Шпаргалка по "Информационным технологиям в юриспруденции"

     В самых ответственных случаях  можно воспользоваться файловым монитором Марка Русиновича, свободно распространяющимся через сервер http://www.sysinternals.com. Ни один существующий вирус не пройдет незамеченным мимо этой замечательной утилиты, кстати, в упакованном виде занимающей чуть более полусотни килобайт и контролирующий доступ к диску на уровне дискового драйвера. К тому же она выгодно отличается тем, что сообщает имя программы, обратившийся к файлу-приманке, тем самым позволяя точно дислоцировать источник заразы и отсеять ложные срабатывания (ведь и сам пользователь мог по ошибке обратится к «подсадному» файлу, также не следует забывать и об антивирусных сканерах, открывающих все файлы без разбора).

     Не  все вирусы, однако, внедряют свой код  в чужие исполняемые файлы. Спрятавшись  в дальнем уголке жесткого диска (как правило, это Windows\System, содержимое которой никто из пользователей  не знает и не проверяет), они изменяют конфигурацию системы так, чтобы получать управление при каждой загрузке (или, на худой конец, – эпизодически). Самые «тупые» вирусы прописывают себя в «Автозагрузку» (см. Пуск -> Программы -> Автозагрузка), а подавляющее большинство остальных – в следующую ветку системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]. Конечно, существуют и более экзотические способы (вроде файлов config.sys/autoexec.bat в Windows 98/Me и config.nt/autoexec.nt в Windows 2000/XP), но они практически не находят себе применения.

     Также богатую информацию несет и количество оперативной памяти, выделенной на момент загрузки системы (узнать его  можно через «Диспетчер задач»). Просто запомните его (или запишите где-нибудь на бумажке), а затем – при каждой загрузке системы – сверяйте. На всякий случай, запустив тот же «Диспетчер задач», перейдите ко вкладке «Процессы», в меню «Вид» выберите «Все столбцы» и взведите галочки напротив всех характеристик, которые вы хотите контролировать (как правило – это все характеристики процесса и есть), далее поступайте аналогично: запомните начальное состояние каждого запускаемого процесса на заведомо «чистой» машине, а при всех очередных запусках – сверяйте с этим эталоном.

     Часто вирусы (и внедренные хакерами троянцы) выдают себя тем, что проявляют ненормальную сетевую активность (обращение по нетипичным для данного пользователя сетевым адресам и/или портам, резко возросший трафик или подозрительное время). Начнем с того, что практически ни один вирус не анализирует учетные записи распространенных почтовых клиентов и, стало быть, самостоятельно определить адрес вашего почтового сервера не может. Как же тогда черви ухитряются распространятся? Да очень просто: часть из них использует жестко прошитые внутри себя адреса бесплатных SMTP-серверов, другие же связываются с получателями писем напрямую, т. е. обращаются непосредственно к их почтовому серверу. И то, и другое демаскирует вирус, исключая конечно тот случай, когда по иронии судьбы и вирус, и зараженная им жертва используют один и тот же сервер исходящей почты. Учитывая, что подавляющее большинство корпоративных пользователей использует свой собственный сервер для рассылки почты, вероятностью случайного совпадения адресов можно пренебречь.

     Для протоколирования сетевого трафика  существует огромное множество разнообразных  программ, самая доступная из которых (хотя и не самая лучшая) – netstat, входящая в штатный пакет поставки операционных систем Windows 98/Me и Windows 2000/XP.

     Также имеет смысл приобрести любой сканер портов и периодически осматривать все порты своего компьютера, – не открылись ли среди них новые. Некоторые сетевые черви устанавливают на заражаемые компьютеры компоненты для удаленного администрирования, которые чаще всего работают через TCP- и реже – через UDP-протоколы. Утилита netstat позволяет контролировать на предмет открытых портов и те, и другие.

     Подавляющее большинство почтовых червей распространяет свое тело через вложения (также  называемые аттачментами) и, хотя существует принципиальная возможность создания вирусов, целиком умещающихся в заголовке или основном теле письма, на практике с такими приходится сталкиваться крайне редко, да и живут они все больше в лабораторных условиях. Таким образом, задача выявления почтовый червей сводится к анализу корреспонденции, содержащей подозрительные вложения.

     И наконец рассмотрим удаление вирусов  из системы. Удаление вирусов из системы, вероятно, самая простая операция из всех, рассмотренных выше. Очень  хорошо зарекомендовала себя следующая методика: после установки операционной системы и всех сопутствующих ей приложений, просто скопируйте содержимое диска на резервный носитель и затем, – когда будет зафиксирован факт вторжения в систему (вирусного или хакерского – не важно), – просто восстановите все файлы с резервной копии обратно. Главное преимущество данного способа – его быстрота и непривередливость к квалификации администратора, (или, в общем случае, лица, осуществляющего удаление вирусов). Конечно, следует помнить о то, что: а) достаточно многие программы, тот же Outlook Express, например, сохраняют свои данные в одном из подкаталогов папки Windows и, если почтовую базу не зарезервировать отдельно, то после восстановления системы она просто исчезнет, что не есть хорошо; б) некоторые вирусы внедряются не только в файлы, но так же и в boot- и/или MBR-сектора, и для удаления их оттуда одной лишь перезаписи файлов недостаточно; в) вирус может перехватить системные вызовы и отслеживать попытки замещения исполняемых файлов, имитируя свою перезапись, но не выполняя ее в действительности.

     Поэтому, более надежен следующий путь: загрузившись с заведомо «стерильного» CD-диска (или, на худой конец, дискеты), вы удаляете папки Windows (WINNT) и Program Files, а  затем начисто переустанавливаете операционную систему вместе со всеми приложениями. Конечно, это медленно, но… ничего более лучшего предложить, по-видимому, просто невозможно.

     Естественно, в случае заражения известными вирусами, можно прибегнуть и к помощи антивирусов, однако существует весьма высокая вероятность столкнуться с некорректным удалением вируса из файлов, в результате чего система либо полностью теряет свою работоспособность, либо вирус остается не долеченным и «выживает», и зачастую после этого уже не детектируется антивирусом. Уж лучше просто удалить зараженный файл, восстановив его с резервной копии! Конечно, это не гарантирует того, что в системе не осталось компонентов, скрыто внедренных вирусом, однако такие компоненты (если они вообще есть) могут быть обнаружены по одной из описанных выше методик. Правда это требует определенного времени и не факт, что оно окажется меньшим, чем требуется для полной переустановки операционной системы.

     28.Интернет/интранет-технологии

     В развитии технологии Интернет/интранет основной акцент пока что делается на разработке инструментальных программных средств. В то же время наблюдается отсутствие развитых средств разработки приложений, работающих с базами данных. Компромиссным решением для создания удобных и простых в использовании и сопровождении информационных систем, эффективно работающих с базами данных, стало объединение Интернет/интранет-технологии с многоуровневой архитектурой. При этом структура информационного приложения приобретает следующий вид: браузер — web-сервер — сервер приложений — сервер баз данных.

Благодаря интеграции Интернет/интранет-технологии и архитектуры клиент-сервер процесс внедрения и сопровождения корпоративной информационной системы существенно упрощается при сохранении достаточно высокой эффективности и простоты совместного использования информации