![]() |
Activity analysis: MS Office |
Анализ активности: MS Office |
The article gives activity analysis, reconstruction of the user's actions in Microsoft Office 97 together with countermeasures. |
Вторым приоритетным направлением Microsoft в разработке программного обеспечения был пакет Microsoft Office. Развитие Microsoft Office привнесло с собой много новшеств в реализации интерфейса и пользовательских функций, что с одной стороны предоставило дополнительное удобство для пользователей, и, одновременно, для любителей чужих секретов. В статье будут описаны простейшие способы "анализ активности" применительно к пакету Microsoft Office, которые могут быть воспроизведены среднеподготовленным пользователем. |
Введение |
"Анализ активности", в другой терминологии "статистика", это способ сбора сведений применяемый для предварительного сбора информации об "объекте", его окружении, также применяемый, когда доступ к объекту, содержанию сообщения затруднен или исключен. |
Из всего пакета Microsoft Office необходимо выделить отдельно текстовый редактор Microsoft Word. Этому редактору было уделено повышенное внимание разработчиков Microsoft, что вылилось в то, что Word сохраняет свои параметры, вернее, параметры, заданные пользователем при работе, иначе, чем остальные приложения, входящие в Office. Там, где это будет необходимо, на эти отличия будет указано. |
Для поиска следов активности в системном реестре искались подстроки "DIC" (dictionary) - расширения пользовательских словарей Microsoft Office, "Recent File List" (недавно открывавшиеся файлы) - ключи системного реестра Windows, хранящие список документов, открывавшиеся последними, "File Name MRU" (недавно использовавшиеся команды меню с именами файлов) - операции с файлами в Microsoft Office, "Settings" (установки) - установки приложений. |
Для испытаний использовался Norton Registry Editor, Microsoft Office 97 (rus), Windows 95 OSR2 (rus). Для обзора результаты поиска сведены в таблицу. |
Приложение | Ветвь в реестре | Локализация |
MS Access | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Access\Settings | Settings |
MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Excel | Recent File List |
Power Point | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\PowerPoint | Recent File List |
MS Access | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Access\Settings\Открытие файла базы данных | File Name MRU |
MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Добавить рисунок | File Name MRU |
MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Обзор | File Name MRU |
MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Открытие документа | File Name MRU |
MS Excel | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Excel\Settings\Сохранение документа | File Name MRU |
Power Point | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft PowerPoint\Settings | File Name MRU |
MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Вставка файла | File Name MRU |
MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Добавление вспомогательного словаря | File Name MRU |
MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Изменение расположения | File Name MRU |
MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Открытие документа | File Name MRU |
MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Создание вспомогательного словаря | File Name MRU |
MS Word | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Microsoft Word\Settings\Сохранение документа | File Name MRU |
MS Office | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Common\Open Find\Office\ Settings\Открытие документа Office | File Name MRU |
Outlook | HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Outlook | Office Finder |
Списки недавно открывавшихся документов MS Office |
Списки недавно открывавшихся документов видны внизу меню "Файл" в MS Word. Изначально это задумано для удобства работы пользователя - можно просмотреть список последних документов и быстро загрузить необходимый в данный момент документ. MS Word хранит список недавно отрывавшихся документов в параметре реестра Windows: "HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Word\Data". В этом параметре Word в двоичном формате хранит полные имена открывавшихся файлов (вместе с путем расположения документа), параметры сеансов, измененные пользователем значения по умолчанию настройки, пути расположения вспомогательных средств редактирования (словари и т.п.). |
Для MS Access список файлов находится в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Access\Settings" |
Для электронных таблиц Excel - список расположен в разделе: "HKEY_CURRENT_USER\ Software\Microsoft\Office\ 8.0\Excel\Recent File List". |
В остальных приложениях Office хранение списка документов сделано в едином стиле. Меняется лишь название приложения в разделе: "HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0". |
Списки документов продублированы в корне "HKEY_USERS". Кроме раскрытия имен файлов с документами, которым пользователи часто дают вполне осмысленные и раскрывающие содержание названия, текстовые и бинарные строки в системном реестре раскрывают сетевую топологию, если документы хранятся на сетевых или виртуальных шифродисках. Необходимо сделать поправку, если документы хранятся в каталоге Microsoft Office "по умолчанию". Обычно это каталог "C:\Мои документы". Если папка для размещения документов указана другая, - ее расположение можно отыскать в реестре:
"HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders", параметр "Personal". Есть смысл поискать в реестре параметры с именем "DefaultPath", "LocalPath" и т.д., в которых может также указываться путь к папке для хранения документов. |
В случае если документ хранится в "Personal" или "DefaultPath", в реестре будет указано только имя без пути к файлу. |
Противодействие |
В MS Word можно открыть настройки "Сервис\ Параметры\ Общие\" и сбросить флажок "помнить список из". Это закроет список недавно открывавшихся файлов от обозрения и обнулит список файлов. |
В MS Access команды, отменяющей напрямую хранение и загрузку последних документов (баз данных) не предусмотрено. |
Для Excel есть опция, отменяющая хранение списка последних документов в меню: "Сервис\ Параметры...\", страница блокнота "Общие". Обнуление флажка "Список ранее открывавшихся файлов содержит элементов не более:" уничтожит не только список документов, но и сам раздел реестра "Recent File List". |
Можно удалять или перезаписывать сами параметры реестра для противодействия анализу активности. |
Списки документов MS Office сохранявшихся командой "Сохранить как" |
Определенный интерес могут представлять названия документов которые пользователь ввел вручную, задействовав пункт меню "Файл\ Сохранить как..." или "Открыть...". Список измененных пользователем имен файлов виден диалоговом окне "Сохранить как" в комбинированном окне с выпадающим списком "Имя файла:". Для диалога "Открыть..." это же будет в комбинированном списке "Найти файлы, отвечающие условиям\ Имя файла:". Для MS Word списки имен файлов находятся в разделе реестра: "HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0\Common\Open Find\Microsoft Word\Settings\Сохранение документа\File Name MRU" для диалога открытия и "HKEY_CURRENT_USER\ Software\Microsoft\Office\8.0\Common\Open Find\Microsoft Word\Settings\Сохранение документа\File Name MRU" для диалога сохранения в параметре "Value". |
Для остальных программ из пакета Microsoft Office разделы реестра будут иметь похожие названия, поменяется лишь название приложения после "Open Find". |
Эти разделы системного реестра продублированы в корне "HKEY_USERS". |
Противодействие |
Мерой противодействия может быть либо удаление параметра "Value", либо его редактирование вручную или программно. |
Анализ словаря Microsoft Office |
В Microsoft Office встроена проверка грамматики и орфографии. Хотя встроенный словарь достаточно объемный, в повседневной работе пользователь вынужден работать с иной лексикой, которую невозможно предусмотреть создателям компьютерных словарей. В словарь не входят многие профессиональные термины, сленг, фамилии или названия предприятий, географические названия, постоянно возникающие неологизмы. Тем более, что словарь Office - это не самообучающийся интеллектуальный фильтр "Мемекс". Незнакомое слово Office подчеркивает и предлагает его "Добавить". Место, где расположен на диске, этот, постоянно пополняемый словарь, можно найти, пройдя в Word по пунктам меню: "Сервис\ Параметры", далее страница блокнота "Расположение". Если Office ставился на диск "C:" и при инсталляции не менялись настройки, то путь будет таким: "C:\Program Files\Microsoft Office\Office". |
В том же меню, на странице "Правописание" есть кнопка "Словари...", где можно зайти в режим редактирования словаря. Поиск можно упростить, запустив через меню "Пуск\ Поиск \Файлы и папки..." поиск файла с названием "CUSTOM.DIC" для поиска словаря "по умолчанию" или поиск с маской "*.DIC", для локализации всех словарей. В системном реестре ссылка на него хранится в разделе: "HKEY_LOCAL_MACHINE\SOFTWARE\Shared Tools\Proofing Tools\Custom Dictionaries" В него и помещаются все термины, не распознанные встроенной проверкой правописания. Необходимой информации, хранящейся там, для анализа более чем достаточно: имена, фамилии, названия предприятий, банков, названия товаров или сырьевых ресурсов и т.п. |
Противодействие |
Первое - отказаться от использования словарей или автоматической проверки орфографии, что неудобно. Второе шифровать/ расшифровывать файл при запуске/ закрытии сеанса Windows или помещать словарь на виртуальный шифродиск, поменяв соответственно настройки Office. |
Werewolf |
![]() |
![]() |
![]() |