کنترل بد افزارها در زمان حمله به شبکه های PC & LAN,WAN
اسلاید 1: به نام خداوند جان و خرد کنترل بد افزارها در زمان حملهبه شبکه های PC & lan,wanمهندس ابراهیم شهلایی
اسلاید 2: بد افزاهای مخرب برای سیستم عامل و ماشینبد افزارها چیست؟عملکرد آنها در ماشین چگونه است؟قابلیت های آسیب رسانی آنها به سیستم تا چه حد میتواند باشد ؟راه های مقابله با آنها کدام است ؟چگونه نرم افزارهای امنیتی میتوانند به ما کمک کنند؟راه کارهای دیگر چه میتواند باشد؟
اسلاید 3: سیستم چگونه آلوده می شود؟راه های درون شبکه ای راه های برون شبکه ای
اسلاید 4: آلودگی درون شبکهاز طریق نصب برنامه هااز طریق اتصال سخت افزارهای آلودهاز طریق کارکنان نا راضی
اسلاید 5: از طریق ارسال ایمیل های آلودهاز طریق مهندسی اجتماعی از طریق به روز کردن نرم افزارهاآلودگی برون شبکه
اسلاید 6: ادامهآنتی ویروس ها و برنامه های امنیتی . اصولا همیشه نمیتوان به برنامه های سیستمی اکتفا کرد.برای ویروس یابی باید نیازهای پاکسازی را در اختیار داشته باشید .آگاهی لازم از سیستم عاملآگاهی از عملکرد ویروس هاآگاهی لازم از فایروال ها و قابلیت های تنظیم آنهاآگاهی لازم از آنتی ویروس ها و قابلیت های آنها
اسلاید 7: نحوه عملکرد بد افزارها در ماشین هاخرابکاری در ریجستری سیستم عامل ماشینخرابکاری در عملکرد سخت افزاری ماشینناتوان سازی فایل های اجرایی سیستم عاملغیر فعال کردن آنتی ویروس و برنامه های امنیتی سیستم غیر فعال کردن explorer OS
اسلاید 8: ادامهویروس ها در سیستم عامل خود را پنهان میکنند و به کار بران اجازه فعال کردن نمایش فعال پنهان را نمیدهند . برای مثال گزینه Show hidden files , folders and drivesرا هر بار انتخاب کنید سریعا از انتخاب خارج میشود .
اسلاید 9: ادامهغیر فعال شدن task manager درtaskbarچرا؟
اسلاید 10: در زمانی که میخواهید وارد برنامه های کار بردی ویندوز بشویم مانند ریجستری شوید . برنامه باز میشود ولی یک پیام Registries have been closed by administrator ظاهر میشود که ویروس جلو اجرای این برنامه ها را می گیرد
اسلاید 11: در صورتی که با درج msconfig در run بخواهیم از برنامه های system configurationاستفاده کنیم به همین ترتیب .
اسلاید 12: سایر عملیات ویروس در سیستم عاملاز نصب و اجرای آنتی ویروس ها جلوگیری به عمل می آورد . کامپیوتر را روشن نموده و بعد از لود شدن برنامه desktop را نمایش نمیدهد close explorerکند شدن سیستم عامل در لود نمودن برنامه های نرم افزاریلغو دستوراتی که در بخش های مدیریتی سیستم عامل کار بر انجام می دهد. جهت غیر فعال کردن انتی ویروس و فعال بودن ویروس
اسلاید 13: ادامهفایل Autorun .info نه تنها ویروس را هدایت میکند . بلکه در سخت افزار های جدید که به ماشین متصل میگردد این فرامین را تکرار می نماید.
اسلاید 14: ادامه
اسلاید 15: ادامهراه دیگر این است که یک فلش را که بوسیله یک کامپیوتر پاک فرمت کردید به کامپیوتر خود متصل کنید و ناگهان یک سری فایل ها از کامپیوتر شما در داخل آن کپی شد مطمئن باشید کامپیوتر شما ویروسی است. با توجه به اینکه یکی از ویژگی های ویروس تکثیر آن است. عملیات انتقال ویروس از طریق همین فایل autorun.info اجرا می گردد. از طریق دستوری که به سیستم عامل جهت اجرای ویروس در آن device .چسبیدن فایل های سیستمی در تگ های فایل های HTML که میتواند ادرس یک سایت مخرب را به آدرس سایت شما اضافه کند.
اسلاید 16: اتصال ویروس به انتهای سایت ها<Iframe src=“virous.com”>
اسلاید 17: اهداف ویروس در تخریب و یا سازماندهی مجدد سیستم عامل شما چیست؟محروم کردن کار بر از قابلیت های سیستم عامل جلوگیری از شناسایی ویروس و غیر فعال کردن آن جلوگیری از استفاده CMD ویندوز.جلوگیری از اجرای ریجستری ویندوز که میشود از طریق آن جلوی فعالیت ویروس را گرفت.
اسلاید 18: در صورتی که سیستم ویروسی باشد چکار باید کرد برای کاهش آسیب پذیری و ویروس یابی ؟مهمترین این tabs startup می باشد. در این بخش لیست برنامه هایی باز میشود که با شروع ویندوز اجرا میشوند .
اسلاید 19: ویروس که غیر فعال شده بود دوباره پس از reset کردن سیستم فعال میشود
اسلاید 20: آدرس محل اجرایی ویروس در ریجستری ویندوز که باید پیدا شده و مسدود گردد
اسلاید 21: ادامهویروس با startup ویندوز اجرا میشود و ما باید ویژگی های آنرا برای غیر فعال کردنش بشناسیم لذا ویژگی های آن عبارتند از تخریب فایل های سیستمی استخراب کردن فایل های exe در کامپیوترارسال اطلاعات به مقصدی نا مشخص از طریق باز کردن درگاه هاتکثیر خود به خودی ویروس در سیستم (با استفاده سخت افزارها . نرم افزارها . اینترنت و راه هایی دیگر)ویروس همیشه در حال اجرا می باشد. لذا باید این قابلیت آن را گرفت . چرا که همیشه در حافظه می باشد و با این کا میتواند همه برنامه های مدیریت کار بردی سیستم را ببندد
اسلاید 22: جلوگیری ابتدایی از فعالیت ویندوز در startup فعال کردن run با فشردن همزمان کلید ویندوز و R با همتایپ عبارت MSCONFIG در TEXT BOX آنظاهر شدن پنجره SYSTEM Configurationنمایش startup – tab و نمایش لیست برنامه هایی که با شروع لود شدن ویندوز فعال می شوند.
اسلاید 23:
اسلاید 24: کنترل عملیات تنظیم سیستم و ویروسویروس به منظور از کار انداختن ریجستری و startup ویندوز با ورود به بخش ویرایشگر ریجستری (registry editor) متغیر های آن را تغییر داده و سیستم را با اشکال سیستمی مواجه می نماید.
اسلاید 25: اولین گام در ویروس یابی چیست؟1- تلاش در فعال سازی بخش های عملیاتی سیستم عامل که ویروس آنرا غیر فعال نموده است.(Registry Editor ) قلب سیستم عامل می باشد و هر کاری برای تنظیمات ویندوز در آن میتوان انجام داد . و از 5 کلید اصلی تشکیل شده است 1- کلید ریشه و پوسته ویندوز HKEY- CLASSES – ROOT2- کلید تنظیم کار بران ویندوز HKEY- CURRNET – USER3- کلید تنظیمات ماشین برای کل کار بران HKEY-LOCAL-MACHINE4- کید کار بران و تنظیمات سیستمی HKEY-USERS5- تنظیمات متداول سیستمی و نرم افزار HKEY-CURRENT-CONFIG
اسلاید 26: ادامه
اسلاید 27: در مسیر تصویر فوق رفته و تمام مقادیر بجز default یا برمیداریم و انرا غیر فعال میکنیم . درصورتیکه برنامه ای که در run غیر فعال کردیم برگشت مشخصه که برنامه ویروس است و اجازه غیر فعال کردن نمیدهد لذا باید تا برداشتیم از طریق کلید reset کیس سیستم را دوباره راه اندازی کنیم که ویروس مجال اجرای دوباره نداشته باشد.
اسلاید 28:
اسلاید 29:
اسلاید 30:
اسلاید 31: تنظیمات task manager
اسلاید 32: راه دیگر
اسلاید 33:
اسلاید 34:
اسلاید 35:
اسلاید 36: راه دیگر
اسلاید 37:
اسلاید 38: راه دیگربا استفاده از prompt DOS میتوانیم تنظیمات ریجستری را دوباره انجام داده و تنظیمات ویروس را به حالت اول برگردانیم در ابتدا با تایپ CMD در بخش Textbox –Run بخش prompt DOS را فعال نموده و در هر حال به جای بخش های غیر فعال شده مدیریت ویندوز عمل مینماید برای مثال
اسلاید 39: ما میتوانیم با استفاده از prompt DOS برنامه های کار بردی و حتی سیستمی موجود و فعال در desktop را ببندیم . با توجه به تصویر زیر.
اسلاید 40: در صورتی که ویروس task manager و register editor را غیر فعال کرده باشد میتوان با بکار گیری prompt DOS آنها را فعال نمود . برای مثال و فعال نمودن register editor مانند تصاویر زیر عمل میکنیم
اسلاید 41: ادامه
اسلاید 42:
اسلاید 43:
اسلاید 44:
اسلاید 45: در صورتی که در پوشه run ما value هایی وجود داشته باشد که ویروس آنها را مورد تهاجم قرار داده و با تغییر متغییر های داخلی آنها بخش های مدیریتی سیستم را از کار انداخته است ما از طریق cmd میتوانیم عملیات مخرب ویروس را به حالت اول برگردانیم برای مثال به دستور reg delete در dos دقت کنید .
اسلاید 46:
اسلاید 47: فرآینده عملیات پاکسازی CMDاین فرایند شامل شناسایی Value های دستکاری شده و حذف آنها توسط ریشه DOS در ویندوز می باشد . که با کد نویسی های مربوط به سیستم عامل DOS این فرآیند انجام می شود
اسلاید 48: اهمیت CMD در ویندوز بسیار زیاد استبا توجه به قابلیت های مشاهده شده در cmd ما میتوانیم آنرا یک ابزار جادویی در مقابله با تهدیدات مخرب در سیستم عامل محسوب کنیم.به هیچ عنوان ویروس ها و بد افزار ها نمیتوانند بخش CMD را آلوده نموده و آنرا غیر فعال نماید.CMD میتواند بخشی کمکی در مدیریت ویندوز را ایفا کند .CMD میتواند در برنامه نویسی ضد ویروس هم به مدیران شبکه کمک کند
اسلاید 49: تنظیمات گروه سیاست های سرور
اسلاید 50: نمونه ای از چندین حمله به لایه های پروتکل tcp/ip
اسلاید 51: نمونه ای از حملات dos با استفاده از بخش cmd بر روی یک سرور را در زیر می بینید . در این صورت سرور از کار خواهد افتاد . این با ارسال 5 هزار ping به شبکه می باشد.
اسلاید 52: حملات اسپوفینگ :شامل dns جعلی . dscp جعلی :حملات بین دو شبکه و یا کلاینت قرار می گیرد . ما نمیتوانیم حضور او را تشخیص دهیم .در بحث آسیب پذیری باید با دقت کار کرد برای مثال ما به پرتکل TCP/IP میپردازیم همانطور که میدانید این پروتکل 4 لایه دارد شامل NETWORKINTERNET LAYERTRANSPRT LAYERAPPLICATION LAYER
اسلاید 53: هر لایه نقاط ضعف و آسیب پذیری های خاص خود را دارد . لایه های مختلف ر ا مورد بررسی قرار می دهیم ما ابتدا آسیب پذیری های لایه ها عبارتند از در لایه اول این نوع حملات میتواند اتفاق افتد .مک آدرس اسپوفینگ . با استفاده از نرم افزارهایی که میتوانند مک ادرس جدید تولید کنند.شبیه مک ادرس مقصد و دیتا به آنها ارسال گردد.و سپس مقصد را BY PASS (کنار بزنند) کنند.حملات DOS اتفاق افتد .حملات ارپ کش پورزنینگ اتفاق افتد. مصموم کردن آرپ ARP ادرس رزلوشن پروتکل و کارش گره زدن IP ADDRESS را با MAC ADDRESS و سپس ارسال دیتا صورت می پذیرد.
اسلاید 54:
اسلاید 55: اگر این دو ادرس با هم گره نخورد هیچ ارسالی صورت نمیگیرد .در لایه بعدی میتواند حمله IP SPOFING اتفاق افتد. و یا ترکیبی این حمله انجام شود یعنی هر دو ادرس IP. MAC را با هم SPOFING کند و دیتا را دریافت کند .حملات MAN in the middle میتواند انجام شود . میتواند دیتا را کپچر کند .حملات dosدر لایه ترانسپورت حملات dosحملات udp/tcp را داریمربودن سشن در لایه 4 حملات کار بردی داریم مانند اکسپلوید نویسی ها و ایمیل اسپم هاftp app.exploetمانند تزریق کد های مخرب اکسپلویت ها
اسلاید 56:
اسلاید 57:
اسلاید 58:
اسلاید 59:
اسلاید 60: با گرفتن IP فیزیکی کامپیوتر ها و یا سایت ها میتوانیم مقدمات حمله را پی ریز نماییم
اسلاید 61:
اسلاید 62:
اسلاید 63:
اسلاید 64:
اسلاید 65:
اسلاید 66:
اسلاید 67:
اسلاید 68:
اسلاید 69:
اسلاید 70: پرسش و پاسخ
نقد و بررسی ها
هیچ نظری برای این پاورپوینت نوشته نشده است.