Найти тему
Евгений Широков
1 подписчик

Сбор улик в Windows XP

2
7 мин
Оглавление

Сен 6, 2010

Чтобы выследить вас, не нужно специальных шпионских программ. Предатель и так уже живет в вашем ПК. Windows знает, чем и когда вы занимались, и охотно делится этой информацией.

(1) Сайт со специальным JavaScript-кодом показывает все содержимое буфера обмена(2) Trace знает, какие файлы и когда тот или иной пользователь скачал из Интернета(3) Restore Point Analyzer выдает список всех когда-либо инсталлированных, удаленных и переименованных программ. Вы ведь не думали, что при деинсталляции программ они исчезают бесследно?(4) В filelist.xml мы обнаружили сомнительный файл ph.dll, принадлежащий программе Eudora, который копируется при создании каждой точки восстановления(5) С помощью hex-редактора мы исследовали точки восстановления Windows, надеясь найти какие-либо указания на подозрительный файл ph.dll(6) CCleaner удалит лог-файлы и записи реестра с информацией, которую вы предпочли бы держать в секрете(7) Программа xpy не позволит Windows XP и таким приложениям, как Media Player, тайно пересылать в Microsoft данные самого различного характера(8) Дефрагментация защитит ваш компьютер от «обыска»(9) Программа ProcX показывает все приложения и службы, которые передают данные в Интернет преступников(10) Stream Explorer показывает скрытые потоки данных NTFS и помогает выслеживать замаскированное вредоносное ПО(11) В реестре программа AutoRuns сохранила значение для потока данных, относящегося к лицензионному соглашению(12) Forensic Toolkit (FTK) анализирует все файлы на компьютере и помогает разоблачать преступников В этой статье
(1) Сайт со специальным JavaScript-кодом показывает все содержимое буфера обмена(2) Trace знает, какие файлы и когда тот или иной пользователь скачал из Интернета(3) Restore Point Analyzer выдает список всех когда-либо инсталлированных, удаленных и переименованных программ. Вы ведь не думали, что при деинсталляции программ они исчезают бесследно?(4) В filelist.xml мы обнаружили сомнительный файл ph.dll, принадлежащий программе Eudora, который копируется при создании каждой точки восстановления(5) С помощью hex-редактора мы исследовали точки восстановления Windows, надеясь найти какие-либо указания на подозрительный файл ph.dll(6) CCleaner удалит лог-файлы и записи реестра с информацией, которую вы предпочли бы держать в секрете(7) Программа xpy не позволит Windows XP и таким приложениям, как Media Player, тайно пересылать в Microsoft данные самого различного характера(8) Дефрагментация защитит ваш компьютер от «обыска»(9) Программа ProcX показывает все приложения и службы, которые передают данные в Интернет преступников(10) Stream Explorer показывает скрытые потоки данных NTFS и помогает выслеживать замаскированное вредоносное ПО(11) В реестре программа AutoRuns сохранила значение для потока данных, относящегося к лицензионному соглашению(12) Forensic Toolkit (FTK) анализирует все файлы на компьютере и помогает разоблачать преступников В этой статье
  • Поиск слабых мест в Windows
  • Заметаем следы, удаляем данные
  • Как заставить Windows молчать
  • Полицейские методы

Пароли, имена пользователей, фотографии с последней вечеринки — некоторые данные, хранящиеся на вашем компьютере, касаются только вас. Однако в мире Windows понятие «личная жизнь» не имеет особого веса.

Операционная система регистрирует все ваши действия и честно рассказывает о них Microsoft, хакерам, любопытным коллегам и властям — любому, кто хорошенько попросит. Однако есть способы противодействовать шпионским повадкам вашей ОС.

В этой статье речь пойдет не о брандмауэрах и антивирусах, а методах, которыми вы можете воспользоваться, чтобы предотвратить утечку данных с вашего компьютера.

СЧИТЫВАНИЕ ДАННЫХ

Что ХР может рассказать о вас

Windows ХР может рассказать о многом: о ваших паролях, посещенных вами сайтах, скачанных файлах, установленных и удаленных приложениях… К счастью, скрыть всю эту информацию не очень сложно — достаточно вовремя воспользоваться да советами.

Буфер раскрывает пароли

Программа: JavaScript Вы принадлежите к | числу пользователей, которые копируют пароли в онлайновые формы через буфер обмена? От этой привычки стоит отказаться: дело в том, что некоторые веб-страницы могут считывать содержимое этого буфера. Правда, такое происходит лишь в том случае, если вы пользуетесь браузером Internet Explorer.

Покажем, как это делается, на простом примере: введите пару слов в Блокноте или Word и скопируйте их с помощью комбинации клавиш «Ctrl+C». Теперь откройте Internet Explorer и зайдите на сайт www.novnet.org/pub/ie-clipboard-test/ie-clipboard-test.html. Там вы увидите содержимое собственного буфера. Правда, в Internet Explorer 7 сайт получает доступ к буферу только с вашего разрешения. Но если вы используете более ранние версии браузера, то скопированный текст сразу же появится перед вами.

Секрет этого сайта заключается в JavaScript-модуле, который копирует текст из буфера и показывает его. Наилучший выход — перейти на защищенные Firefox или Opera.

Браузер показывает ваш маршрут в Сети

Программа: X — Ways Trace И маркетологам, и правоохранительным органам хочется знать, какие сайты вы посетили, сколько времени провели на них и какие файлы скачали. Чтобы узнать, что именно видят шпионы, воспользуйтесь программой X-Ways Trace (www.x-ways.net). Она считывает индексный файл браузера и выдает подробную информацию о вашем поведении в Сети.

Попробуйте проделать это сами: распакуйте Trace на USB-носитель и запустите с него файл trace.exe (так вы не оставите никаких следов на жестком диске).

Затем откройте файл, который называется, в зависимости от браузера, index.dat (Internet Explorer), history.dat (Firefox) или dcache4.url (Opera). Обычно он хранится в папке Documents and Settings/Имя пользователя/Application Data/Название браузера. Вы увидите, какие сайты, когда и как долго были открыты, сколько именно раз посещалась та или иная страница (visit count) и какие файлы вы скачивали.

Это еще не все: выберите в X-Ways-Trace пункт меню «File | Open Disk» и укажите раздел Windows. Программа отобразит данные об учетной записи пользователя.

Так, например, вы узнаете, что ваш сын под именем пользователя «Вова» 6 декабря между 10 и 11 часами вечера скачал с сайта www.kazaa.com файл под названием hardmusic.mp4 размером 15 Мбайт.

Пакетный файл считывает системные данные

Получить список всех скрытых системных файлов и полную сетевую конфигурацию компьютера совсем нетрудно. Просто запишите две приведенные ниже команды в файл с расширением .bat и запустите его, а затем откройте файл C:результат.txt — все данные будут записаны в него.

dir /q/s/a:h /t:a %systemroot% >> с:результат.txt ipconfig /all >> c:результат.txt С технической точки зрения происходит следующее: по команде «dir», за которой следует несколько параметров, пакетный файл считывает все скрытые системные файлы, сортирует их по названию в алфавитном порядке и ставит каждый в соответствие тому или иному пользователю, а также показывает время последнего обращения к документу.

Сетевая конфигурация считывается простой командой «ipconfig /all». Эти данные могут казаться бесполезными, но не для маркетологов или властей.

Предательский реестр

Программа: AD Registry Viewer Windows запоминает, какие пользователи работают на компьютере, когда они заходят в систему, как часто меняют пароль и, что особенно интересно, как долго текущий пароль будет действителен.

Все эти сведения Windows хранит в базе данных SAM (Security Account Manager), которая является составной частью реестра. Правда, доступа к SAM не имеют даже администраторы. Если запустить Regedit и вызвать HKEY_LOCAL_MACHINESAM, это ничего не даст. Однако существует несложный обходной путь: для этого откройте в программе Registry Viewer (www.accessdata.com) файл windowssystem32configsam.bak. Найдите под-ключ SAMDomainsAccountUsers. Вы увидите имеющиеся пользовательские учетные записи в шестнадцатеричном представлении. На нашем тестовом компьютере мы нашли учетную запись администратора, просто щелкнув по «000001F4». В поле под деревом каталогов показано время последнего входа в систему для данного пользователя — «Last Logon Time». В качестве «Last Password Change Time» (время последней смены пароля) у нас, вынуждены признаться, значится «Never».

Сохранить эти интересные сведения в демоверсии Registry Viewer нельзя. Но ничто не помешает вам просто сделать скриншот.

Восстанавливая систему, спасаешь вирусы

Программа: Restore Point Analyzer, MX Восстановление системы поистине находка для шпиона. Windows показывает, когда какие программы были установлены или удалены. Программа Restore Point Analyzer поможет разобраться с этой информацией.

Отправным пунктом будет файл С:WindowsSystem32Restorefilelist.xml. Откройте его в браузере двойным щелчком. В списке файлов указано, какие файлы и папки были включены («Include») в процесс восстановления системы, а какие исключены («Exclude»). Тут приложения могут заносить себя в ту или иную категорию самостоятельно.

Например, вирус может регенерироваться при каждом восстановлении системы.

Вызвав список файлов на нашем тестовом компьютере, мы сразу же наткнулись на неизвестный нам документ: C:placeholderph.dll.

Стоит открыть папку С:, как становится ясно, что дело темное: подпапки placeholder в ней нет. Даже опция отображения скрытых файлов ничего не дает.

На сайте www.programchecker.com мы выяснили, что файл принадлежит почтовой программе Eudora, которая была установлена на компьютере некоторое время назад. Отбой… Однако имя папки не совпадает. Eudora должна сохранять файлы в папку qualcommeudora, ни о каком каталоге placeholder речи нет.

Пришло время разобраться, как происходило восстановление системы. Все точки восстановления хранятся в папке System Volume Information, открыть которую может только сама Windows. Чтобы изменить права доступа, вызовите командную строку и введите команду (в одну строчку): cacls «C:system volume information» /E /G Имя пользователя:F где С: — это раздел с Windows. Также не забудьте подставить свое имя пользователя.

Теперь запускаем программу Restore Point Analyzer (www.mandiant.com/mrpa.htm) и открываем только что разблокированную папку через пункт меню «File | Open Folder».

Программа выведет содержимое нескольких changelog-файлов. В них перечисляются все инсталлированные или измененные программы и файлы, которые принимаются во внимание при создании точки восстановления. В строке Eudora фигурирует имя соответствующего файла точки восстановления — в нашем случае это A0063994.ini.

Мы закрываем Restore Point Analyzer и находим ini-файл в каталоге System Volume Information.

Далее понадобится hex-редактор. Мы ищем в ini-файле следы ph.dll: был ли этот файл (то есть ph.dll) переименован, изменяет ли он сам другие файлы. Это значило бы, что мы имеем дело с вредоносным ПО.

Находим команды удаления Eudora и папку placeholder.

Теперь все становится на свои места: Eudora создала эту папку при инсталляции и внесла в filelist.xml запись, чтобы папка placeholder учитывалась при восстановлении системы. При деинсталляции данная запись не была удалена из filelist.xml, хотя должна была.

Мы исправляем эту ошибку: для начала щелкаем правой кнопкой мыши по значку файла filelist.xml и отключаем защиту от записи — «Read only».

Затем открываем файл в текстовом редакторе и удаляем строку «С: placeholderph.dll» вместе с тегами <Include> и </Include>.

Далее сохраняем файл, затем опять активируем защиту от записи и вводим в командной строке следующее: cacls «C:System Volume Information» /E /R Имя пользователя Таким образом, мы отказываемся от прав доступа к папке System Volume Information. Эта мера ограничит доступ злоумышленников.

Кому интересно, ставим лайки, в следуйщей статье поговорим об обходах этих уязвимостей.

Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются