Ü  Быстрое повторение  ü  Часто задаваемые вопросы 




PDF просмотр
НазваниеÜ  Быстрое повторение  ü  Часто задаваемые вопросы 
страница28/45
Дата конвертации22.03.2013
Размер0,63 Mb.
ТипАнализ
1   ...   24   25   26   27   28   29   30   31   ...   45

 
Другая проблема имеет отношение к функции автозапуска, упоминавшейся ранее в 
главе.  Когда  CD-  или  DVD-диск  вставляется  в  дисковод  компьютера  с  ОС  Windows, 
происходит  обнаружение  нового  носителя.  Если  в  корневой  папке  носителя  есть  файл 
«autorun.inf»,  этот  файл  анализируется,  и  выполняются  строки  run=  и  load=.  Эта 
возможность  является  частью  расширенного  взаимодействия  с  пользователем, 
предлагаемого  системой  Windows.  По  умолчанию  функция  автозапуска  отключена  для 
съемных  запоминающих  устройств,  например,  для  флеш-накопителей;  однако  она  по 
умолчанию  включена  для  носителей,  распознаваемых  системой  как  диски  CD-ROM,  на 
которые,  из-за  способа  форматирования,  частично  похожи  устройства  U3.  В  Интернете 
доступны инструкции, где объясняется, как создавать собственные данные и программы, 
которые будут записаны поверх существующего раздела U3, что делает такие устройства 
чрезвычайно опасным механизмом получения доступа к системе.  
 
Компания 
U3 
предоставляет 
служебную 
программу, 
обеспечивающую 
пользователям  большую  мобильность  для  их  приложений.  Эта  программа  создает 
небольшой раздел в начале флеш-накопителя и обозначает его как раздел CDFS (файловая 
система компакт-диска), чтобы ОС Windows распознавала этот раздел как компакт-диск, а 
не как съемное запоминающее устройство. Затем различные приложения запускаются из 
этого раздела CDFS, а остальная часть накопителя используется для хранения данных. Но 
это означает, что, даже если функция автозапуска отключена (по умолчанию) для съемных 
накопителей, она включена (по умолчанию) для раздела CDFS.  
 
Когда я подключил флеш-накопитель с разделом U3 к компьютеру с ОС Windows 
XP,  то  обнаружил,  что  для  одного  и  того  же  устройств  были  созданы  две  записи 
идентификатора класса устройства:  
 
CdRom&Ven_Best_Buy&Prod_Geek_Squad_U3&Rev_6.15  
 
и  
 
Disk&Ven_Best_Buy&Prod_Geek_Squad_U3&Rev_6.15  
 
 
Оба  эти  идентификатора  класса  устройства  содержали  подраздел  с  одинаковым 
уникальным  идентификатором  экземпляра.  При  проведении  судебного  анализа  образа 
данных  необходимо,  несомненно,  выполнять  поиск  таких  данных,  так  как  они  могут 
определить  вектор  заражения  или  способ  взлома.  Злоумышленник  может  создать 
специальный  ISO-образ,  который  будет  установлен  в  раздел  CDFS,  а  затем  удалить  все 
признаки  служебных  программ  или  логотип  U3  в  устройстве.  Если  кто-нибудь  вставит 
такой  накопитель  в  компьютер,  будет  активирована  функция  автозапуска  для  раздела 
CDFS,  и  все,  что  задумал  злоумышленник  (установка  троянских  программ,  сбор 
информации или паролей из защищенного хранилища), будет выполнено автоматически.  
 
Вставка  «USBDumper»  содержит  дополнительную  информацию  об  угрозах, 
представляемых  съемными  накопителями.  Несмотря  на  то,  что  эти  угрозы  не  связаны 
непосредственно с анализом реестра, они ставят трудные задачи перед специалистами по 
информационной безопасности.  
 
Инструменты и ловушки… 
USBDumper 
 
Утилита  USBDumper  создает  угрозу  нарушения  информационной  безопасности 
при  работе  со  съемными  USB-накопителями  (http://wiki.hak5.org/wiki/USB_Hacksaw). 
USBDumper  устанавливается  в  ОС  Windows  и,  когда  съемный  USB  флеш-накопитель 
подключается  к  компьютеру,  незаметно  копирует  содержимое  этого  устройства.  Кроме 
того,  поговаривают,  что  существует  программа,  которая  незаметно  создает  образ  флеш-
накопителя,  когда  он  подключается  к  системе,  чтобы  можно  было  найти  не  только 

активные,  но  также  и  удаленные  файлы.  Обе  эти  проблемы  упоминались  в  блоге  Брюса 
Шнайера (Bruce Schneier) «Schneier on Security» 25 августа 2006 года. 
 
Монтированные устройства  
 
В разделе MountedDevices хранится информация о различных устройствах и томах, 
монтированных в файловой системе NTFS: Полный путь к разделу выглядит так:  
 
HKEY_LOCAL_MACHINE\System\MountedDevices  
 
 
Например, когда съемный USB-накопитель подключается к системе Windows, ему 
назначается  буква  накопителя;  эта  буква  отображается  в  разделе  MountedDevices.  Если 
устройству  назначена  буква  F:\,  параметр  в  разделе  MountedDevices  будет  показан  как 
\DosDevices\F:.  Мы  можем  сопоставить  запись  из  раздела  USBSTOR  с  разделом 
MountedDevices,  используя  параметр  ParentIdPrefix,  который  находится  в  разделе 
уникального  идентификатора  экземпляра  для  устройства.  Параметр  ParentIdPrefix  для 
USB-устройства,  обсуждавшегося  в  предыдущем  разделе,  имеет  данные  7&326659cd&0. 
Обратите внимание, что это не уникальный идентификатор экземпляра, а следовательно – 
не серийный номер, о котором мы говорили ранее.  
 
После  того  как  мы  получили  значение  из  параметра  ParentIdPrefix,  мы  находим 
букву  накопителя,  назначенную  этому  устройству,  посредством  определения 
местонахождения в разделе MountedDevices записи DosDevices, которая содержит в своих 
данных  значение  ParentIdPrefix.  На  работающем  компьютере  мы  можем  сделать  это, 
выполнив щелчок правой кнопкой мыши по каждому параметру реестра и выбрав пункт 
«Изменить»  (“Modify”);  когда  откроется  диалоговое  окно  «Изменение  двоичного 
параметра
» (“Edit Binary Value”), мы можем просмотреть содержимое данных на предмет 
наличия значения параметра ParentIdPrefix. Параметр ParentIdPrefix хранится в реестре в 
виде строки, а параметры DosDevices в разделе реестра MountedDevices – в виде двоичных 
данных,  поэтому  необходимо  выполнить  преобразование.  На  илл.  4.15  показано 
диалоговое  окно  «Изменение  двоичного  параметра»  (“Edit  Binary  Value”)  для  параметра 
\DosDevices\F:.  
1   ...   24   25   26   27   28   29   30   31   ...   45

Похожие:

Ü  Быстрое повторение  ü  Часто задаваемые вопросы  iconЧасто задаваемые вопросы  Часто задаваемые вопросы по установке в компьютер видеоплат серии 
Не следует использовать материнскую плату asus P5B и материнские платы с чипсетом 
Ü  Быстрое повторение  ü  Часто задаваемые вопросы  iconFrequently Asked Questions Часто задаваемые вопросы о
Чтобы получить дополнительные сведения о приложении Cisco Jabber для iPad, прочтите  Часто задаваемые
Ü  Быстрое повторение  ü  Часто задаваемые вопросы  icon  ответы   на   наиболее   часто   задаваемые   вопросы, 
Ниже следуют ответы на наиболее часто задаваемые вопросы, касающиеся иммигрантов и социальной помощи. Следует 
Ü  Быстрое повторение  ü  Часто задаваемые вопросы  iconПрямые ответы на часто задаваемые вопросы об mlm
Прямые ответы на часто задаваемые вопросы об mlm / Дон Фэйлла, Нэнси Фэйлла. — Пер. с англ. Р. Захарчева. — М
Ü  Быстрое повторение  ü  Часто задаваемые вопросы  icon    Начальное образование - часто задаваемые вопросы    К Вашему сведению:  
Начальное образование – часто задаваемые вопросы   
Ü  Быстрое повторение  ü  Часто задаваемые вопросы  icon  часто задаваемые вопросы по работе с официальным сайтом В 
Общие вопросы   8 
Ü  Быстрое повторение  ü  Часто задаваемые вопросы  iconСтраница для родителей  Часто задаваемые вопросы родителями первоклассников
Наш  ребенок  часто  болеет,  а  ему  уже  7  лет  и  пора,  идти  в  школу.  Как 
Ü  Быстрое повторение  ü  Часто задаваемые вопросы  icon14   часто задаваемые вопросы 17

Ü  Быстрое повторение  ü  Часто задаваемые вопросы  icon14      часто задаваемые вопросы 17 

Ü  Быстрое повторение  ü  Часто задаваемые вопросы  icon Help - ответы на часто задаваемые вопросы 

Разместите кнопку на своём сайте:
kak.znate.ru


База данных защищена авторским правом ©kak.znate.ru 2012
обратиться к администрации
KakZnate
Главная страница