оловок події, опис події і розділ двійкових даних.
Заголовки подій складаються з наступних полів:
Таблиця 1. Тема події
ПолеОпределеніеДатаДата виникнення собитіяВремяЛокальное час виникнення собитіяТіпКлассіфікація серйозності події або тип. Події аудиту безпеки можуть мати тип «аудит успіху» або «аудит відмови» .ІсточнікПріложеніе, записаних подія в журнал. Це може бути програма, наприклад SQL Server, ім'я драйвера або компонент системи, наприклад безопасность.КатегоріяКлассіфікація джерела події. Цей параметр відноситься до журналів аудиту безпеки, оскільки він відповідає типу події, який можна налаштувати в груповий політіке.Код собитіяЕтот код ідентифікує певний тип події. На малюнку вище наведено код події 680. Цей код означає, що локальний процес, віддалений процес або користувач передали в систему перевірки автентичності набір облікових данних.ПользовательІмя користувача, від імені якого відбулася подія. Це ім'я являє собою код клієнта, якщо подія була викликана процесом, або первинний код, якщо не виконується запозичення прав. У подіях безпеки первинні відомості і відомості про запозичення прав будуть показані, якщо це можливо і пріменімо.КомпьютерІмя комп'ютера, на якому відбулася подія.
Поле опису події містить різноманітні відомості, які можуть змінюватися від події до події. Наприклад, у події 680, показаному на малюнку 4, поле" Код події" містить значення 0xC000006A, яке означає, що був введений неправильний пароль. Для кожного типу подій в цьому полі відображаються відомості, характерні для даної події.
. Робота диспетчера задач. Досвідчений користувач може сам виявити сторонні процеси за допомогою диспетчера задач. Диспетчер завдань викликається комбінацією символів Ctrl + Alt + Delete і відображає всі запущені процеси. Вікно додатку диспетчера задач представлено на рис.4.
Рис.4. Вікно диспетчера задач
Однак по суті диспетчер задач мало ефективний. Більш широкі можливості по забезпеченню безпеки надає програма System Safety Monitor 2.0.6.566.
Завдання 2
1. Утиліта System Safety Monitor 2.0.6.566. Утиліта System Safety Monitor 2.0.6.566 є також одним із способів виявлення процесів, запущених в результаті злому. Інтерфейс програми представлений на рис.5.
Рис.5. Вікно програми System Safety Monitor 2.0.6.566
Додаток програми System Safety Monitor 2.0.6.566 відображає всі запущені процеси і їх статус. Статус процесів представлений на рис.6.
Рис.6. Статус процесів
Таким чином, програма System Safety Monitor 2.0.6.566 сама визначає сторонні процеси.
Висновок
В результаті виконання лабораторної роботи були вивчені різні способи фіксації завдань, що виконуються сторонніми користувачами. Поставлена ??мета досягнута!
Список літератури
1. Дж. Макнамара Секрети комп'ютерного шпигунства тактика і контрзаходи, - М., БИНОМ. Лабораторія знань, 2004.
2. http://oszone.
