Hálózati biztonsági szkennerek: lehetőségek, üzemeltetés és fejlett megoldások. Szkennelési sebezhetőségek: Hogyan ellenőrizheti az eszközt, és biztosítsa magát a potenciális fenyegetésekről a helyi hálózat sérülékenységeinek keresése

A hálózati férgek járványának problémája mindenki számára releváns helyi hálózat. Előbb-utóbb a helyzet akkor fordulhat elő, ha egy hálózat vagy postai féreg behatol a LAN-ban, amelyet nem észlel egy víruskereső. Hálózati vírus a LAN-on keresztül az operációs rendszer sérülékenységének vagy a felvételhez rendelkezésre álló fertőzés idején nem zárja le megosztott erőforrások. Postai vírusA címből a következőképpen e-mailben érvényes, feltéve, hogy az Ügyfél AntiVirus és víruskereső által nem blokkolja levélkiszolgáló. Ezenkívül a LAN-ban lévő járvány belsejében bentkülönbségként szervezhető. Ebben a cikkben a LAN-számítógépek működési elemzéséhez gyakorlati módszereket fogunk figyelembe venni különböző alapok használatával, különösen a szerző segítségével aVZ..

A probléma megfogalmazása

Evidémiás felismerés vagy bizonyos inset aktivitás esetén a rendszergazda gyorsan meg kell oldania a legalább három feladatot:

• észleli a fertőzött számítógépeket a hálózaton;
• keresse meg a rosszindulatú program mintáit, hogy küldjön az anti-vírus laboratóriumba, és dolgozzon ki egy ellenhatási stratégiát;
• hozzon létre olyan intézkedéseket, amelyek megakadályozzák a vírus terjedését a LAN-ban és a fertőzött számítógépeken történő megsemmisítéséhez.

Bennfentes tevékenység esetén az elemzés fő lépései megegyeznek és leggyakrabban csökkentek annak szükségességére, hogy felismerjék a külföldi szoftverek által a LAN-számítógépeken lévő külföldi szoftvereket. Például ez a szoftver lehetnek távoli adminisztrációs segédprogramok, billentyűzet kémek És különböző trójaiak könyvjelzők.

Tekintsük az egyes feladatok megoldását.

A fertőzött PC-k keresése

A fertőzött PC-k kereséséhez legalább három technikát használhat:

• a PC automatikus távoli elemzése - A futtatási folyamatokról, a letöltött könyvtárakról és illesztőprogramokról szóló információk fogadása, jellemzők keresése - például a meghatározott nevekkel rendelkező folyamatok vagy fájlok;
• pC forgalmi vizsga segítségével egy sniffer - Ez a módszer nagyon hatékony a gyűjtemény a spam botok, postai és hálózati férgek, azonban a fő komplexitás a sniffer kapcsolódik ahhoz a tény, hogy a modern LAN a kapcsolókon alapul Ennek eredményeként az adminisztrátor nem tudja felügyelni a forgalomfigyelést az összes hálózaton. A problémát kétféleképpen oldják meg: a routeren végzett szippantás futtatása (amely lehetővé teszi, hogy ellenőrizze a PC-adatok adatcseréjét az interneten keresztül) és a kapcsolók felügyeleti funkcióinak használatával (sok modern kapcsoló lehetővé teszi, hogy felügyeleti portot hozzon létre amelyhez az adminisztrátori duplikátumok által meghatározott egy vagy több kapcsolóport forgalma;
• betöltés a hálózaton - Ebben az esetben nagyon kényelmes az intelligens kapcsolók használatához, amelyek nemcsak a terhelés értékelését teszik lehetővé, hanem a rendszergazda által meghatározott portok távoli letiltásához is. Ez a művelet Ez lényegében egyszerűsödött, ha a hálózati kártya rendszergazdája olyan adatokat tartalmaz, amelyeken a PC-k a megfelelő kapcsolóportokhoz vannak csatlakoztatva, és ahol vannak elhelyezve;
• a csapdák (honeypot) használata - a helyi hálózaton nagyon ajánlott több olyan csapdát hozni, amely lehetővé teszi az adminisztrátor számára, hogy időben felismerje a járványt.

Automatikus PC-elemzés a hálózaton

Az automatikus PC-elemzés három fő szakaszra csökkenthető:

• végezze el a teljes PC-tanulmányt - futási folyamatokbetöltött könyvtárak és illesztőprogramok, autorun;
• működési felmérés lefolytatása - például a jellegzetes folyamatok vagy fájlok keresése;
• karantén objektumok bizonyos kritériumok szerint.

Az összes felsorolt \u200b\u200bfeladatok megoldhatók az AVZ szerzői segédprogrammal, amelyet a kiszolgáló hálózati mappájából futtatnak, és támogatja a szkriptnyelvet az automatikus PC-vizsgálathoz. Az AVZ elindítása a felhasználói számítógépeken, amire szüksége van:

1. Helyezze az AVZ-t, hogy olvassa el a szerver hálózati mappáját.
2. Hozzon létre napló és qurantine alkönyvtárakat ebben a mappában, és lehetővé teszi a felhasználók számára, hogy rögzítsék őket.
3. Futtassa az AVZ-t a LAN számítógépeken a Rexec segédprogrammal vagy a bejelentkezési parancsfájl segítségével.

Az AVZ elindítása a 3. lépésben ilyen paraméterekkel történik:

\\\\ my_server \\ avz \\ avz.exe prioritás \u003d -1 nw \u003d y nq \u003d y hiddenmode \u003d 2 script \u003d \\\\ my_server \\ avz \\ my_script.txt

Ebben az esetben a Priority \u003d -1 paraméter csökkenti az AVZ-folyamat prioritását, az NW \u003d Y és NQ \u003d Y paramétereket a "Network Start" módba kapcsolja a karantént (ebben az esetben egy alkönyvtár nevét a karanténban hozták létre Mappa minden számítógéphez, amelynek neve egybeesik a PC hálózati nevével), a HIDDENMODE \u003d 2 előírja, hogy megtiltja a felhasználó hozzáférését a GUI és az AVZ menedzsmenthez, és végül a legtöbbet fontos paraméter A szkript megadja a parancsfájl teljes nevét a parancsokkal, amelyet az AVZ a felhasználó számítógépén fut. Az AVZ Scripting Nyelv elég egyszerű használatra, és kizárólag a számítógépes felmérés feladatainak megoldására és kezelésére összpontosul. A Script írási folyamat egyszerűsítése érdekében használhat egy speciális szkriptszerkesztőt, amely működési csúcsot tartalmaz, egy varázsló, amely a tipikus szkriptek és az írásos forgatókönyv megteremtésének módját eredményezi (1. ábra).

Ábra. 1. AVZ Script Editor

Tekintsünk három tipikus szkriptet, amelyek hasznosak lehetnek a járvány elleni küzdelem során. Először is szükségünk lesz egy szkript PC-tanulmányra. A szkript feladata, hogy tanulmányozza a rendszert, és hozzon létre egy protokollt az adott eredményekkel hálózati mappa. A szkript a következő formában van:

Aktiválási watchdog (60 * 10);

// Indítsa el a beolvasást és az elemzést

// rendszertanulás

Executesyscheck (getavzdirectory +

'\\ LOG \\' + GETCOMPUTERNAME + '_ log.htm');

// az AVZ befejezése

A szkript végrehajtása során a naplómappában (feltételezzük, hogy a kiszolgáló AVZ könyvtárában hoz létre, és a felhasználói felhasználók rendelkezésére áll) a HTML fájlok létrehozása a hálózati számítógépes kutatás eredményeivel, valamint annak biztosítása érdekében A protokoll nevében lévő egyediség, a tanulmány alatti számítógép neve aktiválva van. A szkript elején van egy parancs, amely bekapcsolja az őrzést, amely a PCCC AVZ-t 10 perc alatt kényszeríti, ha a szkript a parancsfájl végrehajtása során következik be.

Az AVZ protokoll kényelmes a manuálisan tanulva, azonban kicsi az automatizált elemzéshez. Ezenkívül az adminisztrátor gyakran ismeri a rosszindulatú programfájl nevét, és csak ellenőrizze a jelenlétét vagy hiányát ez a fájl, ha van - a karanténba kerül az elemzéshez. Ebben az esetben a szkriptet a következő típusra alkalmazhatja:

// a Watchdog időzítő bekapcsolása 10 percig

Aktiválási watchdog (60 * 10);

// a rosszindulatú program keresése

Karanténfájl ('% windir% \\ smss.exe "," ldpinch.gen "gyanúja);

Karanténfájl ('% windir% \\ csrss.exe "," gyanú az ldpinch.gen ");

// az AVZ befejezése

Ezt a szkriptet aktiválja a karanténfájl funkció, amely kísérletet tesz ezekre a fájlok karanténjára. Az adminisztrátor csak a karantén tartalmát elemzi (karantén \\ network_word mappa \\ date_carachina) a karanténban elhelyezett fájlok jelenlétére. Meg kell jegyezni, hogy a karanténfájl függvény automatikusan blokkolja a SAFE AVZ adatbázis által azonosított karanténfájlokat, vagy a Microsoft EDS alapján. A gyakorlati alkalmazáshoz ez a parancsfájl javítható - a fájlnevek külső szövegfájlból történő megszervezéséhez ellenőrizze az AVZ alapú fájlokat, és szöveges protokollt képez a munka eredményével:

// fájlkeresés a megadott névvel

funkció jelölőnév (Fname: String): Boolean;

Eredmény: \u003d filexists (fname);

ha az eredmény akkor kezdődik

case Checkfile (Fname)

1: s: \u003d ', a fájlhoz való hozzáférés blokkolva van';

1: s: \u003d ', malware-ként (' + getlastchecktxt + ') azonosított';

2: s: \u003d ', amelyet egy fájlszkenner ("+ getlastchecktxt +') gyanúsított";

3: Kilépés; // biztonságos fájlok figyelmen kívül hagyják

Addtolog ("fájl" + normalfilename (fname) + 'gyanús neve' + S);

// hozzáadás meghatározott fájl karantén alatt

Karanténfájl (fname, "gyanús fájl" + s);

FULTNAMES: TSRSTRINGLIST; // a gyanús fájlnevek listája

// Fájlok ellenőrzése a frissített adatbázisban

ha fileexists (getavzdirectory + 'files.db), akkor kezdődik

FULLAMES: \u003d TSRINGLIST.CREATE;

Szuszpenzumok.loadfromfile ("Files.db");

Addtolog ('Névbázis letöltések - rekordok száma \u003d' + inttostr (suspnames.count));

// keresési ciklus

az i: \u003d 0 a sussNames.Count - 1 do

Checkbyname (szuszpenzumok [i]);

Addtolog ("hiba letöltési fájlnév lista);

Savelog (getavzdirectory + '\\ log \\' +

GetComputerName + '_ Files.txt');

A munka ez a script, akkor létre kell hozni az AVZ mappa elérhető a felhasználók számára, hogy rögzítse a karantén és a Log könyvtárak, valamint a szöveges fájl Files.db - minden sora ez a fájl nevét tartalmazza egy gyanús fájlt. A fájlnevek magukban foglalhat makrókat, amelyek közül a leghasznosabb, hogy% Windir% (a Windows mappa elérési útja) és% Systemroot% (elérési út a System32 mappához). Egy másik elemzési irány lehet a felhasználói számítógépeken futó folyamatok listájának automatikus vizsgálata. A futási folyamatokra vonatkozó információk a rendszerkutatási protokollban vannak, de az automatikus elemzéshez kényelmesebb a következő szkriptfragmens alkalmazása:

eljárás ScanProcess;

S: \u003d ''; S1: \u003d '';

// Frissítse a folyamatok listáját

Refreshprocesszlista;

Addtolog ('Proundes' '' '' + inttostr (getprocesscount));

// Fogadott listaelemzési ciklus

az i: \u003d 0 a getprocesscount - 1 kezdődik

S1: \u003d S1 + ',' + ExtractName (I);

// Folyamatkeresés név szerint

ha POS ('trojan.exe', kisbetű (getprocessname (i)))\u003e 0

S: \u003d s + getprocessname (i) + ',';

ha S.<> '' Azután.

Addinetotxtfile (getavzdirectory + '\\ log _alarm.txt', datetimetostr (most) + '' + getcomputerputerName + ':' + s);

Addlinetotxtfile (getavzdirectory + '\\ log _all_l_process.txt', datetimetostr (most) + '' '+ GetComputerName +': '+ s1);

Az ebben a szkriptben végzett folyamatok tanulmányozása külön szloneprocesszoros eljárás formájában történik, így könnyen elhelyezhető a saját forgatókönyvében. A ScanProcess eljárás két folyamatot épít: teljes lista A folyamatok (a későbbi elemzéshez) és a folyamatok listáját, amelyek a rendszergazda szempontjából veszélyesnek tekintendők. Ebben az esetben a "trojan.exe" nevű folyamat veszélyesnek bizonyul. A veszélyes folyamatokról szóló információkat a _alarm.txt szövegfájlhoz adjuk, az összes folyamat adatai a _all_process.txt fájlra vonatkoznak. Könnyű megjegyezni, hogy a szkriptet bonyolíthatja, hozzáadásával, például a biztonságos fájlok adatbázisának fájljainak ellenőrzése, vagy ellenőrizze a végrehajtható folyamatok nevének nevét külső alap. Ezt az eljárást a Smolenskenergben használt AVZ szkriptekben használják: Az adminisztrátor időközönként tanulmányozza az összegyűjtött információkat, és módosítja a szkriptet, és hozzáadja a programbiztonsági politikák, például az ICQ és a Mailru.Agent programok által tiltott folyamatok feldolgozását, amely lehetővé teszi, hogy gyorsan ellenőrizze a A tiltott szoftver jelenléte a vizsgált számítógépen. A folyamatok listájának másik alkalmazása PC-keresés, amely nem rendelkezik kötelező eljárással, például vírusirtónak.

Összefoglalva, fontolja meg az utolsó hasznos elemzési szkripteket - az összes fájl automatikus karanténjának szkriptje, amely nem ismeri fel a biztonságos AVZ alapján és a Microsoft EDS alapján:

Autocarentine végrehajtása

Executeautoquarantin;

Az automatikus karanténot a folyamatok és a letöltött könyvtárak, szolgáltatások és illesztőprogramok, az AutoRun, a böngésző bővítő moduljainak és a karmester, az SPI / LSP-kezelőszervek, az SPI / LSP-kezelőszervek, az ütemezési feladatok, a nyomtatás rendszerkezelők és hasonlók vizsgálata. A karantén sajátossága az, hogy a fájlokat hozzáadják az ismétlés vezérléséhez, így az autokartin funkció ismételten hívható.

Az automatikus karantén előnye, hogy segítséget nyújt, az adminisztrátor azonnal összegyűjti a potenciálisan gyanús fájlokat az összes hálózati számítógépről, hogy tanulmányozza őket. A legegyszerűbb (de nagyon hatékony a gyakorlatban) a fájlok tanulmányozásának formája lehet a keletkező karantén tesztje több népszerű vírusvállalkozás által a maximális heurisztikus módban. Meg kell jegyezni, hogy az autokartin többszázi számítógépen történő egyidejű elindítása nagy terhelést eredményezhet a hálózaton és a fájlkiszolgálón.

Forgalmi tanulmány

A forgalom tanulmányozása háromféleképpen hajtható végre:

• manuálisan a szippantók segítségével;
• félautomatikus üzemmódban - ebben az esetben a Sniffer összegyűjti az információkat, majd a protokollokat manuálisan vagy néhány szoftverrel feldolgozzák;
• a behatolásjelző rendszerek (IDS) típusú horkolás (http://www.snort.org/) vagy szoftver vagy hardver analógjainak automatikus használatával automatikusan használata. A legegyszerűbb esetben az IDS egy szippantásból és a rendszerből származó rendszerből áll, amely elemzi a sznuffer által gyűjtött információkat.

A behatolásérzékelő rendszer az optimális eszköz, mivel lehetővé teszi a szabályok készleteinek létrehozását a hálózati aktivitású anomália kimutatására. A második előny a következő: a legtöbb modern azonosító lehetővé teszi, hogy a hálózati ügynökök több csomópontján lévő forgalmi monitoring ügynököket hozzanak létre információkat, és továbbítják. A sniffer használat esetén nagyon kényelmes a konzol UNIX-SNIFFER TCPDUMP használata. Például a 25. Port 25 (SMTP protokoll) tevékenységének figyelemmel kísérésére elegendő a fajta parancssori sniffer elindítása:

tcpdump -i em0-l tcp port 25\u003e smtp_log.txt

Ebben az esetben a csomagokat az EM0 interfészen keresztül rögzítik; A rögzített csomagokról szóló információk mentésre kerülnek az SMTP_LOG.TXT fájlban. A protokollt viszonylag egyszerűen elemezzük manuálisan, ebben a példában a 25-ös aktivitás elemzése lehetővé teszi, hogy kiszámítsa a PC-t aktív spam botokkal.

Honeypot alkalmazás

Trap (honeypot), használhat egy elavult számítógépet, amelynek teljesítménye nem teszi lehetővé a termelési feladatok megoldására. Például a szerző hálózatában, mint csapda sikeresen használt Pentium Pro C 64 MB véletlen hozzáférési memória. Ehhez a számítógéphez telepítenie kell a leggyakoribb operációs rendszert a LAN-ban, és válassza ki az egyik stratégiát:

• Telepítse az operációs rendszert a csomagok frissítése nélkül - ez lesz az aktív hálózati féreg megjelenésének mutatója az operációs rendszer ismert biztonsági réseinek bármelyikével működő hálózatban;
• telepítse az operációs rendszert, amelyek más PC-hálózaton telepített frissítésekkel rendelkeznek - a honeypot hasonló lesz a munkaállomások bármelyikéhez.

Mindegyik stratégiának mind az előnyei, mind hátrányai vannak; A szerző alapvetően az opciót frissítések nélkül alkalmazza. A honeypot létrehozása után hozzon létre egy lemezképet, hogy gyorsan visszaállítsa a rendszert a rosszindulatú programok károsodása után. Alternatív megoldásként egy lemezkép használható az árnyékváltozások és analógjainak visszafordítására. Meg kell jegyezni, hogy számos hálózati férget keresnek fertőzött számítógépeket az IP-tartomány szkennelésével, a fertőzött PC IP-címéből (közös tipikus stratégiák - XXX *, XXX + 1. *, XXX-1 *) - Következésképpen, ideális esetben a honeypotnak minden alhálózatban kell lennie. Az előkészítés további elemeivel a honeypot rendszer több mappájához való hozzáférést kell nyitnia, és számos különböző formátumú mintafájlt kell tenni ezekhez a mappákba, a minimális készlet EXE, JPG, MP3.

Természetesen egy honeypot létrehozásával az adminisztrátornak nyomon kell követnie munkáját, és válaszolnia kell a felfedezett bármely anomáliára ez a számítógép. A változások regisztrálásának eszközeként a könyvvizsgálók alkalmazhatók, egy sniffer használható a hálózati tevékenység regisztrálására. Fontos pont Ez az, hogy a legtöbb csipke képes konfigurálni az adminisztrátor riasztás küldését egy adott hálózati tevékenység észlelése esetén. Például az Commview Sniffer, a szabály azt jelenti, hogy a "Formula" utasításokat, amely leírja a hálózati csomagot, vagy a mennyiségi kritériumok feladata (meghatározott számú csomag vagy bájt küldése másodpercenként, csomagok küldése nem azonosított IP vagy MAC-címek ) - Ábra. 2.

Ábra. 2. Hálózati tevékenység létrehozása és konfigurálása Figyelmeztetés

Figyelmeztetésként kényelmesebb az adminisztrátori postafiókba küldött e-mail üzenetek használatához - ebben az esetben a hálózat összes csapdájából származó működési figyelmeztetéseket kaphat. Ezenkívül, ha a sniffer lehetővé teszi, hogy több figyelmeztetést hozzon létre, akkor értelme megkülönböztetni hálózati tevékenység, kiemelve a munkát email, FTP / HTTP, TFTP, Telnet, MS Net, fokozott forgalom több mint 20-30 csomag másodpercenként bármely protokollon (3. ábra).

Ábra. 3. Elküldött levél-értesítés
A meghatározott kritériumoknak megfelelő csomagok kimutatása esetén

A csapdák szervezésekor nem rossz a hálózaton alkalmazandó sebezhetőség helyére hálózati szolgáltatások Vagy telepítse az emulátorukat. A legegyszerűbb (és ingyenes) az APS segédprogram szerzője, amely nincs telepítve. Az APS elve csökkenti az adatbázisában leírt TCP és UDP-portok halmazát, és egy előre meghatározott vagy véletlenszerűen generált választ (4 ábra) a kapcsolat pillanatában.

Ábra. 4. Főablak segédprogramok APS

Az ábra mutatja a screenshot lövést az APS valós válasza alatt a LAN "Smolenskenergo". Amint az az ábrán látható, a 21-es port egyes ügyfélszámítógépeinek összekapcsolására irányuló kísérletet rögzítenek. A protokollok elemzése azt mutatja, hogy a kísérletek a hálózaton több csapdával vannak rögzítve, ami lehetővé teszi a Hálózati szkennelés a FTP-kiszolgálók kereséséhez és hack "jelszavak kiválasztásával. Az APS protokollokat vezet be, és üzenetadminisztrátorokat küldhet a regisztrált csatlakozásokról szóló jelentésekről, amelyek kényelmesek a működési hálózati szkennelés kimutatásához.

A honeypot létrehozásakor hasznos online források olvasása ezen a témában, különösen a http://www.heynet.org/ webhelyen. A weboldal Eszközök szakaszában (http://www.heynet.org/tools/index.html) számos eszközt talál a támadások regisztrálásához és elemzéséhez.

A rosszindulatú programok távoli eltávolítása

Ideális esetben, miután észleli a malware mintákat, az adminisztrátor elküldi azokat az anti-vírus laboratóriumba, ahol azokat az elemzők azonnal tanulmányozzák, és a megfelelő aláírásokat a víruskereső bázisra alkalmazzák. Ezek az aláírások keresztül automatikus frissítés Keresse meg a felhasználói számítógépeken, és az AntiVirus a rosszindulatú programok automatikus eltávolítását teszi lehetővé adminisztrátori beavatkozás nélkül. Ez a lánc azonban nem mindig működik, mivel különösen a következő kudarc következő okai lehetségesek:

• az adminisztrátortól független ember számára a kép okai nem érhetik el az anti-víruslaboratóriumot;
• az anti-vírus laboratórium elégtelen hatékonysága - ideális esetben a minták tanulmányozására és a bázisba való bevezetésére nem haladja meg az 1-2 órát, azaz a munkanapon belül frissítheti az aláírási adatbázisokat. Azonban nem minden víruskereső laboratórium olyan gyorsan működik, és a frissítések több napig (ritka esetekben - akár hetek) is várhatók;
• nagy teljesítményű víruskereső - számos rosszindulatú program az aktiválás után megsemmisíti a vírusokat, vagy megsérti munkájukat minden lehetséges módon. Klasszikus példák - Bevezetés hosts fájl A vírusirtó automatikus frissítési rendszer normál működését blokkoló rekordok, törölni kell a víruskeresők folyamatait, szolgáltatásait és illesztőprogramjait, a beállítások károsodását stb.

Következésképpen a felsorolt \u200b\u200bhelyzetekben manuálisan kell küzdenie a rosszindulatú programokért. A legtöbb esetben könnyű, mivel a szennyezett PC-k a számítógépek tanulmányozásából, valamint a rosszindulatú programok teljes nevétől ismertek. Csak a távolság eltávolítása. Ha egy rosszindulatú programot nem védi az eltávolítástól, akkor a következő AVZ Script segítségével lehet elpusztítani:

// Fájl törlése.

DeleteFile ("fájlnév");

Executesslean;

Ez a parancsfájl eltávolít egy megadott fájlt (vagy több fájlt, mivel a szkriptben lévő törlési parancsok korlátlan szám lehetnek), majd automatikusan tisztítsa meg a rendszerleíró adatbázisát. Egy kihívást jelentő esetben a rosszindulatú program védhető a törlésből (például a fájlok és a rendszerleíró kulcsok újraindítása) vagy az Rootkit Technology által álcázva. Ebben az esetben a szkript bonyolult, és a következő űrlap lesz:

// Ablakellenes

Searchrotkit (igaz, igaz);

// irodai avzguard

Setavzguardstatus (igaz);

// Fájl törlése.

DeleteFile ("fájlnév");

// a bootcleaner naplózás engedélyezése

Bc_logfile (getavzdirectory + 'boot_clr.log);

// importálja a munkahelyi bélyegző fájlok listáját távoli szkript

BC_ImportDeletedlist;

// Activation Bootcleaner

// Heurisztikus tisztító rendszer

Executesslean;

Rebootwindows (igaz);

Ez a szkript magában foglalja a Roottam aktívan ellensúlyozását, az AvzGuard rendszer használatát (ez egy rosszindulatú program aktivitási blokk) és a bootcleaner rendszer. A BootCleaner olyan illesztőprogram, amely eltávolítja a megadott objektumokat a Kernelmode-ból egy újraindításkor, korai rendszer betöltési szakaszában. A gyakorlat azt mutatja, hogy egy hasonló szkript képes elpusztítani a meglévő rosszindulatú programok túlnyomó többségét. A kivétel a rosszindulatú program, a végrehajtható fájlok nevének megváltoztatása minden újraindítással, - ebben az esetben a tanulmány során észlelt fájlok átnevezhetők. Ebben az esetben a számítógép kézzel vagy saját rosszindulatú programjainak létrehozásához szükséges (a meglévő jelkeresési szkript példáját az AVZ Súgójában ismertetjük).

Következtetés

Ebben a cikkben a LAN-járvány küzdésének gyakorlati módszereit vizsgáltuk, anélkül, hogy víruskereső termékeket használnánk. A leírt technikák többsége felhasználható külföldi számítógépek és trójaiak kereséséhez is a felhasználók számítógépén. Ha nehezen találja meg a rosszindulatú programokat, vagy a kezelési parancsfájlok létrehozását, a rendszergazda a fórum "help" részét használhatja a fórum http://virusinfo.info című részében http://forum.kaspersky.com /index.php?showforum\u003d tizennyolc. A protokollok és a kezelési segítségnyújtás vizsgálatát mindkét fórumon ingyenesen végzik, a PC-elemzést az AVZ protokollok szerint hajtják végre, és a legtöbb esetben a kezelés az AVZ Script fertőzött PC-re csökken, amelyet tapasztalt fórumadat szakemberek állítanak össze.

Részletesen bemutattam a különböző típusú sebezhetőségekkel, de most itt az ideje, hogy megismerjem ezeket a sebezhetőségek szkennereit.

A sérülékenységi szkennerek olyan szoftverek vagy hardverek, amelyek diagnosztizálni és figyelni hálózati számítógépekLehetővé teszi a hálózatok, a számítógépek és az észlelés alkalmazásainak beolvasását lehetséges problémák A biztonsági rendszerben, értékeli és hibaelhárítási sérülékenységeket.

A sérülékenységi szkennerek lehetővé teszik, hogy ellenőrizze a különböző alkalmazásokat a rendszerben a "lyukak" jelenlétére, amelyet a támadók kihasználhatnak. Alacsony szintű eszközök is használhatók, például a port-szkennerek, a rendszerben futó alkalmazások és protokollok azonosítása és elemzése.

Így a szkennerek a következő feladatok megoldására irányulnak:

• a sérülékenységek azonosítása és elemzése;
• erőforrás-leltár, például operációs rendszer, szoftver és hálózati eszköz;
• a sebezhetőségek leírását tartalmazó jelentések és az eliminációs lehetőségek leírása.

Hogyan működik?

A munkaköri szkennerek két fő mechanizmust használnak.
Első - A hangzás nem túl gyors, de pontos. Ez egy aktív elemzési mechanizmus, amely elindítja az utánzástámogatást, ezáltal ellenőrzi a sebezhetőséget. A szonda során a támadások végrehajtásának módszerei, amelyek segítenek megerősíteni a sérülékenység jelenlétét és a korábban nem azonosított "hibák" felismerését.

Második Mechanizmus - Szkennelés - gyorsabb, de kevésbé pontos eredményeket ad. Ez egy passzív elemzés, amelyben a szkenner sebezhetőséget keres anélkül, hogy megerősítené jelenlétét közvetett jelek használatával. Meghatározzák a szkennelést nyílt kikötők és összegyűjtött kapcsolódó címsorok. A meghatározási szabályok táblázattal összehasonlítják őket hálózati eszközök, operációs rendszer és lehetséges "lyukak". Összehasonlítás után hálózati szkenner Biztonsági jelentések a sérülékenység jelenlétéről vagy hiányáról.

A legmodernebb hálózati biztonsági szkennerek az elveken dolgoznak:

• a hálózati információk gyűjtése, az összes aktív eszköz és szolgáltatás azonosítása;
• a potenciális sebezhetőségek kimutatása;
• a kiválasztott biztonsági rések megerősítése, amelyre specifikus módszereket használnak és támadások szimulálva vannak;
• jelentés;
• a sebezhetőségek automatikus megszüntetése. Nem mindig ez a szakasz Ez a hálózati biztonsági szkennerekben valósul meg, de gyakran előfordul a rendszerkutatókban.

A sebezhetőségek legjobb szkennerei

Most elemezzük a legmegfelelőbb szkennerek című szakértői minősítéseket.

Nessus.

A projektet 1998-ban indították el, 2003-ban a Talane Network Security fejlesztője hálózatbiztonsági szkenner-kereskedelmi forgalomba került. Rendszeresen frissített sebezhetőség, egyszerűség a telepítés és a használat során, a magas szintű pontosság előnye a versenytársakkal szemben. A legfontosabb funkció a pluginok használata. Vagyis bármilyen behatolási vizsgálatot nem varrunk szorosan a programba, de dugaszolható plug-in formájában készült. A kiegészítőket 42-en terjesztik különböző típusokból: Panzió elvégzéséhez aktiválhatja mindkét külön bővítményt, mind az összes definiált bővítményt - például az Ubuntu rendszer összes helyi ellenőrzését. Érdekes pont - a felhasználók képesek lesznek saját tesztjeiket speciális szkriptnyelv segítségével írni.

A Nessus kiváló sebezhetőségi szkenner. De két hátránya van. Az első - ha a "biztonságos ellenőrzések" opció le van tiltva, egyes sérülékenységi vizsgálatok rendellenességekhez vezethetnek a beolvasott rendszerek működésében. A második az ár. Az éves engedély 114 ezer rubelt okozhat.

Symantec biztonsági ellenőrzés.

Ingyenes gyártó szkennerje azonos nevű. A fő funkciók a vírusok és trójaiak, az internetes férgek, a rosszindulatú programok felderítése, a helyi hálózaton lévő sebezhetőségek keresése. Ez egy online termék, amely két részből áll: Biztonsági vizsgálat. amely ellenőrzi a biztonsági rendszert és Vírus észlelése.Teljes számítógép ellenőrzése a vírusok számára. Gyorsan és egyszerűen telepítve működik a böngészőn keresztül. A legfrissebb vélemények szerint ez a hálózati szkenner jobb használni további ellenőrzést.

XSpider.

Az XSpider program, amely a fejlesztő alkalmazásának megfelelően azonosíthatja a holnap sebezhetőségének egyharmadát. Ennek a szkennernek a legfontosabb jellemzője, hogy felismerje a hálózaton lévő "kudarcok" maximális számát, még mielőtt hackerek látható. Ebben az esetben a szkenner távolról működik anélkül, hogy további szoftvert igényelne. Miután dolgozott, a szkenner teljes jelentést és tippeket küld a "lyukak" megszüntetésére. A szkenner licencköltsége 11 ezer rubelről kezdődik évente négy állomásra.

QuerysGuard

A sebezhetőségek többfunkciós szkennere. Ez kiterjedt jelentéseket biztosít:

• a sérülékenység kritikusságának értékelése;
• az őket kiküszöböléséhez szükséges idő becslése;
• az üzleti hatásuk mértékének ellenőrzése;
• a biztonsági tendenciák elemzése.

A QualysGuard Cloud Platform és a beépített alkalmazások lehetővé teszik a vállalkozások számára, hogy egyszerűsítsék a biztonsági folyamatot, és csökkentsék a különböző követelményeknek való megfelelés költségeit, miközben adják fontos információ Az ellenőrzési feladatok teljes spektruma, az informatikai rendszerek és webes alkalmazások védelmének teljes spektruma. Ezzel szoftver A vállalati weboldalakat beolvashatja, és automatizált értesítést és jelentéseket kaphat a fenyegetések időben történő kimutatására és megszüntetésére.

Rapid 7 Nexpose

A Rapid 7 az egyik leggyorsabban szakosodott vállalat információ biztonság a világban. Ez volt az, aki a közelmúltban szerezte meg a projekt metasploit kereteit, és ez volt a keze, hogy a Nexpose projekt. A kereskedelmi verzió használatához a "bejegyzés" költsége kisebb 3000 dolláros, de a rajongók számára van egy közösségi változat, amely enyhén vágott lehetőségekkel rendelkezik. Ilyen. ingyenes verzió Könnyen integrálható a metasploittal. A munka program meglehetősen trükkös: Nexpose indul az első, majd Metasploit konzol (MSFCONSOLE), amely után lehet futtatni a beolvasást, és állítsa be a parancsok számát (Nexpose_Connect, Nexpose_Scan, Nexpose_Discover, Nexpose_DOS és mások). Kombinálhatja az új alkalmazás és más metasploit modulok funkcionalitását.

X-Scan.

Külsőleg az X-Scan-t jobban emlékeztette egy önálló öngyilkos, mint valaki saját szükségleteikre, és nyilvánosságra hozza a szabad úszást. Lehet, hogy nem kapott ilyen népszerűséget, ha nem támogatja a Nessus-Attack-Scripts modul használatával aktivált Nessus parancsfájlokat. Másrészt érdemes egy szkennelési jelentést, és minden kétség merül fel a szkenner hasznosságáról a háttérbe. Nem lesz az IB hivatalos szabványa szerint, de határozottan sokat fog mondani a hálózatról.

Mindegyik csapat] [- a szoftverek és segédprogramok tekintetében
Pontest. Miután létrehozta: A kiválasztás annyira változik, hogy meg tudod csinálni
Valódi uraimansky ellenőrzött programok. Ezen és döntött. Nak nek
Ne csináld a solunka csapatot, megtörtük a teljes listát a témákban. Ma megérintünk
Minden pengester szent szentje a sebezhetőség szkennere.

Nessus.

Weboldal:
www.nessus.org/plugins/index.php.
Elosztás: szabad / shareware
Platform: Win / * Nix / Mac

Ha valaki nem próbálta meg Nessus., legalábbis hallott róla.
Az egyik leghíresebb biztonsági szkenner gazdag történelemmel rendelkezik: lény
A projekt megnyitása után a program megszűnt nyitva
forráskód. Szerencsére az ingyenes verzió maradt, ami eredetileg
Nagyon megfosztották a biztonsági rések és az új bővítmények alapjául szolgáló frissítésekhez való hozzáférést,
De később a fejlesztők tömörítették és csak a frissítések gyakoriságát korlátozták.
Plugins - Az alkalmazási architektúra legfontosabb jellemzője: Bármely teszt
a penetráció nem szorosan varródik a programba, hanem ki van adva
Plug-in plugin. A kiegészítőket 42 különböző típuson osztják el:
Pentend, aktiválhatja mindkét külön bővítményt, mind az összes bővítményt.
Bizonyos típus - például az összes helyi ellenőrzés végrehajtásához
Ubuntu rendszer. És senki sem korlátozza Önt a saját tesztek írására.
A penetrációban: Ehhez a Nessusban speciális szkriptnyelvet hajtottak végre
- Nasl (Nessus támadási szkriptnyelv) Ki később
Kölcsönzött más segédprogramok.

Még nagyobb rugalmasság, a fejlesztők elértek, elválasztva a szkenner szerver részét,
Az összes művelet végrehajtása az ügyfélprogramtól, amely nem
több mint grafikus felület. A démon utolsó 4.2-es verziójában a 8834-es porton
megnyit egy webszervert; A szkenner irányíthatja kényelmes interfész a
Flash "E, csak egy böngészővel rendelkezik. A szkenner telepítése után a kiszolgáló elindul
Automatikusan, amint megadja a gombot az aktiváláshoz: ingyenes lehet
Kérje meg egy otthoni weboldalon Nessus.. Igaz, a bejárathoz és a helyiekhez
és távoli, akkor szükséged van egy felhasználó létrehozására: Windows-ban van
Két egérkattintással történik a Nesus Server Manager Gui-admin keresztül, vele
Elkezdheti és leállíthatja a kiszolgálót.

Bármely penetrációs teszt az úgynevezett politikák létrehozásával kezdődik -
Szabályok, amelyek szerint a szkenner ragaszkodik a szkennelés során. Itt és
Kiválasztott port szkennelés (TCP Scan, UDP Scan, Syn Scan stb.),
az egyidejű kapcsolatok száma, valamint a tipikus tiszta Nessus.
Opciók, például biztonságos ellenőrzések. Az utóbbi biztonságos szkennelést tartalmaz,
A beolvasott rendszert károsíthatja a bővítményeket. Fontos lépés
A szabályok létrehozása a szükséges plug-inek csatlakoztatása: Aktiválhatja az egész számokat
Csoportok, mondjuk, alapértelmezett UNIX fiókok, DNS, Cisco, Slackware helyi biztonság
Ellenőrzések, ablakok stb. Lehetséges a lehetséges támadások és ellenőrzések kiválasztása - Hatalmas! Megkülönböztető
A Nessus funkciója az intelligens bővítmények. A szkenner soha nem fogja beolvasni a szolgáltatást
A kikötői számával. A webszerver mozgatása a szabványos 80-as kikötőből, mondjuk
Az 1234-es napon, hogy megtévessze a Nessust, nem lesz képes - meghatározza ezt. Ha az FTP-kiszolgálón van
Anonymous felhasználó le van tiltva, és a bővítmények része használja annak ellenőrzésére,
Ez a szkenner nem fog futni, tudatosan tudva, hogy nem lesz értelme. Ha egy
A Plugin kiaknázza a "E, Nessus. Nem fogja kínozni
Boldogság, próbálkozás a Sendmail ellen "A -, stb. Nyilvánvaló, hogy a végrehajtás
Ellenőrzi a helyi rendszert, hitelesítő adatkereteket kell megadnia
(A hozzáférés jelszavai és jelszavai) a szabályok beállításának végső része.

OpenVAS.

Site: www.openvas.org.
Elosztás: Freeware.
Platform: Win / * Nix / Mac

Annak ellenére, hogy az eredeti Nessus kódok lezárultak, a motor Nessus 2 és
A bővítmények egy része még a GPL licenc alatt van elosztva projekt formájában.
OpenVAS. (OpenSource sebezhetőségi értékelés szkenner). Most projekt
teljesen független a bátyjától, és jelentős
Sikerek: Az utolsó stabil verzió csak a szám elküldése előtt jött ki
Nyomtatás. Nem csoda, hogy OpenVAS. Az ügyfél-kiszolgálót is használja
Architektúra, ahol az összes szkennelési műveletet a kiszolgáló részével végzi - azt
Csak Niksami alatt működik. Elindításához csomagokat kell letöltenie.
OpenVAS-Scanner, valamint az OpenVAS-könyvtári könyvtárak sorozata. Mint
Ügyfélrész OpenVAS. 3.0 Csak egy Nixic GUI program áll rendelkezésre,
De azt hiszem, mint előző verziókHamarosan a port megjelenik a Windows számára. Bármilyen
az eset, a legegyszerűbb kihasználni OpenVAS. A nem drága segítségével
LiveCD BACTRACK (4. verzió), amelyben már telepítve van. Minden nagyobb
A munka megkezdéséhez szükséges műveletek menüpontokban készültek: OpenVas Make Cert
SSL tanúsítvány a kiszolgáló eléréséhez), adja hozzá a felhasználót (létrehoz egy jouzer hozzáférést
szerver), NVT szinkronizálása (frissítés plug-ins és bázis sebezhetőségek), és a végén
OpenVAS Server (Start Server menüponton keresztül). Következő csak marad
Futtassa az ügyfél részt, és csatlakozzon a kiszolgálóhoz a Pontest elindításához.

Nyitottság és bővítés OpenVAS. megengedett, hogy keményen szivattyúzzon
program. Amellett, hogy közvetlenül a biztonság elemzéséhez szükséges pluginok, benne
Számos jól ismert segédprogram integrálva van: Nikto a sérülékeny CGI forgatókönyvek kereséséhez,
NMAP a kikötők és a tenger más dolgai, az IKE-szkennelés az IPsec észleléséhez
VPN csomópontok, AMAP, hogy azonosítsák az ujjlenyomatokat használó portok szolgáltatásait,
OVALDI támogatja az ovális - szabványos nyelvet a sebezhetőségek leírásához - és
Sok más.

XSpider 7.

Weboldal:
www.ptsecurity.ru/xs7download.asp
Elosztás: Shareware.
Platform: Win.

A kód első sorai XSpider. 1998. december 2-án írták, és a
Azután 12 év, ez a szkenner minden egyes orosz nyelven ismert
Információs biztonsági szakember. Általában pozitív technológiák - egy
A hazai információs biztonsági piacon lévő néhány vállalat közül, akinek
A személyzet ténylegesen megszakíthat valamit, és nemcsak gyönyörűen értékesíti a szolgáltatásokat.
A terméket nem írták meg a programozók, hanem az IB szakértők, akik tudják, mint
Mit kell ellenőrizni. Mi az eredmény? Van egy nagyon magas színvonalú termék egy,
De nagyon komoly számunkra mínusz: XSpider. Ply! Feladat
A fejlesztők egy vágott demo verziót kínálnak, amelyben egy egész tartományt nem hajtottak végre.
Ellenőrzések, beleértve a heurisztikus, valamint az alap frissítéseit
sebezhetőségek. Ráadásul a fejlesztők erői most teljesen irányulnak a másikba
Termék - Maxpatrol Információ Biztonsági felügyeleti rendszer
Melyik, sajnos még nincs demó.

De még az összes korlátozás mellett is XSpider.az egyik legkényelmesebb
és hatékony eszközök Hálózati biztonsági elemzés és konkrét csomópontok.
Szkennelési beállítások, mint a Nessus esetében, különleges formájában készülnek
A szabályrendszer csak ebben az esetben nem nevezik politikákat, hanem profilokat.
A hálózati elemzés és a szkenner viselkedésének általános paramétereinek testreszabása
Speciális protokollok esetében: SSH, LDAP, http. A tanulmányozott démon típusa mindegyikben
A portot nem az általánosan elfogadott osztályozás határozza meg, hanem a
Eurista algoritmusok ujjlenyomat "A - opció van egy kattintással
Szkennelési profil. Külön szavak Megérdemli az RPC szolgáltatás feldolgozását (ablakok)
és * Nix) teljes azonosítással, köszönhetően, amelyre lehetőség van a sérülékenységek azonosítására
Különböző szolgáltatások és részletes számítógép konfiguráció egésze. Jelölje be
A jelszóvédelem gyengesége gyakorlatilag a jelszavak optimalizált kiválasztását hajtja végre
A hitelesítést igénylő valamennyi szolgáltatásban segíti a gyenge jelszavakat.
A beolvasási eredmény egy kényelmes jelentés formájában készült, és minden egyes
megtalált potenciális sebezhetőség Egy apró leírás és külső kapcsolat kerül kiadásra,
Ahol megtalálhatja a részleteket.

GFI LAND

Weboldal:
www.gfi.com/lannetscan.
Elosztás: Freeware / Shareware
Platform: Win.

Amelyre különösen szeretem ezt a terméket az előre telepített készlethez
Szkennelés profiljai. A távoli rendszer teljes szkennelése mellett
az összes rendelkezésre álló csekket (az úton, van egy speciális verzió
Lassú csatlakozáshoz - például a fék VPN-kapcsolatokhoz az államokon keresztül),
Van egy csomó külön ellenőrzési csoport. Például gyorsan ellenőrizheti a tízezséget
A híresek által összeállított TOP20 sebezhetőségek jelenlétéhez
Sans biztonsági vállalat. Azonnal aktiválhatja és keresheti a gépeket
Ismeretlen javítások vagy szervizcsomagok, válasszon egy profilt a pöttyök számára
webes alkalmazások stb. Továbbá, kivéve a közvetlenül irányított profilokat
A sebezhetőségek keresése, számos eszköz van az ellenőrzésre: keresőgolyó, intelligens szkenner
a kikötők, beleértve a kis autók által nyitott vegyületeket is
Számítógépes konfigurációk stb. Kiderül egy termékben a tömeg
Hasznos segédprogramok.

Folyamatosan frissített sebezhetőség GFI LAND Több mint
15000 bejegyzés, amely lehetővé teszi a legtöbbet különböző rendszerek (Windows, Mac OS, Linux),
Beleértve a virtuális gépekre telepítve. Szkenner automatikusan
húzza fel az alap frissítéseit, amelyek viszont jelentésekkel vannak kialakítva
BugTraq, Sans és más cégek. Végezze el saját ellenőrzéseit
Elment, te és te magad. Ehhez egy speciális szkript biztosított
a python és a vbscript (milyen csomó!) és a teljes kényelem érdekében
Még egy kényelmes szerkesztő egy debagerrel - igazi IDE-t kapunk. Még egy
Languard egyedülálló chip "A - az a képesség, hogy meghatározza, hogy a gép elindul
Virtuális környezetben (míg a VMware és a virtuális számítógép támogatott) - Ez az egyik az egyik
Egyedi szkenner zseton.

Retina Network Security Scanner

Site: www.eeye.com.
Elosztás: Shareware.
Platform: Win.

A legendás szkenner fő csalódása azonnal elszenvedett engem
dob. Telepítő legújabb verziólopás, azt mondta, hogy fut
Retina. A Windows 7 vagy a Windows Server 2008 R2 jelenleg lehetetlen. Nem
Nagyon udvariasan meg kellett nyitnom virtuális gépDe tudtam: ez volt
megéri. Retina. - Az egyik legjobb szkenner, amely meghatározza és elemzi
Helyi gazdagépek. Fizikai I. virtuális szerverek, munkaállomások és
Laptopok, útválasztók és hardveres tűzfalak - Retina. ajándék
A hálózathoz csatlakoztatott eszközök teljes listája a vezeték nélküli információkat jeleníti meg
hálózatok. Mindegyikük minden módon lesz a Tootte-nak a keresésben, legalább néhány tipp
Sebezhetőség, és nagyon okos. A helyi hálózati osztály beolvasásáról
Körülbelül 15 percet vesz igénybe. Termék Retina. meghatározza az operációs rendszer sérülékenységét,
Alkalmazások, potenciálisan veszélyes beállítások és paraméterek. Ennek eredményeként lehet
Szerezd meg a felülvizsgálati hálózati tervet a potenciálisan kiszolgáltatott helyek megjelenítésével. Bázis C.
A fejlesztők szerint a sebezhetőségek az óránként frissülnek, és az információ
A sérülékenységek az első megjelenés után legkésőbb 48 órával az adatbázisba esnek
Bagratrica. Azonban az a tény, hogy ez egy eye gyár terméke már
Minőségi garancia.

A Microsoft Baseline Security Analyzer

Site: www.microsoft.com.
Elosztás: Freeware.
Platform: Win.

Ami? Microsoft biztonsági analizátor, amely
Ellenőrzi a számítógép számítógépeit a Microsoft követelményeinek való megfelelés érdekében, amely
Jelentős összeget töltött. A legfontosabb kritérium természetesen a rendelkezésre állás
A telepített frissítések rendszerében. Ne emlékeztesse azt, amit tettem
Az MS08-67 szünet használatával a tapasz, amelyhez 2 hónappal korábban jött ki
Epidemics. A hiányzó foltok mellett az MBSA észleli néhányat
Közös sávok konfigurációban. A program beolvasása előtt
Letöltések a bázisok frissítéseit, így biztos lehet benne: Microsoft.
Alapvető biztonsági analizátor Tudja mindent a Windows közzétett frissítéseiről. Által
A szkennelés eredményeit (domain vagy az IP-címek tartománya) adják ki
jelentés. Már vizuális jelentés továbbítható egy feltételes hálózati rendszerbe,
Megjeleníti a Visio-t. Ehhez a program hozzáférhet
Speciális csatlakozó, amely különböző zárt csomópontokat jelenít meg,
Töltse ki az objektumparamétereket a szkenneléssel kapcsolatos információk hozzáadásával, és
A gyönyörű forma lehetővé teszi, hogy lássa, milyen problémák vannak egy adott számítógépen.

Szent.

Weboldal:
http://www.saintcorporation.com
Elosztás: Shareware.
Platform: -nix

Csak két IP-cím, amelyhez emelheted Szent. ban ben
A kísérleti időszak folyamata mereven izolálódik a kulcshoz, és megy hozzá
Email. Egyik lépést sem balra, sem a jobb oldali lépésre - de ez a termék szükségszerűen megéri
Próbálja meg, még ilyen drakoni korlátozásokkal is. Szkenner-kezelés
végrehajtott webes felületen, amely nem meglepő - megoldások Szent.
Eladva, beleértve a rack (Saintbox) beépítéséhez szolgáló szerverek formájában, és itt
Követelnie kell a divatot. Egy aszketikus webes felület segítségével nagyon könnyű
Futtassa a tesztelést és használja a hosszú távú keresést
Potenciálisan kiszolgáltatott területek a rendszerben. Majd többet mondok: a SaintExploit modul egyike
Lehetővé teszi, hogy ne csak az észlelés, hanem a sebezhetőség kiaknázásához is! Vesz
Ms08-67 hírhedt hiba. Ha a szkenner észleli a nem megfelelő lyukat és ismeri
Hogyan lehet kihasználni, majd a sérülékenység leírásának melletti linket ad
A közeli szívhez a szó kihasználására. Egy kattintással megkapja a szilárd anyag leírását,
Ráadásul a futtatás most kezdődik. Ezután a megosztástól függően,
Különböző paraméterek vannak megadva, például az operációs rendszer pontos verziója a távoli gépen,
Shell típus és port, amelyen elindul. Ha a célkitermelés sikeresen
Befejeződött, majd egy IP-cím jelenik meg a SaintExploit modul csatlakozási szakaszában
Az áldozatok és az indítás eredményeként hozzáférhetővé váló intézkedések kiválasztása
Exploit: A távoli rendszeren lévő fájlok működése, parancs sor stb!
Képzeld el: szkenner, melyik maga megtöri! Nem csoda a szlogen termék: "Vizsgálja meg.
Tegye ki. Kihasználás ". Az ellenőrzések rendszere a legkülönbözőbb, és az elmúlt 7.
A verzió megjelent modul webes alkalmazás Penzet és további funkciókhoz
Adatbázisok elemzése. Emlékeztetve a célra a webes felületen, figyelhetsz
A szkenner cselekedetei az összes részletével, pontosan tudva, hogy mi és hogyan működik a szkenner
Ebben a pillanatban.

X-Scan.

Site: http://www.xfocus.org.
Elosztás: Freeware.
Platform: Win.

A szkenner legújabb verziója 2007-ben jött ki, amely nem zavarja
Használja most a plug-inek és szkriptek rendszerének köszönhetően,
A NASL nyelven írta, a Nessus / OpenVAS-ban. Megtalálni
És módosítsa a rendelkezésre álló parancsfájlok egyszerűen - mindegyik a szkript mappában van.
A szkenner elindításához meg kell jelölnie a szkennelési beállításokat a menüben
Config -\u003e Scan paraméter. A szkennelés tárgyaként működhet
Specifikus IP és a címek tartománya, de az utóbbi esetben erkölcsi lehetnek
Készen áll a tesztelésre. Szkenner, alas, nem a leginkább
gyors. A csatlakoztatott modulok száma a sebesség aránya is:
Kiegészítők, amelyek ellenőrzik az SSH / VNC / FTP jelszó ellenállását, az egyik leginkább
Falánk. Külsőleg X-Scan. jobban emlékeztet a házi készítésű házi készítésre
Saját igényeire, és nyilvánosságra tolva a szabad úszásról. Talán ő
és nem kapott ilyen népszerűséget, ha nem támogatja a Sessus szkripteket
Aktiválja a Nessus-Attack-Scripts modul használatával. Másrészt érdemes
A szkennelési jelentés megtekintése, és minden kétség merül fel a szkenner hasznosságáról
második terv. Ezt nem adják ki az IB hivatalos szabványa szerint, de
Ez biztosan sok újat fog mondani a neten.

Rapid 7 Nexpose

Site: www.rapid7.com
Elosztás: Freeware verzió
Platform: Nix / Win

Gyors 7. - az egyik leggyorsabban növekvő vállalat, amely szakosodott
az információbiztonság a világon. Ő volt, aki a közelmúltban szerezte meg a projektet
Metasploit keretrendszer, és ez a keze - egy projekt Újonc. Költség
"Input" a kereskedelmi verzió használatához kis 3000 dollár nélkül, de
A rajongók számára a közösségi verzió kissé vágott lehetőségekkel rendelkezik.
Ez az ingyenes verzió könnyen integrálható a Metasploit "Ohm (verzió nem szükséges
3.3.1.). A munka rendszere elég trükk: az első elindítja az újoncot, akkor
Metasploit konzol (MSFConSole), amely után futtathatja a szkennelési folyamatot
és állítsa be több parancsot (nexape_connect, nexape_scan,
Nexape_discover, nexape_dos és mások). Hűvös, hogy kombinálhatsz
funkcionalitás Újonc és más metasploit modulok "a. A legegyszerűbb, de
Hatékony példa: Keresse meg a számítógépeket néhány sebezhetőséggel és azonnal
Működtesse a megfelelő metasploit modul használatával
Az automatikus kiszolgálás új minőségi szinten.

Figyelem

Az erőforrás-tulajdonos szerverei és erőforrásai az ő akarata nélkül - bűnöző
lyukasztott. Az illegális célokra szerzett tudás használat esetén a szerző és a
A felelősség szerkesztése nem kerül szállításra.

A biztonsági szkenner szoftver A különböző hálózati elemek távoli vagy helyi diagnosztikájához különböző sebezhetőséget észlelnek bennük. Az ilyen rendszerek fő felhasználói szakemberek: adminisztrátorok, biztonsági szakemberek stb. Az egyszerű felhasználók biztonsági szkennereket is használhatnak, de az ilyen programok által kiadott információk általában specifikusak, amelyek korlátozzák a felkészületlen személy használatának lehetőségeit. A biztonsági szkennerek megkönnyítik a szakemberek munkáját, csökkentve a sebezhetőségek keresésére költött teljes időt.

Összehasonlításképpen öt különböző szkennert választottunk ki egy másik árkategóriában és különböző képességekkel: Iss Internet Scanner., XSpider., Lankadás, ShadowsecurityScanner., X-Scan..

Összehasonlítani hasonló rendszerek Nem elég ahhoz, hogy elegendő legyen. Az állítólagosan ellenőrzött sebezhetőségek száma vagy beállításai, valamint a program vagy annak mérete megjelenés Nem lehet kritérium a szkenner minőségének és funkcionális képességeinek értékelésére. Ezért, annak érdekében, hogy a különböző biztonsági szkennerek munkájának teljes körű elképzelését hozza létre, úgy döntöttek, hogy megtartják őket Összehasonlító vizsgálat A hét különböző sérülékenységének azonosítása operációs rendszer, Gyakran használt nagy bankok és pénzügyi intézmények: AS / 400, Solaris 2.5.1, Compaq / Tandem Himalaya K2006 (OS D35), Windows 2000 szerver, Windows XP Professional, Linux Redhat 5.2, Bay Networks router.

A vizsgálati szkennerek verziói (a legfrissebb az ellenőrzéskor elérhető):

• ISS Internet Scanner 6.2.1 A legújabb frissítésekkel
• XSpider 6.01
• Languard 2.0
• ShadowsecurityScanner 5.31
• XFocus X-Scan v1.3 gui

Az egyes szkenner tesztelését kétszer tartották, ezáltal kizárva a nemkívánatos lehetséges hibákat, például ideiglenes problémát a hálózaton. Minden kapott adatot egy táblázatba helyeztük, egyértelműen megmutatva, hogy melyik sebezhetőséget találták meg egy vagy más szkennerrel. A sárga szín jelzi a közepes gravitáció sebezhetőségét, amely bizonyos körülmények között súlyos veszteséget okozhat, és a vörös súlyos sebezhetőségek, amelyek nemcsak súlyos veszteségekhez vezethetnek, hanem a rendszer teljes megsemmisítéséhez is. Ezután az asztal után a szkennereket szkennelési eredményekkel értékelik.

Megállapított sebezhetőségek táblázata:

Hogy megértsék az eredményeket, és bármilyen következtetésre jutnak következő rendszer A kevésbé optimális pontok kiszámítása (más lehetőségek is lehetségesek, de mindegyik hasonlóak): Minden egyes sebezhetőség esetében bizonyos pontok hozzáadása a biztonsági rés veszélyének mértékétől függően, és fordítva a kibocsátásra A hamis sérülékenységi pontszámokat levonják:

• súlyos sebezhetőség (+3 pont)
• a közepes gravitáció sebezhetősége (+2 pont)
• információ (+1 pontszám)
• hamis súlyos sebezhetőség (-3 pont)
• a közepes gravitáció hamis sebezhetősége (-2 pont)
• hamis információ (-1 pontszám)

Teljes táblázat:

Mi az eredmény?

Az ISS Internet Scannernek nincs szüksége leírásra. Mindig magas szinten mutatta magát, bár ezúttal az XSpider-Y bajnokság tenyerének megteremtése.

Az XSpider vitathatatlan vezetőnek bizonyult, súlyosan megszakadt a versenytársaktól, különösen akkor, amikor a Windows és a Solaris sebezhetőségét keresi, ami különösen kellemes a kis méretével és a szabad terjesztésével. Van egy nagy mínusz: nagyon kevés információ van a sebezhetőségek listájának kiadásakor, amely a program segítségével magas szintű tudást és szakszerűséget foglal magában.

A nyúlvány nyúlványa biztonsági szkennernek nevezhető. Nagyon jól működik a NetBIOS-val, az erőforrások, szolgáltatások és felhasználók listáját. Ez a képesség nagyon megkülönböztethető a szkenner a többi, de ez csak ez. Ezen az előnyben a Languard End.

A ShadowsecurityScanner gyakorlatilag az ISS-ről álmodott. És ez egy ilyen nagy különbség az árukban. A programnak egy egyszerű felülete hasonló a retina szkenner felületéhez. Részletes tanácsok és ajánlások a sebezhetőségek kiküszöbölésére, lehetővé téve a problémák megoldását. Hátrányok: kis mennyiségű felismerhető sebezhetőség, sokkal nagyobb a rendszer erőforrások fogyasztása más szkennerekhez képest.

X-Scan Free Scanner Langes Langes Languard, de egy kicsit jobb. Hátrányok: Nem nagyon olvasható programfelület, a talált sérülékenységek megjegyzéseinek hiánya.