...
...

Анализ активности: MS-DOS и Windows

"Чтоб мысль врага узнать,
ему вскрывают сердце.
А письма и подавно..."
В. Шекспир, "Король Лир"

Стандарты на разработку пользовательских пакетов, которые де-факто сложились из-за монополии Windows-систем и пакета Microsoft Office, облегчили работу и навигацию для пользователей, и одновременно, значительно облегчили задачу "охотникам" за чужими секретами. Пользователь, поработав с конфиденциальной информацией, отсоединился от сетевого диска или демонтировал виртуальный шифродиск. Казалось бы, теперь можно расслабиться, ведь доступ к секретам для кибер-сталкера невозможен. Но это справедливо только отчасти...


В статье будут приведены приемы "криминалистики" для начинающих следопытов применительно к локальным Windows-системам. Все техники, описанные в статье, могут быть воспроизведены среднеподготовленным пользователем.
"Анализ активности", или то, что кратко называют "статистикой", как способ сбора разведданных применяется либо для предварительного сбора информации при разработке "объекта", его окружения, либо когда доступ к объекту, содержанию сообщения (почтовое отправление, телефонный разговор, послание по Email) затруднен или нежелателен.
Анализ "активности" имеет смысл для повышения секретности проводимых мероприятий, когда ограничивается непосредственный контакт с объектом, его окружением, с целью предотвращения раскрытия самого факта сбора информации ("засветки"), для усиления скрытности при работе, элементарной перестраховки.

Применительно к компьютерной области анализ активности проводится, когда невозможно получить копии документов, с которыми работал пользователь, например, или зашифрованных, или хранящимися на демонтирующихся сетевых дисках, или на отключаемых виртуальных шифродисках.
Тем не менее, "ничто на Земле не проходит бесследно", и можно извлечь массу полезной информации из названий документов, адресов в Интернет, которые посещались, названий запускавшихся приложений или файлов, поиск которых велся, имени последнего пользователя, регистрировавшегося в системе.
В статье "анализ активности" будет вестись для MS-DOS 7.0, Windows 95. Испытания велись на Windows 95 OSR2 русской версии.

Приемы анализа в MS-DOS
Операционная система DOS имеет функцию повторения последней набранной команды. Для вызова последней набранной команды в сеансе MS-DOS "не отягощенном" никакой оболочкой вроде Norton Commander необходимо нажать клавишу "F3", после нажатия которой команда, набранная последней, повторится в командной строке.
Для удобства навигации по последним командам в MS-DOS есть стандартная утилита - "Doskey.com". Она идет в стандартной поставке с системой. Присутствует она и в Windows 95. После инсталляции "Doskey" можно найти в каталоге "С:\Windows\Command". Однако из-за ее редкого использования она рассматриваться не будет.

Оболочка "Norton Commander" и ее многочисленные клоны (одно время среди программистов была мода создать подобие коммандера, но с расширенным набором функций, отсутствующим в программе-прототипе) имеет две прекрасные встроенные функции для анализа активности: "Alt-F8" вызывает так называемый "журнал" команд. Этот журнал содержит предысторию команд вводимых пользователем в течение текущего сеанса работы. Для облегчения навигации по использовавшимся командам предусмотрены "горячие" клавиши "Ctrl-E" и "Ctrl-X", осуществляющие навигацию по стеку сохраненных команд назад и вперед соответственно.
Стоит отметить, что предыстории сеанса MS-DOS и Norton Commander теряются после их закрытия, что не характерно для Windows и Microsoft Office.

Терминология и основные приемы анализа в Windows
Развитие и коммерческий успех Windows в большей мере связан с детальной проработкой интерфейсов, меню и добавлением новых пользовательских функций, новых оконных элементов управления, не несущих существенной функциональной нагрузки, но облегчающих жизнь пользователей и потому оцененных ими. Видимо не зря, Windows в шутку называют "глюкозой".
MRU (Most Recently Used) - команды меню, использовавшиеся в последнее время.
Recent (недавний) - недавние запускавшиеся команды или файлы.
DIC (dictionary) - расширения, даваемые пользовательским словарям, которые хранят нестандартные (точнее, незанесенные при создании) для программ проверки правописания термины.
Recent File List (недавно открывавшиеся файлы) - имена ключей системного реестра Windows, хранящих список документов (файлов), которые открывались приложением последние несколько раз.
File Name MRU (недавно использовавшиеся команды меню с именами файлов) - многочисленные команды операций с файлами в Microsoft Office, такие как "Открыть", "Сохранить как", работа со словарями.
Settings (установки) - установки приложений и системы.

Указанные подстроки следует искать в системном реестре или на дисках для фиксации следов работы пользователей (активности) в Windows-системе.
Наиболее интересными для "анализа активности" являются списки недавно открывавшихся файлов, хранящихся в реестре, которые отыскиваются по подстрокам "Recent", "Recent File List". Для демонстрации проблемы приведу список приложений, оставивших список открывавшихся документов, оформленный в виде таблицы (анализ проводился по системному реестру с помощью утилиты Norton Registry Editor).
Многие ключи также продублированы в разделе HKEY_USERS\.Default\ реестра. В реестре фиксируются подстроки поиска, порядок вызова функции Excel и многое, многое другое. Я намеренно не стал приводить развернутый список всех "следов", чтобы не перегружать статью избыточной информацией. Даны наиболее интересные и показательные примеры.

При желании поиск можно повторить, цель была лишь в постановке проблемы и описании простейших методов ее решения.

Список недавно открывавшихся документов
Этот список виден в меню "Документы", который фактически показывает содержимое папки "Recent" в директории "Windows" (значения даны по "умолчанию" в русской Windows 95, для более корректной локализации папки, где хранится список, следует посмотреть раздел реестра "HKEY_USERS\.Default\ Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell Folders"). В этом же разделе перечислены местонахождения многих служебных папок, таких, как "Мои документы", "Автозагрузка", "Главное меню" и т.п.
В папке "Recent" хранятся "ярлыки" (файлы с расширением "*.lnk"). Если через меню "Настройка/ Панель Задач... \Настройка меню" очистить список документов, то это приведет к очистке папки "Recent". Двоичные данные с именами открывавшихся документов, хранящиеся в реестре "HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\RecentDocs", остаются при этом нетронутыми.

Противодействие
Тем не менее, несмотря на существования лазейки для анализа, описанной выше, в статьях других авторов ("Компьютерные Вести", N№23 от 17-23 июня 1999 года, заметка "История винды", в других статьях подобной тематики) предлагается просто очищать папку, хранящую ссылки на документы. Это - совет по "защите одного малограмотного пользователя от другого, еще более безграмотного".
Читателям, всерьез интересующимся проблемами компьютерной безопасности, следует критически относиться к подобным советам - это как раз то, что Филипп Циммерманн, автор известной программы шифрования PGP, называл "змеиным маслом".
Правильно будет стереть содержимое папки "Recent" и удалить содержимое раздела реестра "HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\RecentDocs".

Список недавно запускавшихся приложений
Его можно увидеть, раскрыв окно с выпадающим списком в пункте стартового меню Windows "Выполнить...". История запускавшихся через пункт меню "Выполнить..." приложений находится в разделе реестра "HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\RunMRU" и продублировано в разделе "HKEY_USERS\.Default\Software\ Microsoft\Windows\CurrentVersion\Explorer\RunMRU".

Однажды, на одном из компьютеров Интернет кафе, я увидел в этом списке команду "Ping", со всеми необходимыми параметрами и IP-адресом сайта, который пытались "завалить" пакетами. На будущее, начинающим хакерам советую как Остап Бендер "чтить уголовный кодекс" или стирать следы своих деструктивных действий. В новом Уголовном Кодексе от 22 июля 1999 года за подобные вещи уже предусмотрена уголовная ответственность.

Противодействие
Самое простое - создать бинарный параметр (DWORD) в разделе реестра "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Policies\Ex-plorer" с именем "NoRun" и присвоить значение "1" (да).
Но это лишь паллиатив (полумера), команда исчезает из стартового меню, но история запускавшихся приложений в разделе "RunMRU", тем не менее, останется нетронутой. Вывод - удалять содержимое реестра в разделе: "HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\RunMRU".

Списки недавнего поиска
Вместе с Windows устанавливается локальный поисковик файлов "Файлы и папки..." и при установке сети поисковик компьютеров "Компьютер...", находящиеся в стартовом меню "Поиск...".
Списки файлов, по которым недавно велся поиск, находятся в разделе реестра "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU", поиск компьютера в разделе реестра "HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\FindComputerMRU" соответственно.
При установке приложения Outlook, входящего в пакет Microsoft Office, в стартовом меню поиск появляется дополнительный пункт меню "С помощью Microsoft Outlook...", запускающий поисковик с расширенными возможностями поиска, хранящий подстроки поиска в разделе реестра "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Outlook\Office Finder".

Противодействие
Как полумеру можно создать двоичный параметр "NoFind" в разделе реестра "HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer" со значением "1", что закроет команду меню от обозрения и работы, сохранив данные в реестре о подстроках поиска нетронутыми.
Корректным действием будет удалить содержимое реестра в указанных выше разделах.

P.S. Весьма эффективно анализ активности можно провести и для пакета MS Office, локальных сетей или сеансов работы в Интернет, для распространенных браузеров и почтовых клиентов. Это темы для следующих публикаций.

Werewolf

© Компьютерная газета

полезные ссылки
IP камеры видеонаблюдения