных сообщений, касающихся безопасности системы?:

  12. Перечислите особенности аудита системы.

  13. Каким образом просмотреть события, происходящие в системе?

  14. Определите назначение программы Event Viewer.

  15. Каким образом загрузит программу Event Viewer?

  16. Дайте определение термину «лог-файл».

  17. Какая информация находится в лог-файлах?

  18. Перечислите типы протоколируемых системой событий в логах и их назначение.

  19. Какой сервис ответственен за запись сообщений в лог системы?

  20. Каким образом просмотреть свойства конкретного уведомления?

  21. Перечислите и опишите информационные поля в описании события Even.

  22. На каких типах событий следует сконцентрировать свое внимание?

  23. С какими событиями (действиями) могут быть связаны сообщения системы безопасности Аудит отказов?

  24. Какие действия следует предпринять при переполнении разделов лог-файла системы?

  25. Каким образом просмотреть сохраненные события?

  26. Определите назначение Диспетчера задач.

  27. Перечислите функции Диспетчера задач.

  28. Какие неприятности доставляют операционной системе зависшие программы, как их определить и как с ними бороться?

  29. Каким образом идентифицировать процесс, происходящий в системе?

  30. Что позволит в любой момент времени контролиро­вать исполняющиеся процессы?

  31. Поясните термин «имя исполняемого образа».

  32. Каким образом в Диспетчере задач можно определить возможные атаки на систему (перечислите все возможности Диспетчера задач)?

  33. Каким образом определить в Диспетчере задач, в каком состоянии находится процесс (в состоянии ожидание, в состоянии исполнения или завис)?

  34. По каким признакам в Диспетчере задач можно определить, что процесс завис?

  35. По каким признакам с помощью Диспетчера задач можно определить, что процесс, запущенный в системе направлен на причинение ущерба системы?

  36. Перечислите Ваши действия в случае обнаружения неизвестного Вам и системе процесса.

  37. С помощью какого параметра можно найти нужный процесс в системе (при использовании программы Диспетчер задач)?

  38. С помощью каких параметров в Диспетчере задач можно определить степень использования процессом центрального про­цессора?

  39. Что могут означать «большие запросы к виртуальной памяти» и с помощью какого параметра в Диспетчере задач можно определить степень использования виртуальной памяти?

  40. Какой приоритет имеет процесс Idle.exe и как определить в Диспетчере задач уровень приоритета процессов?

  41. Какие неприятности ОС могут причинить большое количество процессов с уровнем приоритета Средний?

  42. Как определить с помощью Диспетчера задач какой активностью обладает процесс? Для какой цели нужна данная информация?

  43. На что указывает большое количество потоков (>100) у процесса? Как определить количество потоков у процесса с помощью Диспетчера задач?

  44. Как предотвратить возможные атаки на систему? Какие профилактические действия следует проводить для этих целей?

  45. Что может означать ситуация, когда средняя загрузка системы составляет более пяти процентов? Какие программы имеют тенденцию находиться постоянно в системе?

  46. Какая загруженность микропроцессора должна быть в идеале? Как определить загрузку системы с помощью Диспетчера задач?

  47. Что означает ситуация, когда файл подкачки используется больше чем на половину при условии, что не были запущены большие программы?

  48. Какая ситуация может произойти если количество деск­рипторов, потоков и процессов будет слишком большим? Как определить эти параметры с помощью Диспетчера задач?

  49. Что может означать ситуация, когда группа параметров Выделение памяти резко изменяются (раза в два). Какие действия следует предпринять в этом случае?

  50. Каким образом можно дополнить отображаемые характеристики сетевых соединений в Диспетчере задач?

  51. Что происходит, если в окне мониторинга сетевых соединений существует постоянная загрузка канала, равная определенному значению (при условии, что не были запущены сетевые программы и обновление операционной системы выключено)?

  52. Каким образом можно с помощью Диспетчера задач идентифицировать пользователя в системе? Какие действия можно предпринять, если обнаружен неизвестный пользователь?

  53. Какие дополнительные средства, связанные с функционированием системы, ее настройкой и конфигурацией в Windows XP Вы знаете?

  54. Опишите работу программ для просмотра дополнительных внутренних параметров системы.



2.2. Упражнение 1
1.Произвести настройку аудита локальной системы на своем ПК.

2.Просмотреть события, происходящие в Вашей системе.

3.Проанализировать текущие параметры Вашей системы.

4.Просмотреть состояние сетевых соединений в Вашей системы.


2.3. Порядок отчетности и форма контроля выполнения работы
Контроль выполнения задания производится по окончании занятия и на консультациях в форме защиты выполненной работы, предоставленной в электронном и в бумажном виде в форме «Отчет по лабораторной работе …».

Лабораторная работа №6 Теоретическая часть: Получение информации о процессах, происходящих в системе

Ос и выше и представляющие интерес для пользователя лю­бого уровня, могут быть определены и сохранены в файле благодаря специ­альному механизму Windows xp

345.66kb.

10 10 2014
1 стр.
Лабораторная работа №1 Теоретическая часть: Состав вычислительной системы Аппаратное обеспечение

Критериями выбора аппаратного или программного решения являются производительность и эффективность. Обычно принято считать, что аппаратные решения в среднем оказываются дороже

386.25kb.

01 10 2014
2 стр.
Лабораторная работа №1 Работа в Oracle Database Express Edition 1 Лабораторная работа №6

Лабораторная работа Выполнение расчетов с использованием программирования в среде Visual Basic for Applications

232.43kb.

18 12 2014
1 стр.
Теоретическая часть

Создание информационной структуры в системе управления контентом «Austincms» на примере веб-сайта «Сантехника арте» 51

865.27kb.

18 12 2014
10 стр.
Работа на XIII научно-практическую конференцию школьников «Старт в науку» Происхождение и значение фразеологизмов

Теоретическая часть

428.42kb.

14 12 2014
3 стр.
Лабораторная работа №7 Получение ацетальдегида окислением этилена

Реакцией с синильной кислотой и последующими превращениями циангидрина получают молочную кислоту, акрилонитрил и эфиры акриловой кислоты

82.62kb.

15 10 2014
1 стр.
Лабораторная работа №2 работа с пакетными файлами (. bat) в операционной системе dos

Echo (Вывод сообщения), call (Вызов другого пакетного файла), goto (Переход по метке), if (Условие), for (Цикл), shift (Сдвиг аргументов на один влево), set

83.74kb.

08 10 2014
1 стр.
Лабораторная работа №9. Работа с файлами и каталогами

Цель работы: Познакомиться с основными приёмами работы с каталогами и файлами в системе Delphi

72.66kb.

12 10 2014
1 стр.