Activity analysis: MS-DOS and Windows
Анализ активности: MS-DOS и Windows
"Чтоб мысль врага узнать,
ему вскрывают сердце.
А письма и подавно..."
В. Шекспир, "Король Лир"
ему вскрывают сердце.
А письма и подавно..."
В. Шекспир, "Король Лир"
|
|
Activity analysis: MS-DOS and Windows |
Анализ активности: MS-DOS и Windows |
"Чтоб мысль врага узнать, ему вскрывают сердце. А письма и подавно..." В. Шекспир, "Король Лир" |
||
| The article sheds some light on the basic techniques for the activity analysis conduct - for the search for work's traces, reconstruction of the user's actions in Windows and MS DOS systems, together with the simplest ways of counteraction. | ||
| Стандарты на разработку пользовательских пакетов, которые де-факто сложились из-за монополии Windows-систем и пакета Microsoft Office, облегчили работу и навигацию для пользователей, и одновременно, значительно облегчили задачу "охотникам" за чужими секретами. Пользователь, поработав с конфиденциальной информацией, отсоединился от сетевого диска или демонтировал виртуальный шифродиск. Казалось бы, теперь можно расслабиться, ведь доступ к секретам для кибер-сталкера невозможен. Но это справедливо только отчасти... |
| В статье будут приведены приемы "криминалистики" для начинающих следопытов применительно к локальным Windows-системам. Все техники, описанные в статье, могут быть воспроизведены среднеподготовленным пользователем. |
| "Анализ активности", или то, что кратко называют "статистикой", как способ сбора разведданных применяется либо для предварительного сбора информации при разработке "объекта", его окружения, либо когда доступ к объекту, содержанию сообщения (почтовое отправление, телефонный разговор, послание по Email) затруднен или нежелателен. Анализ "активности" имеет смысл для повышения секретности проводимых мероприятий, когда ограничивается непосредственный контакт с объектом, его окружением, с целью предотвращения раскрытия самого факта сбора информации ("засветки"), для усиления скрытности при работе, элементарной перестраховки. |
| Применительно к компьютерной области анализ активности проводится, когда невозможно получить копии документов, с которыми работал пользователь, например, или зашифрованных, или хранящимися на демонтирующихся сетевых дисках, или на отключаемых виртуальных шифродисках. Тем не менее, "ничто на Земле не проходит бесследно" и можно извлечь массу полезной информации из названий документов, адресов в Интернет, которые посещались, названий запускавшихся приложений или файлов, поиск которых велся, имени последнего пользователя, регистрировавшегося в системе. |
| В статье "анализ активности" будет вестись для MS-DOS 7.0, Windows 95. Испытания велись на Windows 95 OSR2 русской версии. |
Приемы анализа в MS-DOS |
| Операционная система DOS имеет функцию повторения последней набранной команды. Для вызова последней набранной команды в сеансе MS-DOS "не отягощенном" никакой оболочкой вроде Norton Commander необходимо нажать клавишу "F3", после нажатия которой команда, набранная последней, повторится в командной строке. |
| Для удобства навигации по последним командам в MS-DOS есть стандартная утилита - "Doskey.com". Она идет в стандартной поставке с системой. Присутствует она и в Windows 95. После инсталляции "Doskey" можно найти в каталоге "С:\Windows\Command". Однако из-за ее редкого использования она рассматриваться не будет. |
| Оболочка "Norton Commander" и ее многочисленные клоны (одно время среди программистов была мода создать подобие коммандера, но с расширенным набором функций, отсутствующим в программе-прототипе) имеет две прекрасные встроенные функции для анализа активности: по нажатии клавиш "Alt-F8" вызывается так называемый "журнал" команд. Этот журнал содержит предысторию команд вводимых пользователем в течение текущего сеанса работы. Для облегчения навигации по использовавшимся командам предусмотрены "горячие" клавиши "Ctrl-E" и "Ctrl-X" осуществляющие навигацию по стеку сохраненных команд назад и вперед соответственно. |
| Стоит отметить, что предыстории сеанса MS-DOS и Norton Commander теряются после их закрытия, что не характерно для Windows и Microsoft Office. |
Терминология и основные приемы анализа в Windows |
| Развитие и коммерческий успех Windows в большей мере связан с детальной проработкой интерфейсов, меню и добавлением новых пользовательских функций, новых оконных элементов управления, не несущих существенной функциональной нагрузки, но облегчающей жизнь пользователей и потому оцененных ими. Видимо не зря, Windows в шутку называют "глюкозой". |
| MRU (Most Recently Used) - команды меню использовавшиеся в последнее время. |
| Recent (недавний) - недавно запускавшиеся команды или файлы. |
| DIC (dictionary) - расширения, даваемые пользовательским словарям, которые хранят нестандартные (точнее, незанесенные при создании) программ проверки правописания термины. |
| Recent File List (недавно открывавшиеся файлы) - имена ключей системного реестра Windows, хранящих список документов (файлов), которые открывались приложением последние несколько раз. |
| File Name MRU (недавно использовавшиеся команды меню с именами файлов) - многочисленные команды операций с файлами в Microsoft Office, такие как "Открыть", "Сохранить как", работа со словарями. |
| Settings (установки) - установки приложений и системы. |
| Указанные подстроки следует искать в системном реестре или на дисках для фиксации следов работы пользователей (активности) в Windows-системе. |
| Наиболее интересными для "анализа активности" являются списки недавно открывавшихся файлов, хранящихся в реестре, которые отыскиваются по подстрокам "Recent", "Recent File List". Для демонстрации проблемы приведу список приложений, оставивших список открывавшихся документов, оформленный в виде таблицы (анализ проводился по системному реестру с помощью утилиты Norton Registry Editor). |
| Приложение | Ветвь в реестре | Локализация |
| Word Pad | HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Applets\WordPad | Recent File List |
| Пути инсталляции Windows и драйверов | HKEY_CURRENT_USER\ InstallLocationsMRU | InstallLocationsMRU |
| Outlook | HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0\Outlook | Office Finder* |
| Explorer | HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Controls Folder | Doc Find Spec MRU |
| Explorer | - // - | PrnPortsMRU |
| Explorer | - // - | RecentDocs* |
| Explorer | - // - | RunMRU |
| Explorer | - // - | FindComputerMRU |
| Policy Editor | HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Applets | PolEdit |
| * - двоичный формат. |
| Многие ключи также продублированы в разделе HKEY_USERS\.Default\ реестра. В реестре фиксируются подстроки поиска, порядок вызова функции Excel и многое, многое другое. Я намеренно не стал приводить развернутый список всех "следов", чтобы не перегружать статью избыточной информацией. Даны наиболее интересные и показательные примеры. При желании поиск можно повторить, цель была лишь в постановке проблемы и описание простейших методов ее решения. |
Список недавно открывавшихся документов |
| Этот список виден в меню "Документы", который фактически показывает содержимое папки "Recent" в директории "Windows" (значения даны по "умолчанию" в русской Windows 95, для более корректной локализации папки, где хранится список, следует посмотреть раздел реестра: "HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders"). В этом же разделе перечислены местонахождение многих служебных папок, таких как "Мои документы", "Автозагрузка", "Главное меню" и т.п. В папке "Recent" хранятся "ярлыки" (файлы с расширением "*.lnk"). Если, через меню "Настройка/ Панель Задач... \Настройка меню" очистить список документов, то это приведет к очистке папки "Recent". Двоичные данные с именами открывавшихся документов, хранящиеся в реестре: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Explorer\RecentDocs", остаются при этом нетронутыми. |
Противодействие |
| Тем не менее, несмотря на существования лазейки для анализа, описанной выше, в статьях других авторов ("Компьютерные Вести", №23 от 17 - 23 июня 1999 года, заметка "История винды", в других статьях подобной тематики), предлагается просто очищать папку, хранящую ссылки на документы. Это - совет по "защите одного малограмотного пользователя от другого, еще более безграмотного". Читателям, всерьез интересующимся проблемами компьютерной безопасности, следует критически относиться к подобным советам - это как раз то, что Филипп Циммерманн, автор известной программы шифрования PGP, называл "змеиным маслом".
Правильно будет стереть содержимое папки "Recent" и удалить содержимое раздела реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Explorer\RecentDocs" |
Список недавно запускавшихся приложений |
| Его можно увидеть, раскрыв окно с выпадающим списком в пункте стартового меню Windows "Выполнить...". История, запускавшихся через пункт меню "Выполнить...", приложений находится в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Explorer\RunMRU" и продублировано в разделе: "HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\ Explorer\RunMRU". |
| Однажды, на одном из компьютеров Интернет-кафе, я увидел в этом списке команду "Ping", со всеми необходимыми параметрами и IP-адресом сайта, который пытались "завалить" пакетами. На будущее, начинающим хакерам советую как Остап Бендер "чтить уголовный кодекс" или стирать следы своих деструктивных действий. В новом Уголовном Кодексе от 22 июля 1999 года за подобные вещи уже предусмотрена уголовная ответственность. |
Противодействие |
| Самое простое, создать целочисленный параметр (DWORD) в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer" с именем "NoRun" и присвоить значение "1" (да). |
| Но это лишь паллиатив (полумера), команда исчезает из стартового меню, но история запускавшихся приложений в разделе "RunMRU", тем не менее, останется нетронутой. Вывод - удалять содержимое реестра в разделе: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Explorer\RunMRU". |
Списки недавнего поиска |
| Вместе с Windows устанавливается локальный поисковик файлов "Файлы и папки..." и при установке сети поисковик компьютеров "Компьютер...", находящиеся в стартовом меню "Поиск...". |
| Списки файлов, по которым недавно велся поиск, находится в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Explorer\Doc Find Spec MRU", поиск компьютера, в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Explorer\FindComputerMRU", соответственно. |
| При установке при установке приложения Outlook, входящего в пакет Microsoft Office в стартовом меню поиск появляется дополнительный пункт меню "С помощью Microsoft Outlook...", запускающий поисковик с расширенными возможностями поиска, хранящий подстроки поиска в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0\Outlook\Office Finder". |
Противодействие |
| Как полумеру можно создать целочисленный параметр "NoFind" в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer" со значением "1", что закроет команду меню от обозрения и работы, сохранив данные в реестре о подстроках поиска нетронутыми. |
| Корректным действием будет удалить содержимое реестра в указанных выше разделах. |
| P.S. Весьма эффективно анализ активности можно провести и для пакета MS Office, локальных сетей или сеансов работы в Интернет, для распространенных браузеров и почтовых клиентов. Это - темы для следующих публикаций. |
Werewolf |
|
|
|
|
|
|