|
|
Activity analysis: MS Office |
Анализ активности: MS Office |
| The article gives activity analysis, reconstruction of the user's actions in Microsoft Office 97 together with countermeasures. | ||
| Вторым приоритетным направлением Microsoft в разработке программного обеспечения был пакет Microsoft Office. Развитие Microsoft Office привнесло с собой много новшеств в реализации интерфейса и пользовательских функций, что с одной стороны предоставило дополнительное удобство для пользователей, и, одновременно, для любителей чужих секретов. В статье будут описаны простейшие способы "анализ активности" применительно к пакету Microsoft Office, которые могут быть воспроизведены среднеподготовленным пользователем. |
Введение |
| "Анализ активности", в другой терминологии "статистика", это способ сбора сведений применяемый для предварительного сбора информации об "объекте", его окружении, также применяемый, когда доступ к объекту, содержанию сообщения затруднен или исключен. |
| Из всего пакета Microsoft Office необходимо выделить отдельно текстовый редактор Microsoft Word. Этому редактору было уделено повышенное внимание разработчиков Microsoft, что вылилось в то, что Word сохраняет свои параметры, вернее, параметры, заданные пользователем при работе, иначе, чем остальные приложения, входящие в Office. Там, где это будет необходимо, на эти отличия будет указано. |
| Для поиска следов активности в системном реестре искались подстроки "DIC" (dictionary) - расширения пользовательских словарей Microsoft Office, "Recent File List" (недавно открывавшиеся файлы) - ключи системного реестра Windows, хранящие список документов, открывавшиеся последними, "File Name MRU" (недавно использовавшиеся команды меню с именами файлов) - операции с файлами в Microsoft Office, "Settings" (установки) - установки приложений. |
| Для испытаний использовался Norton Registry Editor, Microsoft Office 97 (rus), Windows 95 OSR2 (rus). Для обзора результаты поиска сведены в таблицу. |
| Приложение | Ветвь в реестре | Локализация |
| MS Access | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Access\Settings | Settings |
| MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Excel | Recent File List |
| Power Point | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\PowerPoint | Recent File List |
| MS Access | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Access\Settings\Открытие файла базы данных | File Name MRU |
| MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Добавить рисунок | File Name MRU |
| MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Обзор | File Name MRU |
| MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Открытие документа | File Name MRU |
| MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Сохранение документа | File Name MRU |
| Power Point | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft PowerPoint\Settings | File Name MRU |
| MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Вставка файла | File Name MRU |
| MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Добавление вспомогательного словаря | File Name MRU |
| MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Изменение расположения | File Name MRU |
| MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Открытие документа | File Name MRU |
| MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Создание вспомогательного словаря | File Name MRU |
| MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Сохранение документа | File Name MRU |
| MS Office | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Office\ Settings\Открытие документа Office | File Name MRU |
| Outlook | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Outlook | Office Finder |
Списки недавно открывавшихся документов MS Office |
| Списки недавно открывавшихся документов видны внизу меню "Файл" в MS Word. Изначально это задумано для удобства работы пользователя - можно просмотреть список последних документов и быстро загрузить необходимый в данный момент документ. MS Word хранит список недавно отрывавшихся документов в параметре реестра Windows: "HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Word\Data". В этом параметре Word в двоичном формате хранит полные имена открывавшихся файлов (вместе с путем расположения документа), параметры сеансов, измененные пользователем значения по умолчанию настройки, пути расположения вспомогательных средств редактирования (словари и т.п.). |
| Для MS Access список файлов находится в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Access\Settings" |
| Для электронных таблиц Excel - список расположен в разделе: "HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Excel\Recent File List". |
| В остальных приложениях Office хранение списка документов сделано в едином стиле. Меняется лишь название приложения в разделе: "HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0". |
| Списки документов продублированы в корне "HKEY_USERS". Кроме раскрытия имен файлов с документами, которым пользователи часто дают вполне осмысленные и раскрывающие содержание названия, текстовые и бинарные строки в системном реестре раскрывают сетевую топологию, если документы хранятся на сетевых или виртуальных шифродисках. Необходимо сделать поправку, если документы хранятся в каталоге Microsoft Office "по умолчанию". Обычно это каталог "C:\Мои документы". Если папка для размещения документов указана другая, - ее расположение можно отыскать в реестре:
"HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders", параметр "Personal". Есть смысл поискать в реестре параметры с именем "DefaultPath", "LocalPath" и т.д., в которых может также указываться путь к папке для хранения документов. |
| В случае если документ хранится в "Personal" или "DefaultPath", в реестре будет указано только имя без пути к файлу. |
Противодействие |
| В MS Word можно открыть настройки "Сервис\ Параметры\ Общие\" и сбросить флажок "помнить список из". Это закроет список недавно открывавшихся файлов от обозрения и обнулит список файлов. |
| В MS Access команды, отменяющей напрямую хранение и загрузку последних документов (баз данных) не предусмотрено. |
| Для Excel есть опция, отменяющая хранение списка последних документов в меню: "Сервис\ Параметры...\", страница блокнота "Общие". Обнуление флажка "Список ранее открывавшихся файлов содержит элементов не более:" уничтожит не только список документов, но и сам раздел реестра "Recent File List". |
| Можно удалять или перезаписывать сами параметры реестра для противодействия анализу активности. |
Списки документов MS Office сохранявшихся командой "Сохранить как" |
| Определенный интерес могут представлять названия документов которые пользователь ввел вручную, задействовав пункт меню "Файл\ Сохранить как..." или "Открыть...". Список измененных пользователем имен файлов виден диалоговом окне "Сохранить как" в комбинированном окне с выпадающим списком "Имя файла:". Для диалога "Открыть..." это же будет в комбинированном списке "Найти файлы, отвечающие условиям\ Имя файла:". Для MS Word списки имен файлов находятся в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0\Common\Open Find\Microsoft Word\Settings\Сохранение документа\File Name MRU" для диалога открытия и "HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0\Common\Open Find\Microsoft Word\Settings\Сохранение документа\File Name MRU" для диалога сохранения в параметре "Value". |
| Для остальных программ из пакета Microsoft Office разделы реестра будут иметь похожие названия, поменяется лишь название приложения после "Open Find". |
| Эти разделы системного реестра продублированы в корне "HKEY_USERS". |
Противодействие |
| Мерой противодействия может быть либо удаление параметра "Value", либо его редактирование вручную или программно. |
Анализ словаря Microsoft Office |
| В Microsoft Office встроена проверка грамматики и орфографии. Хотя встроенный словарь достаточно объемный, в повседневной работе пользователь вынужден работать с иной лексикой, которую невозможно предусмотреть создателям компьютерных словарей. В словарь не входят многие профессиональные термины, сленг, фамилии или названия предприятий, географические названия, постоянно возникающие неологизмы. Тем более, что словарь Office - это не самообучающийся интеллектуальный фильтр "Мемекс". Незнакомое слово Office подчеркивает и предлагает его "Добавить". Место, где расположен на диске, этот, постоянно пополняемый словарь, можно найти, пройдя в Word по пунктам меню: "Сервис\ Параметры", далее страница блокнота "Расположение". Если Office ставился на диск "C:" и при инсталляции не менялись настройки, то путь будет таким: "C:\Program Files\Microsoft Office\Office". |
| В том же меню, на странице "Правописание" есть кнопка "Словари...", где можно зайти в режим редактирования словаря. Поиск можно упростить, запустив через меню "Пуск\ Поиск \Файлы и папки..." поиск файла с названием "CUSTOM.DIC" для поиска словаря "по умолчанию" или поиск с маской "*.DIC", для локализации всех словарей. В системном реестре ссылка на него хранится в разделе: "HKEY_LOCAL_MACHINE\SOFTWARE\Shared Tools\Proofing Tools\Custom Dictionaries" В него и помещаются все термины, не распознанные встроенной проверкой правописания. Необходимой информации, хранящейся там, для анализа более чем достаточно: имена, фамилии, названия предприятий, банков, названия товаров или сырьевых ресурсов и т.п. |
Противодействие |
| Первое - отказаться от использования словарей или автоматической проверки орфографии, что неудобно. Второе шифровать/ расшифровывать файл при запуске/ закрытии сеанса Windows или помещать словарь на виртуальный шифродиск, поменяв соответственно настройки Office. |
Werewolf |
|
|
|
|