Курсовая с практикой на тему «Программы-песочницы для исследования программ, работающих под управлением ОС Андроид»
-
Оформление работы
-
Список литературы по ГОСТу
-
Соответствие методическим рекомендациям
-
И еще 16 требований ГОСТа,которые мы проверили
Введи почту и скачай архив со всеми файлами
Ссылку для скачивания пришлем
на указанный адрес электронной почты
Содержание:
Глава 1. Способы и методы диагностики программ, работающих
под
управлением ОС Андроид, с помощью программ-песочниц
1.1 Программы-песочницы
как инструмент судебной компьютерно-технической экспертизы
1.2 Способы и методы тестирования программ, работающих под
управлением ОС Андроид
Глава 2. Диагностика программ, работающих под управлением
ОС Андроид, спомощью программ-песочниц
2.2 Методические рекомендации по диагностике программ,
работающих под
управлением ОС Андроид, с помощью программы-песочницы
Shelter
Список использованных источников
Введение:
Введение
В современном мире для
полного и тщательного расследования обстоятельств совершения преступлений и
противоправных действий часто проводится судебно-медицинская экспертиза на
компьютере. К электронным устройствам (ПК) относятся: компьютеры, ноутбуки, смартфоны
и т. д., а также запоминающие устройства: жесткие диски, USB-накопители и т. д.
Все виды устройств подозреваемых после решения суда подвергаются разного рода
исследованиям с использованием специализированных инструментов компьютерной
криминалистики.
Современные кибератаки
все чаще ориентированы на конкретную отрасль (банки, ритейл, промышленность,
госсектор, интернет-магазины и т.п.) или конкретную компанию. Уникальный
характер таких угроз позволяет с легкостью обходить классические средства
защиты – антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы и т.д.
Конечная цель злоумышленников – перевести деньги в свою пользу, осуществить
шпионаж, кражу ценной информации, вымогательство, остановить производство и
вывести из строя оборудование.
Актуальность работы заключается в том, что такие
средства по обнаружению современных атак, как песочница, а также превентивные
меры (аналитика по инцидентам, локализация заражения в сети, действия по
предотвращению атаки и исключению повторных инцидентов) помогают эффективно
нейтрализовать целевые атаки и эта область еще недостаточно изучена.
Целью
работы является изучение программы-песочницы для
исследования программ, работающих под управлением ОС Андроид.
Объект
исследования — программы-песочницы.
Предмет
исследования – программы-песочницы для исследования
программ, работающих под управлением ОС Андроид.
Задачи:
1.
Рассмотреть способы и методы диагностики
программ, работающих под
управлением ОС Андроид, с
помощью программ-песочниц.
2.
Проведение диагностики программ,
работающих под управлением ОС Андроид, с помощью программ-песочниц.
Теоретическая значимость
работы состоит в том, что данное исследование может использоваться в дальнейшем
изучении программ, работающих под управлением ОС Андроид, с помощью
программ-песочниц.
Практическая значимость
работы состоит в том, что данный материал может быть использован на лекциях
судебно-компьютерной технической экспертизы.
Работа состоит из
Введения, основной части, состоящей из двух глав, Заключения и списка
литературы.
Заключение:
В начале работы говорилось, что такие
средства по обнаружению современных атак, как песочница, а также превентивные
меры (аналитика по инцидентам, локализация заражения в сети, действия по
предотвращению атаки и исключению повторных инцидентов) помогают эффективно
нейтрализовать целевые атаки и эта область еще недостаточно изучена.
Целью работы стало изучение
программы-песочницы для исследования программ, работающих под управлением ОС
Андроид.
Объектом исследования
стали программы-песочницы.
Предметом исследования стали
программы-песочницы для исследования программ, работающих под управлением ОС
Андроид.
В первой части работы были
рассмотрены способы и методы диагностики программ, работающих под управлением
ОС Андроид, с помощью программ-песочниц.
Во второй части работы
были рассмотрены методы работы в программах-песочницах под управлением ОС
Андроид
Таким образом, можно утверждать, что были
выполнены поставленные задачи.
Фрагмент текста работы:
Глава 1. Способы и методы диагностики программ, работающих
под
управлением ОС Андроид, с помощью программ-песочниц
1.1
Программы-песочницы как инструмент судебной компьютерно-технической
экспертизы
1.1
Программы-песочницы как инструмент судебной компьютерно-технической
экспертизы
Компьютерно-техническая
экспертиза — один из видов инженерно-технических экспертиз, объектом
которой является компьютерная техника и/или компьютерные носители информации.
Судебные
компьютерно-технические экспертизы (СКТЭ) поводят с целью:
— определения
статуса компьютерного средства
— получения
дополнительных доказательств
— выявления
роли компьютерного средства в рассматриваемом деле
— получения
доступа к информации на носителях данных и ее последующего исследования
В составе
СКТЭ можно выделить следующие виды экспертиз:
1.аппаратно-компьютерная
экспертиза
2.программно-компьютерная
экспертиза
3.информационно-компьютерная
экспертиза (данных)
4.компьютерно-сетевая
экспертиза
5.нормативно-техническая
экспертиза
Данная
классификация помогает при назначении комплексных экспертиз и подборе сведущего
лица.
Современные кибератаки все чаще
ориентированы на конкретную отрасль (банки, ритейл, промышленность, госсектор,
интернет-магазины и т.п.) или конкретную компанию. Уникальный характер таких
угроз позволяет с легкостью обходить классические средства защиты – антивирусы,
межсетевые экраны, IPS, почтовые и веб-шлюзы и т.д. Конечная цель
злоумышленников – перевести деньги в свою пользу, осуществить шпионаж, кражу
ценной информации, вымогательство, остановить производство и вывести из строя
оборудование. Такие средства по обнаружению современных атак, как песочница, а
также превентивные меры (аналитика по инцидентам, локализация заражения в сети,
действия по предотвращению атаки и исключению повторных инцидентов) помогают
эффективно нейтрализовать целевые атаки.
Что такое песочница?
Песочница – механизм для безопасного
исполнения программ. Песочницы часто используют для запуска непроверенного кода
из неизвестных источников и обнаружения вирусов и закладок. У антивирусных
средств простые методы обнаружения, такие как сигнатурный анализ, наличие
поведенческого анализа, не позволяют обнаружить тщательно спланированное
проникновение. А средства ATP полностью эмулируют запуск в работу файла на
обычной ОС с полным анализом происходящего. По факту мы запускаем его на
изолированной станции под пристальным наблюдением. Это особенно актуально в тех
случаях, когда вредоносная программа выдерживает паузу в начале своей работы.[1]
В песочницу не пойдет известный и
заведомо вредоносный код, потому что вердикт и так понятен, межсетевой экран
его не пропустит. Только если у межсетевого экрана недостаточно данных для
принятия решения, он отправляет его в песочницу.
Песочница может быть облачной, а
может работать на стороне заказчика, сути это не меняет. Код запускается, его
поведение мониторится. Таким образом можно отследить, что происходит на
виртуальной машине и посмотреть, что этот файл мог бы сделать, если бы попал на
нашу машину.
Обычно не все межсетевые экраны умеют
задерживать файл для получения вердикта от песочницы, требуется еще агент на
рабочей станции. А нужен он затем, что после того, как файл скачан, проверка в
песочнице не происходит мгновенно (производитель обычно гарантирует в районе 5
минут SLA). В любом случае у пользователя довольно много времени, чтобы этот
файл открыть. Часто это целый комплекс технических решений на разных уровнях,
который служит для одной задачи.
Вендоры поддерживают
специализированные базы знаний, которые позволяют выделять большее число угроз.
Есть репутационные проверки, когда, условно, у вас или в облаке проверили
какой-то файл, и нет смысла его «гонять» заказчику по всему миру опять в таких
же песочницах и выносить вердикт в каждой инфраструктуре. В этом случае
используется репутационная модель, единая сеть безопасности. Туда попадает
необходимая информация, а затем на ее основании формируется индикатор
компрометации. То есть выявляется вредоносный файл, мы понимаем, как он
работает, и в этом случае эффективнее разослать информацию о нем по своим
клиентам. А в общую базу данных добавить сведения о том, как этот файл
работает. Если он обратился к какому-то файлу, сделал переименование,
совокупность этих факторов может означать индикатор компрометации, разослав
который всем, мы можем быстро обнаруживать уязвимость, не прибегая к
возможностям песочницы.
Проверка на вредоносность не должна
идти первой в линии защиты. Сначала это могут быть межсетевое экранирование,
антиспам, антифишинг, которые внедрены в почтовую систему, прокси-сервера,
обнаружение вторжения на сетевом уровне, и только после прохождения файлом этих
барьеров идет песочница – крайняя мера защиты. На этом этапе необходимо
понимать, что оперативность проверки файла требует больших ресурсов, большой
поток таких файлов повлечет за собой дополнительные затраты. Чтобы их
сократить, необходимо сперва максимально эффективно использовать существующие
средства защиты.
[1]
Филлипс Б., Стюарт К., Марсикано К.Android. Программирование
для профессионалов. 3-е издание / пер. с англ. — СПб.: Издательский дом
«Питер», 2017 год, 688 стр.
